Raritan-带外运维管理系统技术建议书.docx

带外运维管理系统技术建议书广州卓益达数码科技有限公司2020年1月18日目 录1环境及管理现状31.1现状分析32带外运维管理系统方案42.1带外运维管理方案概述42.2带外运维管理系统方案的主要功能52.3带外运维管理系统方案的用户价值62.4方案建设说明72.5方案设计思路72.6设备物理连接方式82.7访问操作流程93解决方案的功能特性103.1远程维护103.2集中管控113.3安全访问123.4整合管理124解决方案的技术亮点134.1安全性134.2可靠性144.3应急维护多方参与144.4故障快速告警155方案产品介绍155.1数字式KVM交换机-Dominion KX2155.2数字式串口交换机-Dominion SX165.3集中认证管理系统-Command Center175.4带外运维管理系统全线产品架构176公司介绍186.1广州卓益达数码科技有限公司186.2公司荣誉客户196.3客户代表联系方式20 1 环境及管理现状1.1 现状分析综合运维操作及管理过程中显露出的需求，需要通过一套“功能强大、方便快捷的运维管理平台”来实现，其中涉及以下问题亟待解决：1.1.1 IP网络管理的问题1) 由于缺乏高可控的应急维护手段，IP网络的不断扩容提出了现场技术专业人员的几何增长需求，同时也增加了故障处理时长。2) 对于较强技术含量的关键网络设备，一般异地节点维护人员的维护能力有限，出现故障时需要上一级维护部门提供支持，而上一级维护部门能够使用的就是远程的telnet方式，一旦telnet方式失效，上一级维护部门只能通过电话指导解决问题，由于网络故障复杂性和地市维护人员技术水平参差不齐，故障不能解决只能重置设备，如果设备重置后还无法解决则只能上一级维护部门派人现场解决。1.1.2 传统管理方式的局限性问题1) 对于可远程telnet的设备，只能够通过ACL技术保证访问人员合法性，但由于设备维护的需要，一个设备可能需要多人维护，多人知道设备访问密码和配置密码，因此telnet方式并不能够确定登录人员真实合法性，对于登录人员历史操作更是无法查询，因此简单telnet方式不能够满足网络安全管理的需求。2) 目前采用telnet技术进行维护，安全保障只能限制于用户合法性认证，但是对于用户操作并不能进行任何保证，如果远程登录的用户进行操作，但由于登录设备密码只有一个，并不知道谁进行什么样的操作，一旦出现问题不能进行事后查询分析，也就几乎不存在安全性。3) 而对于提供网络服务的设备出于安全性考虑一般是不提供直接的远程telnet访问，即使提供也是通过ACL方式进行接入限制或者SSH方式，不具有普遍应用性；另外很多设备用于专网业务则没有公网接口，不能够通过公网直接访问；此外运营商内部网络对内控要求不断加强，要求不同网络之间相互隔离并不能够随意访问，因此上级维护人员也不能随意访问下一级网络设备，需要通过某些设备转跳。并且当设备出现网络故障时最直接的表现就是网络不通，无法运用远程telnet方式，因此内部网络访问也不适合于用户的维护。1.1.3 管理安全性问题1) IP承载网的网络设备提供维护人员远程访问，一旦开放远程访问功能将使得网络安全门户大开，尤其是目前大量有关网络漏洞和黑客技术广泛流传，使得网络设备面临攻击危险越来越大，虽然SSH、ACL等技术能够一定程度上解决访问人员合法性问题，但很多设备却不支持SSH、ACL功能。2) 随着持续增长的移动大客户的业务紧密依靠网络进行，一旦出现网络故障将带来非常大的服务压力，对减少故障排除时间要求越来越短。而运营商所使用的高端网络设备基本依靠设备供应商的力量维护，但很多网络故障导致设备已经无法正常提供服务，无法远程telnet方式登录，只能等设备供应商技术人员现场进行故障排除，因此故障排除时间将受到设备供应商技术人员到达现场的响应速度影响。2 带外运维管理系统方案2.1 带外运维管理方案概述带外运维管理系统方案，起步于20世纪80年代出现的KVM技术，在近30年的发展过程中，经历了以下几个阶段： 起步阶段：在桌面上及机柜内，实现鼠标键盘显示器的共享和切换。 发展阶段：在300米距离内，实现多名管理员对多台被管理服务器及网络设备的kvm接口及console口的矩阵式并发访问。 成熟阶段：基于IP技术，跨越多个数据中心，实现企业级甚至电信级的IT基础设施带外管理。 扩展阶段：整合了更多的技术，包括：更高的安全性，身份管理、权限管理、操作行为管理与审计；安全智能的数据中心末端电力分配、监控、管理和规划；数据中心可视化管理，空间管理和规划，基础设施变更流程管理等。卓益达科技提供的带外运维管理系统方案，已经完全满足扩展阶段的技术要求，实现了对数据中心IT基础设施的全面、系统、深层次管理。借助于卓益达带外运维管理系统方案，管理人员可以在任何时间、任何地点安全地对数据中心的IT基础设施状况进行全局掌控和可视化管理，对系统设备进行日常维护操作，对系统故障进行快速处理，对操作行为进行审计追踪，对用电情况进行细颗粒度的实时监控，对空间和电力等进行科学分析和规划。2.2 带外运维管理系统方案的主要功能统一访问平台用户访问控制紧急故障处理远程系统安装远程电源控制电力趋势分析可视机房容量微环境监控2.3 带外运维管理系统方案的用户价值带外运维管理系统方案，既适用于服务器及网络设备相对集中的数据中心，也适用于分布式网络结构的企事业单位。借助于卓益达带外运维管理系统方案，用户可以对各地数据中心内各种应用的设备进行集中监控、统一管理和分权维护。 利用数据中心可视化管理系统建立一套集网络集中监控、事故预警、管理、维护功能于一体的高效专用运维管理及监控系统，在网络故障或中断时通过带外管理通道对网络进行管理和维护，从而无需网络管理员到现场对网络设备进行直接干预； 有效的降低用户网络运营成本、提高网络运营效率和服务质量、把由于网络设备宕机或故障造成的损失降到最低； 突破地域和时间限制，对分布式网络系统进行集中管理和维护。网络管理员可以在任何时间、从任何地点对网络设备进行远程安全管理和维护； 对于拥有大量网络设备的数据中心，管理员通过数据中心可视化管理系统可以对数据中心内部设备(服务器、路由器、交换机、计算机终端等)进行统一集中管理，对于故障设备进行准确定位和及时修复； 通过对设备电源、环境、机柜等进行远程监控和管理，可以提高数据中心的运行效率，并且可以为数据中心的解决降耗提供有效的依据 对数据中心容量进行实施监控及规划，包括数据中心电量监控及规划，机柜空间容量监控及规划，网络接口容量监控及规划，网络地址规划等。2.4 方案建设说明针对当前环境及管理现状，需要一套集远程控制、管理、集中认证、审计等多功能于一体的运维管理平台，来提升运维人员的管理手段、提高工作效率同时降低维护成本。2.5 方案设计思路2.5.1 节点机房部署带外应急接入设备通过在节点机房内部署型号为DKX/DSX的专业带外应急接入设备负责将各个节点机房的网络、安全设备的管理端口和服务器的KVM端口进行物理连接，并由带外应急接入设备提供基于IP的对所有网络、安全设备Console端口及服务器的KVM端口的带外访问，再将所有带外应急接入设备连接到MDN网络中从而组成一张覆盖IP承载网的带外网管网络。2.5.2 被控设备端口复杂，构建统一接入标准对网络设备的带外管理端口(Console)为RS232接口标准的异步串行端口。网络设备的Console端口存在9-pin、25-pin、RJ45、RJ11等多种物理接口形式。带外应急接入设备DSX设备上的RS232接口形式为RJ-45，从而可以使用CAT-5、CAT-5e、CAT-6等专业线缆进行串口间通讯。带外应急接入设备DSX提供到各种RS232物理接口的转换接头，从而可以配合所有网络设备的带外管理口(Console)。对服务器的带外管理端口(KVM)为鼠标、键盘、显示器的服务器接口(PS/2或USB接口)。带外应急接入设备DKX设备提供了RJ45的接口类型，服务器通过CIM模块，实现将KVM接口转换为RJ45接口连接到带外应急接入设备DKX上，从而实现对服务器的远程控制。2.5.3 集中管理、统一部署在总公司中心机房内，部署两台带外应急管理设备CC，统一将各节点机房内的带外应急接入设备DKX/DSX进行整合，实现了中心机房及节点机房的全局管理，通过带外应急管理设备CC，可以实现用户的细粒度认证、授权、及访问控制。保障了远程访问的安全性。2.5.4 远程操控、远程维护带外运维管理系统所提供的远程管理方式，将管理人员只能到现场进行业务操作及维护的工作方式得到了彻底改善，只要是管理人员权限范围内，只需要通过本带外运维管理系统即可实现远程方便、快捷、安全的登录操作。2.6 设备物理连接方式2.6.1 连接方式总示意图2.6.2 串口设备连接图2.6.3 服务器连接图2.7 访问操作流程 打开客户端浏览器(IEFirefox等)，输入CC的IP地址，登录带外管理系统访问界面 输入CC的用户名及密码，每个管理员输入自己的账号及密码，对于密码可以要求用户密码的复杂程度 在认证授权方面，除了支持本地认证还可以支持AD、Ldap、Radius等第三方认证 登录系统后，选择权限访问内的设备，其中包括路由器、交换机、服务器等设备 打开服务器、网络设备的管理界面，既可以日常维护，同时也可以进行BIOS界别深层次管理 所有操作完成后，关闭使用窗口，退出系统。所有访问信息可以进行记录。3 解决方案的功能特性3.1 远程维护与现有的到现场维护方式相比，通过带外运维管理系统进行远程维护，将大大降低故障排除时间、人力成本及运维成本，而且在提高员工归属感和员工满意度方面起到了关键作用。3.1.1 故障排除时间比对表序列事件传统工作方式使用带外管理系统工作内容时间工作内容时间1监控平台显示某业务系统出现告警通过监控平台及网络工具定位故障点10分钟通过监控平台及网络工具定位故障点10分钟2通过网管系统进行故障排除通过查询表格后定位故障点所在位置，登录网管系统排除故障10分钟通过查询表格后定位故障点所在位置，登录网管系统排除故障10分钟3通过常规远程管理手段进行故障排除该故障不能通过网管系统进行远程故障排除时，通过常规的远程桌面、TELNET或SSH等方式进行远程登录进行故障排除10分钟4去机房现场通过连接设备本地端进行故障排除如果常规管理手段无法解决该故障时，进行现场故障解决。安排去现场工程师；协调机房值班人员配合；进行出入机房的政审资料提交；出行车辆及司机的安排30分钟通过本地KVM或连接CONSOLE线缆进行故障排除20分钟5到达故障设备所在机房需要的交通出行时间根据其机房所在位置远近，时间有所区别90分钟6到达机房后办理入门手续、查找故障设备所在机柜10分钟7通过本地KVM或连接CONSOLE线缆进行故障排除20分钟8问题得到解决，系统运转恢复正常后，返回并到达单位90分钟故障解决总用时：4.5小时故障解决总用时：40分钟3.2 集中管控3.2.1 同城异地设备集中维护可以将各机房内需要进行管理的网络、安全、存储、服务器等设备进行集中管理，通过统一登录平台进行远程访问，降低人员往返于机房间的奔波劳累，同时将故障解决时间降到最低。本方案中涉及分支机房如下： 菜市口 马连道 望京 东直门 硅谷亮城 木樨园 数字北京 西单 亦庄3.2.2 多平台多厂商设备集中维护可跨平台针对不同厂家、不同型号的设备进行集中控管，便于维护及操作。 Cisco Juniper Huawei Sun 3.2.3 IP承载网集中维护集中维护IP承载网中各种应用设备，便于日后扩容及功能增加的需求。3.2.4 多种访问途径可以通过多种路径访问带外运维管理系统，便于用户根据现场实际情况进行选择： MDN网络访问 PSTN/VPN网络访问 本地端应急控制3.3 安全访问3.3.1 用户认证/授权/访问控制 单人单账号 严格的密码策略 用户授权管理 基于时间的用户访问策略 违法账户锁定3.3.2 数据传输加密 所有数据传输过程可以通过128-SSL、256-AES等多种方式进行加密3.3.3 操作行为审计 可以对命令行方式操作的所有进行记录，方便日后审计，并可以通过Syslog等方式进行导出3.4 整合管理3.4.1 与4A系统整合带外管理系统通过DPA方式与4A系统进行整合，DPA方式为直接端口访问的模式：具体方式如下： 具体格式：带外设备IP地址+用户名+密码+端口号 连接方式：Telnet；SSH；浏览器3.4.2 与外部认证整合3.4.3 与原有带外系统整合构建本方案所必需的接入、管理产品可以整合原有部署的带外管理系统，从而进行统一集中的维护，在整合后，每个应用/每个机房/每个系统可以按照自己的权限控制自己的设备，并且可以限定用户登录的IP地址，保证了系统访问的安全性。同时保护了原有的项目投资。4 解决方案的技术亮点4.1 安全性4.2 可靠性4.3 应急维护多方参与 多种身份操作、管理人员可同时对故障设备进行处理 操作人员权限锁定/其他用户进行查看 同一台设备可以通过4A/Web等多种方式同时进行登录4.4 故障快速告警 对IP承载网的网络设备的状态进行主动监控 网络设备Console口物理连接状态 网络设备Console口输出关键信息 根据以上监控内容，进行以下方式告警 SNMP Traps SYSLOG NFS注：网络设备出现问题时，带外应急接入设备对网络设备Console端口的监控，会以最快速度报警。5 方案产品介绍5.1 数字式KVM交换机-DOMINION KX2Dominion KX2是全新一代数字式KVM交换机，拥有业界最强大的KVM Over IP技术，将数据中心内的机架服务器、刀片服务器等多种具有键盘、鼠标和显示器接口的设备进行统一接入，并通过网络登录Dominion KX2对所连接的设备进行远程、深层次BIOS级别访问。在管理过程中，全部数据均经过加密传输，保证了传输过程的安全性。设备具有以下各种功能: 虚拟媒体 128位AES或RC4加密功能; 带故障自动切换的双电源及双千兆位以太网端口; 系统日志; 与RSA、LDAP、Radius及Active Directory验证的集成; 产品特性： 全接口支持：PS/2；USB；SUN；HD15；DVI 最高可靠性：全系列支持双电源；双千兆网络接口；多链路访问 最强安全性：高安全的用户认证；传输的高级别机密；全面的日志管理 最佳易用性：本地及远程访问全部采用浏览器方式访问；鼠标智能同步功能 先进技术性：全系列支持多用途虚拟媒体功能；远程访问最高1600*1200的分辨率支持(宽屏为1680*1050)；高清支持1920*1080高分辨率，单设备支持对刀片服务器的管理；业内独有的DPA模式与第三方系统整合 广泛产品线：支持业界最高端口数量64端口管理；支持业界最小单用户单通道设备；DKX2-832及DKX2-864提供业界独有的双本地应急访问端口的支持5.2 数字式串口交换机-DOMINION SXDominion SX是一款安全的串口控制台设备，通过Telnet/SSH/Web等方式进行远程登录，管理数据中心内的串口服务器、小型机、网络设备、安全设备等具有串口管理接口的设备，支持以下类型设备： 服务器及无头（Headless）服务器：Sun Solaris；Sun Cobalt；HP-UX, UNIX；Linux 服务器；IBM/AIX 服务器；Windows 2003 服务器 WAN 设备：ISDN终端适配器；通道汇接排；CSU/DSU,PBS/PABX 网络设备：路由器；交换机以太网交换机；以太网防火墙 电源控制：所有串行控制的电源板及UPS。产品特性： 全终端支持：VT100；VT220；VT320；VT400；VT500；ANSI 最强可靠性：双电源；双网络接口；内置Modem接口提供了强大的可靠性保障 最高安全性：高安全的用户认证；传输的高级别机密；内置IP-Tables防火墙；全面的操作行为记录 最佳易用性：多用户协同处理；高缓冲的端口存储记录 先进技术性：端口关键字及状态告警；DPA模式与第三方系统整合 广泛产品线：从4端口至48端口各种接口数量的选择5.3 集中认证管理系统-COMMAND CENTER产品功能：使用 Command Center集中认证管理系统，管理员可以通过统一的 Web 浏览器界面远程管理各种虚拟和物理 IT 基础结构(服务器、网络设备、通讯设备、虚拟机等)。 CC-SG 将控制台访问和远程电源控制功能集中至多个本地或远程数据中心内的设备上，为您提供一个方便、集中的管理系统，以快速地诊断和解决问题。Command Center提供了以下的功能： 带外管理的访问：整合管理DKX2；DSX；DPX；DKX2以及Raritan模拟产品Paragon2系列等 带内管理的访问：独家支持Telnet；SSH；RDP；VNC等带内应用访问 虚拟机的访问：支持Vmware虚拟机的统一管理VirtualCenter、ESX 服务器及虚拟机，无需License 内嵌式管理器的访问：广泛支持(iLO、DRAC、RSA、IPMI等多种类型的内嵌式管理器产品特性： 管理更全面：数据中心内的IT设备进行多种方式接入，保证了系统的全方位接入； 管理更安全：用户的高安全级别认证；数据的传输加密；基于用户组的访问控制；基于时间的用户授权策略； 管理更可靠：独有的嵌入式软硬一体解决方案及业界独有的全冗余硬件设计，保证了运维的可靠及不间断； 管理更方便：可选的B/S或C/S架构，简体中文的使用界面，更加灵活的为用户提供访问体验；模块化的解决方案，全硬件的接入设备为用户提供了模块化的实施便利性； 管理更深入：BIOS级别的远程访问策略，虚拟媒体的远程数据传输更好