带外管理解决方案.docx

1、带外管理解决方案XXX集中带外管理解决方案XXX科技有限公司一 需求分析1.1现有 IT环境描述XXX信息中心整个IT应用系统的硬件环境包括应用服务器和网络设备等。根据信息中心具体情况，现有服务器200台，交换机、路由器、防火墙等网络设备20台。XXX原IT平台的运维方式：利用一些远程控制软件来控制服务器，或者直接使用telnet等方式来管理远端网络设备。由于系统设备的日益增多，不同类型的设备都有不同的维护操作手段，都有自己的维护界面，造成系统维护人员需要逐个的进行维护和管理，显然这种单点式的维护需要耗费大量的人力成本。当系统维护人员穿梭于不同的机房或各种机柜之间，寻找出故障的机器时，效率是比

2、较低的。不但浪费了宝贵的人力资源，而且使得出现的故障得不到及时的修复，使得系统出现不应有的停顿，造成了不可估量的损失。维护人员不定期的加班或值班；机房环境（噪音，辐射和温度）对维护人员的影响；异地机房（长期出差）维护的路途奔波；这些问题都影响IT维护人员的工作满意度，从而影响到工作效率。以上问题在高速发展的信息化建设中危害越来越严重。1.2管理需求定义从上节的IT环境的分析看，整个IT环境是比较复杂的，一方面，表现为管理监控的设备众多，应用比较复杂；另一方面表现为应用系统所涉及的环节较多，一个表面的应用问题可能涉及到的故障层次也比较多。要确保整个应用系统的正常运行，必须保证系统所涉及的每个环节

3、都正常工作。这就要求建立一套完善的IT集中控制系统，该系统能对其关键设备进行日常管理控制及对突发事件进行控制以便迅速解决问题。被控设备包括：网络设备、服务器、小型机等各种IT资源基础设施，确保控制整个信息系统高效、安全运作。原IT信息平台管理工作单靠系统维护人员的手工操作是远远不够的，这就需要一套完整的带外管理系统来帮助系统管理人员对被监测的设备进行集中的控制和统一的管理。庞大的IT基础设施架构，是为了更好的保障现有业务正常运转。所以建立一套能保障关键性业务，能处理突发事件和日常控制的带外管理系统势在必行。能够在第一时间内解决网络中突发事件和故障等问题。二 带外管理系统解决方案设计2.1 带外

4、管理解决方案整体概述 据了解，信息中心机房，现有服务器设备共200台，交换机、防火墙、路由器等网络设备共20台。现在要求对北车集团信息中心机房的所有服务器及网络设备进行集中控制和统一管理。管理内容包括：对现有的关键业务服务器和网络设备进行集中控管。同时带外管理系统还可以对机房温湿度环境监控系统、机房报警系统、监控录像系统进行整合管理。带外管理系统，不仅能在日常维护中对IT基础设施进行集中控制和统一管理，而且网络中一旦出现故障节点（如：关键业务服务器无法访问、网络链路中断、网络设备出现故障），可以通过本系统带外管理方式对故障设备进行故障排除，而且带外管理不受网络连通性的影响，保证用户在第一时间发

5、现问题、解决问题，以避免经济损失。通过部署本系统，网络管理员无论是在办公室，还是在异地出差，只需要在内外网防火墙上针对带外管理系统开放443（https）安全端口，网络管理员就可通过SSL128位加密或Modem拨号的方式，便捷、安全的登录到系统中的管理层设备上，与此同时管理层设备可以直接连接到接入层设备所控制的服务器和网络设备，对被管理的服务器或者网络设备进行BIOS或者Console级别的深层控制。原网络管理使带内管理方式，利用一些远程控制软件来控制服务器，或者直接使用telnet等方式管理远端网络设备。带内管理方式的弊端是：假如服务器本身与IP网络已经断开，带内的管理方式就无法实现了，而

6、且使用带内管理方式控制被管设备也无法实现操作系统的低层的BIOS级别控制，如：当服务器自身操作系统出现问题时，基于操作系统应用的远程控制软件根本就无法启动和远程维护。本带外管理系统针对现有网络，提出了BIOS级别带外管理控制的概念，弥补了传统单一带内网络管理控制方式的控制安全性和控制深度的不足。解决了现有带内网络管理方式不能基于底层管理控制的问题。通过部署本带外管理系统，在提高了网络维护人员工作效率的同时，也降低了IT运维成本，真正意义上为用户实现了“无人职守、人机分离”的管理方式，使信息中心的管理流程和管理水平得到进一步的提高。接入层设备接入层设备分为KVM和串口两种汇聚，分别接入并控制各种

7、服务器的鼠标键盘显示器信号和各种网络设备的Console口信号。信息中心的机房有20多台网络设备和200多台服务器。我们在重要服务器的本地端口使用一个分频器,可以把视频信号一分为二,一路供给KVM,另外一路传输到监控室大屏上,这样既可以KVM上进行操作,又不影响大屏上的观察.我们用一台DSX32控制交换机、路由器、防火墙等网络设备，用八台DKX2232来控制服务器。然后在网络中部署一台集中管控设备Command Center，对KX2和SX集中控制管理。最后把所有的DSX、DKX2和Command Center接入到TCP/IP网络中。管理层设备管理层对所有接入层设备进行统一认证和集中管理，可

8、实现统一的IP访问；统一的中文登录界面；用户权限分配、身份认证；以及详尽的系统和行为日志记录及报表审核功能。2.1.1.1接入层的实现针对服务器的接入层设备，对带有鼠标、键盘、显示器接口的设备进行本地和远程的BIOS级别控制。针对网络设备的接入层设备，对带有Console控制接口的网络设备进行本地和远程的Console级别的控制。针对服务器的接入层设备连接方式：通过专用的连接模块，将服务器的鼠标、键盘、显示器三路信号转换成一路接口信号，通过双绞线连接到针对服务器的接入层设备KX2上，进行数模转换，提供本地和远程的集中访问。 针对网络设备的接入层设备连接方式：将网络设备的Console口通过Co

9、nsole线直接连接到针对网络设备的接入层设备SX上，提供远程的集中访问。2.1.1.2管理层的实现用户不能直接连接各台接入层设备，必须通过登录管理层设备，经过严格的授权认证后，进入主操作界面，实现对被授权访问的服务器和网络设备进行操作。管理层设备可根据管理员的职能不同分级授权（如：可按所属部门分类、按系统类型分类、按机房位置分类等），并且可以根据管理员的复杂需求定制权限，为安全控制提供了保障。 系统支持本地认证和第三方认证。第三方认证服务器支持（如Radius、LDAP和TACACS）。安全审计服务器同样位于带外管理系统的管理层。所有通过管理层设备的访问控制行为和系统日志，都统一的记录在安全

10、日志审计服务器上。如登录时间、登录用户账号、登录IP地址以及用户运行的操作命令等关键信息。为用户日后的日志审计、分清责任人提供了有力保障。综合带外管理系统均经过128位的SSL加密技术进行加密传输。Dominion 数字系列的KX和SX产品对数据机房中被管理的服务器或网络设备进行汇聚，使用KVM/Console Over IP技术对信号进行转换传输。当数据中心的管理员需要在本地访问被管理设备时，可用Dominion系列设备自身提供的本地管理接口来进行操作。Dominion系列提供多种型号来满足用户不同的接口数量需求。三 带外管理系统解决方案的优势 特点及功能3.1方案优势 3.1.1易用性带外

11、管理系统支持多种语言类型（包括简体中文、繁体中文、英文、德文、法文、日文、韩文等），可根据用户操作系统语言类型，产生管理界面的相应语言类型，方便管理员操作。带外管理系统可以按管理员需求对被管理设备细致分类（如按所属部门、所属楼层、所属系统类型、所属管理员等），并且支持设备或端口的检索，方便管理员找到被管理设备；带外管理系统支持任务调度，使系统可以在夜间自动完成管理员定制的备份任务；带外管理系统支持服务器共享模式和协同通讯，使远程的多位管理员可以方便的同时操作一台被管理设备，并且可以实时通讯信息；带外管理系统图像支持无际缩放，方便管理员随时在任意大小的窗口实现被管理设备内容的全屏显示，并且在一个

12、窗口内可以同时显示多台目标设备的内容。鼠标支持智能自动同步，方便管理员快速准确定位。3.1.2安全性本方案具有强大安全性，方案分别从授权、认证、审计方面体现了带外管理系统的安全性。而且带外管理设备使用经过优化加固的Linux内核，双独立电源、双网络接口、镜像硬盘驱动器、以及Modem接口，管理层设备支持双机热备。所有传输数据均经过SSL128位加密。 确保带外管理系统的软硬件特点使其具有高水平的系统可靠性和传输的高可靠性。Authorization授权系统可以对设备的分类和授权，完全可做到客户化的自定义。集中验证与管控中心支持对所有被管理设备进行用户自定义的分类，并可根据用户自定义的分类方法进

13、行用户访问权限分配和按分类查看设备，可指定多种分类方法的应用顺序。Authentication认证系统支持本地及第三方验证方式，第三方认证包括（Radius、Ldap和Tacacs）。Audit审计系统提供审计功能要求，将所有系统日志和行为集中存放到日志服务器中。集中管理系统支持业界标准的SYSLOG和NFS协议，可将所有系统日志和行为上传到日志服务器，实现对日志的集中管理。3.2方案特点本方案具备五大特点：1、改善了网络管理人员的工作环境和日常维护中的管理手段，达到了无人机房管理。2、提高了网络运营中处理突发事件的速度。3、统一了IT基础设施的控制平台。4、完善网络管理中控制功能。5、规范了

14、日常操作流程。3.3.1 CCSG强大的集中管理功能利用 CCSG，可以集中访问通过 DKX2(针对服务器的接入设备)或DSX（针对网络设备的接入设备）连接的10000台 服务器或网络设备，从而对公司的服务器或网络设备进行完全控制。 Command Center 提供智能型管理门户，从而可以从一个 IP 地址监控、诊断和解决整个IT系统的问题。CCSG某种程度上可以实现资产管理的功能，对服务器或网络设备添加属性。每一台服务器或网络设备的属性如所属位置、系统类型、所属部门、所属管理员等，均可清晰的反映到CCSG上。并且可以按照属性特点，显示分级管理视图，进行管理。（CCSG管理界面视图）3.3.

15、2 用户权限管理功能授权系统可以对设备分类和授权，完全可做到客户化的自定义。集中验证与管控中心支持对所有被管理设备进行用户自定义的分类，并可根据用户自定义的分类方法进行用户访问权限分配，是受限制的用户只能查询某些服务器或网络设备。可指定多种分类方法的应用顺序。认证系统支持本地及外部多种验证方式，需要使用外部验证服务器时（如Radius、Ldap和Tacacs），可设定分级身份验证，当某种身份验证失败时，自动切换到下一种。CCSG权限设定还可根据时间作精确设置，限定管理员的管理时间，满足复杂的IT系统管理需求。3.3.3 日志管理审计功能集中控制系统CCSG拥有强大的日志记录功能，并且所有日志均

16、可生成详细报表。包括活动中的使用者 (Active Users) 报表、使用中的连接端口 (Active Ports) 报表、资产管理 (Asset Management) 报表、检查轨迹 (Audit Trail) 报表、错误日志 (Error Log) 报表、侦测报告 (Ping Report)、访问的设备 (Accessed Devices) 报表、群组数据报表、查询连接端口 (Query Port) 报表。集中控制系统CCSG将所有系统日志集中存放到日志服务器中。集中管理系统应支持业界标准的SYSLOG协议，可将所有系统日志上传到日志服务器，实现对日志的整合管理。（CCSG管理日志审计

17、界面视图）3.3.4 KX设备对服务器的深层控制功能KX多平台、多用户数字矩阵式KVM切换设备是一种企业级数字KVM切换系统。集智能化、模块化、可扩充性于一体。每一台KX可使1位、2位、4位管理员通过IP同时管理16/32台主机，也可通过本地控制台，达到同时完全且无阻碍的访问控制。KX系统使用标准的TCP/IP协议进行数据传输，通过SSL128位加密机制对鼠标、键盘、显示器三路信号进行加密。同时拥有强大的用户认证功能。集中式验证LDAP / RADIUS / Active Directory。Dominion KX对数据中心服务器及其他设备提供独立的管理通道。确保在服务器与网络中断时仍能进行管

18、理操作。KX系统可随时根据用户的需求增加或删减服务器，而不会影响到整个系统的正常运行。用户可根据每一台服务器的功能或其他特性而为其命名，使切换的操作更为简单。可使IP用户终端实现全球远程访问，具备网络接口冗余，保证Dominion KX网络正常通信。系统内每台Dominion KX设备独立工作，当某一台Dominion KX出现故障，不影响整个系统工作，只需替换上备份设备即可。KeepAlive功能：如果Dominion KX设备掉电或出现故障，CIM模块仍能保证服务器鼠标，键盘，显示器处于激活状态，换上备份Dominion KX设备后只需连上线缆，即可重新管理服务器，而不影响服务器的正常工作

19、。（DKX管理远端服务器界面视图）3.3.5 SX设备对网络设备的深层控制功能可以集中访问任何支持RS232串口通信协议的目标设备。提供访问控制窗口（VT100仿真终端），允许任何一个使用者通过支持这项功能的网络浏览器在世界的任何地方对目标设备管理。系统管理员可以通过远程个人计算机对设备做故障诊断、解决及修复，降低修复时间（MTTR），同时也省却了亲自到数据中心维护的必要。DominionSX的协作管理性能，SecureChat可以提供类似于MSN的远程通讯工具，多用户可同时共享一个网络设备，协同操作。减少了修复时间，同时也提供了一个安全沟通与协同处理问题的平台。DominionSX提供管理者

20、经由Internet单点远程管理和访问网络设备，为了最大程度的保障安全性，DominionSX使用128-bit SSL加密技术和功能强大的密码验证，可设定以基于每个使用者的接口级访问权限、多级访问（管理者、操作者和浏览者）。DominionSX提供集中化的RADIUS、LDAP和TACACS+协议授权、验证以及帐户管理。内置端口缓存器，提供最近操作的历史记录浏览。DominionSX能让IT管理人员通过TCL描述语言，撰写和执行监视与通报的语言程序动态监视目标设备，并在状态发生变化时通报IT管理人员，从根本上保障系统连续运行。支持NFS，用户的会话记录功能，可以记录某一用户的登录和登出时间和

21、登录进去的具体操作内容，支持syslog，支持SNMP。3.3.7 使用设备自带的modem实现远程访问管理功能CCSG、KX、SX设备上都设有内置或者外置Modem，使用设备本身的Modem在主线路中断的情况下，进行纯Modem带外的远程登录功能。附录（二） 方案产品介绍 1、企业级Command Center SG集中远程管理门户介绍当您肩负企业多个数据中心营运的重任，管理多个分支机构，并且使用多台KVM设备，和多人管理得时候您需要一个集中管理所有远程地点设备的方案。Raritan的CommandCenter提供IT专业人员一个完整的、以硬件为基础的、集中式访问及管理解决方案，经由简单但安

22、全、一致的浏览器界面，轻易地访问任何地方服务器。利用 Raritan 的 Command Center，可以集中访问通过 Raritan 的 KVM 切换器或串口控制台产品连接的成百或成千台 IT 设备，从而对公司进行完全控制。 Command Center 提供智能型集中式网关，对多个本地或远程数据中心集中进行访问，从而可以从一个 IP 地址监控、诊断和解决整个网络上的问题。Command Center 备有内置诊断程序，提供有关所有访问设备可用性的状态报告，包括系统健康状况最新情况与警报。Command Center特点Command Center 结合了强大的事件管理功能与全部活动记录、

23、用户定义的状态监控、警报、审计跟踪和追踪能力，采用了多层安全性和对最常见认证协议（包括 RADIUS、Active Directory、LDAP(S) 和 TACACS+）的支持。Command Center冗余连接Command Center的两个网口分别连接在两台网络交换机上提高链路和端口的冗余，同样Command Center的双电源也连接到两路供电线路上实现供电的冗余。高可用性 使用双以太网、镜像的硬盘驱动器和双独立电源，可确保网络稳定运行 冗余电源在出现电源故障时提供故障切换保护 冗余 NIC 作为备份网卡，在网卡出故障时提供保护 支持双Command Center地理位置一级的热备

24、份，保障集中远程管理系统正常运行安全性 SSL 128 位 RSA 公用密钥、128 位私有密钥加密；集中的安全策略、访问权限、权限以及用户定义的视图；通过 SSL 或 SSH 访问，所有这一切都提供了最高级别的网络安全 第三方身份验证支持包括 Active Directory (AD)、I Planet、eDirectory、RADIUS 和 TACACS+，利用现有技术加强安全性 加强防护的 LINUX 操作系统 (OS) - 带防黑客架构的基于内核的 OS 可以防止非法访问 可扩充性 可与 Raritan 的 Dominion KX、SX和KSX，PAROGON等所有用户级的产品兼容，从

25、而形成了一个管理所有关键设备的单一网络，可伸缩、效率高，而且经济划算 定制脚本功能简化了批量操作，如设备配置、备份和用户设置等 易用性 1U 外形节省空间，高效利用机架空间 利用内置应用小程序支持，可通过 GUI 界面控制 Raritan 远程电源模块 通过 VPN、Internet 或 Intranet 利用单一登录和单一 IP 地址灵活快速地进行访问，简化了管理多个 IP 地址的复杂性 基于 GUI 的系统设置简化了通过直观屏幕和在线帮助的设置过程 全面的事件管理、记录、报告和审计跟踪既减轻了管理压力，又可以集中管理 支持SNMP可以整合到网管系统中 支持直联模式和代理模式为用户提供了多种

26、访问方式的选择 批量脚本功能可用于集中管理 Command Center 网络、计算机接口模块 (CIM) 和其它 Raritan 设备上的软件代码维护工作。 多种查看过滤器功能强大，可以按类型、操作以及登录对所有用户进行过滤，结果显示在一个重要的“快照”中，说明谁在网上、什么时候、在干什么。 高级报告功能就活动用户、访问的设备、活动端口、资产管理、审计跟踪、错误日志、固件报告和 ping 报告提供了有价值的管理报告用于访问受管目标的代理和参考演示选项能够以简单的树形结构非常灵活地演示 Dominion 设备、端口、用户及端口显示。 Command Center内置国际化语言界面，支持全中文界

27、面管理（简体和繁体），支持八种语言界面2、Dominion KX系列产品介绍Dominion KX 系列架构Dominion KX 由两大组件组成：数字式 KVM 切换器与计算机接口模块 (CIM)。 每一个 CIM 都连接到每一台服务器的 KVM 端口，而且会转换视频信号，以便通过 UTP (Cat5/5e/6) 线缆传输。此外，CIM 也会提供不中断的键盘与鼠标仿真。Dominion KX 切换器会连接到各个 CIM，并且提供远程访问的 KVM-over-IP 功能，加上同时的本地访问功能，通过本地访问连接端口从机架上控制服务器。远程使用者可以通过标准的网络浏览器，从任何连上网络的工作站/

28、PC轻松访问 Dominion KX，也可以通过调制解调器访问。Dominion KX 是真正的数据中心级设备，本身内置您所需要的所有功能：128 位加密、远程电源控制、双重故障自动切换以太网络口，加上 LDAP、RADIUS 以及 Active Directory 整合。KX连接拓扑：DominionKX切换主机Raritan的Dominion KX多平台、多用户数字矩阵式KVM切换设备是一种企业级数字KVM切换系统。集智能化、模块化、可扩充性于一体。每一台KX可使1位、2位、4位管理员通过IP同时管理16/32台主机，也可通过本地控制台，达到同时完全且无阻碍的访问控制。KX系统使用标准的T

29、CP/IP协议进行数据传输，同时拥有强大的用户认证以及数据加密。因此可以实现远程和本地灵活的服务器控制。 针对所有传输信号(包括键盘、鼠标、视频)坚若磐石的 SSL RSA 公钥、128 bit私钥加密 可以通过LDAP、RADIUS 或Active Directory 验证，或是采用Dominion KX内部使用者帐号与密码验证 Dominion KX 提供许多额外的安全功能如加强的密码验证、ACL(Access Control List)验证、inactivity timers 、private device keys或群组权限设定等 双网卡冗余设计，保证系统稳定工作 只需要一个使用唯一的

30、TCP/IP通信端口，并且可以用户制定义端口，可维护严密的防火墙设定 通过外部Modem接口，支持 Modem拨入，保证网络不通状态下的应急维护 设定带宽占用功能，在低带宽环境，即使是通过modem访问，也能运作自如 近端使用者可完全与远端使用者同时访问 本机使用者接口，可在机柜访问PS/2及USB键盘、鼠标接口（目前唯一支持USB鼠标的厂家）DominionKX 接口模块CIM内置发送器，一端直接连接每台电脑，另一端通过五类双绞线输出到KX系列切换器服务器端口。并且内置检测程序，可以自动检测所连接服务器的信号类型，其信号仿真技术可以模拟服务器正常运行所需要的键盘、鼠标信号。当KX设备意外掉电

31、或5类双绞线脱落的情况下，此项技术确保服务器仍然正常运行，从而维护了服务器运行的稳定性和数据的安全性。CIM有多种规格可选，以适应不同种类的机型，实现多平台兼容操作。Dominion KX系列产品不需要在客户端安装任何软件，除非你自己喜欢安装（提供免费的RRC软件），客户端直接使用PC自带的网页浏览器（支持Firefox, Mozilla,Netscape,Safari,IE等）就可以实现访问管理工作。真正做到客户端免维护。 随插即用的设备：免安装、直接使用浏览器 通过网页浏览器访问及管理：通过网页浏览器可执行全部功能，包括配置、软件升级等 直观的图形使用者介面 (GUI) 与Raritan的

32、Dominion Series整合，包括CommandCenter 鼠标可以完全同步，也可以实现单双鼠标两种使用方式。 支持虚拟媒介,可以从远程给服务器上传文件等等. 支持目标服务器分辨率1600X1200X75HZ. 全部KVM信号都经过128-bit加密,不只是键盘与鼠标信号，还包括视频信号 支持LDAP, RADIUS等外部验证, 或内部验证 作为一款企业级的KVM系统，我们KX固化了一套管理软件，这套软件为图形化界面，保证了良好的人机交流性能。软件通过网络与KX连接，拥有用户管理、系统升级、系统管理等等强大的功能。DominonKX 优势Dominion KX系列产品是目前RARITAN公司数字KVM产品线中的最高端产