集中远程管控系统力登Dominion? KX II
建
议
书
南京捷荣科技有限公司
2008年6月
第一章KVM远程监控管理系统的需求
1. 1、能实现无人机房管理
通过无人机房管理,实现人机分离,提高物理设备的安全性;通过减少设备的本地管理平台,提高机房的空间和能源利用率;改善IT维护人员的工作环境。
1. 2、能实现异地机房的远程管理
实现设备内核一级的设备维护功能,并能做到远程对设备加电断电,提高管理的效率。
1. 3、能管理多种平台、类型设备
与目标设备的内核系统无关(如 UNIX,WINTEL,IOS,LINUX,SOLARIS。。。);
与设备的接口无关(KVM,RJ-45,DB9,DB25。。。);
1. 4、能有多种管理路径选择
带内带外管理选择(IP网,电话拨号网络和本地口带外管理专网)。
1. 5、单一的登陆界面和简单的安装操作平台
所有目标设备可以集中管理到单一界面上来,系统安装尽量做到即插即用,操作界面友好简单,最好无须安装客户端软件。
1. 6、系统自身的安全性
系统自身要有安全性的设计和功能:包括操作授权管理机制;安全日志记录和审计;系统物理设备的安全;传输维护管理信息的安全。
第二章集中远程监控管理系统设计方案
2.1、集中远程管控的具体需求
2.1.1、现状和背景
公司有1个机房, 9台服务器和若干网络设备。服务器使用的操作系统都是Window系统。2.1.2、具体需求
1.KVM和PS2管理:机房内共有9台WINDONW操作系统的服务器。需要集中管理9台服务器,远程
监视服务器显示器,并控制其键盘和鼠标。
2.电源管理:对于机房的9台服务器及关键网络设备能够远程开关电源,以便当服务器宕机的时候
能够重启计算机。
3.远程接入:各管理系统的用户一般通过远程接入管理所属应用系统,某些管理是基于端口管理的
(例如ssh),某些管理是访问特定的页面(例如http://210.45.208.1/admin),为了解决以上问题,需要对以上端口或特定的url进行限制,只允许通过vpn拨入后才能管理,远程接入要求支持账号管理,支持账号权限划分(特定的账号只能管理特定的服务器),并且可以选择加密或者不加密。
4.审计功能:对于远程接入的管理用户,要求记录其拨入后的各类操作,并能保存相关日志,以便
在出问题时查询。
5.安全:操作系统都是windows系统,应用系统比较复杂,由于机房内的各应用系统由所属部门进
行远程管理,因此经常会出现补丁安装不及时,安全策略制定不够严密等问题。为了解决以上问题,希望能够通过独立于主机系统的硬件设备在机房的入口对以上这些问题进行统一的管理,有效的防止病毒和各类网络攻击。
2.2、集中远程管控方案概述
2.2.1、系统方案拓扑图
2.2.2、系统结构描述
方案使用Dominion 数字系列的KX产品对数据机房中的被管理设备进行汇聚,使用UTP5类线从被管理设备的I/O口(KVM口或电源口)连接到Dominion的端口上,由Dominion 使用Over IP 技术将模拟信号转换成IP数据包并连接到IP网络,可从远程对被管设备进行管理。当各地数据机房中的管理员需要在本地访问被管理设备时,可使用Dominion系列提供的本地管理接口来进行操作。Dominion可根据各地数据机房中被管设备的数量,使用不同型号。
在考虑备份冗余方面, Dominion均提供备份的Modem接口,以便在网络连接失效时可使用模拟PSTN网进行拨号应急访问。
2.3、设备配置清单
合计¥ 78450 (大写:) 七万八千四百五十元正
方案描述
1、首先将8个DCIM-USB/PS2 的键盘、鼠标及显示器接口分别接在8台服务器对应的键盘、鼠标及显示器接口上;
2、然后采用5类双绞线将9个DCIM-USB/PS2的RJ45接口连接在KVM交换机DKX116上的RJ45接口;
3、为了满足客户的电源管理功能,推荐配备一台电源管理来实现对电源的监控和管理。根据需要选择电源管理模块pcr8A-15-pk (8口,220V/10A额定电流),
KVM网络安装布署就算完成了,我们通过IP网络就可以实现对各个设备的远程集中管理。
各地的维护人员只需通过任何一台连网的PC或笔记本电脑,使用标准的网络浏览器,输入DKX116的IP地址,就可以进入一个客户化的图形操作界面,在相应权限下访问和管理机房设备。
建成后的系统将极大满足客户的需求:实时网络监控,维护人员不用到故障现场就可以远程解决;可以对维护人员分组,对应某些特定服务器的权限划分;对进入服务器操作的用户有行为审计功能。
第三章方案采用产品介绍
●硬件特色
1.最高的连接端口密度:Dominion KX II是真正的下一代切换器,具有先进的硬件及软件基础架构。这种新型的设计可实现新一级的KVM-over-IP性能、可靠性、
使用性、兼容性及安全性。
2.高性能,下一代视频硬件:Dominion KX II的KVM-over-IP引擎采用了Raritan的下一代技术,可为用户提供虚拟的"机架边"性能。下一代性能包括超快速的
屏幕刷新率,1600×1200的远程分辨率,先进的颜色校准性及根据服务器进行视频最
优化。
3.带故障切换的双电源:为了增加稳定性及冗余,Dominion KX II各型号均具有双交流输入,双电源及自动故障切换,以支持企业数据中心内所采用的冗余配电设
备。如有一个电源发生故障时,可通过前面板LED、SNMP陷井、日志信息或是通过
管理控制器通知用户。
4.带故障切换的双千兆比特以太网端口:通过采用双千兆比特端口实现冗余,提供高可用性。如有一个以太网交换机或接口卡发生故障,Dominion KX将自动切换
至另一端口,继续工作。
●连接特色
1.同时单、双或四名远程IP用户访问:根据所购买的型号不同,Dominion KX II可同时为一个、二个或四个远程用户提供KVM-over-IP访问路径。Raritan提供了多
种型号的KX II,以满足大多数客户的需求及预算。以实现上述功能的同时,还允许完
全的、通畅的本地端口访问。
2.16, 32或64*服务器端口:通过Cat5型网线,每台Dominion KX II用户最多可连接16台、32台或64台服务器。Raritan是首家提供单通道、双通道及四通道
32端口型KVM-over-IP的生产厂商,同时,也是首家将64端口数字KVM切换器推向
市场的生产厂商。
3.业内首家基于浏览器的本地控制台端口:Dominion KX II采用了业内首例基于浏览器的本地访问方式。通过在本地端口上提供一个通用的基于浏览器的界面及完整
的管理功能,KX II可提供一个统一的易于学习的用户体验。
4.一体化远程电源控制,每台KX II最多可连接8个电源条:用户可对连接至选用Raritan远程电源控条上的服务器进行上电、断电或是循环供电。系统管理员不仅可以对服务器进行远程故障排除,还可以通过点击鼠标对服务器循环供电。通过这种用户友好的远程电源控制功能,每台KX II最多可连接8个电源条。
●通用虚拟媒体
1.KX II各型号产品均具有虚拟媒体:通过在目标服务器上虚拟安装远程驱动/媒体,以实现支持软件安装、远程启动及诊断的优点,现在Dominion KX II的各种型号上均可实现。
2.可通过CommandCenter安全网关使用虚拟媒体,同样,自持模式也具有虚拟媒体功能:用户可通过Raritan的CommandCenter 安全网关访问虚拟媒体。然而,与其它解决方案不同,对于不使用中心管理系统的客户,虚拟媒体也可独立使用。
3.广泛支持各种虚拟媒体设备及驱动设备:每台Dominion KX II 均配备有虚拟媒体,使得可以通过CD、DVD、USB、内部及远程驱动及映像设备完成远程管理任务。与其它解决方案不同,Dominion KX II支持对硬件驱动及远程安全磁盘映像的虚拟媒体访问功能,以增加系统灵活性及生产率。
4.通过128位加密,实现虚拟媒体安全性:虚拟媒体进程均采用了128位AES或RC4方式加密,保证安全性。
●客户端访问及控制
1.通用KVM客户端?随时、随地以任意方式访问:Dominion KX II通过业内使用最广泛和范围最为灵活的操作系统、平台及浏览器提供KVM访问,不需要另外的客户端许可证费用或令人头痛的软件许可证。
2.下一代公共用户界面:Dominion KX II具有一个下一代的基于浏览器用户界面,以增强使用性和提高生产率。此界面在本地端口、远程登录、管理软件及其它Raritan产品上是共用的。使用这一界面能够减少培训时间并且提高生产效率。
3.Windows, Linux,Sun/SolarisTM 及Macintosh多平台访问及控制:Raritan 基于Java的客户端可对Windows, Linux, Sun/SolarisTM 及Macintosh桌面型电脑提供多平台访问及控制。Raritan的客户端软件支持包括Internet Explorer, Firebox和Mozilla在内的多种主流网络浏览器。
●Virtual KVM Desktop ?
1.Virtual KVM Desktop,一种新层次的访问及控制:Raritan的Virtual KVM
Desktop具有新一代的KVM访问及控制功能,可与目标服务器之间实现一种与直接连接几乎无差别的连接方式。Virtual KVM Desktop的功能基于Raritan的以下创新点:全屏视频、透明键盘处理、灵活的视频缩放及快速的视频切换。
2.Absolute Mouse Synchronization?(绝对的鼠标同步):绝对的鼠标同步功能是最终的鼠标同步解决方案。如服务器支持USB鼠标端口,则不需要调节目标服务器上的鼠标设置项。此特点可减少安装时间,增强Dominion KX II的即插即用性能。另外,远程及目标服务器鼠标指针绝不会失去同步。此功能是通过新型的D2CIM-VUSB 虚拟媒体CIM实现的。
3.1600 x 1200的远程视频分辨率:Dominion KX II提供1600 x 1200的远程及本地视频分辨率,因此,即使是远程用户也可使用当前分辨率较高的显示器工作。
4.全屏视频显示:通过Dominion KX II全屏视频显示功能,用户感觉看来好像直接连接至目标服务器一样。用户可全屏浏览目标服务器显示页面,不会出现窗口边界或工具栏。
5.灵活的视频缩放:很多情况下用户可能想缩放显示页面-即拉伸或压缩目标服务器视频显示,以适应客户端的显示窗口。通过Dominion KX II的灵活缩放功能,用户不再受固定尺寸窗口的限制,可以将窗口边界拖拉至想要的尺寸-包括非常小的视图。
●软件特点
1.即插即用设备,安全快速、简易:Dominion KX II是一种完全独立的系统(即设备)。KX II的所有功能特点,其中包括验证及Web访问,均内置于设备内部,不需要使用另外的服务器。
2.自动颜色校准:Dominion KX II提供了自动和手动颜色校准功能,优化屏幕显示以提供生动、逼真的颜色,增强生产率和降低带宽。
3.PC共享模式:每台接入的服务器最多可由八名用户连接和远程访问。这种功能对于管理员之间进行合作,实现分组工作,排除服务器故障非常有用。
4.灵活的带宽控制:视频性能可以优化现有的网络带宽。快速的网络(LAN)访问、更有效地使用带宽和更高质量的视频信息,都能产生更好的性能。KX也可以在低带宽环境下使用。
●安全特点
1.AES加密:Dominion KX II采用了AES(高级加密标准)加密方式,以增强
安全性。AES是通过美国政府批准的加密算法,并由美国国家标准和技术研究所在FIPS标准197内推荐。
2.视频及虚拟媒体加密:Dominion KX II除加密键盘及鼠标输入数据外,还对视频流进行加密。
3.RADIUS , LDAP and Active Directory? 验证:Dominion KX II集成了行业标准的目录服务器,如微软的Active Directory,采用LDAP或RADIUS协议。这使得Dominion KX II能够使用原来存在的用户名/密码数据库,实现安全性能。
4.可设置的强加密检查功能:Dominion KX II具有管理员可设置的强加密检查功能,以保证用户所创建的密码符合企业和(或)政府标准,可抵抗强力破解。
5.多安全特点:KX II 提供了包括强加密检查、密码失效、访问控制列表、无效定时器、分组权限、根据端口验证等在内的多种附加安全功能。
管理功能
1.Raritan的CommandCenter整合性:与Dominion系列的其它产品相似,Dominion KX II具有与CommandCenter安全网关完全整合的特点,使得企业用户能够将所有的Dominion设备统一到一个单独的逻辑系统内,在一个IP地址上可通过一个单独的管理界面对其访问。Dominion KX II同时还可与新的CommandCenter NOC服务管理设备相整合。
2.Dominion KX I 兼容性:已经购买了Raritan饱受好评的Dominion KX I 切换器的客户可以继续与新的Dominion KX II同时使用该款产品。CommandCenter安全网关和Raritan的多平台客户端均支持对连接至KXI及KX数字设备的目标服务器及串口设备的无缝访问及控制。
3.SNMP管理及系统日志:Dominion KX II SNMP代理将重要系统事件的SNMP陷井分发至SNMP管理系统,其中包括新的CommandCenter NOC管理设备。管理员可对SNMP陷井完全配置。同时,还可使用系统日志。
4.KX II DCIM Firmware升级:Dominion KX II D2CIMs可通过KX II设备进行Firmware升级,以支持新功能和改善性能。这其中包括支持虚拟媒体和绝对鼠标同步功能的新型KX II USB CIM及新型KX电源CIM。
3.1.3、Dominion KX 技术规格
KX2-116 (16个服务器连接口、1名远程使用者、1名在机架旁的本地使用者) 尺寸:
439mm (宽)×290mm (深)×44mm (高)
重量:
3.9 kg
电源:
双电源 100V/240V 50/60Hz 0.6A
工作温度:
32°F (0°C)至104°F (40°C)
网络:
双故障切换10/100/1000 千兆位以太网(RJ45)
调制解调器端口:
DB9(F) DTE
协议:
TCP/IP, HTTP, HTTPS, SNMP, UDP, RADIUS, LDAP, SNTP, DHCP, PAP, CHAP
视频:
HD15(F) VGA
键盘/鼠标:
Mini-DIN6 (F) PS/2和USB (F), 前面板1个USB接口 ,后面板3个USB接口
视频分辨率
PC文本模式: 640x350, 640x480, 720x400
PC图形模式: 640x480, 800x600, 1024x768, 1152x864, 1280x1024, 1600x1200
Sun视频模式: 1024x768, 1152x864, 1152x900, 1280x1024
计算机接口模块(CIMs):
D2CIM-VUSB (用于虚拟媒体及绝对鼠标同步的USB CIM)
DCIM-PS2 (用于PS/2的CIM)
DCIM-SUN (用于SUN的CIM)
DCIM-USB (用于USB的CIM)
DCIM-SUSB (用于SUN USB的CIM)
D2CIM-PWR (用于远程电源控制的CIM)
P2CIM-SER (用于串口(ASCII)设备的Paragon II / Dominion KX II CIM)尺寸:32mm (W)×76mm (D)×15mm (H)
重量: 0.09 kg
3.2、电源控制模块
3.2.1、电源控制模块概述
采用远程电源控制 (Remote Power Control),您可以随时随地通过网页浏览器,以命令行或独立于网络外的访问方式开、关或重新启动数据中心无反应设备的电源。每台设备都独立(继电器)控制交流电源插座,使用户可以监控电流、电压、电源和温度。使用力登的远程电源控制装置,您就可以不必执行人工介入,或是派遣人员到现场去,因此可以减少停机时间。
远程电源控制可以合用于数据中心与远程办公室中以下力登的产品:
KVM Switches: Dominion?KX 与 Paragon? II
Secure Console Server: Dominion SX
Remote Office KVM/Serial switch: Dominion KSX
CommandCenter Secure Gateway
3.2.2、电源控制模块特点
●电源控制的整合性:电源控制模块可以与 Paragon II, Dominion SX, Dominion KSX, Dominion KX
及CommandCenter Secure Gateway整合, 当系统故障或系统死机,重新开机往往是唯一的选择,而电源控制模块,让管理员立即从远程进行系统重启。使用力登的远程电源控制模块,您就可以不必执行人工介入,或是派遣人员到现场去,因此可以减少停机时间。
●网页浏览图形化界面:网页浏览图形化界面让管理员可从任何地方远程登入并安全地管理机房
设备的电源
●SSH/ Telnet 访问:支持通过Dominion SX 的命令行 (CLI) 以SSH 和Telnet 方式快速访问 RPC
设备,让客户端更方便的通过命令行做电源自动的监控与控制
●本地与远程认证:同Dominion 系列, Paragon II 以及CommandCenter Secure Gateway一样,可整
合LDAP, RADIUS, TACACS+, Active Directory本地与远程的身分验证机制
●电源监控:RPC 装置可防止断电,使用真正的RMS电流监督,帮助管理员平衡电路间的电流负
荷
●电源过载警报:每个插座都有一个电源过载警报及LED指示灯,让管理员能够及时反应来保护
设备不被烧坏,服务不中断
●LED状态指示灯:每个插座的 LED 状态指示灯能显示设备物理访问状态
●垂直和平行机架式模块:RPC设备可选择节省空间垂直或平行的机架式模块,即标准平行式1U
与 2U机架式模块或垂直式零U机架式模块
●NEMA 与 IEC 插座类型:115 V 交流电设备可配上不同的 NEMA twist lock 和 non-twist lock 的
插座类型; 220 V交流电可配上 IEC 和 NEMA twist lock 的插座类型
●记忆式插座状态设定:在电源中断时仍能记忆插座状态,仅恢复停电前为激活状态的插座电源
3.2.3、电源控制模块技术规格