某單位網(wǎng)絡(luò)帶外管理技術(shù)方案

某單位網(wǎng)絡(luò)帶外管理方案一、某單位網(wǎng)絡(luò)管理現(xiàn)狀隨著我單位信息化建設(shè)的改革和發(fā)展，現(xiàn)在我單位的各項政務(wù)和業(yè)務(wù)工作都離不開信息系統(tǒng)。計算機網(wǎng)絡(luò)是承載信息系統(tǒng)的基礎(chǔ)設(shè)施，經(jīng)過多年的建設(shè)，我單位的計算機網(wǎng)絡(luò)以SDH數(shù)字專線和光纖線路為主要傳輸手段，已經(jīng)延長到8個辦事處，涵蓋20多個業(yè)務(wù)現(xiàn)場。每個業(yè)務(wù)現(xiàn)場都設(shè)置了網(wǎng)絡(luò)機房用于線路匯聚和集中安裝各種通信網(wǎng)絡(luò)設(shè)備，包括路由器、交換機、有線通訊設(shè)備等。在發(fā)展中，因我單位業(yè)務(wù)發(fā)展和基于平安性的需求，我單位的計算機網(wǎng)絡(luò)發(fā)展成物理隔離的4個子網(wǎng)絡(luò)，分別命名為業(yè)務(wù)運行網(wǎng)、業(yè)務(wù)管理網(wǎng)、對外業(yè)務(wù)專網(wǎng)、單位內(nèi)部互聯(lián)網(wǎng)，這使得各個機房內(nèi)網(wǎng)絡(luò)設(shè)備的數(shù)量大大增加。信息系統(tǒng)的高效穩(wěn)定運行對于我單位業(yè)務(wù)至關(guān)重要，網(wǎng)絡(luò)運維成為技術(shù)處系統(tǒng)維護科日常工作的重要組成部分。目前，我單位雖然部署了網(wǎng)絡(luò)監(jiān)控運維系統(tǒng)，但是網(wǎng)絡(luò)運維和故障處理還是離不開網(wǎng)絡(luò)管理員的人工操作。在網(wǎng)絡(luò)運維日常工作中，網(wǎng)絡(luò)管理員一般是在同一網(wǎng)絡(luò)里的客戶機通過telnet（或SSH）程序遠程連接到目標設(shè)備進行網(wǎng)絡(luò)維護操作，假如網(wǎng)絡(luò)出現(xiàn)故障，上述連接就不能勝利，網(wǎng)絡(luò)管理員唯有帶上筆記本電腦等工具乘坐“急救車”親臨網(wǎng)絡(luò)機房查看目標設(shè)備，診斷問題并最終復(fù)原網(wǎng)絡(luò)連接。二、建設(shè)帶外管理的必要性及可行性目前我單位現(xiàn)有的網(wǎng)絡(luò)維護手段相對單一，而且存在較大的缺點。telnet（或SSH）遠程連接方式是基于網(wǎng)絡(luò)正常運行為前提，網(wǎng)絡(luò)管理員只能做一些參數(shù)查看、監(jiān)控的工作。當網(wǎng)絡(luò)連接出現(xiàn)故障時，遠程連接方式就無能為力，網(wǎng)絡(luò)管理員只好擔當“救火隊員”親臨網(wǎng)絡(luò)故障現(xiàn)場處理。即使是從網(wǎng)絡(luò)中心到最近的業(yè)務(wù)現(xiàn)場，單向車程也須要30分鐘左右，這樣的處理方式，不僅不能保證網(wǎng)絡(luò)故障處理的時效性，而且耗費了珍貴的用車資源。為了緩解人力物力有限而網(wǎng)絡(luò)維護工作日益困難，對網(wǎng)絡(luò)復(fù)原時效要求越來越高的沖突，增加網(wǎng)絡(luò)管理途徑的須要也顯得越來越重要。帶外管理是成熟、穩(wěn)定的技術(shù)手段，已成為業(yè)界標準的網(wǎng)絡(luò)管理方式，是我單位現(xiàn)有網(wǎng)絡(luò)管理手段最佳的選擇和最有效的補充。三、某單位帶外管理設(shè)計方案網(wǎng)絡(luò)管理可分為帶內(nèi)管理（in-bandmanagement）和帶外管理（out-of-bandmanagement）兩種管理模式。在帶內(nèi)管理方式下，管理限制信息與數(shù)據(jù)信息運用同一物理通道進行傳送。帶外管理的核心理念在于通過不同的物理通道傳送管理限制信息和數(shù)據(jù)信息，兩者完全獨立、互不影響。當網(wǎng)絡(luò)出現(xiàn)故障，帶內(nèi)管理不能發(fā)揮作用時，帶外管理為管理員供應(yīng)了訪問網(wǎng)絡(luò)故障設(shè)備的后備通道。串口限制臺服務(wù)器（consoleserver）是實現(xiàn)網(wǎng)絡(luò)設(shè)備帶外管理系統(tǒng)的設(shè)備。通常每個網(wǎng)絡(luò)設(shè)備都配有一個用于本地連接管理的console口（屬于EIA/TIA-232串行接口通信規(guī)范），每個串口服務(wù)器配有多個串行口用于連接目標設(shè)備的console接口、另外配有一個或者兩個以太網(wǎng)口用于連接TCP/IP網(wǎng)絡(luò)，為網(wǎng)絡(luò)設(shè)備的console口到TCP/IP之間完成數(shù)據(jù)轉(zhuǎn)換的通訊。網(wǎng)絡(luò)管理員可以通過TCP/IP網(wǎng)絡(luò)里的客戶端干脆連接到限制臺服務(wù)器（連接方式有Telnet、SSH、撥號、WEB閱讀器等），再管理各個串行口連接的網(wǎng)絡(luò)設(shè)備，可以大大削減親臨故障現(xiàn)場的次數(shù)。下圖是一個限制臺服務(wù)器與被管理設(shè)備的連接圖示。在我單位現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)下對網(wǎng)絡(luò)設(shè)備進行帶外管理，無需改動現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)，只須要在每個現(xiàn)場機房配置一臺限制臺服務(wù)器、用于帶外管理的TCP/IP網(wǎng)絡(luò)。在各個機房里每個子網(wǎng)大約有一臺主要的網(wǎng)絡(luò)設(shè)備，總數(shù)量一般不超過8臺，所以每個機房配置一臺8個串口的限制臺服務(wù)器即可實現(xiàn)對各個子網(wǎng)絡(luò)的帶外管理。重新布設(shè)一個網(wǎng)絡(luò)不符合資源整合的設(shè)計理念，而相對其它子網(wǎng)絡(luò)，“單位內(nèi)部互聯(lián)網(wǎng)”客戶端最少，網(wǎng)絡(luò)負載最小，所以本方案擬將各現(xiàn)場機房的限制臺服務(wù)器的以太網(wǎng)口連接到“單位內(nèi)部互聯(lián)網(wǎng)”，每個限制臺服務(wù)器設(shè)置一個“單位內(nèi)部互聯(lián)網(wǎng)”IP地址，網(wǎng)絡(luò)管理員通過“單位內(nèi)部互聯(lián)網(wǎng)”內(nèi)的一臺客戶端進行管理驗操作。為了增加網(wǎng)絡(luò)管理員快速響應(yīng)速度和工作便利性，本方案運用便攜式計算機作為管理客戶端，下圖中本設(shè)計方案的連接圖示。某單位配置網(wǎng)絡(luò)機房的業(yè)務(wù)現(xiàn)場包括21業(yè)務(wù)現(xiàn)場，此方案擬購置22臺限制臺服務(wù)器，配備多余一臺用于應(yīng)急后備。本方案所需的資源清單資源名稱數(shù)量8串行口限制臺服務(wù)器22臺“單位內(nèi)部互聯(lián)網(wǎng)”IP地址21個本設(shè)計方案平安性分析：限制臺服務(wù)器與互聯(lián)網(wǎng)不能互訪，我單位的“單位內(nèi)部互聯(lián)網(wǎng)”運用公用的私有IP地址通過代理服務(wù)器統(tǒng)一出口，還部署了互聯(lián)網(wǎng)用戶審計監(jiān)控系統(tǒng)，所以雖然限制臺服務(wù)器接入到“單位內(nèi)部互聯(lián)網(wǎng)”，但限制臺服務(wù)器與互聯(lián)網(wǎng)用戶不能互訪，保證系統(tǒng)平安。連接到限制臺服務(wù)器串行口的被管理設(shè)備之間不能互訪。限制臺服務(wù)器本身的各個串行接口是相互獨立的，不能互通，雖然各個網(wǎng)絡(luò)設(shè)備通過console口連接到限制臺服務(wù)器的串行接口，這種接口一般傳輸速率只有是9600b/s，是100Mb以太網(wǎng)網(wǎng)接口的1/10000，這條連接只傳輸對被管理設(shè)備的限制管理信息，不會發(fā)生串網(wǎng)的狀況，保證了被管理設(shè)備之間不能互訪。被管理設(shè)備傳輸?shù)男畔⒉荒軅鬏數(shù)綆夤芾淼木W(wǎng)絡(luò)（即“單位內(nèi)部互聯(lián)網(wǎng)”），原理同上，“單位內(nèi)部互聯(lián)網(wǎng)”內(nèi)的客戶端能訪問限制臺服務(wù)器，與被管理設(shè)備之間只和傳輸限制信息，不能獲得設(shè)備傳輸?shù)臄?shù)據(jù)信息。通過上述分析得知，本設(shè)計方案操作簡易、可擴展性好，符合平安性的要求。四、設(shè)備選型經(jīng)過資料查詢和產(chǎn)品信息比較，本方案選擇美國AVOCENT公司的CycladesACS5008串口限制臺服務(wù)器。美國AVOCENT公司是目前全球最大的帶外管理系統(tǒng)制造商及數(shù)據(jù)中心（IDC）管理解決方案供應(yīng)商。據(jù)IDC統(tǒng)計，AVOCENT在帶外管理設(shè)備的市場占有率超過50%。CycladesACS5008限制臺服務(wù)器是1U標準機柜支架空間的設(shè)備，供應(yīng)了8串行端口，1個以太網(wǎng)接口，最大限度地提高網(wǎng)絡(luò)和服務(wù)器的可用率，同時供應(yīng)精彩的可擴展性和成本效益。平安性方面，CycladesACS500