备份中心机房远程集中控制KVM系统方案设计

1xxxxxxx机房远程集中控制KVM系统方案设计根据xxxxxxx中心机房具体情况，机房内现有64台各种型号的PC服务器需在远程监控中心通过TCP/IP进行操作访问。控制信号及监控信号可引至监控室，采用监控室背投设备切换视频。同时考虑管理用户访问的特殊性要求在机房内留有本地控制台方便用户进入机房对服务器进行操作管理。所有远程管理用户登陆服务器访问之前必须经过中央集中认证，认证通过后才能访问其权限内的服务器，没有权限的服务器无法显示在其操作接口上。所以本方案充分考虑了机房内所有服务器、交换机和路由器管理的集中性、用户管理的安全性、用户操作的规范性、系统的实用性以及将来机房服务器和网络设备数量的扩展性设计而成。1.系统设计原则采用最先进的成熟产品，系统兼顾成熟性与先进性开放性和标准化可扩充性安全性与可靠性实用性，适应用户实际应用环境2.系统总体设计方案2.1.方案系统配置型号品牌产品描述数量DSR2035AVOCENT2IP、1本地通道(带modem口）,支持VM功能，32接口，机架式2EV200DATCENTCATX.视频补偿(300m)支持USB,PS2计算机接口,控制端USB,PS2键盘鼠标1DSAVIQ-USB2AVOCENT服务器接口线缆，VGA、USB键盘/鼠标，USB2.0，支持虚拟媒体功能64DSView3-swAVOCENT集中认证软件12.2.方案拓扑图22．3.方案设计说明1)方案概述考虑到xxxxxx机房的具体情况，我们设计采用2台支持1个本地信道、2个IP信道、32端口的DSR2035数字交换机实现对所有的服务器进行连接管理；本系统最大可以支持4个并发IP操作管理用户通过TCP/IP同时操作访问机房内所有的服务器。同时DSR2035数字交换机还可以提供1个本地操作终端方便管理用户进入机房在机架旁操作管理其所连接的被控服务器，并且通过1台EV200将DSR2035的本地端延长至监控室，采用监控室背投设备切换视频。在特殊情况下，DSR2035数字交换机还可以支持外接Modem拨号访问。2)方案实现64台PC服务器每台设备的USB接口和显卡接口都直接连接一根DSAVIQ-USB2服务器接口线缆攫取键盘、鼠标和视频信号；DSAVIQ-USB2服务器接口线缆再通过普通五类线连接到DSR2035数字交换机的32个被控主机端口；DSR2035数字交换机的本地控制端直接连接一套键盘、鼠标和显示器在机架旁操作管理其所连接的服务器；DSR2035数字交换机的网络口通过普通五类线连接到网络交换机，提供远程管理用户通过TCP/IP进行操作管理。另外，提供一台服务器用于安装DSView3集中认证管理软件，其中一台作为主认证服务器（HUB），3一台为分支认证服务器（SPOKE）。通过DSView3集中认证管理软件管理DSR2035数字交换机以及下面所连接的所有服务器设备。远程IP操作管理用户只需要在其计算机的Web浏览器内输入DSView3认证服务器的IP地址经过权限认证后即可对机房内的所有的服务器进行集中统一管理。不同的IP用户只需要通过简单的用户分组和权限设置后就可以对机房内所有的DSR2035数字交换机下面连接的被控服务器进行操作访问，实现最小化访问权限控制。实现从单点技术管理、普通系统管理、区域本地管理过渡到全面集中管理、安全系统管理和远程控制管理。3)方案功能控制用户：本系统最大可以提供4个远程IP操作管理用户同时进行登陆访问，每1个远程IP操作管理用户通过TCP/IP可以对所有的服务器进行集中统一管理，还可以根据不同的使用权限控制不同的被控设备。另外，DSR2035数字交换机还提供了1个本地控制台方便管理用户进入机房内对服务器进行操作访问；切换方式：远程IP用户只需要在本机的WEB浏览器内输入DSView3认证服务器的IP地址通过权限认证后就可以对所有的被控服务器进行集中统一管理，所有用户的操作管理都可以由鼠标、键盘来完成，不但支持自动扫描功能，还具有分屏显示功能，能支持1屏显示多达几十台服务器画面，监视不同系统的运行状态；实用性：DSR2035数字交换机采用1U、19’标准可上机架式设计，支持包括PS/2、SUN、USB服务器、各种终端服务器和网络设备，支持服务器的最大分辨率本地端可达1600x1280@75Hz，远程IP端最大可达1280x1024@75Hz。画面色彩支持16位真彩显示，而且用户在连接的不同分辨率服务器之间切换时，画面能够自动调节视频大小，无需人工手动调节。而且画面支持全屏幕显示功能和自动缩放功能，用户可以根据需要任意缩放屏幕大小；连接线缆：4本方案全部采用普通五类线连接，而且支持CAT5、CAT5e和CAT6类线，且网线品牌不限，可以支持对机房内原有网线、配线架的充分合理利用，不浪费原有资源。远程IP用户通过TCP/IP操作访问没有时间、距离和空间的限制；自动视频信号补偿：DSRIQ服务器接口线缆带有DDC2B视频自动补偿功能，可以补偿从服务器端到DSR2035数字交换机端在双绞线传输中衰减的视频信号，无需人工调节和视频调节，自动满屏幕显示；可管理性：所有对DSR2035数字交换机、被控服务器和不同IP用户的命名、编码、分组和权限设置都可以通过Web浏览器在xxx认证服务器上操作完成，所有设置的详细信息都将存储在xxx认证服务器上，而且所有用户对系统的操作都将作为日志可以被详细记录下来，操作更加简单、直观；系统安全性：本系统最大可以支持1个xxxHUB主认证服务器和多达15个Spoke分支认证服务器同步工作，可以做到数据同步、负载均衡，减少了网络阻塞率，降低单台认证服务器的故障而造成整个系统的安全隐患；DSViewHUB主认证服务器和Spoke分支认证服务器内存储所有登录用户身份的权限、拓朴结构和每个设备的关联信息，而且所有系统的详细信息都可以通过任务定制，还可以MAIL的形式定期的转发给管理员以备故障审核；可靠性：具备断电保护功能，所有对被控服务器编辑的信息都存储在xxx上，而不是存储在xxx数字交换机的每一个埠上，所以在xxx数字交换机故障时仍能保证所连接的被控设备正常工作，只需要换上相应的备件、连接好网线就可以正常工作，不需要对服务器进行任何操作，而且原有的设置都没有改变，系统能够自动识别和添加新设备；系统还支持通过任务的形式定期备份数据，大大提高了系统的可靠性；支持虚拟媒体功能：远程IP操作用户可以在其操作的计算机上将其主机上的光驱、移动硬盘、IOS文件甚至其它媒体设备虚拟到机房内的被控服务器上，进行数据移植、拷贝，5甚至还可以支持DOS下的远程光盘启动，为服务器远程安装操作系统。其完全独立于网络接口的数据传输，不影响被控设备网络接口的使用，不占用接口带宽；支持域功能：系统可以支持管理员按照公司分布架构和不同的部门划分不同的用户和对应设备的管理功能，清晰的定义公司的管理和分布架构；扩展性：可满足将来服务器的扩展性，xxx换机相互之间独立工作，不存在任何干扰。当被控服务器数量超过64台即可以通过增加一台xxx换机实现扩容，而且所有数字设备均使用“即插即用”技术系统能够自动识别设备的增加和变化，管理员可以为新增加的设备、服务器命名和定义权限，而且通过xxx认证服务器可以把新增加的数字交换机管理设备添加到原有的系统中，实现新老系统的完美结合，配置简单，配置好后即可投入正常应用；升级能力：本系统中所有数字交换机以及集中控制管理软件都可以升级其版本，并且系统还可以通过订制任务，让其周期性的对数字交换机做版本升级，而且支持本地和远程升级。3.方案产品简介3.1集中控管系统a)支持多平台服务器系统认证，如：MicrosoftWindowsNTServer、MicrosoftWindows2000Server/AdvancedServer（最新服务包）、MicrosoftWindowsXPProf/Home（ServerPack2或更高）、MicrosoftWindowsServer2003Standard/Enterprise和Web版、RedHatEnterpriseLinux，第3或第4版（AS、ES和WS产品）、SunSolaris™SPARC9和10、NovellSUSELinux(x86)Enterprise8和9；b)采用分布式集中认证管理系统构架，支持1个HUB主认证服务器和多达15个SPOKE分支认证服务器同时工作，实现数据同步、负载均衡，减轻网络和单台认证服务器的负担；6Hub/Spoke结构图c)支持DES、3DES、128位SSL和AES四种加密算法，并且用户可以根据使用环境的不同选择对键盘、鼠标和视频信号中的一种或全部进行加密，确保用户数据安全传输，同时提高网络的访问速度；d)系统能够自动识别新添加的被控设备，并且可以在屏显示出所连接的设备名称、对应的端口号，无须人工手动添加，支持本地和远程服务器名称同步、抽取和推送，支持网络拓扑自动更新，还可以显示连接的服务器状态（在线、离线、正在使用、无法使用），允许多个用户实时且互不干扰地访问不同的连接设备；e)支持IP用户各种模式的接入操作，如：视频共享模式、独占模式、隐身模式；f)系统可以支持对DSR数字交换机、被控设备和访问用户进行分组、分类管理，而且系统不但能够单独建立用户账号、口令和权限设置，还可以支持与ActiveDirectory、LDAP、Radius、RSASexureID、TACACS+andWindowsNTDomain等多种外部用户安全验证方式一起结合使用；外部认证设置g)系统可以支持定义“退出宏”功能，确保操作人员在关闭KVM连接窗口时，可以安全地退出主机系统，用户再次连接时必须再次进行验证、登录，防止用户操作疏忽留下系统访问漏洞，加强用户访问的安全性；xxx“退出宏”设置h)系统可以支持IP地址限制功能，可以屏蔽部分非法IP地址列表的访问，加强网络访问的安全性；7IP地址限制功能i)支持“PROXY”代理功能，避免外网用户访问内网系统时在防火墙上开设大量的端口映射，节省公网IP地址，同时减少各种外部攻击；j)支持扩展浏览器，如：Firefox1.0版本及更高、Mozilla1.7.3版本及更高、Netscape7.2版本及更高等；k)支持第三方Telnet浏览，如：Putty、SSHSecureSSL、SecureCRT等；l)支持SSH公共密钥和私有密钥；m)支持各种嵌入式设备，如：IBMASMRSAII、DELLDRAC4、CompaqiLO1和NECIPF等结合使用；n)系统具有详细的日志记录和管理功能，可以把所有用户登录、操作记录、系统设备升级记录、详细任务记录等全部记录下来，以文件的格式导出，还可以以邮件的方式定期发送给管理员以备故障核查；xxx8日志管理o)支持多种不同访问用户组的设定，如：DSView管理员组、设备管理员组、用户管理员组、日志记录员组以及普通用户组，同一用户组还可以设定1、2、3、4四种不同的用户访问等级，细化用户管理权限；p)支持监控窗口全屏幕显示功能；q)支持监控窗口自适应功能，用户可以根据需要自动缩放视频窗口，无需人工手动调节；r)支持分屏幕显示功能，用户可以在一个屏幕上显示多达几台、甚至几十台被控设备画面；分屏幕显示功能s)支持计划任务自定义功能，如：备份DSView数据库和系统文件、控制目标设备的电源、迁移设备、为选定的装直升级固件等，可以设定任务让其在一个特定时间内周期性运行，无须人为干预，减少管理人员的工作量；t)支持SNMP协议，还可以和网管软件，如：HPOPENVIEW一起结合使用；u)支持IPMI功能，可对服务器硬件如CPU温度、风扇转速、主板电流电压等参数进行实时监测。v)系统采用人性化设计，可以定义九种不同用户界面风格。4.推荐方案推荐方案概述根据系统的总体规划，我方推荐采用DSA集中审计系统和动态双因数认证系统，提高本9系统的高安全、高可靠性，为机房主机系统的维护提供便捷，为机房主机的远程访问安全保驾护航。推荐方案设计采用1台DSA1000