某單位網(wǎng)絡帶外管理技術方案

1、某單位網(wǎng)絡帶外管理方案一、某單位網(wǎng)絡管理現(xiàn)狀隨著我單位信息化建設的改革和發(fā)展，現(xiàn)在我單位的各項政務和業(yè)務工作都離不開信息系統(tǒng)。計算機網(wǎng)絡是承載信息系統(tǒng)的基礎設施，經(jīng)過多年的建設，我單位的計算機網(wǎng)絡以SDh«字專線和光纖線路為主要傳輸手段，已經(jīng)延伸到8個辦事處，涵蓋20多個業(yè)務現(xiàn)場。每個業(yè)務現(xiàn)場都設置了網(wǎng)絡機房用于線路匯聚和集中安裝各種通信網(wǎng)絡設備，包括路由器、交換機、有線通訊設備等。在發(fā)展中，因我單位業(yè)務發(fā)展和基于安全性的需求，我單位的計算機網(wǎng)絡發(fā)展成物理隔離的4個子網(wǎng)絡，分別命名為業(yè)務運行網(wǎng)、業(yè)務管理網(wǎng)、對外業(yè)務專網(wǎng)、單位內(nèi)部互聯(lián)網(wǎng)，這使得各個機房內(nèi)網(wǎng)絡設備的數(shù)量大大增加。信息系統(tǒng)

2、的高效穩(wěn)定運行對于我單位業(yè)務至關重要，網(wǎng)絡運維成為技術處系統(tǒng)維護科日常工作的重要組成部分。目前，我單位雖然部署了網(wǎng)絡監(jiān)控運維系統(tǒng)，但是網(wǎng)絡運維和故障處理還是離不開網(wǎng)絡管理員的人工操作。在網(wǎng)絡運維日常工作中，網(wǎng)絡管理員一般是在同一網(wǎng)絡里的客戶機通過telnet（或SSH程序遠程連接到目標設備進行網(wǎng)絡維護操作，如果網(wǎng)絡出現(xiàn)故障，上述連接就不能成功，網(wǎng)絡管理員唯有帶上筆記本電腦等工具乘坐“急救車”親臨網(wǎng)絡機房查看目標設備，診斷問題并最終恢復網(wǎng)絡連接。二、建設帶外管理的必要性及可行性目前我單位現(xiàn)有的網(wǎng)絡維護手段相對單一，而且存在較大的缺點。telnet（或SSH遠程連接方式是基于網(wǎng)絡正常運行為前提，網(wǎng)

3、絡管理員只能做一些參數(shù)查看、監(jiān)控的工作。當網(wǎng)絡連接出現(xiàn)故障時，遠程連接方式就無能為力，網(wǎng)絡管理員只好擔當“救火隊員”親臨網(wǎng)絡故障現(xiàn)場處理。即使是從網(wǎng)絡中心到最近的業(yè)務現(xiàn)場，單向車程也需要30分鐘左右，這樣的處理方式，不僅不能保證網(wǎng)絡故障處理的時效性，而且耗費了寶貴的用車資源。為了緩解人力物力有限而網(wǎng)絡維護工作日益復雜，對網(wǎng)絡恢復時效要求越來越高的矛盾，增加網(wǎng)絡管理途徑的需要也顯得越來越重要。帶外管理是成熟、穩(wěn)定的技術手段，已成為業(yè)界標準的網(wǎng)絡管理方式，是我單位現(xiàn)有網(wǎng)絡管理手段最佳的選擇和最有效的補充。三、某單位帶外管理設計方案網(wǎng)絡管理可分為帶內(nèi)管理(in-bandmanagement)和帶外管

4、理(out-of-bandmanagement.兩種管理模式。在帶內(nèi)管理方式下，管理控制信息與數(shù)據(jù)信息使用同一物理通道進行傳送。帶外管理的核心理念在于通過不同的物理通道傳送管理控制信息和數(shù)據(jù)信息，兩者完全獨立、互不影響。當網(wǎng)絡出現(xiàn)故障，帶內(nèi)管理不能發(fā)揮作用時，帶外管理為管理員提供了訪問網(wǎng)絡故障設備的后備通道。串口控制臺服務器(consoleserver)是實現(xiàn)網(wǎng)絡設備帶外管理系統(tǒng)的設備。通常每個網(wǎng)絡設備都配有一個用于本地連接管理的console口(屬于EIA/TIA-232串行接口通信規(guī)范)，每個串口服務器配有多個串行口用于連接目標設備的console接口、另外配有一個或者兩個以太網(wǎng)口用于連接

5、TCP/IP網(wǎng)絡，為網(wǎng)絡設備的console口到TCP/IP之間完成數(shù)據(jù)轉換的通訊。網(wǎng)絡管理員可以通過TCP/IP網(wǎng)絡里的客戶端直接連接到控制臺服務器（連接方式有Telnet、SSH撥號、WEB$U覽器等），再管理各個串行口連接的網(wǎng)絡設備，可以大大減少親臨故障現(xiàn)場的次數(shù)。下圖是一個控制臺服務器與被管理設備的連接圖示。棒號宵理客戶端在我單位現(xiàn)有的網(wǎng)絡結構下對網(wǎng)絡設備進行帶外管理，無需改動現(xiàn)有的網(wǎng)絡結構，只需要在每個現(xiàn)場機房配置一臺控制臺服務器、用于帶外管理的TCP/IP網(wǎng)絡。在各個機房里每個子網(wǎng)大約有一臺主要的網(wǎng)絡設備，總數(shù)量一般不超過8臺，所以每個機房配置一臺8個串口的控制臺服務器即可實現(xiàn)對各

6、個子網(wǎng)絡的帶外管理。重新布設一個網(wǎng)絡不符合資源整合的設計理念，而相對其它子網(wǎng)絡，“單位內(nèi)部互聯(lián)網(wǎng)”客戶端最少，網(wǎng)絡負載最小，所以本方案擬將各現(xiàn)場機房的控制臺服務器的以太網(wǎng)口連接到“單位內(nèi)部互聯(lián)網(wǎng)”，每個控制臺服務器設置一個“單位內(nèi)部互聯(lián)網(wǎng)”IP地址，網(wǎng)絡管理員通過“單位內(nèi)部互聯(lián)網(wǎng)”內(nèi)的一臺客戶端進行管理驗操作。為了增加網(wǎng)絡管理員快速響應速度和工作方便性，本方案使用便攜式計算機作為管理客戶端，下圖中本設計方案的連接圖示。被管理設鉛 祓管理設備RS232品行提線RS232串行短線控粉臺服務器以太網(wǎng)網(wǎng)線冷服務器以太網(wǎng)網(wǎng)線現(xiàn)場機底Ethernet單位內(nèi)部互取網(wǎng)某單位配置網(wǎng)絡機房的業(yè)務現(xiàn)場包括21業(yè)務現(xiàn)

7、場，此方案擬購置22臺控制臺服務器，配備多余一臺用于應急后備。本方案所需的資源清單資源名稱數(shù)量8串行口控制臺服務器22臺“單位內(nèi)部互聯(lián)網(wǎng)”IP地址21個本設計方案安全性分析：控制臺服務器與互聯(lián)網(wǎng)不能互訪，我單位的“單位內(nèi)部互聯(lián)網(wǎng)”使用公用的私有IP地址通過代理服務器統(tǒng)一出口，還部署了互聯(lián)網(wǎng)用戶審計監(jiān)控系統(tǒng)，所以雖然控制臺服務器接入到“單位內(nèi)部互聯(lián)網(wǎng)”，但控制臺服務器與互聯(lián)網(wǎng)用戶不能互訪，保證系統(tǒng)安全。連接到控制臺服務器串行口的被管理設備之間不能互訪?？刂婆_服務器本身的各個串行接口是相互獨立的，不能互通，雖然各個網(wǎng)絡設備通過console口連接到控制臺服務器的串行接口，這種接口一般傳輸速率只有是

8、9600b/s,是100Mb以太網(wǎng)網(wǎng)接口的1/10000,這條連接只傳輸對被管理設備的控制管理信息，不會發(fā)生串網(wǎng)的情況，保證了被管理設備之間不能互訪。被管理設備傳輸?shù)男畔⒉荒軅鬏數(shù)綆夤芾淼木W(wǎng)絡（即“單位內(nèi)部互聯(lián)網(wǎng)”），原理同上，“單位內(nèi)部互聯(lián)網(wǎng)”內(nèi)的客戶端能訪問控制臺服務器，與被管理設備之間只和傳輸控制信息，不能獲得設備傳輸?shù)臄?shù)據(jù)信息。通過上述分析得知，本設計方案操作簡易、可擴展性好，符合安全性的要求。四、設備選型經(jīng)過資料查詢和產(chǎn)品信息比較，本方案選擇美國AVOCEN公司的CycladesACS5008串口控制臺服務器。美國AVOCEN公司是目前全球最大的帶外管理系統(tǒng)制造商及數(shù)據(jù)中心（IDC）管理解決方案提供商。據(jù)IDC統(tǒng)計，AVOCEN在帶外管理設備的市場占有率超過50%CycladesACS5008控制臺服務器是1U標準機柜支架空間的設備，提供了8串行端口，1個以太網(wǎng)接口，最大限度地提高網(wǎng)絡和服務器的可用率，同時提供出色的可擴展性和成本效益。安全性方面，CycladesACS5008通過使用SSHv2、RADIUS身份驗證、IP過濾和每個端口的用戶訪問列表等安全功