KVM監(jiān)控管理系統(tǒng)設計方案

KVM監(jiān)控管理系統(tǒng)設計方案-精品KVM監(jiān)控管理系統(tǒng)設計方案一系統(tǒng)概述隨著KVM技術(shù)的發(fā)展，機房KVM監(jiān)控管理系統(tǒng)已經(jīng)不再是鍵盤、鼠標和顯示屏的簡樸延伸。機房KVM監(jiān)控管理系統(tǒng)整合了當代機房管理的理念，為設備管理、顧客管理、顧客操作控制及顧客操作統(tǒng)計提供了全新的技術(shù)手段，已成為當代機房管理的重要環(huán)節(jié)。當代公司和其分支機構(gòu)對信息技術(shù)的依賴程度越來越高，其機房設備明顯體現(xiàn)出數(shù)量大、跨地區(qū)的特點。KVM交換機單機工作模式已經(jīng)不能滿足當代公司機房管理的需要。運用機房KVM監(jiān)控管理系統(tǒng)對KVM交換機進行集群管理，能夠應對機房設備及操作人員數(shù)量不停增加、機房設備種類日益多樣化的復雜局面。機房KVM監(jiān)控管理系統(tǒng)能夠提供KVM交換機不能含有的增值功效：

A：集中、安全地管理機房設備；

B：統(tǒng)一的顧客管理，顧客權(quán)限分派；

C：完整的顧客訪問統(tǒng)計；

D：完整的安全性架構(gòu)。二需求分析與背景某單位數(shù)據(jù)機房現(xiàn)狀分析現(xiàn)在某單位機房的服務器與網(wǎng)絡設備基本都是采用單機單點管理，隨著信息化、網(wǎng)絡化的發(fā)展，計算機系統(tǒng)的規(guī)模、功效不停增強擴大，機房設備將不停增加，需要更高的運行維護效率和科學合理嚴密的機房管理制度。A：現(xiàn)狀1.某單位機房現(xiàn)在需求為30多個操作點（服務器及網(wǎng)絡設備），由于各操作點都有著自己的維護界面，系統(tǒng)維護人員需要逐個進行維護和管理。2.現(xiàn)在的機房管理，基本使用傳統(tǒng)的管理模式。日常維護中需要操作人員頻繁的進出機房，鍵盤、鼠標和顯示屏等外部I/O設備大量的占用機房空間；機房電磁環(huán)境也有害于操作人員身體健康。B：根據(jù)現(xiàn)在的現(xiàn)狀，某單位數(shù)據(jù)機房需要一種更高效、更集中、更智能化的管理平臺.基于以上分析，為了更加好的進行系統(tǒng)運行維護管理，迫切需要對機房管理設備進行升級，以期能提供一套與現(xiàn)在機房設備規(guī)模相適應的更安全、更高效的集中管理平臺,為了滿足現(xiàn)在大規(guī)模、跨地區(qū)、多個類、多顧客的機房設備管理需求，能夠?qū)C房設備及操作員進行集中統(tǒng)一管理;本機房KVM監(jiān)控管理系統(tǒng)能夠滿足前面所提出的管理需求。三機房KVM監(jiān)控管理系統(tǒng)設計方案3.1系統(tǒng)設計原則

系統(tǒng)兼顧成熟性與先進性開放性和原則化可擴充性

安全性與可靠性實用性，適應顧客實際應用環(huán)境3.2機房KVM監(jiān)控管理系統(tǒng)安全性設計完整的安全系統(tǒng)，需要綜合考慮訪問控制、數(shù)據(jù)傳輸、存儲的安全及完整性、事后審計三大要素。本方案根據(jù)顧客使用的具體特點，對系統(tǒng)安全性進行重點設計，對多個可能的安全性問題進行全方面防備。3.2.1訪問控制的安全性設計

訪問控制的安全性，在于避免非法顧客對系統(tǒng)的入侵。機房KVM監(jiān)控管理系統(tǒng)通過下列技術(shù)手段來實現(xiàn)安全的訪問控制：1）服務器證書、客戶端個人證書雙向認證:只有當服務器端、客戶端互相認證對方的正當性，才干建立起正常聯(lián)機，確保了系統(tǒng)的應用中免受第三方攻擊。2）操作員分級權(quán)限管理:系統(tǒng)管理員、普通操作員使用不同的顧客名及密碼登錄系統(tǒng)，對系統(tǒng)管理員、普通操作員規(guī)定不同管理操作權(quán)限。普通操作員設備操作權(quán)限由系統(tǒng)管理員分派，按照不同操作員職責設定不同的管理權(quán)限，遵照“權(quán)限最小”原則，進行訪問控制，提高系統(tǒng)安全性。3）KVM接入安全網(wǎng)關(guān)及顧客接入安全網(wǎng)關(guān):KVM交換機與服務器、顧客與服務器之間都采用安全、加密通訊合同連接，屏蔽其它網(wǎng)絡合同包。4）操作員IP限制:對操作員采用固定IP的方式，能夠過濾掉網(wǎng)絡中無關(guān)IP所發(fā)出的IP包，限制網(wǎng)絡中的試探行為。3.2.2密文傳輸防備數(shù)據(jù)傳輸風險

數(shù)據(jù)密文傳輸，在于避免非法顧客對網(wǎng)絡數(shù)據(jù)流的竊聽和分析。

機房KVM監(jiān)控管理系統(tǒng)通過下列技術(shù)手段來實現(xiàn)密文傳輸：

采用1024/2048位RSA非對稱算法，有效確保身份認證體系的安全性和會話密鑰傳輸?shù)谋Ｃ苄?；采用MD5摘要算法，保護數(shù)據(jù)傳輸過程的完整性；采用128bitAES加密算法，符合國際商業(yè)安全原則。XML采用HTTPS傳輸；數(shù)據(jù)采用SSL隧道傳輸。3.2.3安全日志統(tǒng)計和審計

事后審計，能夠?qū)τ跈C房設備操作過程及運行狀態(tài)進行實時統(tǒng)計，為事后追溯，查明事故發(fā)生因素、明確負責人的具體責任提供了技術(shù)手段。

機房KVM監(jiān)控管理系統(tǒng)通過下列技術(shù)手段來實現(xiàn)安全日志統(tǒng)計和審計：1）計算機屏幕圖像同時存儲與回放功效:采用圖像及字符數(shù)據(jù)存儲與回放技術(shù)，能夠?qū)⒉僮鲉T的全部操作圖像都統(tǒng)計下來，在需要對操作過程進行監(jiān)督和事后追溯時回放。2）日志儲存、管理、查詢功效:將操作員的全部操作的有關(guān)要素（登錄時間、登出時間、操作員號、訪問設備、訪問IP地址等）都統(tǒng)計下來，以備需要對操作員進行監(jiān)督時查詢。3）報警及異常狀態(tài)日志：受控設備宕機、掉電報警.上述功效使系統(tǒng)含有了事后審計的能力：統(tǒng)計和跟蹤多個系統(tǒng)狀態(tài)的變化；提供對系統(tǒng)故意入侵行為的統(tǒng)計和危害系統(tǒng)安全的統(tǒng)計；實現(xiàn)對多個安全事故的定位；監(jiān)控和捕獲多個安全事件。2.2.4減少機房人員進出，提高物理安全性

主機運行機房是核心部位之一，減少人員頻繁進出，能夠提高機房設備的物理安全性。使用機房KVM監(jiān)控管理系統(tǒng)使得操作員能夠在機房外操作維護機房設備，能夠有效減少機房內(nèi)人員流動。3.3管理模式的整合與調(diào)節(jié)

機房KVM監(jiān)控管理系統(tǒng)，為機房管理提供了新的技術(shù)手段。根據(jù)新的技術(shù)手段對機房管理模式進行調(diào)節(jié)，能夠提供一套與現(xiàn)在機房設備規(guī)模和安全性規(guī)定相適應的高效、集中管理平臺，完善機房管理制度，具體以下：3.3.1．全方面集中管理

隨著機房設備規(guī)模的擴大，對機房管理提出了更高的規(guī)定。面對眾多的機房設備，仍采用一對一的方式，逐個控制和管理制約了機房管理水平的進一步提高。集中管理包含兩個層面的含義：1）顧客的集中管理：

全部顧客按其任務或所在的科室進行分組管理，統(tǒng)一分派訪問權(quán)限，統(tǒng)一設定允許其接入的IP地址或IP地址段，統(tǒng)一進行證書管理。2）機房設備的集中管理：

全部機房設備按其任務進行分組，方便按任務或科室進行設備管理。當顧客登錄系統(tǒng)時，該顧客全部有權(quán)訪問的機房設備同時在單一的顧客界面顯示，方便顧客在不同的機房設備之間切換。3.3.2遠程控制管理

機房KVM監(jiān)控管理系統(tǒng)是基于網(wǎng)絡的機房管理解決方案，IP所到之處，即可布署遠程控制臺，運用顧客現(xiàn)有的網(wǎng)絡體系，構(gòu)建起遠程控制系統(tǒng)，中心系統(tǒng)管理人員在獲得機房設備訪問權(quán)后，即可遠程訪問機房設備。3.3.3精確的過程管理

現(xiàn)在機房管理制度，即使對操作員行為進行了規(guī)范，但操作員與否按機房管理制度進行操作，與否認期進行巡檢，無法進行精確的監(jiān)控和審核。運用機房KVM監(jiān)控管理系統(tǒng)，進行精確的過程管理，從而提高操作員責任心，貫徹機房管理制度?；谏鲜龉芾砑夹g(shù)手段，需要對現(xiàn)在機房管理模式進行整合和調(diào)節(jié)，除對機房管理制度進行調(diào)節(jié)外，在技術(shù)層面上，在進行系統(tǒng)配備時應考慮兼顧系統(tǒng)可用性及安全性；在顧客及顧客組、設備及設備組劃分，權(quán)限分派上充足考慮管理上的需求；在日志統(tǒng)計、圖像存儲設立上應與管理制度相適應；在IP信任域設立上應兼顧系統(tǒng)安全性與訪問的方便性；使系統(tǒng)發(fā)揮最大效益。3.4方案描述3.4.1方案概述

根據(jù)某單位使用規(guī)定，設計為在機房安裝機房KVM監(jiān)控管理系統(tǒng)主服務器及KVM交換機，實現(xiàn)全域認證服務和日志統(tǒng)計。主服務器中需安裝KVM接入代理、顧客訪問代理、顧客管理和日志服務軟件模塊，實現(xiàn)該機房區(qū)域KVM接入、IP顧客接入和日志服務等功效。KVM交換機通過主服務器形成集群。實現(xiàn)對全域機房設備的統(tǒng)一管理和訪問控制。3.4.2方案實現(xiàn)

由于某單位數(shù)據(jù)機房操控設備約為30臺左右，分布在同一機房區(qū)域。故采用EasyWayKVM交換機組合配備予以接入。

接入設備數(shù)：32個

需安裝EasyWay16端口KVM交換機2臺；

另選用對應接口功效模塊計32個即可。機房KVM監(jiān)控管理系統(tǒng)主服務器：

服務器配備根據(jù)設備及網(wǎng)絡帶寬狀況，以按需配備原則，同時權(quán)衡顧客投資、可用性和擴展性，使顧客在現(xiàn)在條件下以較小的投資，獲得最大的使用效率。在數(shù)據(jù)機房安裝機房KVM監(jiān)控管理系統(tǒng)主服務器，實現(xiàn)全域顧客管理和日志服務。機房內(nèi)的服務器與網(wǎng)絡設備。按就近接入原則，選擇與其匹配的接口模塊類型，與本機房內(nèi)的KVM交換機連接。

主服務器中安裝KVM接入代理、顧客訪問代理、顧客管理和日志服務軟件模塊，全域顧客管理和日志服務都集中于主服務器，全部顧客的權(quán)限管理、證書發(fā)放、日志存儲與查詢都由主服務器完畢。主服務器安裝軟件模塊：ES-AS顧客管理

ES-LS日志服務ES-KPKVM接入代理

ES-CP顧客訪問代理3.4.3方案功效及特點全域訪問能力：遠程IP顧客能夠位于任何有OA網(wǎng)絡存在的地方，通過TCP/IP登錄控制全部服務器及網(wǎng)絡設備；快捷切換方式：遠程IP顧客通過客戶端界面操作，其全部有權(quán)訪問的機房設備完全列表在同一顯示界面中，只需鼠標點擊即可接入和控制任何一臺機房設備；和諧的顧客界面：不管是本地控制臺還是遠程IP顧客，均為全圖形全中文界面。高度可管理性：KVM交換機、機房設備、顧客集中統(tǒng)一管理，支持分組管理模式。安全強度高：雙向證書認證、顧客分級權(quán)限管理、數(shù)據(jù)安全加密傳輸、日志審計功效、圖像存儲與回放，構(gòu)成完整的安全體系?？煽啃裕涸贙VM交換機關(guān)機或出現(xiàn)故障時，接口模塊含有斷電保護功效，能確保所連接的服務器及網(wǎng)絡設備正常工作。更換KVM交換機非常方便，只需進行IP地址等少量配備即可，接口模塊支持熱拔插，即插即用；KVM交換機為分布式安裝，當機房KVM監(jiān)控管理系統(tǒng)主服務器出現(xiàn)故障時，能夠很方便地將KVM交換機設立為單機模式，IP顧客可不通過主服務器直接登錄KVM交換機訪問控制服務器及網(wǎng)絡設備。實用性：KVM交換機1U原則可上機架式，支持涉及PS/2、SUN、USB服務器和多個終端服務器及串口設備，VGA、SVGA顯示屏，最大分辨率本地端和IP端均支持高達1600x1280顯示分辨率。支持多平臺多系統(tǒng)：如HP、IBM、SUN、COMPAQ、DELL、小型機、串口等硬件多平臺的服務器；顧客資源保護：非介入式安裝，不會占用被控制的服務器及網(wǎng)絡設備的內(nèi)存、CPU等重要資源。運用原有OA網(wǎng)絡，不會增加網(wǎng)絡設備投資，不會占用業(yè)務網(wǎng)絡帶寬。顧客訂制：完全自主知識產(chǎn)權(quán)，能夠按顧客需求擴充功效，實現(xiàn)顧客定制。系統(tǒng)告知：系統(tǒng)管理員能夠?qū)﹃P(guān)注的事件設定告知功效，當系統(tǒng)有有關(guān)事件生成時，系統(tǒng)會以多個告知管理員。安裝布署方便：方案簡潔、直觀，實現(xiàn)規(guī)范化五類線布線，簡化工程施