数据灾备中心机房KVM监控管理系统投标文件.doc

第 1 页 人保南方数据灾备中心机房人保南方数据灾备中心机房 kvmkvm 监控管理系统监控管理系统 投标文件投标文件 第 2 页 目目 录录 1技术规范书要求技术规范书要求3 2对技术规范书的应答对技术规范书的应答3 3总体方案建议总体方案建议9 3.1建设目标 .9 3.2设计方案 .10 3.2.1系统拓扑图10 3.2.2方案连接方式11 3.3设备配置清单 .12 3.4解决方案特性说明 .13 3.4.1整体解决方案的合理性、可行性13 3.4.2应用方案安全、严密、具有一定的前瞻性15 3.4.2.1解决方案的安全性.15 3.4.2.2解决方案的前瞻性.15 3.4.2.3对刀片服务器系统的支持.16 3.4.2.4对虚拟服务器系统（vmware）的支持17 3.4.2.5对桌面管理系统 landesk 的支持.18 3.4.2.6解决方案的合理安排.19 3.4.2.7解决方案的高可操作性.19 4投标设备说明投标设备说明21 4.1dsr8035 kvm 交换机21 4.2dsr8030 kvm 交换机.24 4.3mp5300 服务器管理器网关.27 4.4安全审核服务器 .30 4.5dsview集中控管平台.32 4.6设备连接示意图 .35 第 3 页 1 技术规范书要求技术规范书要求 本技术规范书是人保灾备机房 kvm 监控管理系统技术规范书，并作为人 保（以下简称买方）向提供机房 kvm 监控管理系统设备的公司（以下简称卖 方）提出的工程技术要求及数据，本技术规范书应结合人保网络本身的特点和 业务发展的实际情况，从管理范围、建设规模、网络结构、功能要求、性能要 求、接口要求等方面对机房 kvm 监控管理系统进行规范性的描述。 本规范的制定依据为以下国际标准和电总的相关规范： 1) yd/t695-2004 市话通信系统过电压过电流防护原则及技术要求； 2) yd/t1051-2000 通信局（站）电源系统总技术要求； 3) gf002-9002.4 邮电部电话交换设备总技术规范书。 4) yd/t1478-2006 电信管理网安全技术要求。 2 对技术规范书的应答对技术规范书的应答 指标项指标要求投标要求是否满足 基本功能基本功能 管理员及 用户数 kvm 管理方式为集中管理，应 考虑到使用用户数，能满足用 户随时控制其权限内服务器。 本次投标的 avocent 集中控管 系统 kvm 管理方式为集中管理， 使用用户数等，能满足用户随 时控制其权限内服务器。 满足 访问通道 数 kvm 设备的访问通道数是该设 备一个最重要的指标，它标示 着设备的科技含量、易用性、 访问弹性及运维的快速处理， 为达到较好的性能，单台设备 并发通道一定不少于 8 个。 本次投标的 kvm 设备 dsr8035 的访问通道数是该设备一个最 重要的指标，它标示着设备的 科技含量、易用性、访问弹性 及运维的快速处理，为达到较 好的性能，单台设备并发通道 一定不少于 8 个。 满足 第 4 页 指标项指标要求投标要求是否满足 安全性问 题 安全问题包括输出数据的安全 及用户帐号的安全，要求用户 验证符合 128ssl、rsa 动态令 牌、u-key 等方式和协议。要 求 kvm 系统的集中管理系统具 备 4 台并发工作能力，及易维 护性。 安全问题包括输出数据的安全 及用户帐号的安全，本次投标 的 dsview 集中控管平台要求用 户验证符合 128ssl、rsa 动态 令牌、u-key 等方式和协议， 具备 4 台并发工作能力，及易 维护性。 满足 连接方式 采用 cat5 连接，也可延伸为 kvm 设备与 kvm 设备之间的级 联，要求 kvm 设备级联之后能 实现一站式管理，能通过桌面 远程管理服务器 。 本次投标的 avocent 集中控管 系统采用 cat5 连接，也可延伸 为 kvm 设备与 kvm 设备之间的 级联，kvm 设备级联之后能实 现一站式管理，并能通过桌面 远程管理服务器 。 满足 操作管理 功能 可分为按钮切换、热键切换、 菜单切换、点击选择等，而且 可以设置多个管理员和普通用 户帐号，实现设备专人专用、 专人管理。 本次投标的 avocent 的设备可 使用按钮切换、热键切换、菜 单切换、点击选择等，而且可 以设置多个管理员和普通用户 帐号，实现设备专人专用、专 人管理。 满足 产品成熟 性 要求具有三年以上通过市场验 证的产品。 本次投标的 avocent 集中控管 系统要求具有三年以上通过市 场验证的产品。 满足 主机硬件 兼容性 系统具有良好的兼容性，能 支持多种硬件接口平台（包 括 ps/2、usb、sun 以及 console 口接口类型等）。 本次投标的 avocent 集中控管 系统具有良好的兼容性，能支 持多种硬件接口平台（包括 ps/2、usb、sun 以及 console 口接口类型等）。 满足 操作系统支持多种主流操作系统，如本次投标的 avocent 集中控管满足 第 5 页 指标项指标要求投标要求是否满足 兼容性 windows 2000 server、windows 2003 server、unix、linux、aix 、solaris 等。 系统支持多种主流操作系统， 如 windows 2000 server、windows 2003 server、unix、linux、aix、s olaris 等。 组网及操 作范围 采用数字信号，系统以 ip 方 式组网，用户可以不受地域 制约进行全域操作。要求系 统可以实现 bios 诊断及系统 重启动等深层次功能。 本次投标的 avocent 集中控管 系统采用数字信号，系统以 ip 方式组网，用户可以不受地域 制约进行全域操作。要求系统 可以实现 bios 诊断及系统重启 动等深层次功能。 满足 认证系统 1）集中认证管理平台同 kvm 产品为同一品牌的产品， 本次要求集中管理系统应包 含 4 台（每楼层 1 台）的并 发工作的系统服务器，每台 都可以提供整个系统得认证 授权及访问服务。 2）系统支持自定义企业 图标和系统当日消息，方便 用户实现个性化管理。 本次投标的 dsview 集中控 管平台与 kvm 产品为同一品牌 的产品。 本次投标的 dsview 集中控 管平台服务器为 4 台（每楼层 1 台）并发工作的系统服务器， 且每台都可以提供整个系统得 认证授权及访问服务。 dsview 系统支持自定义企 业图标和系统当日消息，方便 用户实现个性化管理。 满足 kvm 设备 1）单台数字式 kvm 切换 设备具备远程 ip 并发数 8，单台设备可管理通道数 16。 2）kvm 设备在支持集中 远程管理的同时，提供本地 1）本次投标的单台数字式 kvm 切换设备 dsr8035、dsr8030 具备远程 ip 并发数=8，单台设备可管理通 道数16。 2）本次投标的 kvm 设备 满足 第 6 页 指标项指标要求投标要求是否满足 管理方式，以便在网络出现 问题时，保证本地正常的操 作。 dsr8035、dsr8030 在支持集中 远程管理的同时，提供本地管 理方式，以便在网络出现问题 时，保证本地正常的操作。 虚拟媒体 支持虚拟媒体技术，可 将管理者终端的 u 盘、 cdrom、iso 等媒体虚拟到 远程服务器，快速完成文件 的传递，系统的升级等操作。 为保证虚拟媒体的安全 性，虚拟媒体的读写及访问 权限应由集中管理平台控制。 并实现交互式读写操作。 本次投标的 dsview 集中控 管平台支持虚拟媒体技术，可 将管理者终端的 u 盘、 cdrom、iso 等媒体虚拟到远 程服务器，快速完成文件的传 递，系统的升级等操作。 本次投标的 dsview 集中控 管平台为保证虚拟媒体的安全 性，虚拟媒体的读写及访问权 限由 dsview 集中管理平台控制。 并实现交互式读写操作。 满足 安全性安全性 访问审计 所有服务器操作都要通 过集中控管平台进行，通过 此平台的所有操作必须进行 安全审核记录。每楼层与认 证控管服务器一起配置安全 审核服务器一台。 通过安全审核服务器， 记录用户通过集中控管平台 操作服务器的全程屏幕，要 求在访问控制端不能安装任 何客户端软件。 所有服务器操作都将通 过本次投标的 dsview 集中控 管平台进行，通过此平台的 所有操作都会进行安全审核 记录。每楼层与认证控管服 务器一起配置 dra 安全审核 服务器一台。 通过 dra 安全审核服务器， 记录用户通过集中控管平台 操作服务器的全程屏幕，在 访问控制端不需要安装任何 客户端软件。 满足 第 7 页 指标项指标要求投标要求是否满足 系统日志 集中认证管理平台可提 供有关日志和报表以利于管 理和决策，以保证对 kvm 系 统的审计。 本次投标的 dsview 集中控 管平台可提供有关日志和报表 以利于管理和决策，以保证对 kvm 系统的审计。 满足 安全认证 1）控管平台应具有内部 认证，并支持多种外部认证 系统：radius、ldap、nt domain、active directory、tacacs+必须支 持 rsa 双因素的令牌认证， 保证高度的安全策略一致性。 2）系统要求必须支持 x.509(u-key)认证。 本次投标的 dsview 集中控 管平台应具有内部认证，并支 持多种外部认证系统： radius、ldap、nt domain、active directory、tacacs+必须支持 rsa 双因素的令牌认证，保证 高度的安全策略一致性。 本次投标的 dsview 集中控 管平台要求必须支持 x.509(u- key)认证。 满足 增强型密 码的设置 可自定义密码最大和最 小长度，可自定义设定密码 可含有的字符种类，可自定 义设定密码过期时间等。 本次投标的 dsview 集中控 管平台可自定义密码最大和最 小长度，可自定义设定密码可 含有的字符种类，可自定义设 定密码过期时间等。 满足 acl（访 问控制列 表）功能 所有设备必须支持 acl（访问控制列表）功能， 要求提供 acl 与用户组捆绑 功能。 本次投标的所有设备支持 acl（访问控制列表）功能，通 过本次投标的 dsview 集中控管 平台可提供 acl 与用户组捆绑 功能。 满足 网管协议 1）系统硬件支持 snmp 协议，可以纳入网管系统统 一管理（例如：openview）。 本次投标的 kvm 设备 dsr8035、dsr8030 系统硬件支 持 snmp 协议，可以纳入网管系 满足 第 8 页 指标项指标要求投标要求是否满足 2）系统整合带内访问软 件 rdp, vnc ,ssh 等。 统统一管理（例如： openview）。 本次投标的 dsview 集中控 管平台整合带内访问软件 rdp, vnc ,ssh 等。 可管理性可管理性 提供虚拟 域管理模 式 支持分域的管理方式。 在集中管理平台中将设备和 用户等资源划分到不同子域 （部门），每个子域（部门） 设立管理员，对自己所在区 域的 it 设备进行增删和管理 指派，实现以区域（部门） 的自治运维管理。 本次投标的 dsview 集中控 管平台支持分域的管理方式。 在集中管理平台中将设备和用 户等资源划分到不同子域（部 门），每个子域（部门）设立 管理员，对自己所在区域的 it 设备进行增删和管理指派，实 现以区域（部门）的自治运维 管理。 满足 kvm 设备 可独立工 作 当 kvm 集中认证管理平 台不可用的情况下, 单台 kvm 设备仍能独立安全运作, 通过认证后有关人员可通过 操作终端与机房内 kvm 设备 的直连，单台 kvm 设备支持 日志与虚拟媒体功能。 当本次投标的 dsview 集中 控管平台不可用的情况下, 单 台 kvm 设备 dsr8035、dsr8030 仍能独立安全运作,通过认证后 有关人员可通过操作终端与机 房内 kvm 设备的直连，单台 kvm 设备 dsr8035、dsr8030 支 持日志与虚拟媒体功能。 满足 辅助远程 控制 对服务器系统 ibm（rsa2）、hp（ilo）、 dell（drac）远程控制卡进 行管理 通过本次投标的 mp5300 对 服务器系统 ibm（rsa2）、 hp（ilo）、dell（drac）远程 控制卡进行管理。 满足 第 9 页 指标项指标要求投标要求是否满足 服务器监 控 通过服务器内部的服务 处理器管理服务器电源，并 通过 ipmi，监控服务器内部 温度，工作电压，风扇转速 等 通过本次投标的 mp5300， 服务器内部的服务处理器管理 服务器电源，并通过 ipmi，监 控服务器内部温度，工作电压， 风扇转速等 满足 告警 可对监控内容（温度、 电压、转速等）参数设置阀 值，进行告警，包括邮件、 snmp 等方式 通过本次投标的 mp5300， 可对监控内容（温度、电压、 转速等）参数设置阀值，进行 告警，包括邮件、snmp 等方式 满足 扩展性扩展性 系统扩展 在任何时候，无论是增 加要被管理的设备数量还是 增加用户终端数，均可以通 过线性增加或改变相应的设 备实现(热插拔)，不改变原 系统结构，不影响系统的正 常工作。 本次投标的 dsview 集中控 管平台在任何时候，无论是增 加要被管理的设备数量还是增 加用户终端数，均可以通过线 性增加或改变相应的设备实现 (热插拔)，不改变原系统结构， 不影响系统的正常工作。 满足 3 总体方案建议总体方案建议 3.1 建设目标建设目标 在“人保灾备机房 kvm 监控管理系统技术规范书”中，人保信息中心机 房内有众多的服务器、网络设备需要统一的集中远程控管。要求所有可控节点 必须通过 tcp/ip 方式访问。对于所有的用户需要具备权限划分，可以通过权限 的控制逐级对可控节点进行级别的访问。机房的众多服务器需在一个平台上得 到统一管理，以解决因大量设备分散分布所带来的管理不便，免除众多不必要 的外围设备而节省大量空间，从而更有效地保障整体机房的正常运营。此外由 第 10 页 于采用了 tcp/ip 的传输方式，在主控端和被控服务器端不用加载任何的附加软 件，有效防止单一接点出现故障影响维护和操作事件发生，达到远程的故障诊 断、故障排除、技术远程支援等目的，提高运维效率、节约人力资源成本。 3.2 设计方案设计方案 3.2.1 系统拓扑图系统拓扑图 第 11 页 3.2.2 方案连接方式方案连接方式 考虑到人保灾备机房 noc 中心这次需要接入管理设备的具体情况，对所 有服务器（包括 pc 服务器、网络交换机、路由器、小型机、）进行集中统一 管理；提供多个并发 ip 操作用户通过 tcp/ip 同时操作访问机房内所有 pc 服 务器、主机终端、小型机（console 口）；针对 kvm 管理方式，dsr8035 数字 交换机还可以提供 1 个本地操作终端方便管理用户进入机房在机架旁操作管理 第 12 页 其所连接的被控服务器，且 dsr8035kvm 交换机提供 vm 功能，满足日常维 护打补丁等传输数据；由集中控制管理平台 dsview 实现统一用户认证及访问 权限设置，除集中控制管理平台内部认证外，还支持 active directory、windows nt、ldap、radius、tacacs+、rsa securid 外部认 证系统；由集中控制管理平台 dsview 实现系统统一日志管理，功能包括：保 存、查询、索引、归档，日志内容包括访问日志审计、事件日志审计、数据日 志审计、告警机制； 方案连接实现：方案连接实现： 针对 dsr 系列数字交换机 对服务器的 kvm 接口进行管理 时，我们只需要在每台服务器的 键盘、鼠标、显示器接口都直接 连接一根 dsriq 服务器接口线 缆攫取键盘、鼠标、显示器信号， dsriq 服务器接口线缆再通过 普通五类线线（标准 568b）连 接到 dsr 系列数字交换机的被 控主机端口，dsr 系列的本地控 制端可以直接连接一套 ps/2 或 usb 接口类型的键盘、鼠标和显 示器提供管理用户进入机房在机 架旁操作管理其所连接的服务器； dsr 系列数字交换机的网络端口通过普通五类线连接到网络交换机，提供远程 管理用户通过 tcp/ip 操作管理。 远程 ip 操作用户只需要在 ie 浏览器内输入 dsview hub 中心认证服务器 或 spoke 分支服务器的 ip 地址经过权限认证后即可对机房内的所有的 pc 服务 器、主机终端、存储设备、小型机（kvm 或 console 口）和网络设备 （console 口）进行集中统一管理。不同的 ip 用户都通过开放式的 web 浏览器 只需鼠标点击即可访问到机房内相应的设备，通过简单的用户分组和权限设置 第 13 页 后不同部门的操作用户根据各自权限的不同可以访问各自不同部门的设备，每 个操作用户不但可以在自己的屏幕上打开操作一台服务器画面，还可以打开多 个服务器的界面轮流进行操作或监视不同设备的运行状态。实现最小化访问权 限控制。实现从单点技术管理、普通系统管理、区域本地管理过渡到全面集中 管理、安全系统管理和远程控制管理。 3.3 设备配置清单设备配置清单 型号型号产品描述产品描述数量数量 dsr8035 8 数字通道，1 本地用户(带 modem 口），32 接 口，机架式，cat5 30 dsr8030 8 数字通道，1 本地用户(带 modem 口），16 接 口，机架式，cat5 15 dsriq-usb2 服务器接口线缆，usb 键盘/鼠标 1200 dra 安全审核服务器 4 mp5300 服务器管理器网关 2 dsv3 集中控管平台服务器 4 3.4 解决方案特性说明解决方案特性说明 3.4.1 整体解决方案的合理性、可行性整体解决方案的合理性、可行性 本投标方案将人保公司这次工程所需连接的生产运行服务器、网络设备实 现了远程集中管理，通过 ip 方式进行集中管控，ip 集中管控的总数量为 1200 台。控管平台沿用原 noc 的集中控管平台，保证投资回报的最大化和可延续性。 统一设备管理 avocent 公司的 dsview 是带外管理架构（oobitm）统一的管理工具，可以 第 14 页 集中管理所有带外访问设备，如 acs、dsr、电源管理、ipmi、ilo、rsa 的新型 接口的管理和 ibm blade server 等新机型的管理同样纳入统一平台下，实现在 同一平台下的全方位的集中带外管理。 dsview 采用 b/s 方式，在统一的管理界面中，可实现： 带外管理架构的组成和变更 带外访问设备的配置、监测、升级和维护 对控管设备各端口所连接设备进行设置，包括名称、隶属部门、维护人 员、联系方式等信息 对所管理设备的直接管理 统一安全管理 系统提供统一的安全管理措施，具体包括： 身份认证 系统支持本地身份认证及第三方服务器认证，如 radius，tacacs+，nt 域 ldap，rsa securid，等认证技术，且支持动 态口令认证方式 ip 过滤 系统提供内嵌 ip 过滤技术，对来自于 lan/wan 的登陆进行 ip 过滤， 并提供 proxy 功能,使得 dsr8035 等设备的 ip 地址隐藏在后台 数据加密传输 系统对 kvm 信息全部采用 des、3des（128 位）、ssl 或 aes 算法 进行加密传输 权限管理 系统可根据用户的角色不同，进行用户权限设置、修改 统一用户管理 在 dsview 上实现系统的统一用户管理，避免在 dsr 上分别建立多套用户 管理系统，降低管理复杂度。统一的用户管理具体表现在： 统一的用户登陆界面 统一的用户创建、变更、删除管理 统一的用户组管理 统一的用户权限管理，支持共享、独占、隐身操作模式 第 15 页 端口视图：依据用户的权限，显示其所管理端口的视图。 统一事件管理 在 dsview 实现系统的统一事件管理。事件管理内容包括： 事件定义：按照关键字进行事件定义 事件侦测：在端口日志中，按照事件定义，自动监测事件发生 事件记录：在数据库中，记录事件的发生时间、关联设备、事件内容 事件通知：根据用户权限分配，以特定形式发送到相关用户 事件跟踪：相关人员可以记录对事件的处理方式和结果 统一日志管理 在 dsview 实现系统统一日志管理，功能包括：保存、查询、索引、归档： 访问日志 访问日志主要用于记录监控人员或网管人员对网络设备和服务器的 访问情况，包括了访问时间、访问端口、访问用户名、访问源 ip 地址。 访问日志以表格方式记录在 dsview 的数据库中 备份管理 系统提供完备的备份管理，具体包括： 冗余备份：dsview 最多支持 15 个备份，可以避免 dsview 的单点故障 配置备份：dsr8035 和 dsview 的配置信息可以备份和恢复 链路备份：在网络崩溃时通过安全的拨号连接，建立到 dsr8035 的连接 3.4.2 应用方案安全、严密、具有一定的前瞻性应用方案安全、严密、具有一定的前瞻性 3.4.2.1解决方案的安全性解决方案的安全性 安全管理功能强大，用户密码登陆及身份认证技术，保障系统安全性。 用户、用户组管理和权限管理，将管理级别进一步细划，提高了管理的 效率。 每个端口的用户权限控制技术和用户登录的视图技术，保证用户管理设 备的方便和安全。 所有服务器键盘、鼠标、视频信号均经过 128 位加密处理。 第 16 页 提供 ip 过滤功能，保证合法的 ip 地址才能访问。 支持本地身份认证及第三方服务器认证，如 active directory 外部认证 服务、windows nt 外部认证服务、ldap 外部认证服务、radius 外部认证服务、tacacs+ 外部认证服务、rsa securid 外部认证等。 3.4.2.2解决方案的前瞻性解决方案的前瞻性 avocent 是企业数据中心、中小型企业和分支机构 it 基础设施管理解决 方案的全球领先供应商，为各行业数万个数据中心提供了数据中心管理 解决方案。 每年有 14%的销售收入持续不断的投入到新产品的开发和研究， avocnet 将不断致力于为您的企业提供全面的管理解决方案和优良的服 务。 集中控管系统是一个以 dsview 为核心的系统，各种控管设备均通过 dsview 统一管理为用户提供便捷的机房管理方式。 当新的运维管理技术出现后，avocent 会快速的将其融入 dsview 的集 中控管平台下，使 avocent 的客户的运维手段始终保持世界领先水平。 第 17 页 3.4.2.3对刀片服务器系统的支持对刀片服务器系统的支持 在数据中心部署刀片服务器的好处 节省空间-每平方英尺更多的计算能力/服务器。 简化的基础设施和线缆-刀片机架供应冗余电源和风扇，减少了对连接不同 刀片服务器的外部线缆的需要，具有易于插拔刀片服务器的框架结构。 易于扩展-很容易添加更多的刀片服务器。 可恢复性。 维修效率。 动态负载平衡。 可管理特性。 avocent 基础设施管理专用设备与 dsview 3 管理软件配合提供了连接 所有刀片服务器的多种方式，不管刀片服务器是由哪家厂商生产的。此外， dsview 3 软件还未提供了访问和管理数据中心中的刀片服务器、机架式服务 器或独立服务器以及所有其他网络设备的单一用户界面。 支持的刀片系统 ibm 刀片机箱：bladecenter、bladecenter t、bladecenter h 和 bladecenter ht dell 刀片机箱：poweredge 1855 和 poweredge 1955 hp 刀片机箱：bladesystem c-class 和 bladesystem p-class 通用刀片机箱 3.4.2.4对虚拟服务器系统（对虚拟服务器系统（vmware）的支持）的支持 许多 it 机构或多或少的实施了 vmware 技术，在选定的物理服务器上创 建多个虚拟服务器。这种虚拟服务器的广泛使用可以提供诸多的优势-包括降低 硬件方面的资本支出、减少能耗和冷却容量方面的需求，以及实现更为灵活的 处理容量分配。 然而，虚拟技术的引入也给 it 机构的管理工作带来了许许多多的挑战。这 些新的挑战主要应归咎于两个基本原因： 1 虚拟服务器的本质与物理服务器不同，因此必须以不同的方式对其实施管 第 18 页 理，尤其是考虑到目前 vmware 工具不能神的诸多限制，管理工作的挑战就 显得更为明显。 2 数据中心只实现了部分虚拟化。也就是说，服务器既可能是物理机器，也 可能是驻留在物理机器上的多个虚拟机之一。 虚拟和物理服务器的混合为管理运营带来了新一层的复杂性。因此，it 机 构必须重新思考新的方法，对这些动态混合程度越来越高的虚拟和物理服务器 实施有效的管理。 avocent 帮助客户应对部分虚拟的数据中心环境所带来的管理挑战。 发现 virtual centers、vmware esx server 及其支持的虚拟服务器的能力。 将这些虚拟服务其包括在目标设备之内。 在虚拟机创建、拆除或移动时对目标设备列表进行持续的同步/更新。 通过 dsview3 管理控制台以精细的力度管理虚拟服务器访问权的能力，采 用与其它目标设备相同的方式，并且在对应的 esx 服务器上对许可进行自 动复制。 将虚拟服务器获得的时间和警报收纳于 dsview3 时间日之中，并用于现实 和相关的动作。 将虚拟服务器上的所有的管理操作捕获到 dsview3 审查日志中。 支持的虚拟服务器支持的虚拟服务器 vmware virtualcenter 2.01 版或更高 vmware esx server 3.01 版或更高 3.4.2.5对桌面管理系统对桌面管理系统 landesk 的支持的支持 avocent 机房集中管理系统与 landesk 管理软件的结合是您管理数据中 心的生活方式发生变化，实现服务器运营从头痛医头，脚痛医脚管理服务器的 反应是的方式向主动与控制的方式的转变即规划和测试、部署和变更一次， 然后利用可重复的配置模板部署多次。 这种方式带来的一致性和符合性为培置变更可以为可控的和可靠的方式来 计划部署打下坚实基础或建立基线。这将导致更高水平的运营效率和安全可靠、 符合企业服务器策略的系统。 第 19 页 landesk 的融合通过标准化方式配置服务器，可以在有多种物理和虚拟服 务器平台组成的数据中心中管理和部署，实现对异构的环境可以以一种更为一 致的方式来管理。“设计一次、部署多次”的方式提供高控制水平，是自动完 成服务配置、补丁修补和软件分发等主要操作任务的自动化成为可能。 在与 avocent dsview 3 管理软件配合使用时，landesk 扩展为包括一种 完全的带外管理解决方案。这种方式通过实现对服务器硬件的“永不间断”的 远程访问。进一步完善 landesk 管理平台的系统管理功能。对服务器“永不 间断”的远程访问是无人值守数据中心的必要条件，它提供了真正的远程管理。 3.4.2.6解决方案的合理安排解决方案的合理安排 本项目的建设旨在满足“人保灾备机房 kvm 监控管理系统”项目各机房 的带外集中管理需求，提供带外管理操作手段，通过先进的软、硬件控管技术， 实现服务器、网络设备的日常运维、集中控管和紧急情况下的排错维护。 北京昕辰华业科技有限公司将根据人保这次 kvm 系统工程的特殊情况，为 “人保灾备机房 kvm 监控管理系统”项目设计一套方案，它将满足服务器远 程集中管理的要求、能够高效稳定运行、具有易管理性、安全性和良好的扩展 性。 集中控管平台沿用原 noc 的集中控管平台，保证投资回报的最大化和可延 续性。 北京昕辰华业科技有限公司服从人保的统一协调，在系统集成方案设计、 设备供货、工程实施、技术支持与售后服务、运行维护等方面和人保相互配合， 第 20 页 并严格遵循统一领导、统一规划、统一标准、统一组织的实施原则。 北京昕辰华业科技有限公司在本项目中系统集成的目标是通过质量管理， 最大程度的规避风险，保证项目的顺利实施，按时、保质完成所有任务，让用 户满意。 3.4.2.7解决方案的高可操作性解决方案的高可操作性 集中控管系统具有良好的可操作性，访问端只要网络连通即可通过 ie 等浏 览器工具访问到控管系统。 每台控管设备提供一套接口供接本地键盘、鼠标、显示器，使用户在维护 时方便的通过本地操作台进行维护。 集成方案建议 多机房 it 基础设施集中控制系统互访问题 集中控制系统实现多机房统一化管理，方便集中监控、控制、管理、运 维，提高运维效率。各部门和各机房的 it 基础设施，应当考虑统一设备管理、 人员管理、日志管理，在业务系统出现故障时，能够有应急系统和相关方面的 专家及时隔离故障和解决系统问题。 集中控管系统逻辑划分的实现 服务器设备逻辑分组说明 首先，按照各服务器设备所属单位部门进行划分。 其次，对于每个组别中的各台服务器设备，分别添加各自的标志信息，如： 应用类型、设备型号、操作系统、ip 地址、联系人、联系电话等。 当用户需要时，还可对以上信息进行导出，保存为.csv 文件，更方便用 户直观地对具体服务器进行各项操作。 安全权限设置 avocent 数字解决方案针对应用，设置了 5 层用户安全级别控制方式： i）外部结合认证 可通过外部认证系统实施外部验证机制，avocent 目前支持 ad，nt domain，radius，ldap，tacacs+，rsa securid 六种外部认证系统 ，使得各 操作人员仅需牢记一套密码即可对具有管理权限的 kvm 系统及日常生产进行 第 21 页 同时操作和维护。方便快捷安全高效。 ii）服务维护人员登录 可通过 dsview 系统针对不同用户设置不同等级的用户权限，管理相应的 服务器；任一用户在访问终端设备前，必须先通过多冗余设计的认证服务器 （hub 或 spoke）的严格权限验证（sspi、aasp 专用安全协议），成功后才能 访问到具有相应的终端设备并进行相应权限的操作，此其间所有的鼠标、键盘 及视频信号的传输皆采用可选方式的 des，3des，128 位 ssl，aes 加密算法， 并可结合利用防火墙的端口设置等功能，最大程度地保障了系统的安全性能。 iii）访问时间短控制 结合人保外部认证系统，可指定用户在指定时间访问相应服务器设备，增 强了系统的安全完备性。 iv）操作权限控制 可由 dsview 系统分配给各不同用户不同的用户权限。 v）绑定 ip 控制 dsview 具有的强大功能使得系统可指定访问用户的 ip 地址列表，使得仅 在此列表中存在的 ip 网段内的访问用户可以访问到 dsview 系统，防止了各种 外部无效访问，大大增强了系统的严密性。 具体机房改造工作步骤建议 对整个数据中心进行改造工作，若没有做好妥善的计划和步骤安排，将会 给改造工作带来极大的不便。avocent 结合多年机房工程的实施经验，先提出 具体改造工作步骤建议如下： a.要求每一台主机都必须先行填写相应的“设备信息表”，在此 表中，应包含每台主机的应用名称、设备型号、所属单位、负 责人及联系方式、ip 地址、操作系统、设备编号、访问对象、 设备用途等等； b.由具体签收人员对指定设备进行验机签收； c.由系统管理员按照机房布局图及服务器分布表对每台服务器进 行具体位置放置； d.由系统管理员开启新账号，分配相应权限； 第 22 页 e.将新账号交与具体日常维护管理人员，进行相应操作。 f.如上所述，管理员可有条不紊地对各设备进行放置及维护。 4 投标设备说明投标设备说明 4.1 dsr8035 kvm 交换机交换机 32 端口 dsr8035 kvm over ip 交换机提供 8 条同步数字通道用于远程 访问和 对数据中心内所有连接的服务器和串行设备进行 bios 级的控制。您可 以远程重新启动所连接设备的电源，并在网络出现故障时提供外置调制解调器 支持。 dsr 8035 交换机配备有与 internet explorer、mozilla、firefox 或 netscape 兼容的板载 web 界面，可用于访问和控制基于 ip 的服务器。 这为 那些需要可灵活伸缩扩展系统的公司提供了便利。 随着系统的扩展，可以使用 dsview 3 管理软件。 通过这个强大的集中 化管理工具，您仅需一个单一界面即可以安全方式访问和控制服务器和网络设 备。其中心和分支架构可以提供故障转移验证。用户接受中央管理服务器（中 心）或 15 个镜像服务器（分支）中的一个服务器的验证。另外还提供 snmp 和 ipmi 支持。 dsview 3 软件也可将虚拟媒体功能添加至 dsr8035 交换机。虚拟媒体功 能允许远程加载软件，以便于进行文件传输、应用程序和操作系统补丁安装以 第 23 页 及诊断测试。 特性与优点特性与优点 特性特性优点优点 用户用户 远程服务器管理32 端口 dsr8035 kvm over ip 交 换机， 1 个本地用户，8 个数字用户， 可 以进行本地和远程服务器管理。32 端口紧 凑型结构，节省了硬件和机架空间，从而降 低了每个服务器端口的成本。 虚拟媒体支持与 dsview 3 管理软件配套使用时， dsr8035 交换机可提供虚拟媒体支持。通 过该软件可将 cd-rom 和其他存储媒体映 射到远程分支服务器，以执行文件传输、应 用程序和操作系统补丁安装以及 cd-rom 诊断程序。 kvm 和电源控制整合解决方 案 集 bios 级别访问和电源控制于一身 的解决方案。在网络出现故障时还提供外置 调制解调器支持。提供两个可直接连接至电 源管理设备的电源控制端口。 管理管理 板载 web 界面通过板载 web 界面可直接访问目标设 备，无需再使用其他软件。这对于希望拥有 可伸缩扩展系统的小公司管理员来说，非常 有益。可根据系统扩展的需要，在日后添加 dsview 3 软件。 单一的管理平台通过配套使用 dsview 3 软件和 dsr8035 交换机，您就可以通过一个单一 的界面管理包括数据中心和分支办公室在内 的整个 it 基础设施。 访问启用 ipmi 的服务器使用 dsview 3 软件，it 管理员还可 以监控和管理温度、风扇和电压等系统运行 状况。 通知dsview 3 软件为定义的系统事件发送 snmp 陷阱和电子邮件通知。 制定计划dsview 3 软件简化了日常任务、更新 第 24 页 和文件加载（包括任务的自动定制和更新） 的管理。 两个网络界面端口提供网络故障转移冗余 安全性安全性 故障转移验证 dsview 3 管理软件具有中心和分支架 构，提供故障转移验证以确保系统的可靠性 和安全性。 用户日志和访问控制dsview 3 软件具有高级的安全性，包 括审查日志功能，并可为每个用户单独分配 权限。 需要在本地登录必须通过本地端口才能登录，更安全可 靠 规格规格 机械规格机械规格 高度4.37 cm 宽度43.18 cm 深度36.20 cm 重量4.5 kg，不包括缆线 环境规格环境规格 工作温度0 至 50 存放温度-20 至 70 电源电源 工作电压交流 100 至 240 v 电源频率50 - 60 hz（自动检测） 输入最大 60 w 支持的硬件支持的硬件 计算机ps/2、sun、usb 显示器vga, svga （xga 和 xga-ii，带适配器）, 最大分辨 率: 1280 x 1024 75 hz 外围设备usb 键盘和鼠标、ps/2 键盘、ps/2 鼠标、 intellimouse 第 25 页 标准标准 认证机构ul、fcc、cul、ices- 003、ce、gs、vcci、mic、c-tick 和 gost 4.2 dsr8030 kvm 交换机交换机 通过 16 端口一数字通道的 dsr8030kvm over ip 交换机，您可以对数 据中心内所有连接的服务器和基于串行的设备进行 bios 级的控制， 为您管 理分支办公室的设备提供了极大的方便。dsr8030 交换机专为方便您对分支办 公室的服务器或串行设备进行故障排除、重新启动甚至重新启动电源的操作而 设计，可避免现场服务所需的高昂花费。 dsr8030 交换机还带有一个 usb 端口，用于在网络出现故障时轻松访问 网络设备和外部调制解调器支持。交换机的视频是采用 dambrackas video compression 算法的高分辨率视频。dsr8030 交换机有一个板载 web 界面， 用于通过 ip 访问和控制服务器。 dsr8030 kvm over ip 交换机可提供虚拟媒体功能，使用 dsview 3 管 理软件，您可以将软件远程加载到分支办公室的目标设备上。dsview 3 软件 让您仅需通过单一界面即可安全地访问和控制服务器和网络设备。 其中心和分 支架构可以提供故障转移验证。用户接受中央管理服务器（中心）或 15 个镜 像服务器（分支）中的一个服务器的验证。还提供 snmp 和 ipmi 支持。 特性与优点特性与优点 特性特性 优点优点 用户用户 远程分支管理dsr8030 16 端口数字 kvm over ip 交换 第 26 页 机具备 1 个本地用户和 8 个数字用户，可使 it 管理员远程管理服务器或串行设备。避免昂贵的远 程分支办公室访问。 对分支办公室提供虚拟媒体支持dsview 3 管理软件可提供虚拟媒体支持。 通过该软件可将 cd-rom 和其他存储媒体映射 到远程分支服务器，以执行文件传输、应用程序和 操作系统补丁安装以及 cd-rom 诊断程序。 kvm 和电源控制整合解决方案集 bios 级别访问和电源控制于一身的解决 方案。在网络出现故障时还提供外置调制解调器支 持。 管理管理 板载 web 界面通过板载 web 界面可直接访问目标设备， 无需再使用其他软件。这对于希望拥有可伸缩扩展 系统的小公司管理员来说，非常有益。可根据系统 扩展的需要，在日后添加 dsview 3 软件。 单一的管理平台通过配套使用 dsr8030 交换机和 dsview 3 软件，您就可以通过一个单一的界面管理包括 数据中心和分支办公室在内的整个 it 基础设施。 访问启用 ipmi 的服务器dsview 3 软件让 it 管理员可以监控和管理 温度、风扇和电压等系统运行状况。包括电源管理 设备。 制定计划dsview 3 软件简化了日常任务、更新和文件 加载（包括任务的自动定制和更新）的管理。 安全性安全性 故障转移验证 dsview 3 软件具有中心和分支架构，提供故 障转移验证。用户接受中央管理服务器或 15 个 镜像服务器中的一个服务器的验证。 用户日志和访问控制dsview 3 软件具有高级的安全性，包括审查 日志功能，并可为每个用户单独分配权限。 规格规格 机械规格机械规格 高度4.37 cm 第 27 页 宽度43.18 cm 深度27.98 cm 重量3.31 kg（不包括缆线） 环境规格环境规格 工作温度0 至 40 存放温度-20 至 70 电源电源 工作电压交流 100 至 240 v 电源频率50 - 60 hz（自动检测） 输入最大 40 w 支持的硬件支持的硬件 计算机ps/2、sun、usb 显示器vga、svga（xga 和 xga-ii，带适配器），最大 分辨率：1280 x 1024 75 hz 外围设备usb 键盘和鼠标、ps/2 键盘、ps/2 鼠标、 intellimouse 标准标准 认证机构ul、fcc、cul、ices- 003、ce、gs、vcci、mic、c-tick、gost 4.3 mp5300 服务器管理器网关服务器管理器网关 第 28 页 mergepoint 5300 管理网关设备使 it 专业人员能够通过使用内嵌服务器 管理技术，特别是智能平台管理界面 (ipmi)、dell 远程访问卡 (drac) 和 hp integrated lights out (ilo) 从任何位置执行安全的远程服务器管理。 作为 mergepoint 5300 系列服务器管理器网关的一部分，mergepoint 5300 装置提供安全的 serial over lan (sol) 控制台访问、电源控制、服务 器硬件监控，以及全新 directcommand 功能，该功能可以实现透明和安全地访 问服务处理器固有界面以及进行 ipmi 自动配置和服务处理器自动发现。在与 dsview 3 管理软件配合使用时，mergepoint 5300 sp 管理器提供基本的服务 器覆盖，补充了全面的管理基础设施。 mergepoint 5300 设备提供功能丰富的 web 用户界面，采用了服务器硬件 系统管理架构命令行协议 (smash clp) 的命令行界面，该界面是由分布式管理 任务组 (dmtf) 定义的一个标准的用户和脚本界面。这为管理来自多个制造商 的服务器提供了一个单一的命令行界面，从而简化了管理、提高了互操作性并 最终提供了脚本和自动化功能。 通过 mergepoint 5300 装置不仅能够更轻松地利用服务处理器的功能，而 且可以通过插件提高服务处理器的功能性。例如，sol 功能补充了持续数据记 录功能，从而实现了更高的安全性和审核水平。同时，多服务器同步电源控制 提高了现有服务处理器的电源管理功能，包括 ipmi 依次关机支持。通过这些 功能，用户可充分利用这些服务处理器技术。 特性与优点特性与优点 特性特性优点优点 sol、电源控制、硬件监控和报警完整、全面的远程服务器管理 sol 带数据记录功能更好的审核功能、更快的故障排 第 29 页 除 强大的安全功能（aaa、细粒度 acl、数据记录） 轻松符合内部安全策略以及与现 有安全系统集成 以群组方式执行命令从整体上控制基础设施 减少脚本更改/错误以及针对新命令的 培训 丰富的 ssh 命令选项用于脚本控制 设备管理 更方便的自动化、脚本编写以及 与现有管理程序集成 ipmi 自动配置更快、更方便的 ipmi 部署 自动发现服务处理器更好地利用现有（已购买）的服 务器管理功能 自动发现和配置启用 dhcp 的服务 处理器 新服务处理器的配置更简单 directcommand 直接访问服务处 理器的固有用户界面 访问熟悉的服务处理器用户界面 及利用其所有功能，而不影响安全性 服务处理器自动登录和直接访问虚拟 kvm 和虚拟媒体功能 服务处理器功能的使用和访问更 简单 用于集成服务器 gui 的 rdp 和 vnc 支持 通过一个用户界面对服务器进行 全面管理 规格规格 硬件硬件 服务处理器 支持 ipmi 1.5、ipmi 2.0、drac、ilo 内存512 mb ram 存储器80 gb sata 硬盘，7200 rpm 接口2x 千兆以太网端口 机械规格机械规