备份中心机房远程集中控制KVM系统方案设计

1、xxxxxxx机房远程集中控制KVM系统方案设计根据xxxxxxx中心机房具体情况，机房内现有64台各种型号的PC服务器需在远程监控中心通过TCP/IP进行操作访问。控制信号及监控信号可引至监控室，采用监控室背投设备切换视频。同时考虑管理用户访问的特殊性要求在机房内留有本地控制台方便用户进入机房对服务器进行操作管理。所有远程管理用户登陆服务器访问之前必须经过中央集中认证，认证通过后才能访问其权限内的服务器，没有权限的服务器无法显示在其操作接口上。所以本方案充分考虑了机房内所有服务器、交换机和路由器管理的集中性、用户管理的安全性、用户操作的规范性、系统的实用性以及将来机房服务器和网络设备数量的扩

2、展性设计而成。1. 系统设计原则采用最先进的成熟产品，系统兼顾成熟性与先进性开放性和标准化可扩充性安全性与可靠性实用性，适应用户实际应用环境2. 系统总体设计方案2.1.方案系统配置型号品牌产品描述数量DSR2035AVOCENT2IP、1本地通道(带modem口）,支持VM功能，32接口，机架式2EV200DATCENTCATX.视频补偿(300m)支持USB,PS2计算机接口,控制端USB,PS2键盘鼠标1DSAVIQ-USB2AVOCENT服务器接口线缆，VGA、USB键盘/鼠标，USB2.0，支持虚拟媒体功能64DSView3-swAVOCENT集中认证软件12.2.方案拓扑图23.方

3、案设计说明1) 方案概述考虑到xxxxxx机房的具体情况，我们设计采用2台支持1个本地信道、2个IP信道、32端口的DSR2035数字交换机实现对所有的服务器进行连接管理；本系统最大可以支持4个并发IP操作管理用户通过TCP/IP同时操作访问机房内所有的服务器。同时DSR2035数字交换机还可以提供1个本地操作终端方便管理用户进入机房在机架旁操作管理其所连接的被控服务器，并且通过1台EV200将DSR2035的本地端延长至监控室，采用监控室背投设备切换视频。在特殊情况下，DSR2035数字交换机还可以支持外接Modem拨号访问。2) 方案实现64台PC服务器每台设备的USB接口和显卡接口都直接

4、连接一根DSAVIQ-USB2服务器接口线缆攫取键盘、鼠标和视频信号；DSAVIQ-USB2服务器接口线缆再通过普通五类线连接到DSR2035数字交换机的32个被控主机端口；DSR2035数字交换机的本地控制端直接连接一套键盘、鼠标和显示器在机架旁操作管理其所连接的服务器；DSR2035数字交换机的网络口通过普通五类线连接到网络交换机，提供远程管理用户通过TCP/IP进行操作管理。另外，提供一台服务器用于安装DSView3集中认证管理软件，其中一台作为主认证服务器（HUB），一台为分支认证服务器（SPOKE）。通过DSView3集中认证管理软件管理DSR2035数字交换机以及下面所连接的所有服

5、务器设备。远程IP操作管理用户只需要在其计算机的Web浏览器内输入DSView3认证服务器的IP地址经过权限认证后即可对机房内的所有的服务器进行集中统一管理。不同的IP用户只需要通过简单的用户分组和权限设置后就可以对机房内所有的DSR2035数字交换机下面连接的被控服务器进行操作访问，实现最小化访问权限控制。实现从单点技术管理、普通系统管理、区域本地管理过渡到全面集中管理、安全系统管理和远程控制管理。3) 方案功能控制用户：本系统最大可以提供4个远程IP操作管理用户同时进行登陆访问，每1个远程IP操作管理用户通过TCP/IP可以对所有的服务器进行集中统一管理，还可以根据不同的使用权限控制不同的

6、被控设备。另外，DSR2035数字交换机还提供了1个本地控制台方便管理用户进入机房内对服务器进行操作访问；切换方式：远程IP用户只需要在本机的WEB浏览器内输入DSView3认证服务器的IP地址通过权限认证后就可以对所有的被控服务器进行集中统一管理，所有用户的操作管理都可以由鼠标、键盘来完成，不但支持自动扫描功能，还具有分屏显示功能，能支持1屏显示多达几十台服务器画面，监视不同系统的运行状态；实用性：DSR2035数字交换机采用1U、19标准可上机架式设计，支持包括PS/2、SUN、USB服务器、各种终端服务器和网络设备，支持服务器的最大分辨率本地端可达1600x1280 75Hz，远程IP端

7、最大可达1280x1024 75Hz。画面色彩支持16位真彩显示，而且用户在连接的不同分辨率服务器之间切换时，画面能够自动调节视频大小，无需人工手动调节。而且画面支持全屏幕显示功能和自动缩放功能，用户可以根据需要任意缩放屏幕大小；连接线缆：本方案全部采用普通五类线连接，而且支持CAT5、CAT5e和CAT6类线，且网线品牌不限，可以支持对机房内原有网线、配线架的充分合理利用，不浪费原有资源。远程IP用户通过TCP/IP操作访问没有时间、距离和空间的限制；自动视频信号补偿：DSRIQ服务器接口线缆带有DDC2B视频自动补偿功能，可以补偿从服务器端到DSR2035数字交换机端在双绞线传输中衰减的视

8、频信号，无需人工调节和视频调节，自动满屏幕显示；可管理性：所有对DSR2035数字交换机、被控服务器和不同IP用户的命名、编码、分组和权限设置都可以通过Web浏览器在xxx认证服务器上操作完成，所有设置的详细信息都将存储在xxx认证服务器上，而且所有用户对系统的操作都将作为日志可以被详细记录下来，操作更加简单、直观；系统安全性：本系统最大可以支持1个xxx HUB主认证服务器和多达15个Spoke分支认证服务器同步工作，可以做到数据同步、负载均衡，减少了网络阻塞率，降低单台认证服务器的故障而造成整个系统的安全隐患；DSView HUB主认证服务器和Spoke分支认证服务器内存储所有登录用户身份

9、的权限、拓朴结构和每个设备的关联信息，而且所有系统的详细信息都可以通过任务定制，还可以MAIL的形式定期的转发给管理员以备故障审核；可靠性：具备断电保护功能，所有对被控服务器编辑的信息都存储在xxx上，而不是存储在xxx数字交换机的每一个埠上，所以在xxx数字交换机故障时仍能保证所连接的被控设备正常工作，只需要换上相应的备件、连接好网线就可以正常工作，不需要对服务器进行任何操作，而且原有的设置都没有改变，系统能够自动识别和添加新设备；系统还支持通过任务的形式定期备份数据，大大提高了系统的可靠性；支持虚拟媒体功能：远程IP操作用户可以在其操作的计算机上将其主机上的光驱、移动硬盘、IOS文件甚至其

10、它媒体设备虚拟到机房内的被控服务器上，进行数据移植、拷贝，甚至还可以支持DOS下的远程光盘启动，为服务器远程安装操作系统。其完全独立于网络接口的数据传输，不影响被控设备网络接口的使用，不占用接口带宽；支持域功能：系统可以支持管理员按照公司分布架构和不同的部门划分不同的用户和对应设备的管理功能，清晰的定义公司的管理和分布架构；扩展性：可满足将来服务器的扩展性，xxx换机相互之间独立工作，不存在任何干扰。当被控服务器数量超过64台即可以通过增加一台xxx换机实现扩容，而且所有数字设备均使用“即插即用”技术系统能够自动识别设备的增加和变化，管理员可以为新增加的设备、服务器命名和定义权限，而且通过xx

11、x认证服务器可以把新增加的数字交换机管理设备添加到原有的系统中，实现新老系统的完美结合，配置简单，配置好后即可投入正常应用；升级能力：本系统中所有数字交换机以及集中控制管理软件都可以升级其版本，并且系统还可以通过订制任务，让其周期性的对数字交换机做版本升级，而且支持本地和远程升级。3. 方案产品简介3.1 集中控管系统a)支持多平台服务器系统认证，如：Microsoft Windows NT Server、Microsoft Windows 2000 Server / Advanced Server（最新服务包）、Microsoft Windows XP Prof / Home（Server

12、Pack2 或更高）、Microsoft Windows Server 2003 Standard /Enterprise和 Web版、Red Hat Enterprise Linux，第 3 或第 4 版（AS、ES 和 WS 产品）、 Sun Solaris SPARC 9 和 10、Novell SUSE Linux (x86) Enterprise 8 和9；b)采用分布式集中认证管理系统构架，支持1个HUB主认证服务器和多达15个SPOKE分支认证服务器同时工作，实现数据同步、负载均衡，减轻网络和单台认证服务器的负担；Hub/Spoke结构图c)支持DES、3DES、128 位SSL

13、和AES四种加密算法，并且用户可以根据使用环境的不同选择对键盘、鼠标和视频信号中的一种或全部进行加密，确保用户数据安全传输，同时提高网络的访问速度；d)系统能够自动识别新添加的被控设备，并且可以在屏显示出所连接的设备名称、对应的端口号，无须人工手动添加，支持本地和远程服务器名称同步、抽取和推送，支持网络拓扑自动更新，还可以显示连接的服务器状态（在线、离线、正在使用、无法使用），允许多个用户实时且互不干扰地访问不同的连接设备；e)支持IP用户各种模式的接入操作，如：视频共享模式、独占模式、隐身模式；f)系统可以支持对DSR数字交换机、被控设备和访问用户进行分组、分类管理，而且系统不但能够单独建立

14、用户账号、口令和权限设置，还可以支持与Active Directory 、LDAP、Radius、RSA SexureID、TACACS+ and Windows NT Domain等多种外部用户安全验证方式一起结合使用；外部认证设置g)系统可以支持定义“退出宏”功能，确保操作人员在关闭KVM连接窗口时，可以安全地退出主机系统，用户再次连接时必须再次进行验证、登录，防止用户操作疏忽留下系统访问漏洞，加强用户访问的安全性；xxx“退出宏”设置h)系统可以支持IP地址限制功能，可以屏蔽部分非法IP地址列表的访问，加强网络访问的安全性；IP地址限制功能i)支持“PROXY”代理功能，避免外网用户访问

15、内网系统时在防火墙上开设大量的端口映射，节省公网IP地址，同时减少各种外部攻击；j)支持扩展浏览器，如：Firefox 1.0版本及更高 、Mozilla 1.7.3版本及更高、Netscape 7.2版本及更高等； k)支持第三方Telnet浏览，如：Putty、SSH Secure SSL、Secure CRT等；l)支持SSH公共密钥和私有密钥； m)支持各种嵌入式设备，如：IBM ASM RSA II、DELL DRAC 4、Compaq iLO1和NEC IPF等结合使用；n)系统具有详细的日志记录和管理功能，可以把所有用户登录、操作记录、系统设备升级记录、详细任务记录等全部记录下来

16、，以文件的格式导出，还可以以邮件的方式定期发送给管理员以备故障核查；xxx日志管理o)支持多种不同访问用户组的设定，如：DSView管理员组、设备管理员组、用户管理员组、日志记录员组以及普通用户组，同一用户组还可以设定1、2、3、4四种不同的用户访问等级，细化用户管理权限；p)支持监控窗口全屏幕显示功能；q)支持监控窗口自适应功能，用户可以根据需要自动缩放视频窗口，无需人工手动调节；r)支持分屏幕显示功能，用户可以在一个屏幕上显示多达几台、甚至几十台被控设备画面；分屏幕显示功能s)支持计划任务自定义功能，如：备份DSView数据库和系统文件、控制目标设备的电源、迁移设备、为选定的装直升级固件等

17、，可以设定任务让其在一个特定时间内周期性运行，无须人为干预，减少管理人员的工作量；t)支持SNMP协议，还可以和网管软件，如：HP OPENVIEW一起结合使用；u)支持IPMI功能，可对服务器硬件如CPU温度、风扇转速、主板电流电压等参数进行实时监测。v)系统采用人性化设计，可以定义九种不同用户界面风格。4. 推荐方案推荐方案概述根据系统的总体规划，我方推荐采用DSA集中审计系统和动态双因数认证系统，提高本系统的高安全、高可靠性，为机房主机系统的维护提供便捷，为机房主机的远程访问安全保驾护航。推荐方案设计采用1台DSA1000集中审计系统和1套安盟动态双因数认证系统。DSA集中操作审计系统可

18、全程记录KVM远程客户端在对被控设备远程操作时的操作画面，用以规范操作人员的行为。不但可及时发现常见的、无意的误操作，可进行事后分析与纠正，更可以对操作人员的恶意操作行为进行追溯，提供出恶意操作的第一手证据。安盟动态双因数认证系统可与DSView集中认证系统完美结合，用户需要输入用户名及由安盟身份认证设备生成的用来代替密码的令牌代码和外一个PIN号码，由代理软件传输给安盟身份认证服务器，如果信息有效，安盟身份认证服务器将允许用户访问。用户将被授予与其通行证等级相对应的访问权限，这一权限被安盟身份认证服务器记录在日志文件中。DSA集中审计系统和安盟动态双因数认证系统，为本系统提供了高安全、高可靠

19、性。推荐方案设备清单产品产品描述数量备注Xxx集中审计系统，5个录制并发数、2个并发回放数、300G硬盘1Xxx双因数认证系统，25个硬件令牌（含身份认证服务器软件包）1推荐方案实现本推荐方案与KVM集中控管系统可完美的无缝整合，xxx集中审计系统和安盟动态双因数认证系统的工作状态与否不会影响KVM集中控管系统的正常运行。本推荐方案中采用1台xxx集中审计系统和1套xxx双因数认证系统，两套系统只需对其进行相关的网络配置后将其网络端口通过双绞线连接到交换网中即可。集中审计系统特点集中审计系统1、 部署简单：不用改变原有数据中心集中控管解决方案网络架构，可与DSR数据中心集中控管系统实现无缝结合

20、。2、 支持多窗口录像：DSA数据中心集中控管审计系统可以实现对多个窗口对象同时进行录像数据的采集，保证每个窗口录像数据的完整性。3、 筛选录像：可以根据用户需要，选择操作用户和被控服务器进行监管，在全面监管的基础上又能实现定制监管。4、 画面品质：录制画面清晰流畅，支持8-25帧/秒，最大分辨率支持12801024画面。5、 播放简单：支持网页直接播放，并支持多路并发远程播放与托拽。6、 Web式管理：采用Web界面设置和管理，无需安装其他软件。7、 查询与检索：检索和查看录制数据可根据用户名、时间、被控服务器名等要素进行，支持组合查询与关键字段排序。8、 循环录制：支持循环录制，按20路录

21、像机算，160G硬盘可至少保留7天数据，320G硬盘可至少保留15天数据。9、 存储扩展性：除了DSA主机自身存储硬盘外，可根据实际需求外接扩展存储设备。支持SCSI存储、eSATA存储、iSCSI网络存储等多种存储方式。10、 系统安全性高：系统采用专门设计的嵌入式硬件平台，安全可靠，无病毒侵扰之忧。双因数认证系统特点Xxxxxxxxxxxxxxxxxx认证系统身份认证：多种应用统一认证平台在企业信息网的所有重要的服务器、网络设备、OA、公文交换、信息库访问、WEB应用上使用双因素动态口令认证系统，其认证服务器可以安装在Windows 2000/2003、HP-UX、AIX、Solaris等

22、平台。认证服务器支持负载均衡以应付大量身份认证请求。在部分应用中，由应用软件开发商进行二次开发，加入对双因素动态口令认证系统的支持，实现多种应用统一认证平台.双因素身份认证系统组件身份认证系统由安盟身份认证服务器、身份认证代理、认证设备以及认证应用编程接口（API）组成。Xxxx认证服务器在身份认证解决方案中，身份认证服务器软件是网络中的认证引擎，由安全管理员或网络管理员进行维护，可以实现以下功能：企业认证：身份认证服务器只允许能够提供无法猜测和复制的令牌代码以及静态PIN码的用户接入系统，这将在极大程度上保证登录的用户确实为授权的个体，大大降低了攻击和非法访问的风险。即使是拥有上万用户和多个办公室的企业网络，仍能受到安盟身份认证服务器的保护，该软件的跨区域功能还支持对旅行到本区域以外的员工进行认证。访问控制：身份认证服务器允许用户定义合适的安全策略，可以有效保护对专用网络系统、文件及应用的访问，其中包括可以根据每天的时间、周几或根据小组或用户定义的权限来确定访问权限。规避攻击：黑客会使用各种无法预料的方法来接入网络。身份认证服务器可以识别威胁情况，然后报告给UNIX系统日志或Windows NT事件日志。例如，当有人多次试图接入远程访问端口、数据文件或防火墙时，身份认证服务器会向系统管理员发出报警，帮助发现并在导