国家XX总局集中远程监控管理系统设计方案
1 国家XX总局集中远程管控的具体需求
1.1现状和背景
根据与用户交流,目前准备在新机房应用集中管控系统,其中服务器数量约为200台(包括IBM P系列小型机,IBM X系列PC服务器,IBM Bladcenter系列刀片服务器);网络设备数量约为50台。
由于平均每个机柜存放设备数量尚无规划,因此机柜与机柜之间的距离应保留足够的管理半径。初步估计至少预留40米。
1.2管理方式需求
1、要求满足国税总局的管理体系架构:同城机房能实时方便的进行日常维护,总部对设备可进行集中监控和协同分支机房管理,总部可随时监控同城异地的设备运行状况,并负责管理本系统。
2、要求实现带外管理功能和考虑系统的安全、冗余设计,符合专用系统的应用需求。
3、要求支持无限个并发用户的远程访问,支持多个维护人员同时管理控制同一台设备。
4、要求为统一集中管理平台:通过一个IP地址统一管理所有设备,可详细、完整的定义用户权限管理策略和查询设备策略。
2 国家XX总局集中远程管控方案概述
2.1系统方案拓扑图
2.2系统结构描述
方案从设计上分为两层结构,分别为接入层和管理层。接入层位于数据机房设备机柜内,实现被管理设备的接入和汇聚,管理层实现对所有机房设备的集中管理。
接入层使用Dominion 数字系列的KX2和SX产品对数据机房中的被管理设备进行汇聚,使用UTP5类线从被管理设备的I/O口(KVM口或串口)连接到Dominion的端口上,由Dominion 使用Over IP技术将模拟信号转换成IP数据包并连接到IP网络,可从远程对被管设备进行管理。当各地数据机房中的管理员需要在本地访问被管理设备时,可使用Dominion系列提供的本地管理接口来进行操作。
本方案在接入层采用13台Dominion KX2 416数字KVM交换机管理接入服务器,提供200台服务器的管理能力。该设备单台具备16个管理接口,支持4个远程用户并发访问,同时具备1个本地用户访问接口,预留机架边的救援能力,在网络故障时,可通过Modem拨号方式进行应急处理。
采用2台Dominion SXA32数字串口服务器管理接入的网络设备,提供64台网络设备的管理能力。该设备单台具备32个管理接口,支持单端口10用户的并发访问能力,在网络故障时,可通过Modem拨号方式进行应急处理。
管理层使用两台Command Center SG-V1,组成逻辑上的双机热备集群,两台Command Center SG均连接到IP网络来集中管理接入层中的各台Dominion系列产品,并相互实时同步配置。用户只要登陆主Command Center SG即可通过整合的界面访问各地数据机房的所有设备,而不用考虑被管理设备是连接在哪台Dominion上。当主Command Center SG本身或网络连接出现问题时,用户可使用备份Command Center SG来访问控制各地的设备提高系统的可用性。当安装了Command Center SG后,使用者不能直接连接Dominion而需要访问Command Center SG通过统一的界面进行集中的身份验证和权限分配后才能访问各台被管理设备。
如图所示,Command Center SG-V1支持双接口1000M铜缆以太网,可将网络交换机与Command Center SG-V1进行双链路配置,形成网络结构的冗余,核心管理区域没有单点故障。
在考虑备份冗余方面, Dominion均提供备份的Modem接口,以便在网络连接失效时可使用模拟PSTN网进行拨号应急访问。
2.3系统带外管理备份方案描述
2.3.1 PSTN的带外管理方案
针对Dominion系列所在的机房网络出现故障,可以通过Dominion内置的Modem实现PSTN带外管理的访问。
2.3.2本地口的带外管理方案
当各地机房的网络出现故障时,可以采用Dominion的本地端口实现机房一级的带外管理网络:将机房的本地端口延长到机房外的控制室,实现人机分离的带外管理。
2.4系统的用户验证方式
Command Center SG和KX2\SX都有内部验证系统同时也支持外部验证系统(Radius、Active Directory、LDAP(S) 和 TACACS+),并且 Command Center SG还支持 在AAA故障情况下能选择多种“AAA” 服务器 (相同类型或者不同类型)做认证工作,用户可以指定选择其他认证方式的顺序,比如LDAP首先,AD第二,TACACS+ 第三。。。来保证用户真正的可用性。
结合国税总局的实际情况和利用Raritan系统多种灵活验证模式的支持,建议采用外部统一集中验证的方式,并将系统的验证体系纳入到国税总局的Secure ID的验证体系中;如:AAA的主、备Server为Radius,同时建议Command Center SG内部验证系统留有用户数据库备用,当出现意外的AAA故障时可不影响使用。
2.5系统管理方式简介
通过远程集中管控系统中Command Center SG所具有的精细化和强大的管理功能,可以完全按照管理人员的职责和权限来灵活方便的实现集中远程管理。针对具体的分支机房管理人员和总部管理人员可以实现如下的管理方式:
2.5.1分支机房管理人员
管理权限:
管理分支机房内的设备,可以按照人员职责划分不同的管理帐号权限来管理不同的设备。
管理路径:
A.通过KX2和SX的本地管理口进行设备的本地管理。
B.通过IP网络,实现远程管理。
C.通过PSTN电话拨号网络实现在IP网络不可访问时的应急访问。
管理深度:
设备日常状态的查看;设备配置更新;设备内核升级;设备重起;设备加电断电诊断等。
2.5.2总部级管理人员
管理权限:
监控管理全系统的设备,可以按照人员职责划分不同的管理帐号权限来管理不同的设备或不同省市的设备。
管理路径:
A.通过IP网络,实现远程管理。
B.通过PSTN电话拨号网络实现在IP网络不可访问时的应急访问。
管理深度:
可以随时监控到任何地点的设备状态,并可以直接登陆到设备上进行操作;系统内使用人员权限的划分管理,系统内所有设备的管理,系统的统一升级(Command Center SG、KX2、SX)等
2.6设备配置清单
| 序号 | 型号 | 描述 | 单位 | 数量 |
| 1 | Command Center SG-V1 | 集中管理控制器,支持将数字产品和模拟产品方案的统一整合,国际化语言版本支持包括简体中文界面,单电源,双网口,双磁盘镜像,内置Modem,支持双机冗余,支持SSL/SSH, SNMP,ACL,SYSLOG,支持RADIUS,LDAP(S),Active Directory,TACACS+的外部验证服务器和多个服务器的Fail Over。 | 台 | 2 |
| 2 | Dominion KX2-416 | 数字式(KVM over IP)切换器,单台支持多达5用户(4远程+1本地)通道和16个IT设备通道,支持冗余双网口,外置Modem备份,支持管理多平台KVM设备,支持电源控制整合。支持虚拟媒体功能,远端最大分辨率可支持1600*1200。 | 台 | 13 |
| 3 | D2CIM-VUSB | 被管理设备接口转换器,支持USB设备等,支持虚拟媒体功能,绝对鼠标同步。。。 | 个 | 200 |
| 4 | Dominion SXA32 | 数字式串口服务器,单台支持多达32个IT设备通道,每个通道支持10个用户,支持双电源,双网口,内置Modem备份,可选AC/DC电源,支持NFS。 | 台 | 2 |
