力登_服务器机房kvm解决方案(编辑修改稿)

力登_服务器机房kvm解决方案(编辑修改稿)内容摘要：

括 操作授权管理机制 ； 安全日志记录和审计 ；系统物理 设备的安全 ； 传输维护管理信息的安全。 基于以上的需求， 因此， 我们采用了美国机房管理控制的专业制造商力登（ Raritan）公司的 KVM 机房集中远程管理系统 ， 将企业 IT 系统内设备的一对一进行的设备维护管理工作延伸到机房外的任何一处，提高工作效率和物理设备的安全性，实现无人机房管理。 服务器机房主机集中远程管理系统方案建议书 8 第二章 某金融机构 集中远程 控管系统方案 、 集中 远程监控 管理 的具体需求 、现状和背景 前置机房大约有 224 台服务器左右 ， 主机房大约 32 台服务器左右，网络机房大约 128台网络串口设备。 现阶段， 目前 服务器运行管理仍采用 辅助软件点对点的远程管理 这种 分散的、逐个的管理和维护的方式 ，有安全隐患以及管理不便。 、管理方式需求 1) 建立集中管理中心，在监控室对服务器机房内的设备做远程集中管理。 2) 对 集中的权限管理。 对每一位技术人员，依据其职责和工作内容，授以操控权限。 通过日志管理功能，实现操控的可追溯性。 3) KVM 系统 需要 基于 IP 的远程操控机制，在 局域网内 ，实现安全的远程操控 ，并且支持远程网络数据传输功能。 4) 实现设备区、操作区、办公区的有效分离，实现无人值守机房的有效维护。 5) 建立有效的安全机制和应急机制，实现安全管理。 、集中远程管理方案设计 、系统方案拓扑图 服务器机房主机集中远程管理系统方案建议书 9 、系统结构描述 解决 方案 中 从设计上分为两层结构，分别为接入层和管理层。 接入层位于 前置 机房 、主机房和网络机房 ，实现被管理设备的接入和汇聚，管理层实现对机房 内 设备的集中管理。 接入层 使用 DKX2232 数字系列的产品 对机房中的被管理 服务器 进行汇聚， 使用 UTP5类线 和相应的 DCIM模块（不同的服务器接口需要配备不同的 DCIM模块） 从被管理设备的I/O口 （ KVM口） 连接到 DKX2232的端口上 ，由 DKX2232 使用 Over IP 技术将模拟信号转换成 IP数据包并连接到 局域 网 内 ，可从远程 控制室 对被管设备进行管理。 DKX2232除了远程访问以外，还有一个本地口，特殊情况用户还可以直接在 DKX2232的本地口上进行操作，其通道与远程的通道是相互独立的，此方案采用 东硕（ Goodway） KS700 三合一 LCD KVM 一体机接在 KX2的本地端。 网络机房内 的 RS232设备的 RS232连接到 Dominion SX32中管控，Dominion SX32 也接入到局域网内。 对于有权限的用户，还可远程对目标服务器进行数据传输，安装软件和补丁。 其中隔离区域的服务器设备和 RS232 设备分别连接到 隔离 的 DKX2232 和 Dominion SX32，与其他 KVM主机互相隔离，真正实现生产区和隔离区的独立运行。 管理层 使用 两 台 集中管理平台 CommandCenter 设备 均连接到 局域 网络 ，分别对生产区的KVM 主机和隔离区的 KVM 主机进行集中管理，用 来集中管理接入层中的各台 DKX2232 和Dominion SX32 系列产品 及所连接的服务器。 用户只要登陆 集中管理平台 即可通过整合的界面访问 机相应区域的 所有设备，而不用考虑被管理设备是连接在哪台 DKX2232 或者 Dominion SX32 上。 当安装了 集中管理平台 后，使用者不能直接连接 DKX2232而需要访问 集中管理平台 通过统一的界面进行集中的身份验证和权限分配后才能访问各台被管理设备。 、系统方案说明 1) CommandCenter 作为集中认证管理平台来统一管理 各个 机房 DKX2232 和Dominion SX32 产品 ；您只 要以一个 IP 登录 集中管理平台 即可管理 所有 KVM 设备以及服务器和串口设备 ； 服务器机房主机集中远程管理系统方案建议书 10 2) 本解决方案选用 多 台 DKX2232 产品 ，其 单台 管理服务器的数量多达 32 台；每台满足 2 个数字远程和一个本地用户无阻塞的访问和控制连接本台设备的服务器。 业内唯一的单台 KVM 具备双电源、双千兆以太网口高冗余的设备。 3) 集中管理平台 作为验证中心，通过提供统一的友好的全中文化操作介面，经由一个IP 地址，服务器管理人员就可以非常容易的对服务器和其他网络设备进行访问、监视、故障诊断和解决等操作。 4) 由 集中管理平台 提供统一的访问控制列表（ ACL）和支持例 如 LDAP、 LDAPS、 Active Directory、 RADIUS、和 TACACS+等的企业级认证、授权以及帐户管理等协议，使管理更加简单的同时，更能让 集中管理平台 容易地集成到已经存在的认证体系中。 5) 各个 机房的所有主机设备被集中管理在一个平台上； 在控制室的 操作人员 只要 连接网络 并且 知道一个 集中管理平台 的地址，就可以访问整个 KVM 系统内的每个设备。 6) 集中管理平台 均采用冗余配置，双电源、双硬盘热备、双网卡等，确保 集中管理平台 的运行稳定。 7) 管理员对系统设备的操作（不论远程还是本地方式访问）都可以被系统日志充分 记录下来，以方便事后监督，并支持 Syslog 功能。 8) 产品具有多重严格的安全认证机制，所有数据（图象、键盘、鼠标等）都经过 AES和 RC4 的 128 位的 SSL 加密，保证用户的信息安全；同时支持最完善的企业认证系统及内部认证机制，能够提供给网络用户最大的安全性 ； 9) 所有产品均支持符合国际标准的萨班斯法案的强制密码保护机制，对于密码安全性强制复杂的密码策略。 10) 集中管理平台能上传企业徽标，操作人员登陆系统能看到自己公司的 Logo，增加企业文化氛围。 11) 服务器 主机与 KVM系统之间通过 CIM主机接口模块，用五类双绞线连接（ T568B）。 根据不同的类型的主机而采用不同的 CIM 模块，以达到完美匹配，可以支持 PC、PC SERVER、 SUN、 USB SERVER、 CONSOLE SERVER 等； 12) DKX2232 本地端与远程的操作界面相同，管理人员无须了解两种操作方式。 并且本地与远程的最大分辨率均支持 1600X1200，服务器到 DKX2232 的 五类双绞线连接 最长距离也能达到业界唯一 45 米的距离。 13) 业界唯一的鼠标同步功能，无须改变目标服务器的鼠标属性，即可做到目标服务器与远程操作 PC 的鼠标同步。 14) Dominion SX32 上的每个 RS232 访问均支持 10000 行的缓存，对每个端口 I/O 操作均可通过 NFS 的 SERVER 进行日志存储，并且日志文件带有 RC4 的加密。 15) 以上所有的设备和被管理服务器系统无关，不需要安装专用软件及外部专用服务器，通过在普通 PC中以网页浏览器访问及管理，可执行全部功能，包括配置、软件升级等； 16) 对于目标服务器，在控制室有权限的用户可以做数据传输，方便得给目标服务器安装软件和打一些补丁。 服务器机房主机集中远程管理系统方案建议书 11 、系统方案 设备配置清单 型 号 品 牌 产品描述 数量 CommandCenter 美国 RARITAN 集中管理控制器， 支持集中管理多达 10000 台的 IT 设备，支持将数字产品和模拟产品方案的统一整合，国际化语言版本支持包括简体中文界面 ,双电源 ,双网口 ,双磁盘镜像 ,内置 Modem,支持双机冗余，支持 SSL/SSH， SNMP， ACL， SYSLOG，支持 RADIUS，LDAP(S)， ActiveDirectory， TACACS+的外部验证服务器和多个服务器的 Fail Over。 2 DKX2232 美国 RARITAN 数字 式 (KVM over IP)切换器，单台支持 2 远程、 1 本地用户， 32 个接口 ， 带 VM 功能 ，冗余电源，冗余网卡 外置 Modem 备份。 8 Dominon SX32 美国 RARITAN 数字 式 Console 设备管理，单台支持多达 320 用户 （每端口 10 用户）通道和 32 个设备通道 ， 内 置 Modem 备份 ，双电源冗余。 4 DCIM 美国 RARITAN 服务器接口线缆 VGA,PS2 or USB 256 KS700 Good way 东硕 三合一 LCD KVM 控制平台 ， 17 寸 8 服务器机房主机集中远程管理系统方案建议书 12 第三章 方案的特色和优势 、方案的可靠性 本方案设计采用的是集带内带外管理优点于一身的全冗余设计方案，保证 了系统运行的可靠性，具体体现在以下几个方面： 、 系统产品的全冗余硬件体系结构 网络机房 配备的 集中管理平台 产品 CommandCenter 具备双电源，双网络接口和双磁盘镜像可靠架构，同时还有 Modem 备份口，以预防 IP 网络中断的访问。 机房 的 DKX2， 双电源、 双 千兆 网络接口和 Modem 备份口的冗余设计，保证单点设备的自身可靠性。 、 系统的链路冗余 对管理设备的访问有三条链路： ； PSTN 电话链路访问（ 的低速率链路支持，通过配备远程访问服 务器支持多个并发用户的直接拨入访问 )和 宽带网络访问，实现了系统链路的可访问性。 、 整个系统平台的独立性和可靠性 系统的产品内核采用定制的 LINUX 内核体系设计，不依赖任何 Windows 平台或Windows 平台的服务器，无病毒 ,补丁的额外风险的困扰。 、 没有单点故障影响 系统模块化结构设计，保证单点故障的对整个系统影响的最低，系统中的设备连接互为独立，系统的单点故障不影响整个系统运行， 机房 的 某个 DKX2232 如果出了故障也只 能影响到本地的操作， 网络机房 的 集中管理平台 即使不能 工作， 操作人员可以临时直接访问DKX2232 产品来维护设备， 也不会影响到对管理设备的访问。 、方案的 安全 性 、 用户验证的安全性 系统中的所有设备都支持用户安全的内部验证，当使用内部验证时不需要安装任何的外部验证服务器；同时系统也支持外部验证服务器，当选用外部验证系统时可以支持业界通用的标准的验证服务器： RADIUS,LDAP(S)/Active Directory, TACACS+。 系统支持多级安全验证 ,验证故障自动转移功能，即系统可以安装多台不同类型的验证服务器，指定验证的优先顺序 ，当第一台验证服务器不可用，系统自动转向第二台。 依次服务器机房主机集中远程管理系统方案建议书 13 类推直到正常验证完成。 系统支持用户的精细化分权管理功能，可以对系统中的设备 集中管理平台 ， DKX2232分权管理 ,对目标设备分权管理。 、 系统设备的安全性 系统中的设备支持支持 ACL 和 ACL 与用户组的绑定功能，支持标准的 SYSLOG 可以将 log 统一的输出到 Syslog 服务器上，可将用户的登入登出时间、和用户在设备上的任何操作进行记录 ,可统一输出日志和报表。 系统中的设备可以设计为私网地址通过 NAT 来提高系统的安全性。 、 系 统操作的时的数据流安全 系统操作时采用的是 VPN 级别的数据安全 :128Bit AES、 RC4 的 SSL 加密，所有信号 :包括键盘 ,鼠标和视频信号全部 128 位加密，保障系统数据流的传输安全。 、方案的可管理性 、 系统强大的集中管理功能 ：按设备的位置、按设备的平台、按设备的供应商等等来分类； ； ； ：实现时间管理。 、 系统支持 SNMP 协议 可以利用 现有的通用网管平台如 :HP OpenView, IBM Tivoli 等，对系统的状态进行监控，实现网络层面的可管理性。 、 众多报告生成管理 系统支持众多的报告记录，如 :资产管理、。