KVM 远程管理设备、智能PDU、资产管理(美国力登 Raritan中国区总代) 2015-12-15 17:29
目前该设备已经有很多的案例,各大行业都有广泛应用,例如:招商银行、中国银行、中国电信、上海移动、上海申银万国证券、上海中富证券、国家统计局、国家水利部、国家气象局、北京财税局、上海市税务局......
FFFF IT基础设施集中远程管控系统
方案概况
FFFF在业务工作中,大力实施科学化、精细化管理,提高税收征管的质量和效率。IT数据中心的建设,维护和管理是税收管理信息化的数字基础。
政府行业强调数据中心的可服务性,而可用性、安全性和服务成本是可服务性的核心内容。因此,部署“集中与远程管控平台”,是实现IT基础设施可服务性的关键。
目前数据机房中,服务器、网络设备等基本都是机房内单机管理和通过一些辅助软件点对点的远程管理,现有的机房设备管理方式不适应发展的环境需要。
我们在为FFFF进行系统规划和建设中,看到了大范围地控制和处理多样性IT基础设施带来的巨大挑战,这些挑战包括:如何达到最小的系统宕机时间,如何确保安全性与可管理性,如何面对人力资源减少与服务要求提高的矛盾。为了解决这些矛盾,提高系统运行维护管理水平,迫切需要改变目前的运行管理模式,包括:
- 从单点技术管理过渡到全面集中管理;
- 从普通系统管理过渡到安全系统管理;
- 建立健全操作授权管理机制;
- 安全日志记录和审计;
- 减少机房人员进出;
- 提高物理安全性;
IT基础设施的“集中与远程管控系统”是指利用硬件和软件的手段,将关键数据设备的控制接口,这些设备包括服务器、网络设备、通信设备,和像防火墙、存储、UPS等各种带有数据控制接口的设备,通过带内或带外的网络连接在一起,使系统管理员可以协同控制和处理所有的关键设备。本建议书提供方案具有如下特点:
1、可靠性
使用高冗余度的硬件设备搭建的集带内带外管理优点于一身的全冗余设计方案;
2、安全性
集用户安全、设备安全和数据安全于一身的安全体系,保障系统正常运行;
3、扩充性
简单的设备数量增加,即可完成对整个系统的管理设备数量扩充和管理功能扩充;
4、操作性
良好的简体中文人机界面、强大的集中管理功能
5、先进性
真正做到安全,易用的无人机房管理。
实施本建议书的“集中与远程管控”系统,建成后将达到以下目的:
- 根本地缩短关键设备宕机的恢复时间,极大地提高系统的可用性;
- 集中管理大型机房设备;
- 网管人员可以协同作业,处理问题;
- 网管人员不在机房也可以管理;
- 与网管软件协同:实现先监控后处理的整体解决方案;
- 实现无人机房和人机分离,简化管理流程,提高物理安全性;
- “人机分离” 简化机房管理制度,提高管理效率和员工满意度;
- 以积极的方式节约成本。
Raritan公司具有20余年专注的行业服务经验,服务全球50,000个以上的大型数据中心;在国内已经采用“集中与远程管控”系统的企业级客户中,超过50%采用Raritan的解决方案和服务,实施方案超过2000个。本建议书方案不仅考虑FFFF现有的管理对象和管理策略,同时兼顾未来的扩展和延伸需要,关注用户的投资回报,帮助用户提高IT基础设施的运维管理能力。
整体方案的阐述与设计,结合Raritan公司CommandCenterSecure Gateway集中认证管理系统,Dominion 系列KVM over IP与Serial over IP产品,为您带来一套先进IT基础架构管控解决方案。
目 录
3.1 CommandCenter Secure Gateway:集中远程管理门户... 21
3.1.1 CommandCenter SG概述... 21
3.1.2. CommandCenter SG特点... 22
3.1.3. CommandCenter SG技术规格... 23
3.2.3 Dominion KX III 416 技术规格... 30
第四章 Raritan解决方案与用户关注点的对应及优化... 36
5.5.2部署集中管控系统既可满足现有方式,又发挥技术带动管理的特点... 51
6.1典型案例:青海国税数据机房集中远程管理项目... 53
6.2典型案例:内蒙国税数据处理中心机房配套设备采购项目... 55
6.5、典型案例:日本NTT全天候24小时网络监控管理中心系统... 59
第一章 FFFF远程监控管理系统的需求
1.1FFFF新数据中心设备管理维护方式
根据我们对FFFF IT设备的管理维护工作的了解,发现目前的管理维护手段已不能适应AA信息化的发展,并存在着许多影响数据中心服务水平和效率的问题。具体如下:
1.1.1远程维护管理的现状
设备的远程维护和管理是机房管理所面临的重要问题:当维护管理人员不在机房,或要维护异地机房时须用到远程维护管理,维护人员不可能24小时在机房里值班,而机器故障却可能在任何时候发生,一旦出现问题需要维护人员即刻到场,对于异地机房的远程维护管理更为迫切。
目前大多数的远程管理维护方式是基于软件的方式来实现的,如对服务器、工作站桌面进行远程控制的PCanywhere;对串口设备进行远程控制的telnet等等软件,这些软件方式的远程管理有以下的局限性:
- a) 只能做到有限的管理工作,如文件传输等应用一级的远程管理,它不能作到真正的系统一级的远程维护管理,系统一级的远程管理工具应该与被管理设备的状态无关;软件工具不能实现对设备的远程电源控制(如加电断电等);软件工具不能进行BIOS一级的维护。
- b) 软件工具本身要在被管理设备上安装软件,运行软件系统会对目标设备的其他系统性能有影响,这对目标设备主机本身就会带来安全隐患:如设备遭到攻击,设备的CPU利用率达到100%,软件方式的远程管理就无法对设备进行处理。
- c) 软件工具与设备的系统平台有关,不同的系统要装不同版本的软件(如Windows版,UNIX版等等),无法真正做到跨平台的管理。
- d) 当且仅当网络环境通畅时才可以用telnet方式管理和配置网络设备,目前网络环境经常遭受ARP攻击,蠕虫病毒攻击,一旦网络阻塞,则采取telnet方式连接网络设备将不可达,必须要人员到现场通过本地Console的方式进行网络维护。
1.1.2设备维护管理的安全现状
各系统的日常维护管理中对系统设备的操作多,而且具有共性的操作占了很大的比重,这种大量繁琐的操作不可避免的带来了不必要的安全隐患:进出机房的人员增多(如不同的厂商人员,不同的设备维护人员),增加了机房管理的难度和工作量:机房人员管理繁杂,安全系数低,因而要求人机分离,建立无人机房的需求已成为FFFF安全管理的必然趋势。
1.1.3维护操作手段现状
维护操作手段复杂,效率低,影响安全生产:由于系统设备的日益增多,不同种类的设备都有不同的维护操作手段,都有着自己的维护界面,造成系统维护人员需要逐个的进行维护和管理,显然这种单点式的维护需要耗费大量的人力成本。
可以想象,当系统维护人员穿梭于不同的机房或各种机柜所组成的丛林中,寻找出故障机器时,效率是多么的低下。而这种效率的低下,不但浪费了宝贵的人力资源,也使得出现的故障得不到及时的修复,系统出现不应有的停顿,对用户的损失不可估量。
使用网络管理软件对IT设备进行管理,具备自动观察IT拓扑的优势,但是缺点也是相当明显:
1、网络管理软件对设备管理依靠标准的SNMP协议,在数据中心中存在多种品牌的网络设备,对每种品牌的网络设备进行SNMP读或写命令配置复杂且花费精力,一旦失误,则无法在网管软件中显示。
2、网络管理软件可以对目标网络设备的端口进行管理和监测,但是无法进入更深一级的管理界面,譬如服务器的BIOS层。
3、网络管理软件(包括一部分系统管理软件)需要读取设备的MIB库,不同管理软件与不同设备之间的兼容性存在问题。
1.1.4维护人员的工作环境现状
维护人员长期不定时的加班或值班工作;
机房环境(噪音,辐射和温度)对维护人员的影响;
同城异地机房的长期外出维护的路途奔波。。。
这些问题都影响IT维护人员的工作满意度,从而会影响到工作效率。
可以设想当有一套维护系统可以让维护人员坐在舒适的办公室就可以高效遥控各地的系统设备,甚至在异地休假也可以远程处理应急事情,这将是非常高效并舒适的管理方式。
1.1.5管理维护成本
根据权威机构调查,目前数据中心每年的IT运营成本费用中设备的管理维护费用已超过了设备的采购费用,政府行业超过的比例会更大。
异地机房外出维护费用,或服务外包费用,加班值班等等费用随着用户IT系统的扩充而逐年增多,如何降低成本也成为当前政府行业所面临的重要问题。
1.2FFFF设备管理维护应用需求
通过以上对设备管理现状的分析可以看出目前的维护管理系统已不能满足FFFF新机房发展的要求,急需一个能集中管理、减轻机房管理难度、提高工作效率,并消除各种人为安全隐患的操作管理维护系统。这套系统应具备如下应用需求。
1、能实现无人机房管理
通过无人机房管理,实现人机分离,提高物理设备的安全性;通过减少设备的本地管理平台,提高机房的空间和能源利用率;改善IT维护人员的工作环境。
2、能实现异地机房的远程管理
实现设备内核一级的设备维护功能,并能做到远程对设备加电断电,提高管理的效率。
3、能管理多种平台、类型设备
与目标设备的内核系统无关(如 UNIX,Wintel,IOS,Linux,Solaris。。。);与设备的接口无关(KVM,RJ-45,DB9,DB25。。。);
4、能有多种管理路径选择
带内带外管理选择(IP网,电话拨号网络和本地口带外管理专网)。
5、单一的登陆界面和简单的安装操作平台
所有目标设备可以集中管理到单一界面上来,系统安装尽量做到即插即用,操作界面友好简单,最好无须安装客户端软件。
6、系统自身的安全性
系统自身要有安全性的设计和功能:包括操作授权管理机制;安全日志记录和审计;系统物理设备的安全;传输维护管理信息的安全。
基于以上的需求,我们采用了美国机房管理控制的专业制造商力登(Raritan)公司的KVM机房集中远程管理系统,将企业IT系统内设备的一对一维护管理工作延伸到机房外的任何一处,提高工作效率和物理设备的安全性,实现无人机房管理。
第二章FFFF集中远程监控管理系统设计方案
2.1FFFF集中远程管控的具体需求
2.1.1现状和背景
根据与用户交流,目前准备在新机房应用集中管控系统,其中服务器数量约为2000台(包括IBM P系列小型机,IBM X系列PC服务器,IBM Bladcenter系列刀片服务器);网络设备数量约为250台。
2.1.2管理方式需求
1、要求满足FFFF的管理体系架构:同城机房能实时方便的进行日常维护,总部对设备可进行集中监控和协同分支机房管理,总部可随时监控同城异地的设备运行状况,并负责管理本系统。
2、要求实现带外管理功能和考虑系统的安全、冗余设计,符合专用系统的应用需求。
3、要求支持无限个并发用户的远程访问,支持多个维护人员同时管理控制同一台设备。
4、要求为统一集中管理平台:通过一个IP地址统一管理所有设备,可详细、完整的定义用户权限管理策略和查询设备策略。
2.2FFFF集中远程管控方案概述
2.2.1系统方案拓扑图
2.2.2系统结构描述
方案从设计上分为两层结构,分别为接入层和管理层。接入层位于数据机房设备机柜内,实现被管理设备的接入和汇聚,管理层实现对所有机房设备的集中管理。
接入层使用Dominion 数字系列的KX III和SX产品对数据机房中的被管理设备进行汇聚,使用UTP5类线从被管理设备的I/O口(KVM口或串口)连接到Dominion的端口上,由Dominion 使用Over IP技术将模拟信号转换成IP数据包并连接到IP网络,可从远程对被管设备进行管理。当各地数据机房中的管理员需要在本地访问被管理设备时,可使用Dominion系列提供的本地管理接口来进行操作。
本方案在接入层采用N台DominionKX III416数字KVM交换机管理接入服务器,提供2000台服务器的管理能力。该设备单台具备16个服务器管理接口,支持4个远程用户并发访问,同时具备1个本地用户访问接口,预留机架边的救援能力,在网络故障时,可通过Modem拨号方式进行应急处理。
采用2台Dominion SXA32数字串口服务器管理接入的网络设备,提供64台网络设备的管理能力。该设备单台具备32个串口管理接口,支持单端口10用户的并发访问能力,在网络故障时,可通过Modem拨号方式进行应急处理。
管理层使用两台CommandCenterSG,组成逻辑上的双机热备集群,两台CommandCenter SG均连接到IP网络来集中管理接入层中的各台Dominion系列产品,并相互实时同步配置。用户只要登陆主CommandCenter SG即可通过整合的界面访问各地数据机房的所有设备,而不用考虑被管理设备是连接在哪台Dominion上。当主CommandCenter SG本身或网络连接出现问题时,用户可使用备份CommandCenter SG来访问控制各地的设备提高系统的可用性。当安装了CommandCenter SG后,使用者不能直接连接Dominion而需要访问CommandCenter SG通过统一的界面进行集中的身份验证和权限分配后才能访问各台被管理设备。
如图所示,CommandCenterSG支持双接口1000M铜缆以太网,可将网络交换机与CommandCenterSG进行双链路配置,形成网络结构的冗余,核心管理区域没有单点故障。
在考虑备份冗余方面, Dominion均提供备份的Modem接口,以便在网络连接失效时可使用模拟PSTN网进行拨号应急访问。
2.3系统带外管理备份方案描述
2.3.1PSTN的带外管理方案
针对Dominion系列所在的机房网络出现故障,可以通过Dominion内置的Modem实现PSTN带外管理的访问。
2.3.2本地口的带外管理方案
当各地机房的网络出现故障时,可以采用Dominion的本地端口实现机房一级的带外管理网络:将机房的本地端口延长到机房外的控制室,实现人机分离的带外管理。
2.4系统的用户验证方式
CommandCenter SG和KX III\SX都有内部验证系统同时也支持外部验证系统(Radius、Active Directory、LDAP(S) 和 TACACS+),并且CommandCenter SG还支持在第一认证方式故障情况下能选择多种认证服务器 (相同类型或者不同类型)做认证工作,用户可以指定选择其他认证方式的顺序,比如LDAP首先,AD第二,TACACS+ 第三。。。来保证用户真正的可用性。
结合FFFF的实际情况和利用Raritan系统多种灵活验证模式的支持,建议采用外部统一集中验证的方式,并将系统的验证体系纳入到FFFF的Secure ID的验证体系中;如:AAA的主、备Server为Radius,同时建议CommandCenter SG内部验证系统留有用户数据库备用,当出现意外的认证服务器故障时可不影响使用。
2.5系统管理方式简介
通过远程集中管控系统中CommandCenter SG所具有的精细化和强大的管理功能,可以完全按照管理人员的职责和权限来灵活方便的实现集中远程管理。针对具体的分支机房管理人员和总部管理人员可以实现如下的管理方式:
2.5.1分支机房管理人员
- 管理权限:
管理分支机房内的设备,可以按照人员职责划分不同的管理帐号权限来管理不同的设备。
- 管理路径:
A.通过KX III和SX的本地管理口进行设备的本地管理。
B.通过IP网络,实现远程管理。
C.通过PSTN电话拨号网络实现在IP网络不可访问时的应急访问。
- 管理深度:
设备日常状态的查看;设备配置更新;设备内核升级;设备重起;设备加电断电诊断等。
2.5.2总部级管理人员
- 管理权限:
监控管理全系统的设备,可以按照人员职责划分不同的管理帐号权限来管理不同的设备或不同省市的设备。
- 管理路径:
A.通过IP网络,实现远程管理。
B.通过PSTN电话拨号网络实现在IP网络不可访问时的应急访问。
- 管理深度:
可以随时监控到任何地点的设备状态,并可以直接登陆到设备上进行操作;系统内使用人员权限的划分管理,系统内所有设备的管理,系统的统一升级(CommandCenter SG、KX III、SX)等
2.6设备配置清单
| 序号 |
型号 |
描述 |
单位 |
数量 |
| 1 |
CC-E1-512
|
集中管理控制器,支持将数字产品和模拟产品方案的统一整合,国际化语言版本支持包括简体中文界面,单电源,双网口,双磁盘镜像,内置Modem,支持双机冗余,支持SSL/SSH, SNMP,ACL,SYSLOG ,支持RADIUS,LDAP(S),Active Directory,TACACS+的外部验证服务器和多个服务器的Fail Over。 |
台
|
|
| 2 |
DKX3-416
|
数字式(KVM over IP)切换器,单台支持多达5用户(4远程+1本地)通道和16个IT设备通道,支持冗余双网口,外置Modem备份,支持管理多平台KVM设备,支持电源控制整合。支持虚拟媒体功能,远端最大分辨率可支持1920*1080。 |
台 |
|
| 3 |
D2CIM-DVUSB
|
被管理设备接口转换器,支持USB设备等,支持虚拟媒体功能,绝对鼠标同步。。。 |
个 |
|
| 4 |
DSXA-32
|
数字式串口服务器,单台支持多达32个IT设备通道,每个通道支持10个用户,支持双电源,双网口,内置Modem备份,可选AC/DC电源,支持NFS。 |
台 |
|
第三章 方案采用产品介绍
3.1 CommandCenter Secure Gateway:集中远程管理门户
3.1.1 CommandCenter SG概述
CommandCenter® Secure Gateway是一种管理工具,它能够通过网络浏览器对数据中心设备的KVM、串口设备和电源连接端口提供统一和安全性的访问。与Raritan的Dominion®系列、Paragon®系列、IP-Reach®和CommandCenter® NOC兼容,CC-Secure Gateway提供集中化管理策略以及安全管理(针对连接到Raritan产品或其它内嵌式解决方案,如:HP®iLO/RILOE、Dell®DRAC、IBM®RSA II 和IMM、IPMI、RDP、VNC和In-Band软件解决方案的使用者和设备)。
CommandCenter Secure Gateway通过它的特色如RC4-128或AES-256加密、具灵活性的认证选项(LDAP、Active Directory®、RADIUS和TACACS+、RSA Token),CC-NOC整合,完整的报告功能、可自定义的视图以及SNMP traps提供一个安全、强大和有效的易使用管理解决方案。
CommandCenter Secure Gateway能够聚集在本地或远程多处数据中心内的设备的控制台访问,提供一个简单集中式的门户,能快速的诊断及解决问题。
CommandCenter SG连接拓扑:
3.1.2. CommandCenter SG特点
- 高可用性
使用双以太网卡、镜像的双硬盘、双独立电源和Modem应急访问,加强系统可用度,支持双CommandCenter SG群集热备份,保障集中远程管理系统正常运行。
- 坚固的安全性
SSL 128 位 RSA 公用密钥、128 位私有密钥加密;集中的安全策略、访问权限、权限以及用户定义的视图;通过 SSL 或 SSH 访问,所有这一切都提供了最高级别的网络安全,第三方身份验证支持包括 Active Directory (AD)、I Planet、eDirectory、Radius和 TACACS+,利用现有技术加强安全性,经过加固的 LINUX 操作系统 (OS) - 带防黑客架构的基于内核的 OS 可以防止非法访问。
- 可扩充性
可与Raritan的Dominion®系列、Paragon®系列、IP-Reach®系列、HP®iLO/RILOE、Dell®DRAC、IBM®RSA II 和IMM、IPMI、RDP、VNC及SSH兼容,从而可以为所有重要设备提供一个单一,可扩充、高效率且成本经济的管理网络,可与CommandCenter NOC整合,通过提供高度整合的网络,发现系统和应用错误以及用统一的带外操作台和远程电源管理来监视性能,从而缩短平均修复时间(Mean Time To Repair)。
- 易用性
预先加载Firmware,通过CommandCenter Secure Gateway,集中维护所有Raritan设备的Firmware。
通过 VPN、Internet 或 Intranet 利用单一登录和单一 IP 地址灵活快速地进行访问,简化了管理多个 IP 地址的复杂性, 全面的事件管理、记录、报告和审计跟踪既减轻了管理压力,又可以集中管理。
多种查看过滤器功能强大,可以按类型、操作以及登录对所有用户进行过滤,结果显示在一个重要的“快照”中,说明谁在网上、什么时候、在干什么。
高级报告功能就活动用户、访问的设备、活动端口、资产管理、审计跟踪、错误日志、固件报告和 ping 报告提供了有价值的管理报告,用于访问受管目标的代理和参考演示选项能够以简单的树形结构非常灵活地演示 Dominion 设备、端口、用户及端口显示。
CommandCenter SG内置国际化语言界面,支持全中文界面管理(简体和繁体),支持七种语言界面
3.1.3. CommandCenter SG技术规格
产品名称:CC-E1
外型规格:2U
尺寸:
17.3" (宽) * 27.5" (深) * 3.5" (高)
44cm (宽) * 69.9cm (深) * 8.9cm (高)
电源:双电源适配器(2 * 520瓦)
重量:20 KG
KVM管理端口:DB15 + PS2 或 USB 键盘/鼠标
串口管理端口:DB9
MTBF: 53,564小时
处理器:Intel Core i7-860
内存容量:8GB
以太网络接口:2个 10/100/1000 RJ45
硬盘及控制器:2*300-GB SATA硬盘 @10000 RPM, RAID 1
光驱:DVD-ROM
操作台接口:2 * USB 2.0
通讯协议:TCP/IP v4 & v6、UDP、RADIUS、LDAP、TACACS+、SNMP v1v2v3、SNTP、SSH、HTTP、HTTPS
3.2Dominion KX III系列产品
3.2.1Dominion KX III概述
Raritan的下一代KVM-over-IP交换机Dominion KXⅢ-416,是具有多系统管理员用户的理想单机架解决方案。产品可为4个远程用户和1个本地用户提供对最多16台服务器的BIOS级访问和控制。产品可以独立工作,或是与我公司的CommandCenter安全网关集中管理设备同时工作。
KX III416提供行业最高的1920×1080视频分辨率。通过Universal Virtual Media (通用虚拟媒体)™功能,可实现远程软件安装、文件传输及备份功能。采用AES256或RC4128加密,以保证接通安全。KX III416采用了绝对鼠标同步™技术,具有行业内最为严密的鼠标响应性,缩短安装时间。通过选用远程电源设备,产品可控制服务器的电源连接。具有自动故障切换功能的双电源及双千兆位以太网端口均为标准特点。统一的基于浏览器的用户界面Virtual KVM Desktop™支持行业使用的最宽范围的操作系统及浏览器。同时通过采用了业内首例基于浏览器的本地端口,可实现高生产率的“机架边”访问功能。
Dominion KX III解决方案由KVM-over-IP交换机和计算机接口模块(CIM)组成。
CIM连接至服务器的KVM端口,而且使用UTP(Cat5/5e/6)网线连接,距离切换器最远可达45米。CIM还提供了保持有效的键盘/鼠标仿真功能。
可通过多种Web浏览器由Windows®, Linux®, Sun® 或Mac desktop进行访问,或是通过通过独立客户端进行访问。
Raritan的远程客户软件可通过Web服务器自动下载;客户端软件的独立版本可预先安装。
设备具有以下各种功能:虚拟媒体,AES-256或RC-128加密功能,带故障自动切换的双电源及双千兆位以太网端口,系统日志,及与LDAP、Radius及Active Directory验证的集成。
KX工作原理拓扑:
3.2.2Dominion KX III特点
| 特点 |
优点 |
| 硬件特点 |
|
| 最高的端口密度 |
Dominion KX III是真正的下一代切换器,具有先进的硬件及软件基础架构。这种新型的设计可实现新一级的KVM-over-IP性能、可靠性、使用性、兼容性及安全性。单台设备最大可提供64个目标设备管理接口。 |
| 高性能,下一代视频硬件 |
Dominion KX III的KVM-over-IP引擎采用了Raritan的下一代技术,可为用户提供虚拟的"机架边"性能。下一代性能包括超快速的屏幕刷新率,1920×1080的远程分辨率,超强的流媒体播放性能1080p 30FPS(带音频),更小的带宽占用,更丰富的色彩,先进的颜色校准性及根据服务器进行视频最优化。 |
| 带故障切换的双电源 |
为了增加稳定性及冗余,Dominion KX III各型号均具有双交流输入电源(自动故障切换),以支持企业数据中心内所采用的冗余多路供电。如有一个电源发生故障时,可通过前面板LED、SNMP陷井、日志信息或是通过管理控制器通知用户。 |
| 带故障切换的双千兆比特以太网端口 |
通过采用双千兆网络端口实现冗余,提供高可用性。如有一个以太网交换机或网口发生故障,Dominion KXIIII将自动切换至另一端口,继续工作。 |
| 连通性特点 |
|
| 同时单、双、四个或八个远程IP用户访问 |
根据所购买的型号不同,Dominion KX III可同时为一个、二个、四个或八个远程用户提供KVM-over-IP访问路径。Raritan提供了多种型号的KX III,以满足大多数客户的需求及预算。以实现上述功能的同时,还允许完全的、通畅的本地端口访问。 |
| 16, 32或64*服务器端口 |
通过Cat5型网线,每台Dominion KX III用户最多可连接16台、32台或64台服务器。Raritan是首家提供单通道、双通道及四通道 32端口型KVM-over-IP交换机的生产厂商,同时,也是首家将64端口数字KVM交换机推向市场的生产厂商。 |
| 业内首家基于浏览器的本地控制台端口 |
Dominion KX III采用了业内首例基于浏览器的本地访问方式。通过在本地端口上提供一个通用的基于浏览器的界面及完整的管理功能,KX III可提供一个统一的易于学习的用户体验。 |
| 一体化远程电源控制,每台KX III最多可连接8个电源条 |
用户可对连接至选用Raritan远程电源控条上的服务器进行上电、断电或是循环供电。系统管理员不仅可以对服务器进行远程故障排除,还可以通过点击鼠标对服务器循环供电。通过这种用户友好的远程电源控制功能,每台KX III最多可连接8个电源条。 |
| 通用虚拟媒体 |
|
| KX III各型号产品均具有虚拟媒体 |
通过在目标服务器上虚拟安装远程驱动/媒体,以实现支持软件安装、远程启动及诊断的优点,现在Dominion KX III的各种型号上均可实现。 |
| 可通过CommandCenter安全网关使用虚拟媒体,同样,自持模式也具有虚拟媒体功能。 |
用户可通过Raritan的CommandCenter 安全网关访问虚拟媒体。然而,与其它解决方案不同,对于不使用中心管理系统的客户,虚拟媒体也可独立使用。 |
| 广泛支持各种虚拟媒体设备及驱动设备,支持音频传输 |
每台Dominion KX III均配备有虚拟媒体,使得可以通过CD、DVD、USB、内部及远程驱动及映像设备完成远程管理任务。与其它解决方案不同,Dominion KX III支持对硬件驱动及远程安全磁盘映像的虚拟媒体访问功能,以增加系统灵活性及生产率。 |
| 通过256位加密,实现虚拟媒体安全性 |
虚拟媒体进程均采用了AES-256或RC4-128方式加密,保证安全性。 |
| 客户端访问及控制 |
|
| 通用KVM客户端™随时、随地以任意方式访问 |
Dominion KX III通过业内使用最广泛和范围最为灵活的操作系统、平台及浏览器提供KVM访问,不需要另外的客户端许可证费用或令人头痛的软件许可证。 |
| 下一代公共用户界面 |
Dominion KX III具有一个下一代的基于浏览器用户界面,以增强使用性和提高生产率。此界面在本地端口、远程登录、管理软件及其它Raritan产品上是共用的。使用这一界面能够减少培训时间并且提高生产效率。 |
| Windows, Linux, Sun/SolarisTM 及Macintosh多平台访问及控制 |
Raritan基于Java的客户端可对Windows, Linux, Sun/SolarisTM 及Macintosh桌面型电脑提供多平台访问及控制。Raritan的客户端软件支持包括Internet Explorer, Firebox和Mozilla在内的多种主流网络浏览器。 |
| Virtual KVM Desktop™ |
|
| Virtual KVM Desktop,一种新层次的访问及控制 |
Raritan的Virtual KVM Desktop具有新一代的KVM访问及控制功能,可与目标服务器之间实现一种与直接连接几乎无差别的连接方式。Virtual KVM Desktop的功能基于Raritan的以下创新点:全屏视频、透明键盘处理、灵活的视频缩放及快速的视频切换。 |
| Absolute Mouse Synchronization™(绝对的鼠标同步) |
绝对的鼠标同步功能是最终的鼠标同步解决方案。如服务器支持USB鼠标端口,则不需要调节目标服务器上的鼠标设置项。此特点可减少安装时间,增强Dominion KX III的即插即用性能。另外,远程及目标服务器鼠标指针绝不会失去同步。此功能是通过新型的D2CIM-VUSB 虚拟媒体CIM实现的。 |
| 1920 x 1080的远程视频分辨率 |
Dominion KX III提供1920 x 1080的远程及本地视频分辨率,因此,即使是远程用户也可使用当前分辨率较高的显示器工作。 |
| 全屏视频显示 |
通过Dominion KX III全屏视频显示功能,用户感觉看来好像直接连接至目标服务器一样。用户可全屏浏览目标服务器显示页面,不会出现窗口边界或工具栏。 |
| 灵活的视频缩放 |
很多情况下用户可能想缩放显示页面-即拉伸或压缩目标服务器视频显示,以适应客户端的显示窗口。通过Dominion KX III的灵活缩放功能,用户不再受固定尺寸窗口的限制,可以将窗口边界拖拉至想要的尺寸-包括非常小的视图。 |
| 软件特点 |
|
| 即插即用设备,安全快速、简易 |
Dominion KX III是一种完全独立的系统(即设备)。KX III的所有功能特点,其中包括验证及Web访问,均内置于设备内部,不需要使用另外的服务器。 |
| 自动颜色标准 |
Dominion KX III提供了自动和手动颜色校准功能,优化屏幕显示以提供生动、逼真的颜色,增强生产率和降低带宽。 |
| PC共享模式 |
每台接入的服务器最多可由八名用户连接和远程访问。这种功能对于管理员之间进行合作,实现分组工作,排除服务器故障非常有用。 |
| 灵活的带宽控制 |
视频性能可以优化现有的网络带宽。快速的网络(LAN)访问、更有效地使用带宽和更高质量的视频信息,都能产生更好的性能。KX III也可以在低带宽环境下使用。 |
| 安全特点 |
|
| AES加密 |
Dominion KX III采用了AES(高级加密标准)加密方式,以增强安全性。AES是通过美国政府批准的加密算法,并由美国国家标准和技术研究所在FIPS标准197内推荐。 |
| 视频及虚拟媒体加密 |
Dominion KX III除加密键盘及鼠标输入数据外,还对视频流进行加密。 |
| RADIUS, LDAP and Active Directory® 验证 |
Dominion KX III集成了行业标准的目录服务器,如微软的Active Directory,采用LDAP或RADIUS协议。这使得Dominion KX III能够使用原来存在的用户名/密码数据库,实现安全性能。 |
| 可设置的强加密检查功能 |
Dominion KX III具有管理员可设置的强加密检查功能,以保证用户所创建的密码符合企业和(或)政府标准,可抵抗强力破解。 |
| 安全特点 |
Dominion KX III提供了包括强加密检查、密码失效、访问控制列表、无效定时器、分组权限、根据端口验证等在内的多种附加安全功能。 |
| 管理功能 |
|
| Raritan的CommandCenter整合性 |
与 Dominion系列的其它产品相似,Dominion KX III具有与CommandCenter安全网关完全整合的特点,使得企业用户能够将所有的Dominion设备统一到一个单独的逻辑系统内,在一个IP地址上可通过一个单独的管理界面对其访问。Dominion KX III同时还可与新的CommandCenter NOC服务管理设备相整合。 |
| Dominion KX III兼容性 |
已经购买了Raritan饱受好评的Dominion KX III切换器的客户可以继续与新的Dominion KX III同时使用该款产品。CommandCenter安全网关和Raritan的多平台客户端均支持对连接至KX III及KX III数字设备的目标服务器及串口设备的无缝访问及控制。 |
| SNMP管理及系统日志 |
Dominion KX III SNMP代理将重要系统事件的SNMP陷井分发至SNMP管理系统,其中包括新的CommandCenter NOC管理设备。管理员可对SNMP陷井完全配置。同时,还可使用系统日志。 |
| D2CIM Firmware升级 |
D2CIMs可通过KX III设备进行Firmware升级,以支持新功能和改善性能。 |
3.2.3Dominion KX III 416技术规格
KX III416 (16个服务器连接口、4名远程使用者、1名在机架旁的本地使用者)
尺寸:
17.3" (宽)×13.15" (深)×1.73" (高)
440mm (宽)×334mm (深)×44mm (高)
重量:9.08lbs / (4.12 kg)
电源: 双电源 110V/240V 50/60Hz 1.8A 60W
形状因素:单件式,全宽度,可机架安装(包括托架)
工作温度: 32°F (0°C)至 113°F (45°C)
网络:双故障切换10/100/1000 千兆位以太网(RJ45)
调制解调器端口:DB9(F) DTE
协议: TCP/IPv4 & v6, HTTP, HTTPS, SNMPv1/2/3, UDP, RADIUS, LDAP, DHCP, PAP, CHAP,LDAP,SNMPv2 & v3
视频:DVI-D(F)
键盘/鼠标: USB (F), 前面板1个USB接口 ,后面板3个USB接口
PC文本模式: 640×350, 640×480, 720×400
PC图形模式: 640×480, 800×600, 1024×768, 1152×864, 1280×1024,1440×900, 1680×1050, 1600×1200, 1920×1080
Sun视频模式: 1024×768, 1152×864, 1152×900, 1280×1024
计算机接口模块(CIM):
3.3Dominion SX串口控制系列产品
3.3.1Dominion SX 概述
Dominion SX是一款安全操作台服务器,可以从本地端及远程通过SSH/Telnet及网页服务器访问以串行方式管理的服务器及其它串口设备。Dominion SX最多可以访问及控制48台设备,包括:服务器、路由器、交换机、VPN,以及电源模块。它可以扩充到数百名使用者及数千台设备,非常安全,安装容易,且使用简单。
Dominion SX提供单一控制点,可以管理使用者、串口服务器及其它IT设备,包括:
服务器及无人操作服务器:Sun Solaris ®, Sun Cobalt™, HP-UX, UNIX®, Linux服务器,IBM®/AIX服务器,Windows® 2003服务器;
广域网络设备:ISDN终端适配卡,中继信号转换设备 (Channel Bank) ,CSU/DSU, PBS/PABX;
网络设备:路由器,以太网络交换机,以太网络防火墙,负载平衡器;
电源控制:所有以序列控制的电源模块及UPS;
Dominion SX有多种机型,提供4至48个连接端口,包括:交流及直流电源(单电源或双电源)、可选双重以太网卡、有无内置调制解调器。
SX连接拓扑:
3.3.2Dominion SX 特点
1、灵活性
1)机型多样化:市场上1U高度机型端口密集最高的设备(48口)。多种电源选择,包括交流电源、直流电源、发生故障可自动切换的双电源,保证不停机。双网卡可自动切换,还可选择有无内置Modem,在机架旁一或两个本地串行管理端口。端口密度从4口到48口。
2) 增大的内存(8、16、32、48口机型):端口缓存从65KB增加到了256KB,可以使存储的日志内容从20页增加到80页。用户现在可以看到他没有连在设备时所发生的事件。
2、可靠性
1)网卡智能自动切换(双网卡机型):在所有双网卡机型中,管理员可以设定第二网卡在主网卡不工作的时候自动切换,两块网卡可以使用同一IP地址,也可使用不同IP。每块网卡都可作为接入端口。
2)可跨多平台,与操作系统、硬件无关:单台SX可连接许多不同的服务器,包括SUN® Solaris™, HP-UX, AIX, Linux®, Windows® Server 2003, UNIX® 以及其他串口设备,在很多远程办公室有很多不同种类的设备,正是SX最适用的情况。
3、安全性
1)全功能防火墙:用户可自定义系统安全级别,以使广大用户可根据自己需求选择安全性。
2)减少MITM(中间人)攻击:在使用者客户端和具有SSL证书的服务器端的交流通道增强了安全性。
3)支持Kerberos验证/授权:支持RADIUS,LDAP,TACACS+,Kerberos V.5以及Active Directory,支持主、备服务器。
4)支持SecureID:通过RADIUS可支持SecureID,增加了安全性。
4、易用性
1)HTML界面执行:减少从浏览器里面加载JAVA小程序所需时间将近1分钟。
2)全新的CLI(命令行界面)与GUI(图形化界面)等同:改进了可用性,通过CLI管理与在GUI下管理有着同样的功能。
5、易管理性
1)安装简单:用浏览器和VT100终端在3分钟之内安装完毕,一些竞争对手产品需要很多繁重的初始配置才能完成基本安装。
2)支持IPMI:改进监控管理系统性能,允许发现并管理支持IPMI的设备。
3)支持SecureChat功能:允许在线的专家和经过授权的浏览器使用者进行加密的聊天,以减少排查问题所需时间,也可满足培训需求。
4)全面的SNMP Traps:全面的SNMP Traps可实现很多不同的警告:比如说验证失败,端口连接、断开,以及许多其它系统管理员所感兴趣的事件。
6、与CommandCenter Secure Gateway的整合
1)可扩充:当部署了1台CommandCenter Secure Gateway后,数千台Dominion SX设备可被集中管控验证及授权。
2)韧体升级简单:通过CommandCenter Secure Gateway可简化SX的升级,管理员可安排时间表对一台或多台SX设备进行统一升级。
3)单一IP地址:管理员和用户可以使用浏览器或者SSH方式访问单一IP地址,通过单次登录CommandCenter Secure Gateway管理SX及目标服务器。只有Raritan支持SSH直接连接。
3.3.3Dominion SX 技术规格
规格:1U, 可装置于机架上(DSX16、DSX32及DSX48机型包括托架)
电源: 110/220V自动切换:50-60 Hz; 36-72V DC
环境要求:
温度:32°F (0°C) 至 104°F (40°C)
湿度:20% - 85% RH
高度:0 到 10,000 尺可运作正常
安全认证:CE, FCC Part 15 Class A, US and Canadian UL, VCCI-A
网络:10/100 以太网(RJ45)连接端口2个
网络协议:TCP/IP v4 &v6 , PPP, PAP, HTTP, HTTPS, SSL, SSH, TACACS+, LDAP(S), RADIUS, SNMP
Dominion SX32
串行端口:32
尺寸:
17.25吋(宽) x 11.34吋(深) x 1.75吋(高) 至17.32吋(宽) x 11.41吋(深) x 1.75吋(高)
43.8公分(宽) x 28.8公分(深) x 4.4公分(高) 至44公分(宽) x 29公分(深) x 4.4公分(高)
重量:10 磅 / (4.53 公斤)
调制解调器联机:内置56K V.90(RJ11连接端口)
第四章Raritan解决方案与用户关注点的对应及优化
根据Raritan公司对FFFF IT设备集中远程管控方案的设计阐述,结合用户的需求,建议FFFF建设集中远程管控系统时关注以下几个方面:
4.1关注系统的整体规划
在部署集中远程管控系统之前,Raritan公司在系统设计时采取带有预见性的整体策略规划。系统的整体规划主要包括被管理的设备的规划、对系统管理员的规划和对系统管理方式的规划。
在规划被管理设备方面:考虑被管理设备的管理策略和管理逻辑。结合自身的管理需求和应用状况,系统的定义和分类被管理设备的属性。例如是按照地理位置、还是按所属业务系统、还是按制造商、操作系统,或按多种复合条件的策略部署管理。
在规划系统管理员方面:考虑系统管理员的分类与分级,权限分配。结合自身的管理需求得出系统管理员的分类,按照执行不同任务的系统管理员来划分成不同的管理员组,再对每个管理员组的管理行为进行系统的需要设计和定义。简单粗略的管理员分级不能满足实际需求,需要进行精细化的分级管理。Raritan公司采用超过10种精细化的基本管理行为定义,也可以这些定义为基础进行分类组合,来达到精细化的管理员分类和权限分配。
在规划系统管理方式方面:对日常的操作方式进行客户化定义和对管理员管理范围和管理深度的定义。例如分配网络组管理员可以在每天夜间1:00点到3:00点远程对自己负责的交换机A组和路由器B组进行操作。
通过对系统整体的规划和设计,最终将完成兼顾被管理设备、系统管理员及连接两者的各种系统策略的整体规划,为今后系统的扩展和完善打下良好的基础。
Raritan公司的CommandCenter SG系统率先将策略管理技术应用到KVM集中管控系统中,提供了基于业务的、灵活方便的设备管理平台,得到了众多行业用户的高度认可。
4.2关注系统的安全可靠
安全管理、网络与系统管理类解决方案硬件化和采用精简、加固的Linux系统内核是目前的现状和产业的共识,不论是防火墙、安全网关、IDS/IPS、负载均衡等都是如此。硬件化的专有系统,有很高的稳定性和安全性,并可以发挥更大的性能。
1)集中验证与管控中心使用专用硬件系统。
独特优点:Raritan公司的基于硬件的专有系统的集中验证控制系统CommandCenter SG(以下简称CC-SG),符合产业发展趋势和用户对安全稳定的要求。CC-SG采用精简的Linux系统做为系统内核。该精简的Linux系统关闭了Linux内核中不必要的组件和不必要的通信端口,避免遭受病毒和木马的攻击。精简的Linux内核的稳定度要远远强于Windows系统,同时专用系统的性能和稳定性也远远强于基于安装在通用的Windows系统或Linux服务器中的软件解决方案。
2)串口访问服务器的OS为安全封闭的系统,不允许任何人对OS进行访问。
出于安全的考虑,业内绝大多数IT设备制造商都不会将设备的OS开放给用户,防止出现对OS操作的失误造成对设备运行的影响,甚至发生盗用管理员权限的黑客通过进入OS层,对用户帐号的监听,从而导致对用户系统的入侵。
Raritan串口访问服务器支持标准的Syslog,可以将所有设备日志集中上传到Syslog Server上,以保证对全系统的审计。串口交换机的键盘日志记录要求支持键盘信号输入、输出记录,并且记录文件支持加密选项。
3)系统应在集中验证与管控中心失效时仍可应急使用。
独特优点:系统的高可用性对于FFFF来说至关重要。Raritan系统中的任何设备在与CC-SG之间失去联系时,都能进行独立工作。当KX(数字KVM交换机)、SX(串口管理设备)等设备与CC-SG之间失去联系时,用户可使用KX、SX上的本地数据库进行身份验证,或使用统一的外部身份服务器(如Radius,LDAP等)进行验证。
4)将所有系统日志集中存放到日志服务器中。
独特优点:系统日志的开放性和标准化已成管理产品的必备要求,支持Syslog业界标准已成为众多种类产品的基本要求(如网络设备、安全产品类均支持SYSLOG)。Raritan系统中的所有设备均支持业界标准的Syslog协议,可将所有系统日志上传到日志服务器,实现对日志的整合管理。
5)多种身份验证方法互为备份。
独特优点:成熟、标准、宽泛的验证系统,成为管理系统的可靠安全门卫,而验证系统的冗余备份功能又能为安全门卫的可用性提供保障。Raritan的CC-SG系统支持业内标准宽泛的外部验证服务(Radius,LDAP,Tacacs+等)和外部验证服务的冗余备份功能,提高系统的安全可用性。当用户环境需要使用外部验证服务器时(如Radius、LDAP和Tacacs+等),集中管控系统支持多台认证服务器间的认证失败自动转移功能,每种远程验证协议服务器均可支持主服务器和备份服务器配置,并可进行多种身份验证协议之间的冗余备份。如第一台是Radius服务器验证失败会自动转向第二台LDAP服务器依次类推。。。
6)整个系统应有硬件冗余度。
产品硬件的冗余设计已成为FFFF对产品硬件安全的基本要求。CC-SG为专用硬件平台,采用多种硬件冗余机制,如双网口、双存储介质镜像备份和内置Modem拨号备份等,使得单台CC-SG就具有极高的冗余能力。当需要更高的系统冗余度时,两台CC-SG可组成双机集群,以互为备份的方式进行工作。同样系统中的KX III和SX也有支持双电源、双网络接口和Modem拨号备份功能的型号来组建硬件全冗余的系统。
4.3关注系统自身的状态监控和维护
由于IT设备集中管控系统所管控的都是IT系统中的核心设备,因此系统自身是否具备一定的状态监控、告警和维护功能对系统使用者也是非常重要的。CC-SG可以实现对所管理的KX III、SX等进行预定时间的任务自动执行功能(如备份、还原、复制设备SX的配置;升级设备软件;开启、关闭设备电源;生成各种报告等),支持按顺序的多任务和任务完成后的邮件通知功能。
4.4关注系统的扩充和集中管理真正的整合
独特优点:CC-SG可以对Raritan传统的企业级模拟产品纳入到统一集中管理平台中,与数字产品混合管理,为用户提供更宽泛的解决方案和未来的无缝升级整合,可以保护客户投资;此外CC-SG还可以整合目前通用的许多第三方的产品:整合服务器厂商的管理工具(HP®iLO/RILOE、Dell®DRAC、IBM®RSA II 和IMM、IPMI.)、整合带内远程访问软件(RDP, VNC ,SSH,etc..)。
4.5关注系统的管理整合度和管理深度
1)对设备的分类和授权,完全可做到客户化的自定义。
独特优点:CC-SG集中验证与管控中心支持对所有被管理设备进行用户自定义的分类,并可根据用户自定义的分类方法进行用户访问权限分配和按分类查看设备,可指定多种分类方法的应用顺序。
2)系统用户可查看被管理设备状态和系统历史日志。
独特优点:集中管控系统具有强大的报告报表生成和打印功能,包括生成当前活动用户状态报告, 当前活动端口状态报告, 系统设备报告,用户验证审计报告, 错误日志报告, Ping报告, 用户数据报告和用户组数据报告等。
3)系统用户可在一个整合的图形界面下管理服务器、串口设备和控制设备冷启动。
独特优点:系统用户访问CC-SG的单一IP地址,并经过集中的身份验证后,即可在同一图形化界面下控制系统中所有的被管理服务器、被管理串口设备和对设备进行远程电源的操作。
4.6关注系统的方便易用
1)不同语言的用户可使用不同语言界面访问系统,无需改变任何配置。
独特优点:Raritan的CC-SG系统在设计时就考虑到了国际化的支持,因此产品早在04年就支持国际化的语言界面。用户访问界面支持包括简体中文在内的7种语言版本(简体中文、繁体中文、英文、法文、日文、韩文、德文),可根据远程用户计算机的语言设置在中文和其他语言界面之间进行切换,无需更改集中管控系统的设置。
2)系统用户可使用专用客户端或多平台上的多种浏览器访问系统。
独特优点:系统的跨平台使用能力是检验系统成熟度的标准之一,Raritan的CC-SG系统不但可以管理跨平台的硬件设备,而且还支持宽泛的用户操作系统,不必强求用户使用此系统时只能用Windows系统的电脑操作。系统用户可根据使用习惯和具体需求来选择浏览器或专用客户端软件方式进行访问,支持多种平台的浏览器。(支持Windows和Linux, Mac, Sun Solaris平台上的Internet Explorer, Mozilla,Firefox,Netscape浏览器。)
3)远程用户如同直接使用本地鼠标、键盘和显示器操作服务器,并可对服务器显示画面作任何比例的缩放。
独特优点:整个系统在传输服务器控制界面和串口设备控制界面时,均采用矢量方式传送。当远程用户访问系统中的所有服务器设备和串口设备时,操作画面均可支持无级缩放和无任何边框的全屏显示,完全模仿被管理设备操作界面,当用户操作服务器控制界面时,可通过单一快捷键完成所有操作功能。
4)鼠标自动同步简化安装配置。
独特优点:传统的安装方法是要对每一台被管理设备的鼠标进行配置才能达到管理人员的鼠标和被管理服务器的鼠标同步,KX III支持鼠标自动同步功能,系统自动同步鼠标,无须管理人员针对每台设备进行调试配置。
第五章Raritan方案优势与特点
5.1解决方案的安全性
5.1.1设备自身安全性
1、采用专用的硬件环境和软件系统
Raritan产品全部采用纯硬件并内置定制化的操作系统内核。纯硬件的设备具有较高的安全性和可靠性,而操作系统采用了定制化设计,删除操作系统中不必要的组件和不必要的通信端口,避免遭受病毒和木马的攻击。大大提高了整个系统的安全性。
纯硬件设计的优势:
- 系统的安全
CommandCenter采用专用系统的核心很小,可以让网络应用更加安全可靠。而通用操作系统除内核外还包括用户界面 (UI) 以及大量的应用软件,这些大量的软件、GUI等都会可能导致更多的软件认证系统的Windows(Linux)技术漏洞。目前出现的病毒和攻击工具,大多数都是针对通用操作系统的。从根本上决定了认证系统的安全区别。
- 安装维护
CommandCenter采用专用硬件,维护量很少。同时CommandCenter还独创了智能向导功能,可以智能指导用户维护,同时,明确的系统指示灯可以很直观的反映设备运行状态。
- 成本
CommandCenter采用性价比很高的硬件设计,为客户提供接入认证功能的同时,对产品的稳定性、可靠性、智能性做了很多方面的细节设计,最小程度的减少客户的维护成本。
而维护成本方面,CommandCenter可以很少考虑安全因素(系统的漏洞,防止病毒,防止软件之间的冲突等等)。
5.1.2数据传输安全性
Raritan产品为了保证数据的高安全性和完整性,采用SSL(Security Socket Layer)RC4 128或 AES256(高级加密标准)两种加密机制,所有的验证数据均进行加密,用户对服务器的鼠标、键盘、显示器三路型号及对网络设备Console口的操作过程进行了变量传输加密方式,保证了占用最少带宽传输最高安全性的数据。
5.1.3用户访问控制
多么完善的安全策略,一旦被IP欺骗进入用户网络,那么损失是不可估量的,尤其是集中管控这样的核心管理系统,Raritan是业界唯一一家采取IP ACL方式通过过滤机制严格控制用户访问的集中管控系统解决方案,在政府行业有多个成功应用。
Raritan的解决方案支持访问控制列表 (ACL) IP-过滤, 超级用户可以允许或者限制用户访问设备的IP地址,并可以将用户所在用户组与其IP地址进行对应设置,从而实现每个用户基于IP ACL的访问控制设定。
可以将FFFF核心交换机或出口路由器上的ACL列表规则列入CC-SG的IP ACL列表库,这样好处是:
- 成为用户既有网络安全策略中的又一道安全屏障。
- 接受用户安全策略,全网统一,利于安全工程标准化实施。
网络设备与CC-SG集中管理系统均支持IP ACL
5.1.4用户验证的安全性
- 认证
Raritan提供的解决方案采用了内置验证系统,并可以为用户提供第三方的认证方式,系统在自身提供验证机制外,为用户提供了多种认证服务器(相同类型或不同类型)做认证工作,用户可以指定选择其他认证方式的顺序,比如, LDAP 首先, AD第二, TACACS+ 第三……。
- 授权
本系统提供了强大的权限管理方式和方法。可以根据管理人员分组,被管理设备的属性和类别(位置、平台、厂商、应用等)来划分管理权限。还能实现基于时间段的权限控制。
- 记录
系统日志管理,每台Raritan的设备都支持业界标准的SYSLOG协议,可将所有系统日志上传到日志服务器,实现对日志的整合管理,纯文本格式的syslog比带CSV等格式的文件更方便第三方网管系统的分析处理。
系统内部也存有相关日志,例如:用户、设备的访问记录、审计跟踪、设备端口利用情况日志,系统日志等,并可以支持这些日志的导出,导出格式为业界标准的CSV格式,可以轻松的用Excel打开,方便保存。
CommandCenter日志管理
导出为Excel的日志文件
- 操作过程记录和回放
对于基于的串口操作的被管理设备,可使用业界标准的NFS服务器进行操作过程的记录。通过对历史操作的回放,可以快速发现故障出现之前的各种误操作行为,判断故障产生的根本原因。在提高系统安全性方面,该设备将作为一个实时记录者,时刻监视所有对被管理设备的操作,对恶意操作行为的发生起到很大的威慑作用。在审计方面,该设备提供的操作过程记录,可成为追究事故责任的重要依据,同时满足SOX法案404条款的要求。
根据Raritan公司多年带外管理实施经验,用户将日志和操作信息统一存放至独立的日志服务器,可以提供更加可靠、可用的日志,并且更加方便了管理员对全局日志的统一管理及审计。
5.2解决方案的可靠性
5.2.1硬件系统自身的可靠性
CommandCenter采用专用的硬件,在可靠性方面可以得到很好的控制。一般采用工业主板,其平均无故障时间明显少于PC机。
带外网管系统由于需要长期运行,稳定性显得十分重要。为了让设备可以7×24运行;需要考虑很多方面的因素。CommandCenter硬件架构设计可免除病毒干扰,无补丁工作困扰。产品工艺设计如下:
1)从硬件的稳定性上讲,CommandCenter是靠专用硬件来完成的。
2)从系统设计上来说,专业系统设计初衷就是为了网络服务,可以很好的结合内核程序,解决以上类似问题。
软件方式认证系统采用通用操作系统作为系统的根基,其可靠性取决于安装这个软件的PC机。这在一定程度上说明了软件认证系统的可靠性是不可控制的。而且依赖于操作系统,系统其他的软件导致的冲突或者资源占用的情况也会对认证系统的可靠性带来影响。
5.2.2硬件的冗余设计
CommandCenter系统自身采用了纯硬件冗余设计,例如:双网卡、镜像硬盘等,并且CommandCenter是采用专用的硬件设计,设备自身已经提供很好的安全性和可靠性。无论从可靠性还是系统性能方面,完全满足政府行业的99.999%的高要求,Raritan提供的异地冗余认证系统设计,可以支持异地的CommandCenter冗余备份,即便是主CommandCenter所在机房出现网络不同、系统掉电等异常情况,也能保证该系统的正常运行。
即便两台异地的CommandCenter都无法联通时,管理员仍然可以直接登录至DKX或DSX后,对被管理网元设备进行控制,直接登录DKX III或DSX的用户必须经过DKX III和DSX的认证,并且可以被记录。当任意一台CommandCenter正常工作时,管理员都必须经过CommandCenter进行集中认证。
CommandCenter SG双机热备示意图:
| Command Center双机冗余 |
CommandCenter双机冗余
5.2.3多链路冗余设计
解决方案中,包括DKX III、DSX、CommandCenter自身都具备多链路冗余设计,例如
- 每台设备提供了双网口冗余的设备
- 所有设备均提供本地端访问接口设计,并同样需要认证
- 每台设备(CommandCenter,DKX III,DSX)均内置了Modem接口,支持Modem紧急访问功能,保证在6K的拨号带宽的情况下,正常进行访问,同时为了保证系统的安全性,系统提供了回拨功能,及用户认证功能。
5.3解决方案的易用性
5.3.1全部采用中文定制化操作界面
CommandCenter是业界第一家提供了全中文、定制化用户界面的系统,可以根据需要将用户的Logo设置为系统的主登录界面,并且CommandCenter可以根据管理员的客户端的语言设置自动匹配CommandCenter管理界面的语言设置,所有操作不需要人为干预。
5.3.2提供了代理模式和直联模式
由于KVM系统管理的是智能网内部所有网元设备,这样访问的速度和方式就很重要了,CommandCenter提供了直联模式和代理模式,根据用户登录的IP地址自动选择是直联模式还是代理模式,使得无论局域网用户还是广域网用户都能很好的对KVM系统进行访问。
5.3.3可以自定义的计划任务
用户可以根据自己的需要,进行计划任务的设置,从而在管理员不登录KVM系统也能进行日常的操作,具体操作例如:备份CommandCenter;电源管理;重启设备;升级设备等操作。
5.3.4独特的屏幕无级缩放及多屏幕显示功能
CommandCenter为了方便用户在一个屏幕下管理、监控更多的设备,提供了多屏幕显示功能,同时可以支持多个被管理设备的屏幕在同一个窗口下显示,并支持被管理设备的屏幕无级缩放,使得管理员看到的每一个屏幕都是完整的。
5.3.5每日信息提醒功能
CommandCenter的每日消息提醒功能,可以为用户设定日常所需工作安排,管理员每日登陆KVM系统,都可以进行当日操作提醒
5.3.6方便的本地接口模块
Raritan解决方案为FFFF的重要的服务器提供了支持本地端接口的服务器接口模块,PC服务器的为UKVMC,在不对服务器进行热插拔的情况,可以对该服务器进行操作
5.4方案符合SOX法案要求
5.4.1 SOX法案对系统维护提出的要求
- 对应用系统的用户应按个人创建单独的用户帐号并赋予相应的权限,避免多人共享同一帐号的情况出现。
- 能够对特定权限的管理人员的操作提供日志和操作的记录,以供审计。
- 系统应支持严格的口令策略,例如:密码到期强制更新。
5.4.2 Raritan提供的解决方案
1、实现单人单账号管理。
FFFF IT集中远程管控系统(包括DKX III,DSX,CC-SG)具有强大的用户管理功能,管理员在通过KVM系统登陆代理服务器时必须使用各自的用户名和密码,满足了SOX的单人单账号的要求。
2、实现对所有操作的完整记录和审计。
DSX系统支持NFS(Network File System,网络文件系统)和 Syslog(System Log系统日志)。所有管理员的登陆信息记录在专门的Syslog服务器上;对代理服务器的操作被完整地记录在专门的NFS服务器上。只有特定的审计人员才有权访问NFS和Syslog服务器。通过脚本编程,提供关键字搜索功能,可以提高日志审计的可操作性和有效性。
3、实施严格的口令策略。
FFFF IT集中远程管控系统(包括DKX III,DSX,CC-SG)支持强大的口令策略,具体如下:
- 可以自定义的密码长度和历史深度,及密码过期时间
- 密码中必须包含一个大写字母
- 密码中必须包含一个小些字母
- 密码中必须包含一个数字
- 密码中必须包含一个特殊字符
- 密码输入错误锁定及通知功能
综上所述,整个系统部署后可以使所有FFFF数据中心系统及网络设备在账号管理授权、日志审计及口令策略等方面满足SOX的要求。
| 相同帐号多人登陆限制 |
| 帐号锁定策略 |
| 严格密码要求 |
5.5方案的可管理性
5.5.1管理的灵活性
当用户通过CC-SG访问关键节点时,集中认证控制系统在多人访问时可支持中文交谈,当关键节点出现故障,网管员可邀请异地技术人员基于同一设备进行协同维护及管理。可以支持中文聊天,并可支持同一设备调试时拷贝命令行。
关键节点访问支持中文聊天
5.5.2部署集中管控系统既可满足现有方式,又发挥技术带动管理的特点
通过部署Raritan IT集中管控产品可以通过技术手段发挥带外管理的优势,提供先进的“无人机房”管理方式,节省人力,节省精力。当用户希望数据中心建设采用“总体规划,分步实施”的策略时,可以用CC-SG整合目前通用的许多第三方的产品,包括:整合服务器厂商的管理工具(HP iLO/RILOE, Dell DRAC, IBM .)、整合带内远程访问软件(RDP, VNC ,SSH,etc..)。
给用户充分的自主权,可以通过CC-SG整合带内管理方案的方式作为今后集中控管系统(CC-SG,KX III,SX)整体实施的过渡。
CC-SG整合带内管理工具
第六章大规模实施案例介绍
6.1典型案例:武警部队
中国人民武装警察部队总部和各个省市总队支队数字KVM项目超过8000个设备点,拓扑图如下:
通过远程集中管控系统中CCSG所具有的精细化和强大的管理功能,可以完全按照管理人员的职责和权限来灵活方便的实现集中远程管理。针对具体的分支机房管理人员和总部管理人员可以实现如下的管理方式:
总部级的管理方式
- 管理权限:
监控管理全系统的设备,可以按照人员职责划分不同的管理帐号权限来管理不同的设备或不同省市的设备。
- 管理路径:
A.通过IP网络,实现远程管理。
B.通过PSTN电话拨号网络实现在IP网络不可访问时的应急访问。
- 管理深度:
可以随时监控到任何地点的设备状态,并可以直接登陆到设备上进行操作;系统内使用人员权限的划分管理,系统内所有设备的管理,系统的统一升级(CCSG、DKX2、DSX)等
分支级的管理方式
- 管理权限:
管理分支机房内的设备,可以按照人员职责划分不同的管理帐号权限来管理不同的设备。
- 管理路径:
A.通过DKX2和DSX的本地管理口进行设备的本地管理。
B.通过IP网络,实现远程管理。
C.通过PSTN电话拨号网络实现在IP网络不可访问时的应急访问。
- 管理深度:
设备日常状态的查看;设备配置更新;设备内核升级;设备重起;设备加电断电诊断等。
6.2典型案例:申银万国数据大集中项目
本次项目是证券行业最大的一次KVM应用案例,用户经过多次技术交流和方案讨论,最终选择Raritan数字KVM产品服务其核心机房及109个营业网点。
力登产品部署特色如下:
在外高桥及昌化路机房采取力登CCSG双机实现异地备份,实现核心认证部分的冗余。
在核心机房采取高密度的DKX2-464集中管理服务器,在分支网点采取DKX2-108管理营业部的服务器。
为防止广域网线路质量不可靠,每个营业厅配置1台DSX4管理网络节点的Console接口,实现带外网管。
对于每个维护人员的操作,实现行为审计,审计设备也采取主备模式部署,均衡负载,并实现故障分担。
6.3、典型案例:山东联通IDC
需求分析
山东联通网管中心在山东各地的机房分布着许多网络交换机等串口设备,原先采用telnet管理,在实际管理中每台串口设备有各自的地址,管理人员要记忆很多地址,非常繁琐。更严重的是外地的串口设备一旦死机,济南的网管人员必须赶到当地重启设备,造成故障无法及时解决,严重影响工作效率。为此山东联通网管中心的串口设备远程集中管理的需求非常迫切。原先山东联通的其他部门也曾经采用过其他品牌的KVM产品,但其他品牌的产品对于串口设备的远程管理效果并不理想。
解决方案
因此山东联通网管中心经过比较,最终采用了由Raritan公司出品的数字机房远程集中管理系统。系统设备包括DKX2系列,远程电源管理模块,CCSG等。随着系统方案的成功实施,现在在济南的网管人员在任何地方,任何时间都可以通过登录SSSG,在一个页面下轻松管理山东省各地机房的串口设备,以及刀片服务器和虚拟机。
6.4、典型案例:国家电网北京和西安冗灾中心
需求分析
国家电网为了保障重要数据的安全,在西安和北京建立了两个大机房,互为容灾中心。建立两套功能相同的IT系统,互相之间可以进行健康状态监视和功能切换,当一处系统因意外(如火灾、地震等)停止工作时,整个应用系统可以切换到另一处,使得该系统功能可以继续正常工作。
对于国家电网数据中心来说,传统管理方式,使得进出机房的人员增多,对于机房本身安全也是一大隐患,而且部分工作人员不得不奔波两地,时间和出差费用也很高。
为了解决以上问题,本着改善机房运行环境,降低运维成本,提高运维效率,加强机房安全管理,将在北京和西安数据中心下一代系统中,采购IP-KVM集中管控系统。提供跨平台、跨系统的统一接口,通过与带内模式的结合,通过Raritan带外管理系统实现无缝隙的对设备的监控、维护及快速故障处理。
Raritan解决方案
国家电网全国灾备中心(北京亦庄)
北京机房描述:
32台DKX2-432管理1000台服务器
8台DSXA-32 管理250台串口设备
4台集中认证系统CCSG 实现热备集群
国家电网西安冗灾中心(西安)
西安机房描述:
42台DKX2-432管理1300台服务器
7台DSXA-48 管理300台串口设备
3台集中认证系统CCSG 实现冗余热备
使用Raritan纯硬件的集中管理平台CCSG,将CCSG连接到IP网络。集中管理接入层中的DKX2、DSX设备。用户只要登录CCSG即可通过整合的中文界面访问所有服务器,当安装了CCSG后,使用者不能直接连接接入层设备,而需要访问CCSG通过统一的界面进行集中的身份验证和权限分配后才能访问各台被管理设备。
Raritan方案的技术特点
本项目无需用户提供任何的支持设备即可完成数据中心全部的远程设备BIOS级的管理功能。方案中选用的所有KVM设备都配置了双电源和双网卡,保证了整个方案的高可用性;所有选用的设备均符合业内的强壮密码保护机制,保证了系统安全性。
- 用户只需一次登录,就可以远程管理被授权管理的任意的服务器或IT设备:支持多种硬件接口(如PS/2、USB、SUN、串口以及Console等接口类型),并支持多种硬件接口间无缝切换
- 实现虚拟媒体的功能:可将登录管理端本地的U盘、CD-ROM、ISO文件及硬盘等虚拟到远程服务器设备直接完成文件的安全传输,快速完成升级、打补丁、甚至远程安装操作系统。
- 实现对最新服务器管理技术的完美支持: 除了可集中管理传统通过键盘、鼠标和显示器连接的服务器,还支持嵌入式管理,如iLO/iLO2、DRAC、RSA和IPMI,并提供了带内管理工具(如VNC、RDP、Telnet等)的整合,并支持对虚拟化主机及中心及各型Blade Server刀片主机的端口级的集中管理。
- 实现对最新服务器管理技术的完美支持:方案除了可集中管理传统通过键盘、鼠标和显示器连接的服务器,还支持嵌入式管理,如iLO/iLO2、DRAC、RSA和IPMI,并提供了带内管理工具(如VNC、RDP、Telnet等)的整合,并支持对虚拟化主机及中心及各型Blade Server刀片主机的端口级的集中管理。
- 实现本地和远程相结合的数据中心管理模式:DKX2-432支持4个IP远程及1个本地接口,可将本地管理端口连接三合一控制台(键盘、鼠标、显示器一体机)实现机房本地的授权控制;每台DKX2设备均带有双电源、双千兆以太网口的高冗余的硬件配置,并支持带外虚拟媒体、强制鼠标同步等功能。
- 审计功能:方案提供了事前和事后审计功能,可对用户登录到端口操作的目的性操作进行记录,可查询和统计,以提高了系统审计的能力,支持Syslog、SNMP协议,提供多种分类查询报告。
- 实现服务器设备安全、快捷连接:DKX2支持自动退出宏及自动连接宏功能,当用户退出远程服务器KVM界面,则自动完成屏幕安全锁屏,当客户登陆到服务器界面时可自动进入到密码输入界面,提高操作访问的便捷性与安全性。
在考虑链路备份冗余方面, DKX2、DSX均提供备份的Modem接口,以便在网络连接失效时可使用模拟PSTN网进行拨号应急访问。
6.5、典型案例:北京地铁全天候24小时监控管理中心系统
北京地铁 4 6 7 8 9 14号线等多条线路,每条都采用力登25台以上KVM设备和100多条iPDU ,有力保障了地铁的安全高效运行.
地铁系统KVM应用的需求分析
按照物理地点分析
- 控制中心IT系统的集中远程管理,是指对控制中心内的所有IT设备进行集中接入、统一管理、故障快速定位
- 车辆段(停车场)、车站的机房内,IT设备数量较少,但设备类型不同,且工作环境较为复杂
按照应用系统分析
- 客运管理(包括ATC系统、自动售检票系统、乘客信息系统、CCTV系统、广播系统和屏蔽门/安全门系统等)、
- 运营设备管理(综合监控系统、环境与设备监控系统、电力监控系统、火灾自动报警系统和门禁系统等)
- 通信管理(传输系统、无线调度系统、公务通信系统、专用电话系统和时间同步系统等)
北京地铁Raritan解决方案
每个站台都有至少有一条DKX2设备远程管理服务器和网络设备。
同时每个站点都有4条Raritan的智能PDU,同时确保设备的用电安全,可清晰知道每台设备的用电情况,可远程开关设备排障。
Raritan方案的特点
- 全硬件系统设计:
提供的设备在组建设计中全部采用了纯硬件嵌入式操作系统,即提供了很好的可靠性。产品的MTBF达200000小时。
- 防震动:
对设备的统一接入采用了硬件I/O接口的连接,这些接口在应急操作过程中起到 了应急修复控制的作用,而对这些接口的链接为了保证安全性,采用了专用的固定方式进行固定,保证了在车站、车辆段的机房内,即使震动也能保证不会脱离物理连接。
- 多管理方式冗余:
系统除了可以提供原有管理方式的登录外、还可以提供带外接口的登录(更加深层次的接入)。
- 多接入链路冗余:
系统自身的接入全部采用了TCP/IP为基础的接入方式,而对于车站、车辆段则采用其它接入方式与TCP/IP方式互补,其中包括:TCP/IP接入;PSTN接入;专用端口接入。
- 快速的登陆方式:
方案采用了B/S方式进行登录,并且支持多种常见的浏览器(IE、Firefox等),访问速度快,并且访问方式通用,管理员可以在任意授权的终端通过用户名/密码进行登录并访问。
- 简单直观的界面:
访问和管理界面全部采用了简体中文界面,系统根据客户端自动调整语言。并且方案的界面清晰,IT设备导航、IT设备电子标签等,为管理员提供了详尽的设备信息。
- 精确的设备定位:
方案的设备导航可以按照车站、车辆段(停车场)、中心机房等物理位置,或者按照ISCS系统、AFC系统、信号系统等应用系统进行多级菜单浏览,显示方式非常直观。并且对每台连接设备可以进行状态监控,当设备连接状态出现异常等情况,系统可以通过多种方式告知管理员。
- 全局控制,流程管理:
提供行业中独有的DPA操作功能,服务于接入的IT设备,从而形成单次登录完成控制的全部流程:访问—管理—控制—故障处理—操作审计等全程操作。
- 与综合监控系统的整合:
提供多种方式与综合监控系统(ISCS)进行整合,通过SNMP、NFS、Syslog等方式将日志进行收集、分析、处理;提供WS-API、ODBC等方式与综合监控系统进行深层次开发;