【文章內(nèi)容簡介】 括 操作授權(quán)管理機(jī)制 ； 安全日志記錄和審計(jì) ；系統(tǒng)物理 設(shè)備的安全 ； 傳輸維護(hù)管理信息的安全。 基于以上的需求， 因此， 我們采用了美國機(jī)房管理控制的專業(yè)制造商力登（ Raritan）公司的 KVM 機(jī)房集中遠(yuǎn)程管理系統(tǒng) ， 將企業(yè) IT 系統(tǒng)內(nèi)設(shè)備的一對(duì)一進(jìn)行的設(shè)備維護(hù)管理工作延伸到機(jī)房外的任何一處，提高工作效率和物理設(shè)備的安全性，實(shí)現(xiàn)無人機(jī)房管理。 服務(wù)器機(jī)房主機(jī)集中遠(yuǎn)程管理系統(tǒng)方案建議書 8 第二章 某金融機(jī)構(gòu) 集中遠(yuǎn)程 控管系統(tǒng)方案 、 集中 遠(yuǎn)程監(jiān)控 管理 的具體需求 、現(xiàn)狀和背景 前置機(jī)房大約有 224 臺(tái)服務(wù)器左右 ， 主機(jī)房大約 32 臺(tái)服務(wù)器左右，網(wǎng)絡(luò)機(jī)房大約 128臺(tái)網(wǎng)絡(luò)串口設(shè)備。 現(xiàn)階段， 目前 服務(wù)器運(yùn)行管理仍采用 輔助軟件點(diǎn)對(duì)點(diǎn)的遠(yuǎn)程管理 這種 分散的、逐個(gè)的管理和維護(hù)的方式 ，有安全隱患以及管理不便 。 、管理方式需求 1) 建立集中管理中心，在監(jiān)控室對(duì)服務(wù)器機(jī)房內(nèi)的設(shè)備做遠(yuǎn)程集中管理。 2) 對(duì) 集中的權(quán)限管理。對(duì)每一位技術(shù)人員，依據(jù)其職責(zé)和工作內(nèi)容，授以操控權(quán)限。通過日志管理功能，實(shí)現(xiàn)操控的可追溯性。 3) KVM 系統(tǒng) 需要 基于 IP 的遠(yuǎn)程操控機(jī)制，在 局域網(wǎng)內(nèi) ，實(shí)現(xiàn)安全的遠(yuǎn)程操控 ，并且支持遠(yuǎn)程網(wǎng)絡(luò)數(shù)據(jù)傳輸功能 。 4) 實(shí)現(xiàn)設(shè)備區(qū)、操作區(qū)、辦公區(qū)的有效分離，實(shí)現(xiàn)無人值守機(jī)房的有效維護(hù)。 5) 建立有效的安全機(jī)制和應(yīng)急機(jī)制，實(shí)現(xiàn)安全管理。 、集中遠(yuǎn)程管理方案設(shè)計(jì) 、系統(tǒng)方案拓?fù)鋱D 服務(wù)器機(jī)房主機(jī)集中遠(yuǎn)程管理系統(tǒng)方案建議書 9 、系統(tǒng)結(jié)構(gòu)描述 解決 方案 中 從設(shè)計(jì)上分為兩層結(jié)構(gòu)，分別為接入層和管理層。接入層位于 前置 機(jī)房 、主機(jī)房和網(wǎng)絡(luò)機(jī)房 ，實(shí)現(xiàn)被管理設(shè)備的接入和匯聚，管理層實(shí)現(xiàn)對(duì)機(jī)房 內(nèi) 設(shè)備的集中管理。 接入層 使用 DKX2232 數(shù)字系列的產(chǎn)品 對(duì)機(jī)房中的被管理 服務(wù)器 進(jìn)行匯聚， 使用 UTP5類線 和相應(yīng)的 DCIM模塊（不同的服務(wù)器接口需要配備不同的 DCIM模塊） 從被管理設(shè)備的I/O口 （ KVM口） 連接到 DKX2232的端口上 ，由 DKX2232 使用 Over IP 技術(shù)將模擬信號(hào)轉(zhuǎn)換成 IP數(shù)據(jù)包并連接到 局域 網(wǎng) 內(nèi) ，可從遠(yuǎn)程 控制室 對(duì)被管設(shè)備進(jìn)行管理。 DKX2232除了遠(yuǎn)程訪問以外，還有一個(gè)本地口，特殊情況用戶還可以直接在 DKX2232的本地口上進(jìn)行操作，其通道與遠(yuǎn)程的通道是相互獨(dú)立的，此方案采用 東碩（ Goodway） KS700 三合一 LCD KVM 一體機(jī)接在 KX2的本地端。網(wǎng)絡(luò)機(jī)房內(nèi) 的 RS232設(shè)備的 RS232連接到 Dominion SX32中管控，Dominion SX32 也接入到局域網(wǎng)內(nèi) 。 對(duì)于有權(quán)限的用戶，還可遠(yuǎn)程對(duì)目標(biāo)服務(wù)器進(jìn)行數(shù)據(jù)傳輸，安裝軟件和補(bǔ)丁。 其中隔離區(qū)域的服務(wù)器設(shè)備和 RS232 設(shè)備分別連接到 隔離 的 DKX2232 和 Dominion SX32，與其他 KVM主機(jī)互相隔離，真正實(shí)現(xiàn)生產(chǎn)區(qū)和隔離區(qū)的獨(dú)立運(yùn)行。 管理層 使用 兩 臺(tái) 集中管理平臺(tái) CommandCenter 設(shè)備 均連接到 局域 網(wǎng)絡(luò) ，分別對(duì)生產(chǎn)區(qū)的KVM 主機(jī)和隔離區(qū)的 KVM 主機(jī)進(jìn)行集中管理，用 來集中管理接入層中的各臺(tái) DKX2232 和Dominion SX32 系列產(chǎn)品 及所連接的服務(wù)器 。 用戶只要登陸 集中管理平臺(tái) 即可通過整合的界面訪問 機(jī)相應(yīng)區(qū)域的 所有設(shè)備，而不用考慮被管理設(shè)備是連接在哪臺(tái) DKX2232 或者 Dominion SX32 上。當(dāng)安裝了 集中管理平臺(tái) 后，使用者不能直接連接 DKX2232而需要訪問 集中管理平臺(tái) 通過統(tǒng)一的界面進(jìn)行集中的身份驗(yàn)證和權(quán)限分配后才能訪問各臺(tái)被管理設(shè)備。 、系統(tǒng)方案說明 1) CommandCenter 作為集中認(rèn)證管理平臺(tái)來統(tǒng)一管理 各個(gè) 機(jī)房 DKX2232 和Dominion SX32 產(chǎn)品 ；您只 要以一個(gè) IP 登錄 集中管理平臺(tái) 即可管理 所有 KVM 設(shè)備以及服務(wù)器和串口設(shè)備 ； 服務(wù)器機(jī)房主機(jī)集中遠(yuǎn)程管理系統(tǒng)方案建議書 10 2) 本解決方案選用 多 臺(tái) DKX2232 產(chǎn)品 ，其 單臺(tái) 管理服務(wù)器的數(shù)量多達(dá) 32 臺(tái)；每臺(tái)滿足 2 個(gè)數(shù)字遠(yuǎn)程和一個(gè)本地用戶無阻塞的訪問和控制連接本臺(tái)設(shè)備的服務(wù)器 。業(yè)內(nèi)唯一的單臺(tái) KVM 具備雙電源、雙千兆以太網(wǎng)口高冗余的設(shè)備。 3) 集中管理平臺(tái) 作為驗(yàn)證中心，通過提供統(tǒng)一的友好的全中文化操作介面，經(jīng)由一個(gè)IP 地址，服務(wù)器管理人員就可以非常容易的對(duì)服務(wù)器和其他網(wǎng)絡(luò)設(shè)備進(jìn)行訪問、監(jiān)視、故障診斷和解決等操作。 4) 由 集中管理平臺(tái) 提供統(tǒng)一的訪問控制列表（ ACL）和支持例 如 LDAP、 LDAPS、 Active Directory、 RADIUS、和 TACACS+等的企業(yè)級(jí)認(rèn)證、授權(quán)以及帳戶管理等協(xié)議，使管理更加簡單的同時(shí)，更能讓 集中管理平臺(tái) 容易地集成到已經(jīng)存在的認(rèn)證體系中。 5) 各個(gè) 機(jī)房的所有主機(jī)設(shè)備被集中管理在一個(gè)平臺(tái)上； 在控制室的 操作人員 只要 連接網(wǎng)絡(luò) 并且 知道一個(gè) 集中管理平臺(tái) 的地址，就可以訪問整個(gè) KVM 系統(tǒng)內(nèi)的每個(gè)設(shè)備。 6) 集中管理平臺(tái) 均采用冗余配置，雙電源、雙硬盤熱備、雙網(wǎng)卡等，確保 集中管理平臺(tái) 的運(yùn)行穩(wěn)定 。 7) 管理員對(duì)系統(tǒng)設(shè)備的操作（不論遠(yuǎn)程還是本地方式訪問）都可以被系統(tǒng)日志充分 記錄下來，以方便事后監(jiān)督，并支持 Syslog 功能。 8) 產(chǎn)品具有多重嚴(yán)格的安全認(rèn)證機(jī)制，所有數(shù)據(jù)（圖象、鍵盤、鼠標(biāo)等）都經(jīng)過 AES和 RC4 的 128 位的 SSL 加密，保證用戶的信息安全；同時(shí)支持最完善的企業(yè)認(rèn)證系統(tǒng)及內(nèi)部認(rèn)證機(jī)制，能夠提供給網(wǎng)絡(luò)用戶最大的安全性 ； 9) 所有產(chǎn)品均支持符合國際標(biāo)準(zhǔn)的薩班斯法案的強(qiáng)制密碼保護(hù)機(jī)制，對(duì)于密碼安全性強(qiáng)制復(fù)雜的密碼策略。 10) 集中管理平臺(tái)能上傳企業(yè)徽標(biāo)，操作人員登陸系統(tǒng)能看到自己公司的 Logo，增加企業(yè)文化氛圍。 11) 服務(wù)器 主機(jī)與 KVM系統(tǒng)之間通過 CIM主機(jī)接口模塊，用五類雙絞線連接（ T568B）。根據(jù)不同的類型的主機(jī)而采用不同的 CIM 模塊，以達(dá)到完美匹配，可以支持 PC、PC SERVER、 SUN、 USB SERVER、 CONSOLE SERVER 等； 12) DKX2232 本地端與遠(yuǎn)程的操作界面相同，管理人員無須了解兩種操作方式。并且本地與遠(yuǎn)程的最大分辨率均支持 1600X1200，服務(wù)器到 DKX2232 的 五類雙絞線連接 最長距離也能達(dá)到業(yè)界唯一 45 米的距離。 13) 業(yè)界唯一的鼠標(biāo)同步功能，無須改變目標(biāo)服務(wù)器的鼠標(biāo)屬性，即可做到目標(biāo)服務(wù)器與遠(yuǎn)程操作 PC 的鼠標(biāo)同步。 14) Dominion SX32 上的每個(gè) RS232 訪問均支持 10000 行的緩存，對(duì)每個(gè)端口 I/O 操作均可通過 NFS 的 SERVER 進(jìn)行日志存儲(chǔ)，并且日志文件帶有 RC4 的加密。 15) 以上所有的設(shè)備和被管理服務(wù)器系統(tǒng)無關(guān)，不需要安裝專用軟件及外部專用服務(wù)器，通過在普通 PC中以網(wǎng)頁瀏覽器訪問及管理，可執(zhí)行全部功能，包括配置、軟件升級(jí)等； 16) 對(duì)于目標(biāo)服務(wù)器，在控制室有權(quán)限的用戶可以做數(shù)據(jù)傳輸，方便得給目標(biāo)服務(wù)器安裝軟件和打一些補(bǔ)丁。 服務(wù)器機(jī)房主機(jī)集中遠(yuǎn)程管理系統(tǒng)方案建議書 11 、系統(tǒng)方案 設(shè)備配置清單 型 號(hào) 品 牌 產(chǎn)品描述 數(shù)量 CommandCenter 美國 RARITAN 集中管理控制器， 支持集中管理多達(dá) 10000 臺(tái)的 IT 設(shè)備，支持將數(shù)字產(chǎn)品和模擬產(chǎn)品方案的統(tǒng)一整合，國際化語言版本支持包括簡體中文界面 ,雙電源 ,雙網(wǎng)口 ,雙磁盤鏡像 ,內(nèi)置 Modem,支持雙機(jī)冗余，支持 SSL/SSH， SNMP， ACL， SYSLOG，支持 RADIUS，LDAP(S)， ActiveDirectory， TACACS+的外部驗(yàn)證服務(wù)器和多個(gè)服務(wù)器的 Fail Over。 2 DKX2232 美國 RARITAN 數(shù)字 式 (KVM over IP)切換器，單臺(tái)支持 2 遠(yuǎn)程、 1 本地用戶， 32 個(gè)接口 ， 帶 VM 功能 ，冗余電源，冗余網(wǎng)卡 外置 Modem 備份 。 8 Dominon SX32 美國 RARITAN 數(shù)字 式 Console 設(shè)備管理，單臺(tái)支持多達(dá) 320 用戶 （每端口 10 用戶）通道和 32 個(gè)設(shè)備通道 ， 內(nèi) 置 Modem 備份 ，雙電源冗余。 4 DCIM 美國 RARITAN 服務(wù)器接口線纜 VGA,PS2 or USB 256 KS700 Good way 東碩 三合一 LCD KVM 控制平臺(tái) ， 17 寸 8 服務(wù)器機(jī)房主機(jī)集中遠(yuǎn)程管理系統(tǒng)方案建議書 12 第三章 方案的特色和優(yōu)勢(shì) 、方案的可靠性 本方案設(shè)計(jì)采用的是集帶內(nèi)帶外管理優(yōu)點(diǎn)于一身的全冗余設(shè)計(jì)方案，保證 了系統(tǒng)運(yùn)行的可靠性，具體體現(xiàn)在以下幾個(gè)方面： 、 系統(tǒng)產(chǎn)品的全冗余硬件體系結(jié)構(gòu) 網(wǎng)絡(luò)機(jī)房 配備的 集中管理平臺(tái) 產(chǎn)品 CommandCenter 具備雙電源，雙網(wǎng)絡(luò)接口和雙磁盤鏡像可靠架構(gòu)，同時(shí)還有 Modem 備份口，以預(yù)防 IP 網(wǎng)絡(luò)中斷的訪問。 機(jī)房 的 DKX2， 雙電源、 雙 千兆 網(wǎng)絡(luò)接口和 Modem 備份口的冗余設(shè)計(jì)，保證單點(diǎn)設(shè)備的自身可靠性。 、 系統(tǒng)的鏈路冗余 對(duì)管理設(shè)備的訪問有三條鏈路： ； PSTN 電話鏈路訪問（ 的低速率鏈路支持，通過配備遠(yuǎn)程訪問服 務(wù)器支持多個(gè)并發(fā)用戶的直接撥入訪問 )和 寬帶網(wǎng)絡(luò)訪問，實(shí)現(xiàn)了系統(tǒng)鏈路的可訪問性。 、 整個(gè)系統(tǒng)平臺(tái)的獨(dú)立性和可靠性 系統(tǒng)的產(chǎn)品內(nèi)核采用定制的 LINUX 內(nèi)核體系設(shè)計(jì)，不依賴任何 Windows 平臺(tái)或Windows 平臺(tái)的服務(wù)器，無病毒 ,補(bǔ)丁的額外風(fēng)險(xiǎn)的困擾。 、 沒有單點(diǎn)故障影響 系統(tǒng)模塊化結(jié)構(gòu)設(shè)計(jì)，保證單點(diǎn)故障的對(duì)整個(gè)系統(tǒng)影響的最低，系統(tǒng)中的設(shè)備連接互為獨(dú)立，系統(tǒng)的單點(diǎn)故障不影響整個(gè)系統(tǒng)運(yùn)行， 機(jī)房 的 某個(gè) DKX2232 如果出了故障也只 能影響到本地的操作， 網(wǎng)絡(luò)機(jī)房 的 集中管理平臺(tái) 即使不能 工作， 操作人員可以臨時(shí)直接訪問DKX2232 產(chǎn)品來維護(hù)設(shè)備， 也不會(huì)影響到對(duì)管理設(shè)備的訪問。 、方案的 安全 性 、 用戶驗(yàn)證的安全性 系統(tǒng)中的所有設(shè)備都支持用戶安全的內(nèi)部驗(yàn)證，當(dāng)使用內(nèi)部驗(yàn)證時(shí)不需要安裝任何的外部驗(yàn)證服務(wù)器；同時(shí)系統(tǒng)也支持外部驗(yàn)證服務(wù)器，當(dāng)選用外部驗(yàn)證系統(tǒng)時(shí)可以支持業(yè)界通用的標(biāo)準(zhǔn)的驗(yàn)證服務(wù)器： RADIUS,LDAP(S)/Active Directory, TACACS+。 系統(tǒng)支持多級(jí)安全驗(yàn)證 ,驗(yàn)證故障自動(dòng)轉(zhuǎn)移功能，即系統(tǒng)可以安裝多臺(tái)不同類型的驗(yàn)證服務(wù)器，指定驗(yàn)證的優(yōu)先順序 ，當(dāng)?shù)谝慌_(tái)驗(yàn)證服務(wù)器不可用，系統(tǒng)自動(dòng)轉(zhuǎn)向第二臺(tái)。依次服務(wù)器機(jī)房主機(jī)集中遠(yuǎn)程管理系統(tǒng)方案建議書 13 類推直到正常驗(yàn)證完成。 系統(tǒng)支持用戶的精細(xì)化分權(quán)管理功能，可以對(duì)系統(tǒng)中的設(shè)備 集中管理平臺(tái) ， DKX2232分權(quán)管理 ,對(duì)目標(biāo)設(shè)備分權(quán)管理。 、 系統(tǒng)設(shè)備的安全性 系統(tǒng)中的設(shè)備支持支持 ACL 和 ACL 與用戶組的綁定功能，支持標(biāo)準(zhǔn)的 SYSLOG 可以將 log 統(tǒng)一的輸出到 Syslog 服務(wù)器上，可將用戶的登入登出時(shí)間、和用戶在設(shè)備上的任何操作進(jìn)行記錄 ,可統(tǒng)一輸出日志和報(bào)表。 系統(tǒng)中的設(shè)備可以設(shè)計(jì)為私網(wǎng)地址通過 NAT 來提高系統(tǒng)的安全性。 、 系 統(tǒng)操作的時(shí)的數(shù)據(jù)流安全 系統(tǒng)操作時(shí)采用的是 VPN 級(jí)別的數(shù)據(jù)安全 :128Bit AES、 RC4 的 SSL 加密，所有信號(hào) :包括鍵盤 ,鼠標(biāo)和視頻信號(hào)全部 128 位加密，保障系統(tǒng)數(shù)據(jù)流的傳輸安全。 、方案的可管理性 、 系統(tǒng)強(qiáng)大的集中管理功能 ：按設(shè)備的位置、按設(shè)備的平臺(tái)、按設(shè)備的供應(yīng)商等等來分類； ； ； ：實(shí)現(xiàn)時(shí)間管理。 、 系統(tǒng)支持 SNMP 協(xié)議 可以利用 現(xiàn)有的通用網(wǎng)管平臺(tái)如 :HP OpenView, IBM Tivoli 等，對(duì)系統(tǒng)的狀態(tài)進(jìn)行監(jiān)控，實(shí)現(xiàn)網(wǎng)絡(luò)層面的可管理性。 、 眾多報(bào)告生成管理 系統(tǒng)支持眾多的報(bào)告記錄，如 :資產(chǎn)管理、