KVM監(jiān)控管理系統(tǒng)設(shè)計(jì)方案-精品.doc

KVM監(jiān)控管理系統(tǒng)設(shè)計(jì)方案一 系統(tǒng)概述隨著KVM技術(shù)的發(fā)展，機(jī)房KVM監(jiān)控管理系統(tǒng)已經(jīng)不再是鍵盤、鼠標(biāo)和顯示器的簡(jiǎn)單延伸。機(jī)房KVM監(jiān)控管理系統(tǒng)整合了現(xiàn)代機(jī)房管理的理念，為設(shè)備管理、用戶管理、用戶操作控制及用戶操作記錄提供了全新的技術(shù)手段，已成為現(xiàn)代機(jī)房管理的重要環(huán)節(jié)?，F(xiàn)代企業(yè)和其分支機(jī)構(gòu)對(duì)信息技術(shù)的依賴程度越來(lái)越高，其機(jī)房設(shè)備明顯表現(xiàn)出數(shù)量大、跨地域的特點(diǎn)。KVM交換機(jī)單機(jī)工作模式已經(jīng)不能滿足現(xiàn)代企業(yè)機(jī)房管理的需要。利用機(jī)房KVM監(jiān)控管理系統(tǒng)對(duì)KVM交換機(jī)進(jìn)行集群管理，可以應(yīng)對(duì)機(jī)房設(shè)備及操作人員數(shù)量不斷增加、機(jī)房設(shè)備種類日益多樣化的復(fù)雜局面。機(jī)房KVM監(jiān)控管理系統(tǒng)可以提供KVM交換機(jī)不能具備的增值功能： A：集中、安全地管理機(jī)房設(shè)備；B：統(tǒng)一的用戶管理，用戶權(quán)限分配；C：完整的用戶訪問(wèn)記錄；D：完整的安全性架構(gòu)。二 需求分析與背景某單位數(shù)據(jù)機(jī)房現(xiàn)狀分析目前某單位機(jī)房的服務(wù)器與網(wǎng)絡(luò)設(shè)備基本都是采用單機(jī)單點(diǎn)管理，隨著信息化、網(wǎng)絡(luò)化的發(fā)展，計(jì)算機(jī)系統(tǒng)的規(guī)模、功能不斷增強(qiáng)擴(kuò)大，機(jī)房設(shè)備將不斷增加，需要更高的運(yùn)行維護(hù)效率和科學(xué)合理嚴(yán)密的機(jī)房管理制度。A：現(xiàn)狀1. 某單位機(jī)房目前需求為30多個(gè)操作點(diǎn)（服務(wù)器及網(wǎng)絡(luò)設(shè)備），由于各操作點(diǎn)都有著自己的維護(hù)界面，系統(tǒng)維護(hù)人員需要逐個(gè)進(jìn)行維護(hù)和管理。2. 目前的機(jī)房管理，基本使用傳統(tǒng)的管理模式。日常維護(hù)中需要操作人員頻繁的進(jìn)出機(jī)房，鍵盤、鼠標(biāo)和顯示器等外部I/O設(shè)備大量的占用機(jī)房空間；機(jī)房電磁環(huán)境也有害于操作人員身體健康。B：依據(jù)目前的現(xiàn)狀，某單位數(shù)據(jù)機(jī)房需要一個(gè)更高效、更集中、更智能化的管理平臺(tái).基于以上分析，為了更好的進(jìn)行系統(tǒng)運(yùn)行維護(hù)管理，迫切需要對(duì)機(jī)房管理設(shè)備進(jìn)行升級(jí)，以期能提供一套與目前機(jī)房設(shè)備規(guī)模相適應(yīng)的更安全、更高效的集中管理平臺(tái),為了滿足目前大規(guī)模、跨地域、多種類、多用戶的機(jī)房設(shè)備管理需求，可以對(duì)機(jī)房設(shè)備及操作員進(jìn)行集中統(tǒng)一管理;本機(jī)房KVM監(jiān)控管理系統(tǒng)可以滿足前面所提出的管理需求。三 機(jī)房KVM監(jiān)控管理系統(tǒng)設(shè)計(jì)方案3.1 系統(tǒng)設(shè)計(jì)原則 系統(tǒng)兼顧成熟性與先進(jìn)性 開(kāi)放性和標(biāo)準(zhǔn)化 可擴(kuò)充性 安全性與可靠性 實(shí)用性，適應(yīng)用戶實(shí)際應(yīng)用環(huán)境3.2 機(jī)房KVM監(jiān)控管理系統(tǒng)安全性設(shè)計(jì)完整的安全系統(tǒng)，需要綜合考慮訪問(wèn)控制、數(shù)據(jù)傳輸、存儲(chǔ)的安全及完整性、事后審計(jì)三大要素。本方案根據(jù)用戶使用的具體特點(diǎn)，對(duì)系統(tǒng)安全性進(jìn)行重點(diǎn)設(shè)計(jì)，對(duì)各種可能的安全性問(wèn)題進(jìn)行全面防范。3.2.1 訪問(wèn)控制的安全性設(shè)計(jì) 訪問(wèn)控制的安全性，在于防止非法用戶對(duì)系統(tǒng)的入侵。機(jī)房KVM監(jiān)控管理系統(tǒng)通過(guò)以下技術(shù)手段來(lái)實(shí)現(xiàn)安全的訪問(wèn)控制：1）服務(wù)器證書(shū)、客戶端個(gè)人證書(shū)雙向認(rèn)證:只有當(dāng)服務(wù)器端、客戶端互相認(rèn)證對(duì) 方的合法性，才能建立起正常聯(lián)機(jī)，保證了系統(tǒng)的應(yīng)用中免受第三方攻擊。2）操作員分級(jí)權(quán)限管理:系統(tǒng)管理員、一般操作員使用不同的用戶名及密碼登錄系統(tǒng)，對(duì)系統(tǒng)管理員、一般操作員規(guī)定不同管理操作權(quán)限。一般操作員設(shè)備操作權(quán)限由系統(tǒng)管理員分配，按照不同操作員職責(zé)設(shè)定不同的管理權(quán)限，遵循“權(quán)限最小”原則，進(jìn)行訪問(wèn)控制，提高系統(tǒng)安全性。3）KVM接入安全網(wǎng)關(guān)及用戶接入安全網(wǎng)關(guān):KVM交換機(jī)與服務(wù)器、用戶與服務(wù)器之間都采用安全、加密通訊協(xié)議連接，屏蔽其它網(wǎng)絡(luò)協(xié)議包。4）操作員IP限制:對(duì)操作員采用固定IP的方式，可以過(guò)濾掉網(wǎng)絡(luò)中無(wú)關(guān)IP所發(fā)出的IP包，限制網(wǎng)絡(luò)中的試探行為。3.2.2 密文傳輸防范數(shù)據(jù)傳輸風(fēng)險(xiǎn) 數(shù)據(jù)密文傳輸，在于防止非法用戶對(duì)網(wǎng)絡(luò)數(shù)據(jù)流的竊聽(tīng)和分析。 機(jī)房KVM監(jiān)控管理系統(tǒng)通過(guò)以下技術(shù)手段來(lái)實(shí)現(xiàn)密文傳輸： 采用1024/2048位RSA非對(duì)稱算法，有效保證身份認(rèn)證體系的安全性和會(huì)話密鑰傳輸?shù)谋Ｃ苄?；采用MD5摘要算法，保護(hù)數(shù)據(jù)傳輸過(guò)程的完整性；采用128 bit AES加密算法，符合國(guó)際商業(yè)安全標(biāo)準(zhǔn)。XML采用HTTPS傳輸；數(shù)據(jù)采用SSL隧道傳輸。3.2.3 安全日志記錄和審計(jì) 事后審計(jì)，可以對(duì)于機(jī)房設(shè)備操作過(guò)程及運(yùn)行狀態(tài)進(jìn)行實(shí)時(shí)記錄，為事后追溯，查明事故發(fā)生原因、明確責(zé)任人的具體責(zé)任提供了技術(shù)手段。 機(jī)房KVM監(jiān)控管理系統(tǒng)通過(guò)以下技術(shù)手段來(lái)實(shí)現(xiàn)安全日志記錄和審計(jì)：1）計(jì)算機(jī)屏幕圖像同步存儲(chǔ)與回放功能:采用圖像及字符數(shù)據(jù)存儲(chǔ)與回放技術(shù)，可以將操作員的所有操作圖像都記錄下來(lái)，在需要對(duì)操作過(guò)程進(jìn)行監(jiān)督和事后追溯時(shí)回放。2）日志儲(chǔ)存、管理、查詢功能:將操作員的所有操作的相關(guān)要素（登錄時(shí)間、登出時(shí)間、操作員號(hào)、訪問(wèn)設(shè)備、訪問(wèn)IP地址等）都記錄下來(lái)，以備需要對(duì)操作員進(jìn)行監(jiān)督時(shí)查詢。3）報(bào)警及異常狀態(tài)日志：受控設(shè)備宕機(jī)、掉電報(bào)警.上述功能使系統(tǒng)具備了事后審計(jì)的能力：記錄和跟蹤各種系統(tǒng)狀態(tài)的變化；提供對(duì)系統(tǒng)故意入侵行為的記錄和危害系統(tǒng)安全的記錄；實(shí)現(xiàn)對(duì)各種安全事故的定位；監(jiān)控和捕捉各種安全事件。2.2.4 減少機(jī)房人員進(jìn)出，提高物理安全性 主機(jī)運(yùn)行機(jī)房是核心部位之一，減少人員頻繁進(jìn)出，可以提高機(jī)房設(shè)備的物理安全性。使用機(jī)房KVM監(jiān)控管理系統(tǒng)使得操作員可以在機(jī)房外操作維護(hù)機(jī)房設(shè)備，可以有效減少機(jī)房?jī)?nèi)人員流動(dòng)。3.3 管理模式的整合與調(diào)整 機(jī)房KVM監(jiān)控管理系統(tǒng)，為機(jī)房管理提供了新的技術(shù)手段。根據(jù)新的技術(shù)手段對(duì)機(jī)房管理模式進(jìn)行調(diào)整，可以提供一套與目前機(jī)房設(shè)備規(guī)模和安全性要求相適應(yīng)的高效、集中管理平臺(tái)，完善機(jī)房管理制度，具體如下：3.3.1全面集中管理 隨著機(jī)房設(shè)備規(guī)模的擴(kuò)大，對(duì)機(jī)房管理提出了更高的要求。面對(duì)眾多的機(jī)房設(shè)備，仍采用一對(duì)一的方式，逐個(gè)控制和管理制約了機(jī)房管理水平的進(jìn)一步提高。集中管理包含兩個(gè)層面的含義：1）用戶的集中管理： 所有用戶按其任務(wù)或所在的科室進(jìn)行分組管理，統(tǒng)一分配訪問(wèn)權(quán)限，統(tǒng)一設(shè)定允許其接入的IP地址或IP地址段，統(tǒng)一進(jìn)行證書(shū)管理。2）機(jī)房設(shè)備的集中管理： 所有機(jī)房設(shè)備按其任務(wù)進(jìn)行分組，以便按任務(wù)或科室進(jìn)行設(shè)備管理。當(dāng)用戶登錄系統(tǒng)時(shí)，該用戶所有有權(quán)訪問(wèn)的機(jī)房設(shè)備同時(shí)在單一的用戶界面顯示，方便用戶在不同的機(jī)房設(shè)備之間切換。3.3.2 遠(yuǎn)程控制管理 機(jī)房KVM監(jiān)控管理系統(tǒng)是基于網(wǎng)絡(luò)的機(jī)房管理解決方案，IP所到之處，即可部署遠(yuǎn)程控制臺(tái)，利用用戶現(xiàn)有的網(wǎng)絡(luò)體系，構(gòu)建起遠(yuǎn)程控制系統(tǒng)，中心系統(tǒng)管理人員在獲得機(jī)房設(shè)備訪問(wèn)權(quán)后，即可遠(yuǎn)程訪問(wèn)機(jī)房設(shè)備。3.3.3 準(zhǔn)確的過(guò)程管理 目前機(jī)房管理制度，雖然對(duì)操作員行為進(jìn)行了規(guī)范，但操作員是否按機(jī)房管理制度進(jìn)行操作，是否定期進(jìn)行巡檢，無(wú)法進(jìn)行準(zhǔn)確的監(jiān)控和審核。利用機(jī)房KVM監(jiān)控管理系統(tǒng)，進(jìn)行準(zhǔn)確的過(guò)程管理，從而提高操作員責(zé)任心，落實(shí)機(jī)房管理制度?；谏鲜龉芾砑夹g(shù)手段，需要對(duì)目前機(jī)房管理模式進(jìn)行整合和調(diào)整，除對(duì)機(jī)房管理制度進(jìn)行調(diào)整外，在技術(shù)層面上，在進(jìn)行系統(tǒng)配置時(shí)應(yīng)考慮兼顧系統(tǒng)可用性及安全性；在用戶及用戶組、設(shè)備及設(shè)備組劃分，權(quán)限分配上充分考慮管理上的需求；在日志記錄、圖像存儲(chǔ)設(shè)置上應(yīng)與管理制度相適應(yīng)；在IP信任域設(shè)置上應(yīng)兼顧系統(tǒng)安全性與訪問(wèn)的方便性；使系統(tǒng)發(fā)揮最大效益。3.4 方案描述3.4.1方案概述 依照某單位使用要求，設(shè)計(jì)為在機(jī)房安裝機(jī)房KVM監(jiān)控管理系統(tǒng)主服務(wù)器及KVM交換機(jī)，實(shí)現(xiàn)全域認(rèn)證服務(wù)和日志記錄。主服務(wù)器中需安裝KVM接入代理、用戶訪問(wèn)代理、用戶管理和日志服務(wù)軟件模塊，實(shí)現(xiàn)該機(jī)房區(qū)域KVM接入、IP用戶接入和日志服務(wù)等功能。KVM交換機(jī)通過(guò)主服務(wù)器形成集群。實(shí)現(xiàn)對(duì)全域機(jī)房設(shè)備的統(tǒng)一管理和訪問(wèn)控制。3.4.2方案實(shí)現(xiàn) 由于某單位數(shù)據(jù)機(jī)房操控設(shè)備約為30臺(tái)左右，分布在同一機(jī)房區(qū)域。故采用EasyWay KVM交換機(jī)組合配置予以接入。 接入設(shè)備數(shù)：32個(gè) 需安裝EasyWay 16端口KVM交換機(jī)2臺(tái)； 另選用相應(yīng)接口功能模塊計(jì) 32個(gè)即可。機(jī)房KVM監(jiān)控管理系統(tǒng)主服務(wù)器： 服務(wù)器配置根據(jù)設(shè)備及網(wǎng)絡(luò)帶寬情況，以按需配置原則，同時(shí)權(quán)衡用戶投資、可用性和擴(kuò)展性，使用戶在目前條件下以較小的投資，獲得最大的使用效率。在數(shù)據(jù)機(jī)房安裝機(jī)房KVM監(jiān)控管理系統(tǒng)主服務(wù)器，實(shí)現(xiàn)全域用戶管理和日志服務(wù)。機(jī)房?jī)?nèi)的服務(wù)器與網(wǎng)絡(luò)設(shè)備。按就近接入原則，選擇與其匹配的接口模塊類型，與本機(jī)房?jī)?nèi)的KVM交換機(jī)連接。 主服務(wù)器中安裝KVM接入代理、用戶訪問(wèn)代理、用戶管理和日志服務(wù)軟件模塊，全域用戶管理和日志服務(wù)都集中于主服務(wù)器，所有用戶的權(quán)限管理、證書(shū)發(fā)放、日志存儲(chǔ)與查詢都由主服務(wù)器完成。主服務(wù)器安裝軟件模塊：ES-AS 用戶管理 ES-LS 日志服務(wù)ES-KP KVM接入代理 ES-CP 用戶訪問(wèn)代理3.4.3方案功能及特點(diǎn)全域訪問(wèn)能力：遠(yuǎn)程IP用戶可以位于任何有OA網(wǎng)絡(luò)存在的地方，通過(guò)TCP/IP登錄控制所有服務(wù)器及網(wǎng)絡(luò)設(shè)備；快捷切換方式：遠(yuǎn)程IP用戶通過(guò)客戶端界面操作，其所有有權(quán)訪問(wèn)的機(jī)房設(shè)備完全列表在同一顯示界面中，只需鼠標(biāo)點(diǎn)擊即可接入和控制任何一臺(tái)機(jī)房設(shè)備；友好的用戶界面：不論是本地控制臺(tái)還是遠(yuǎn)程IP用戶，均為全圖形全中文界面。高度可管理性：KVM交換機(jī)、機(jī)房設(shè)備、用戶集中統(tǒng)一管理，支持分組管理模式。安全強(qiáng)度高：雙向證書(shū)認(rèn)證、用戶分級(jí)權(quán)限管理、數(shù)據(jù)安全加密傳輸、日志審計(jì)功能、圖像存儲(chǔ)與回放，構(gòu)成完整的安全體系。可靠性：在KVM交換機(jī)關(guān)機(jī)或出現(xiàn)故障時(shí)，接口模塊具備斷電保護(hù)功能，能保證所連接的服務(wù)器及網(wǎng)絡(luò)設(shè)備正常工作。更換KVM交換機(jī)非常方便，只需進(jìn)行IP地址等少量配置即可，接口模塊支持熱拔插，即插即用；KVM交換機(jī)為分布式安裝，當(dāng)機(jī)房KVM監(jiān)控管理系統(tǒng)主服務(wù)器出現(xiàn)故障時(shí)，可以很方便地將KVM交換機(jī)設(shè)置為單機(jī)模式，IP用戶可不通過(guò)主服務(wù)器直接登錄KVM交換機(jī)訪問(wèn)控制服務(wù)器及網(wǎng)絡(luò)設(shè)備。實(shí)用性：KVM交換機(jī)1U標(biāo)準(zhǔn)可上機(jī)架式，支持包括PS/2、SUN、USB服務(wù)器和各種終端服務(wù)器及串口設(shè)備，VGA、SVGA顯示器，最大分辨率本地端和IP端均支持高達(dá)1600x1280 顯示分辨率。支持多平臺(tái)多系統(tǒng)：如HP、IBM、SUN、COMPAQ、DELL、小型機(jī)、串口等硬件多平臺(tái)的服務(wù)器；用戶資源保護(hù)：非介入式安裝，不會(huì)占用被控制的服務(wù)器及網(wǎng)絡(luò)設(shè)備的內(nèi)存、CPU等重要資源。利用原有OA網(wǎng)絡(luò)，不會(huì)增加網(wǎng)絡(luò)設(shè)備投資，不會(huì)占用業(yè)務(wù)網(wǎng)絡(luò)帶寬。用戶訂制：完全自主知識(shí)產(chǎn)權(quán)，可以按用戶需求擴(kuò)充功能，實(shí)現(xiàn)用戶定制。系統(tǒng)通知：系統(tǒng)管理員可以對(duì)關(guān)注的事件設(shè)定通知功能，當(dāng)系統(tǒng)有相關(guān)事件生成時(shí)，系統(tǒng)會(huì)以多種通知管理員。安裝部署方便：方案簡(jiǎn)潔、直觀，實(shí)現(xiàn)規(guī)范化五類線布線，簡(jiǎn)化工程施工，布線整齊