KVM監(jiān)控管理系統(tǒng)設計方案-精品.doc

KVM監(jiān)控管理系統(tǒng)設計方案一 系統(tǒng)概述隨著KVM技術的發(fā)展，機房KVM監(jiān)控管理系統(tǒng)已經(jīng)不再是鍵盤、鼠標和顯示器的簡單延伸。機房KVM監(jiān)控管理系統(tǒng)整合了現(xiàn)代機房管理的理念，為設備管理、用戶管理、用戶操作控制及用戶操作記錄提供了全新的技術手段，已成為現(xiàn)代機房管理的重要環(huán)節(jié)?，F(xiàn)代企業(yè)和其分支機構對信息技術的依賴程度越來越高，其機房設備明顯表現(xiàn)出數(shù)量大、跨地域的特點。KVM交換機單機工作模式已經(jīng)不能滿足現(xiàn)代企業(yè)機房管理的需要。利用機房KVM監(jiān)控管理系統(tǒng)對KVM交換機進行集群管理，可以應對機房設備及操作人員數(shù)量不斷增加、機房設備種類日益多樣化的復雜局面。機房KVM監(jiān)控管理系統(tǒng)可以提供KVM交換機不能具備的增值功能： A：集中、安全地管理機房設備；B：統(tǒng)一的用戶管理，用戶權限分配；C：完整的用戶訪問記錄；D：完整的安全性架構。二 需求分析與背景某單位數(shù)據(jù)機房現(xiàn)狀分析目前某單位機房的服務器與網(wǎng)絡設備基本都是采用單機單點管理，隨著信息化、網(wǎng)絡化的發(fā)展，計算機系統(tǒng)的規(guī)模、功能不斷增強擴大，機房設備將不斷增加，需要更高的運行維護效率和科學合理嚴密的機房管理制度。A：現(xiàn)狀1. 某單位機房目前需求為30多個操作點（服務器及網(wǎng)絡設備），由于各操作點都有著自己的維護界面，系統(tǒng)維護人員需要逐個進行維護和管理。2. 目前的機房管理，基本使用傳統(tǒng)的管理模式。日常維護中需要操作人員頻繁的進出機房，鍵盤、鼠標和顯示器等外部I/O設備大量的占用機房空間；機房電磁環(huán)境也有害于操作人員身體健康。B：依據(jù)目前的現(xiàn)狀，某單位數(shù)據(jù)機房需要一個更高效、更集中、更智能化的管理平臺.基于以上分析，為了更好的進行系統(tǒng)運行維護管理，迫切需要對機房管理設備進行升級，以期能提供一套與目前機房設備規(guī)模相適應的更安全、更高效的集中管理平臺,為了滿足目前大規(guī)模、跨地域、多種類、多用戶的機房設備管理需求，可以對機房設備及操作員進行集中統(tǒng)一管理;本機房KVM監(jiān)控管理系統(tǒng)可以滿足前面所提出的管理需求。三 機房KVM監(jiān)控管理系統(tǒng)設計方案3.1 系統(tǒng)設計原則 系統(tǒng)兼顧成熟性與先進性 開放性和標準化 可擴充性 安全性與可靠性 實用性，適應用戶實際應用環(huán)境3.2 機房KVM監(jiān)控管理系統(tǒng)安全性設計完整的安全系統(tǒng)，需要綜合考慮訪問控制、數(shù)據(jù)傳輸、存儲的安全及完整性、事后審計三大要素。本方案根據(jù)用戶使用的具體特點，對系統(tǒng)安全性進行重點設計，對各種可能的安全性問題進行全面防范。3.2.1 訪問控制的安全性設計 訪問控制的安全性，在于防止非法用戶對系統(tǒng)的入侵。機房KVM監(jiān)控管理系統(tǒng)通過以下技術手段來實現(xiàn)安全的訪問控制：1）服務器證書、客戶端個人證書雙向認證:只有當服務器端、客戶端互相認證對 方的合法性，才能建立起正常聯(lián)機，保證了系統(tǒng)的應用中免受第三方攻擊。2）操作員分級權限管理:系統(tǒng)管理員、一般操作員使用不同的用戶名及密碼登錄系統(tǒng)，對系統(tǒng)管理員、一般操作員規(guī)定不同管理操作權限。一般操作員設備操作權限由系統(tǒng)管理員分配，按照不同操作員職責設定不同的管理權限，遵循“權限最小”原則，進行訪問控制，提高系統(tǒng)安全性。3）KVM接入安全網(wǎng)關及用戶接入安全網(wǎng)關:KVM交換機與服務器、用戶與服務器之間都采用安全、加密通訊協(xié)議連接，屏蔽其它網(wǎng)絡協(xié)議包。4）操作員IP限制:對操作員采用固定IP的方式，可以過濾掉網(wǎng)絡中無關IP所發(fā)出的IP包，限制網(wǎng)絡中的試探行為。3.2.2 密文傳輸防范數(shù)據(jù)傳輸風險 數(shù)據(jù)密文傳輸，在于防止非法用戶對網(wǎng)絡數(shù)據(jù)流的竊聽和分析。 機房KVM監(jiān)控管理系統(tǒng)通過以下技術手段來實現(xiàn)密文傳輸： 采用1024/2048位RSA非對稱算法，有效保證身份認證體系的安全性和會話密鑰傳輸?shù)谋Ｃ苄?；采用MD5摘要算法，保護數(shù)據(jù)傳輸過程的完整性；采用128 bit AES加密算法，符合國際商業(yè)安全標準。XML采用HTTPS傳輸；數(shù)據(jù)采用SSL隧道傳輸。3.2.3 安全日志記錄和審計 事后審計，可以對于機房設備操作過程及運行狀態(tài)進行實時記錄，為事后追溯，查明事故發(fā)生原因、明確責任人的具體責任提供了技術手段。 機房KVM監(jiān)控管理系統(tǒng)通過以下技術手段來實現(xiàn)安全日志記錄和審計：1）計算機屏幕圖像同步存儲與回放功能:采用圖像及字符數(shù)據(jù)存儲與回放技術，可以將操作員的所有操作圖像都記錄下來，在需要對操作過程進行監(jiān)督和事后追溯時回放。2）日志儲存、管理、查詢功能:將操作員的所有操作的相關要素（登錄時間、登出時間、操作員號、訪問設備、訪問IP地址等）都記錄下來，以備需要對操作員進行監(jiān)督時查詢。3）報警及異常狀態(tài)日志：受控設備宕機、掉電報警.上述功能使系統(tǒng)具備了事后審計的能力：記錄和跟蹤各種系統(tǒng)狀態(tài)的變化；提供對系統(tǒng)故意入侵行為的記錄和危害系統(tǒng)安全的記錄；實現(xiàn)對各種安全事故的定位；監(jiān)控和捕捉各種安全事件。2.2.4 減少機房人員進出，提高物理安全性 主機運行機房是核心部位之一，減少人員頻繁進出，可以提高機房設備的物理安全性。使用機房KVM監(jiān)控管理系統(tǒng)使得操作員可以在機房外操作維護機房設備，可以有效減少機房內(nèi)人員流動。3.3 管理模式的整合與調(diào)整 機房KVM監(jiān)控管理系統(tǒng)，為機房管理提供了新的技術手段。根據(jù)新的技術手段對機房管理模式進行調(diào)整，可以提供一套與目前機房設備規(guī)模和安全性要求相適應的高效、集中管理平臺，完善機房管理制度，具體如下：3.3.1全面集中管理 隨著機房設備規(guī)模的擴大，對機房管理提出了更高的要求。面對眾多的機房設備，仍采用一對一的方式，逐個控制和管理制約了機房管理水平的進一步提高。集中管理包含兩個層面的含義：1）用戶的集中管理： 所有用戶按其任務或所在的科室進行分組管理，統(tǒng)一分配訪問權限，統(tǒng)一設定允許其接入的IP地址或IP地址段，統(tǒng)一進行證書管理。2）機房設備的集中管理： 所有機房設備按其任務進行分組，以便按任務或科室進行設備管理。當用戶登錄系統(tǒng)時，該用戶所有有權訪問的機房設備同時在單一的用戶界面顯示，方便用戶在不同的機房設備之間切換。3.3.2 遠程控制管理 機房KVM監(jiān)控管理系統(tǒng)是基于網(wǎng)絡的機房管理解決方案，IP所到之處，即可部署遠程控制臺，利用用戶現(xiàn)有的網(wǎng)絡體系，構建起遠程控制系統(tǒng)，中心系統(tǒng)管理人員在獲得機房設備訪問權后，即可遠程訪問機房設備。3.3.3 準確的過程管理 目前機房管理制度，雖然對操作員行為進行了規(guī)范，但操作員是否按機房管理制度進行操作，是否定期進行巡檢，無法進行準確的監(jiān)控和審核。利用機房KVM監(jiān)控管理系統(tǒng)，進行準確的過程管理，從而提高操作員責任心，落實機房管理制度。基于上述管理技術手段，需要對目前機房管理模式進行整合和調(diào)整，除對機房管理制度進行調(diào)整外，在技術層面上，在進行系統(tǒng)配置時應考慮兼顧系統(tǒng)可用性及安全性；在用戶及用戶組、設備及設備組劃分，權限分配上充分考慮管理上的需求；在日志記錄、圖像存儲設置上應與管理制度相適應；在IP信任域設置上應兼顧系統(tǒng)安全性與訪問的方便性；使系統(tǒng)發(fā)揮最大效益。3.4 方案描述3.4.1方案概述 依照某單位使用要求，設計為在機房安裝機房KVM監(jiān)控管理系統(tǒng)主服務器及KVM交換機，實現(xiàn)全域認證服務和日志記錄。主服務器中需安裝KVM接入代理、用戶訪問代理、用戶管理和日志服務軟件模塊，實現(xiàn)該機房區(qū)域KVM接入、IP用戶接入和日志服務等功能。KVM交換機通過主服務器形成集群。實現(xiàn)對全域機房設備的統(tǒng)一管理和訪問控制。3.4.2方案實現(xiàn) 由于某單位數(shù)據(jù)機房操控設備約為30臺左右，分布在同一機房區(qū)域。故采用EasyWay KVM交換機組合配置予以接入。 接入設備數(shù)：32個 需安裝EasyWay 16端口KVM交換機2臺； 另選用相應接口功能模塊計 32個即可。機房KVM監(jiān)控管理系統(tǒng)主服務器： 服務器配置根據(jù)設備及網(wǎng)絡帶寬情況，以按需配置原則，同時權衡用戶投資、可用性和擴展性，使用戶在目前條件下以較小的投資，獲得最大的使用效率。在數(shù)據(jù)機房安裝機房KVM監(jiān)控管理系統(tǒng)主服務器，實現(xiàn)全域用戶管理和日志服務。機房內(nèi)的服務器與網(wǎng)絡設備。按就近接入原則，選擇與其匹配的接口模塊類型，與本機房內(nèi)的KVM交換機連接。 主服務器中安裝KVM接入代理、用戶訪問代理、用戶管理和日志服務軟件模塊，全域用戶管理和日志服務都集中于主服務器，所有用戶的權限管理、證書發(fā)放、日志存儲與查詢都由主服務器完成。主服務器安裝軟件模塊：ES-AS 用戶管理 ES-LS 日志服務ES-KP KVM接入代理 ES-CP 用戶訪問代理3.4.3方案功能及特點全域訪問能力：遠程IP用戶可以位于任何有OA網(wǎng)絡存在的地方，通過TCP/IP登錄控制所有服務器及網(wǎng)絡設備；快捷切換方式：遠程IP用戶通過客戶端界面操作，其所有有權訪問的機房設備完全列表在同一顯示界面中，只需鼠標點擊即可接入和控制任何一臺機房設備；友好的用戶界面：不論是本地控制臺還是遠程IP用戶，均為全圖形全中文界面。高度可管理性：KVM交換機、機房設備、用戶集中統(tǒng)一管理，支持分組管理模式。安全強度高：雙向證書認證、用戶分級權限管理、數(shù)據(jù)安全加密傳輸、日志審計功能、圖像存儲與回放，構成完整的安全體系?？煽啃裕涸贙VM交換機關機或出現(xiàn)故障時，接口模塊具備斷電保護功能，能保證所連接的服務器及網(wǎng)絡設備正常工作。更換KVM交換機非常方便，只需進行IP地址等少量配置即可，接口模塊支持熱拔插，即插即用；KVM交換機為分布式安裝，當機房KVM監(jiān)控管理系統(tǒng)主服務器出現(xiàn)故障時，可以很方便地將KVM交換機設置為單機模式，IP用戶可不通過主服務器直接登錄KVM交換機訪問控制服務器及網(wǎng)絡設備。實用性：KVM交換機1U標準可上機架式，支持包括PS/2、SUN、USB服務器和各種終端服務器及串口設備，VGA、SVGA顯示器，最大分辨率本地端和IP端均支持高達1600x1280 顯示分辨率。支持多平臺多系統(tǒng)：如HP、IBM、SUN、COMPAQ、DELL、小型機、串口等硬件多平臺的服務器；用戶資源保護：非介入式安裝，不會占用被控制的服務器及網(wǎng)絡設備的內(nèi)存、CPU等重要資源。利用原有OA網(wǎng)絡，不會增加網(wǎng)絡設備投資，不會占用業(yè)務網(wǎng)絡帶寬。用戶訂制：完全自主知識產(chǎn)權，可以按用戶需求擴充功能，實現(xiàn)用戶定制。系統(tǒng)通知：系統(tǒng)管理員可以對關注的事件設定通知功能，當系統(tǒng)有相關事件生成時，系統(tǒng)會以多種通知管理員。安裝部署方便：方案簡潔、直觀，實現(xiàn)規(guī)范化五類線布線，簡化工程施工，布線整齊