机房系统资源集中控管系统解决方案

1、 机房系统资源集中控管系统解决方案目 录 TOC o 1-4 h z u HYPERLINK l _Toc188523586 1数据中心集中控管系统需求分析 PAGEREF _Toc188523586 h 3 HYPERLINK l _Toc188523587 1.1简介 PAGEREF _Toc188523587 h 3 HYPERLINK l _Toc188523588 1.2客户需求 PAGEREF _Toc188523588 h 3 HYPERLINK l _Toc188523589 2数据中心集中控管系统针对性解决方案 PAGEREF _Toc188523589 h 4 HYPERL

2、INK l _Toc188523590 2.1高端数字解决方案 PAGEREF _Toc188523590 h 4 HYPERLINK l _Toc188523591 2.1.1配置清单 PAGEREF _Toc188523591 h 4 HYPERLINK l _Toc188523592 2.1.2系统拓扑图 PAGEREF _Toc188523592 h 4 HYPERLINK l _Toc188523593 2.1.3方案实现描述 PAGEREF _Toc188523593 h 5 HYPERLINK l _Toc188523594 2.2Avocent机房系统资源整体解决方案实施建议

3、PAGEREF _Toc188523594 h 5 HYPERLINK l _Toc188523595 2.2.1针对性实现说明 PAGEREF _Toc188523595 h 5 HYPERLINK l _Toc188523596 1）集中控管系统逻辑划分的实现 PAGEREF _Toc188523596 h 5 HYPERLINK l _Toc188523597 2）安全权限设置 PAGEREF _Toc188523597 h 6 HYPERLINK l _Toc188523598 3）国际最流行的双因素RSA安全认证服务 PAGEREF _Toc188523598 h 6 HYPERLI

4、NK l _Toc188523599 2.2.2Avocent机房集中控管系统总结 PAGEREF _Toc188523599 h 9 HYPERLINK l _Toc188523600 3数据中心集中控管系统产品简介 PAGEREF _Toc188523600 h 11 HYPERLINK l _Toc188523601 DSR系列产品 PAGEREF _Toc188523601 h 11 HYPERLINK l _Toc188523602 4Avocent公司介绍及解决方案成功案例（附录） PAGEREF _Toc188523602 h 12 HYPERLINK l _Toc1885236

5、03 4.1Avocent公司介绍 PAGEREF _Toc188523603 h 12 HYPERLINK l _Toc188523604 4.2Avocent解决方案成功案例应用介绍 PAGEREF _Toc188523604 h 13数据中心集中控管系统需求分析简介本方案书是Avocent公司技术/销售人员与各相关领导经数次讨论商议后制作的。现正由于机房中的各服务器设备等需要通过在总控室内进行管理，现正在寻求一种能够满足这种特别需求的解决方案，以便使有关操作人员不必进入机房内也能操控服务器，且当系统规模扩张时仍能保持整个系统的完整性而达到管理上的简单有效。客户需求根据通盘考虑，整个中心机

6、房的众多设备需在一个整合了多种机房系统资源的集成大平台上得到统一管理，以解决因大量设备分散分布所带来的管理上的不便性，免除了众多不必要的外围设备而节省大量空间，使得各管理员可在总控中心内由一套键盘、鼠标、显示器组成的控制台便可登陆所有的设备，方便快捷地排除机器故障，从而更有效地保障整体机房的正常运营。具体需求如下：主机房设备众多，共96台服务器设备，且运行平台不尽相同，需统一接入集中控管系统；需有统一的终端控制平台，对所有服务器设备做到统一监管；需有灵活便捷的管理方式，能对各被访问设备的各种属性组别进行添加（机柜号、机柜位置、应用、OS、服务器型号、IP地址、部门、维护人员及联系方式等等），方

7、便搜索指定设备，完全实现逻辑划分功能，同时可以实现对各设备信息的导出功能；良好的系统再扩容能力；便捷的故障处理能力；在综合考虑了以上各因素及与各领导反复探讨后，我方经过反复研究，推出以下合理化方案供各位领导参考。数据中心集中控管系统针对性解决方案根据总体建设要求以及具体服务器列表清单，现我方暂就按96台服务器的规模，建议如下结构方案的集中控管系统：高端数字解决方案配置清单型号产品描述数量DSR20352远程接口，1本地接口，32口数字式切换器3DSRIQ专用服务器接口电缆96DSV3-SWA专用认证管理软件(DS3 1 Hub /5 User）1ACS10个硬件令牌（含身份认证服务器软件包）1

8、PowerEdge 860Intel Pentium Dual Core E2180, 2GHz/1MB L2/800MHz FSB/1G DDR2 667MHz ECC 1R Memory/160G Hard disk1系统拓扑图方案实现描述本方案采用数字切换设备DSR实现IP用户全域控制主机房内的所有设备。机房内的96台服务器的KVM端口都与DSRIQ转换线缆上的KVM接口进行连接，再将DSRIQ上的RJ45传输端口通过五类线缆连接至相应的DSR交换机的服务器端口（RJ45）上；各DSR交换机的以太网络接口（RJ45）通过普通五类线缆连接至以太网上。ECC总控中心的操作用户可通过TCP/I

9、P，通过放置于主机房内的集中认证服务器系统的身份验证后，利用终端所带有的网络浏览器（IE等）对所有连接至系统的服务器及网络设备进行统一管理。 Avocent机房系统资源整体解决方案实施建议针对性实现说明集中控管系统逻辑划分的实现数据中心内服务器设备众多，根据我方多年的项目实施经验，现对机房内服务器设备的逻辑划分建议如下：首先，按照各服务器设备所属单位部门进行划分，可分为多个组别，并且，对于每个组别中的各台服务器设备，分别添加各自的标志信息，如：应用类型、设备型号、操作系统、IP地址、联系人、联系电话等。当用户需要时，还可对以上信息进行导出，保存为.CSV 文件，更方便用户直观地对具体服务器进行

10、各项操作。如此划分，无论是对于操作员还是管理员来说，都可方便地找出所需访问的服务器设备，尤其对于系统管理员来说，既可利用不同组别来查找不同服务器设备，亦可通过DSView系统独有的Filter功能，方便快捷地找出相应字段匹配的服务器设备。例如：需查找操作员“李明”所负责的服务器，可在系统Filter栏处输入“李明”字段，即可显示出操作员“李明”所负责的所有服务器设备列表。 同时，也可根据不同的定义字段（如IP地址、部门、应用等）来搜检相应的服务器设备：如输入“192.168.0.2”字段，系统会自动将符合此IP地址的服务器检索出来。安全权限设置Avocent数字解决方案针对本次应用，可设置4层

11、用户安全级别控制方式： 多种外部认证方式的结合可指定用户通过NT Domain、AD、Radius、LDAP、Tacacs+、RSA SecurID等已有的验证安全体系登陆DSView3系统，使得各操作人员仅需牢记一套密码即可对集中管理系统及日常生产进行同时操作。服务维护人员登录可通过DSView系统针对不同用户设置不同等级的用户权限，管理相应的服务器；任一用户在访问终端设备前，必须先通过认证服务器的严格权限验证（SSPI、AASP专用安全协议），成功后才能访问到具有相应的终端设备并进行相应权限的操作，此其间所有的鼠标、键盘及视频信号的传输皆采用可选方式的DES，3DES，128位SSL，AE

12、S加密算法，并可结合利用防火墙的端口设置等功能，最大程度地保障了系统的安全性能。操作权限控制可由DSView系统分配给各不同用户不同的用户权限，使得用户仅可对相应权限的服务器设备进行相应权限的操作。绑定IP控制DSView3具有的强大功能使得系统可指定访问用户的IP地址列表，使得仅在此列表中存在的IP网段内的访问用户可以访问到DSView3系统，防止了各种外部无效访问，大大增强了系统的严密性。国际最流行的双因素RSA安全认证服务通过IP访问数据中心的IT基础设施（服务器、串口设备等），安全性是非常关键的，传统的远程访问的密码是固定的，无法随机变化，容易被破解，安全性较差。如果密码被盗用或者丢失

13、，则其他没有权限的访问者可以比较轻易的访问数据中心的IT基础设施（服务器、串口设备等），给系统带来安全隐患。远程访问的安全性无法追溯到个人，如果每个操作员本身有访问权限的服务器被其他人员非法进入，无法区分是本身操作人员密码被盗用还是本身操作人员的非法操作。在添加 RSA SecurID 双因素外部认证服务后，DSView 3 软件将会获取用户认证信息并将其中继到 RSA 认证管理器。随后，RSA 认证管理器的验证结果将被中继到用户。DSView 3 软件还支持新的 PIN 操作、下一个令牌码操作、RSA 认证管理器复制功能和名称锁定。1、双因素身份认证系统可以使得每个操作人员的访问密码安全性更

14、好，除了固定密码外，每个操作人员都有一个动态令牌，动态令牌上显示的密码随机产生，每分钟更换一次。操作人员必须输入固定密码动态密码，才能进入数据中心设备集中控管系统。2、如果固定密码被盗用或者丢失，则其他没有权限的访问者因为没有动态令牌，因此也无法远程访问数据中心的服务器。3、因为每个操作人员都有一个动态令牌，因此远程访问的安全性可以追溯到个人。4、即使动态令牌丢失，则拿到动态令牌的访问者因为没有固定密码，也无法访问系统，同时身份认证的管理员可以立即让遗失的动态令牌失效。双因素身份认证系统由身份认证服务器、身份认证代理、认证设备以及认证应用编程接口（API）组成。认证服务器在双因素身份认证解决方

15、案中，双因素身份认证服务器软件是网络中的认证引擎，由安全管理员或网络管理员进行维护，可以实现以下功能：企业认证：双因素身份认证服务器只允许能够提供无法猜测和复制的令牌代码以及静态PIN码的用户接入系统，这将在极大程度上保证登录的用户确实为授权的个体，大大降低了攻击和非法访问的风险。即使是拥有上万用户和多个办公室的企业网络，仍能受到双因素身份认证服务器的保护，该软件的跨区域功能还支持对旅行到本区域以外的员工进行认证。访问控制：双因素身份认证服务器允许用户定义合适的安全策略，可以有效保护对专用网络系统、文件及应用的访问，其中包括可以根据每天的时间、周几或根据小组或用户定义的权限来确定访问权限。规避

16、攻击：黑客会使用各种无法预料的方法来接入网络。双因素身份认证服务器可以识别威胁情况，然后报告给UNIX系统日志或Windows NT事件日志。例如，当有人多次试图接入远程访问端口、数据文件或防火墙时，双因素身份认证服务器会向系统管理员发出报警，帮助发现并在导致损失前采取相应防范措施。用户责任：通过使用某个员工的密码，可以在该员工不知情或不同意的情况下侵入系统。由于双因素双因素认证要求输入用户令牌代码和个人PIN，因此进一步确保了员工不会被任何非法访问事件所牵连。这种特性，再加上双因素身份认证服务器能够报告对所有保护资源的访问情况，可以帮助员工识别其对信息安全的责任，并采取相应的措施。此外，黑客

17、经常试图抹掉自己的足迹，双因素身份认证服务器的访问历史日志则可以作为犯罪调查和取证的重要组成部分。在用户选项下，点击认证服务。点击“添加”，添加一个外部认证。Avocent机房集中控管系统总结独有的“退出宏”安全增强功能：可实现当每次KVM进程被关闭后，被监管服务器自动实现锁屏功能即自动返回至提示输入服务器登陆信息（用户名及密码）界面，降低了不必要的安全隐患，进一步增强了系统的整体安全性。完备的集中认证体系：AVOCENT的全数字IP技术完全实现数字远程用户通过集中安全认证系统对机房内所有设备进行统一集中管理，确保所有用户在访问终端设备前，必须先通过认证服务器的严格权限验证（SSPI、AASP

18、专用安全协议），通过后才能访问到具有相应管理权限的服务器及设备，避免了众多用户对KVM交换机的不安全直接访问，而其独有的多冗余机制，最大程度地保障了系统的安全性能，同时能支持15个备份服务器的整体架构，极大地方便了今后系统的升级扩展。安全的基于IQ而非基于交换机端口的验证机制：由于DSR系统是针对DSRIQ进行验证，而不是针对DSR设备的端口进行验证，故而对于服务器连接到DSR设备的哪一个端口而言，是无需关心的，这样处理一方面使得系统管理员无需对DSR设备的每一个端口所连接设备进行记忆，另一方面也使得在今后可能发生的整改过程中，系统管理员不必再因每台设备的位置改动做相应的端口改动记录，省去了诸

19、多根本不必要的繁琐操作，大大提高了工作效率。独特的视频增强功能：AVOCENT高端数字集中控管系统本地端为模拟信号，自动匹配目标服务器的视频信号，远程为数字信号，采用最新DVC技术，可支持16Bit真彩显示，与在本地操作无异。独有的差异信号传输方式：AVOCENT数字集中控管系统对键盘、鼠标及视频信号采用DES、3DES、128位SSL、AES可选完全加密，对视频信号的传输仅将其差异部分进行加密，保证正常使用时网络带宽占用最小化，增加了传输安全性。对低端模拟KVM设备的兼容性：AVOCENT的设备采用标准的接口技术，产品具有很强的兼容性。AVOCENT和IBM、HP、DELL等服务器厂商合作紧

20、密，为各服务器厂商提供KVM产品的OEM服务。对IBM、Dell品牌的KVM切换系统的兼容性很强，可以实现新老系统的无缝兼容，做到一层菜单管理。同时也支持其他标准KVM产品的连接。整合了多种机房资源的统一平台：AVOCENT集中控管系统支持多种服务器及其他硬件设备，支持多种硬件平台（包括SUN、PS/2、USB以及Console口等接口类型）、多种操作系统，支持串口设备（小型机、网络设备等等），为终端用户提供一个整合了多种机房资源的统一平台，使得所有机房内的服务器、小型机、串口设备及网络设备得以在DSView的统一平台上完全受控，并能与机房内的其他硬件设施（如大屏系统等）完美结合，真正实现对机

21、房系统资源的完全掌控。纯五类线缆布线连接：本次方案中采用的各集中控管系统设备之间的连接线缆以及终端服务器、网络设备和集中控管系统设备之间的连接线缆全部为五类线缆，摒弃了冗长的专用KVM线缆，使得机房更简洁整齐。AVOCENT高端数字集中控管系统解决方案的成熟性：AVOCENT KVM OVER IP全数字集中控管技术是针对于专业数据机房的集中管理系统，推向市场已近五年，系统方案及产品很成熟，目前在全球众多的服务器端口使用了AVOCENT DSR系统，在中国的银行、证券、企业、电信及金融等行业也有大规模使用。数据中心集中控管系统产品简介DSR系列产品DSR数字交换机 DSR20352远程数字用户

22、，1本地用户，32接口增强型CAT-5服务器接口线缆DSRIQ-PS/2服务器接口线缆VGA，PS/2键盘鼠标 DSRIQ-USB服务器接口线缆VGA，USB键盘鼠标DSRIQ-VSN服务器接口线缆VGA，SUN键盘鼠标DSRIQ-WSN服务器接口线缆13W3，SUN键盘鼠标DSRIQ-SRL服务器接口线缆，串口电源接口 配置端口本地模拟信号接口DSRIQ 提供5类线技术巧妙连接设备10/100/1000 以太网端口Avocent公司介绍及解决方案成功案例（附录）Avocent公司介绍美国AVOCENT公司是世界最大的机房系统资源集中管理系统制造商及数据中心（IDC）管理解决方案提供商。在20

23、06年全球销售额为5.21亿美金，是在同行业唯一的上市公司（NASDAQ：AVCT），由两家在同行业领先的CYBEX和APEX公司合并后成立。据IDC统计，AVOCENT在全球KVM的市场占有率超过55%。AVOCENT全球雇员1800多人，总部位于美国阿拉巴马州的 Huntsville，在美国和欧洲设有研发机构和生产厂，全球拥有150名研发工程师队伍，专门从事使AVOCENT在控制台访问领域继续保持领先的必要技术的研究。并且在美国华盛顿特区的 Redmond、爱尔兰的 Shannon、美国马萨诸塞州的波士顿、德国的 Stein Hagen 和慕尼黑、伦敦、中国（北京、上海、广州、香港）、日本

24、、韩国、新加坡设立了分支机构。在2002年初并购EQUINOX后更加完善了AVOCENT的整体技术，把EQUINOX行业领先的串口解决方案与AVOCENT的基于IP的KVM技术结合起来，使AVOCENT成为能为客户提供全面解决方案的唯一制造商。AVOCENT作为世界领先的计算机远程访问和控制解决方案提供商，发布了众多卓越的产品。AVOCENT开发了针对IDC、金融行业、证券行业、政府部门、小型机房管理等多套解决方案。AVOCENT拥有业界强大的开发和研究中心,将不懈的进行产品和技术的革新。每年有10%的销售收入持续不断的投入到新产品的开发和研究，AVOCENT将不断致力于为您的企业提供全面的I

25、DC解决方案和优良的服务。全球最大的KVM 生产厂商, 由两家在同行业领先的CYBEX和APEX公司合并后成立据IDC 统计，AVOCENT 在全球KVM的市场占有率超过55%2006年度财政收入为USD521M （全球唯一一家上市的KVM厂商） （NASDAQ：AVCT）AVOCENT 是一家财务公开的美国纳斯达克上市公司,尽管IT行业的泡沫破裂, AVOCENT仍旧保持了良好的盈利。（可以看一下其他KVM厂商的财务报告来证明公司的稳定性）我们有超过2亿美金的现金储备,我们不久前以2300万美金现金收购了2C Computing。2C 是一家生产PCI总线外围设备的厂家，现在AVOCENT 不仅可以