某单位网络带外管理技术方案
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
某单位网络带外管理方案
一、某单位网络管理现状
随着我单位信息化建设的改革和发展,现在我单位的各项政务和业务工作都离不开信息系统。计算机网络是承载信息系统的基础设施,经过多年的建设,我单位的计算机网络以SDH数字专线和光纤线路为主要传输手段,已经延伸到8个办事处,涵盖20多个业务现场。每个业务现场都设置了网络机房用于线路汇聚和集中安装各种通信网络设备,包括路由器、交换机、有线通讯设备等。在发展中,因我单位业务发展和基于安全性的需求,我单位的计算机网络发展成物理隔离的4个子网络,分别命名为业务运行网、业务管理网、对外业务专网、单位内部互联网,这使得各个机房内网络设备的数量大大增加。信息系统的高效稳定运行对于我单位业务至关重要,网络运维成为技术处系统维护科日常工作的重要组成部分。目前,我单位虽然部署了网络监控运维系统,但是网络运维和故障处理还是离不开网络管理员的人工操作。在网络运维日常工作中,网络管理员一般是在同一网络里的客户机通过telnet(或SSH)程序远程连接到目标设备进行网络维护操作,如果网络出现故障,上述连接就不能成功,网络管理员唯有带上笔记本电脑等工具乘坐“急救车”亲临网络机房查看目标设备,诊断问题并最终恢复网络连接。
二、建设带外管理的必要性及可行性
目前我单位现有的网络维护手段相对单一,而且存在较大的缺
点。telnet(或SSH)远程连接方式是基于网络正常运行为前提,
网络管理员只能做一些参数查看、监控的工作。当网络连接出现故障时,远程连接方式就无能为力,网络管理员只好担当“救火队员”亲临网络故障现场处理。即使是从网络中心到最近的业务现场,单向车程也需要30分钟左右,这样的处理方式,不仅不能保证网络故障处理的时效性,而且耗费了宝贵的用车资源。为了缓解人力物力有限而网络维护工作日益复杂,对网络恢复时效要求越来越高的矛盾,增加网络管理途径的需要也显得越来越重要。带外管理是成熟、稳定的技术手段,已成为业界标准的网络管理方式,是我单位现有网络管理手段最佳的选择和最有效的补充。
三、某单位带外管理设计方案
网络管理可分为带内管理(in-band management)和带外管理(out-of-band management)两种管理模式。在带內管理方式下,管理控制信息与数据信息使用同一物理通道进行传送。带外管理的核心理念在于通过不同的物理通道传送管理控制信息和数据信息,两者完全独立、互不影响。当网络出现故障,带内管理不能发挥作用时,带外管理为管理员提供了访问网络故障设备的后备通道。
串口控制台服务器(console server)是实现网络设备带外管理系统的设备。通常每个网络设备都配有一个用于本地连接管理的console口(属于EIA/TIA-232串行接口通信规范),每个串口服务
器配有多个串行口用于连接目标设备的console接口、另外配有一个或者两个以太网口用于连接TCP/IP网络,为网络设备的console
口到TCP/IP之间完成数据转换的通讯。网络管理员可以通过
TCP/IP网络里的客户端直接连接到控制台服务器(连接方式有Telnet、SSH、拨号、WEB浏览器等),再管理各个串行口连接的网
络设备,可以大大减少亲临故障现场的次数。下图是一个控制台服务器与被管理设备的连接图示。
在我单位现有的网络结构下对网络设备进行带外管理,无需改动现有的网络结构,只需要在每个现场机房配置一台控制台服务器、用于带外管理的TCP/IP网络。在各个机房里每个子网大约有一台主要的网络设备,总数量一般不超过8台,所以每个机房配置一台8
个串口的控制台服务器即可实现对各个子网络的带外管理。重新布设一个网络不符合资源整合的设计理念,而相对其它子网络,“单位内部互联网”客户端最少,网络负载最小,所以本方案拟将各现场机房的控制台服务器的以太网口连接到“单位内部互联网”,每个控制台服务器设置一个“单位内部互联网”IP地址,网络管理员通过“单位内部互联网”内的一台客户端进行管理验操作。为了增加网络管理员快速响应速度和工作方便性,本方案使用便携式计算机作
为管理客户端,下图中本设计方案的连接图示。
某单位配置网络机房的业务现场包括21业务现场,此方案拟购置22台控制台服务器,配备多余一台用于应急后备。
本方案所需的资源清单
本设计方案安全性分析:
控制台服务器与互联网不能互访,我单位的“单位内部互联网”使用公用的私有IP地址通过代理服务器统一出口,还部署了互联网用户审计监控系统,所以虽然控制台服务器接入到“单位内部互联网”,但控制台服务器与互联网用户不能互访,保证系统安全。
●连接到控制台服务器串行口的被管理设备之间不能互访。控制台服务器本身的各个串行接口是相互独立的,不能互通,虽然各个网络设备通过console口连接到控制台服务器的串行接口,这种接口一般传输速率只有是9600b/s,是100Mb以太网网接口的
1/10000,这条连接只传输对被管理设备的控制管理信息,不会发生串网的情况,保证了被管理设备之间不能互访。
●被管理设备传输的信息不能传输到带外管理的网络(即“单位内部互联网”),原理同上,“单位内部互联网”内的客户端能访问控制台服务器,与被管理设备之间只和传输控制信息,不能获得设备传输的数据信息。
通过上述分析得知,本设计方案操作简易、可扩展性好,符合安全性的要求。
四、设备选型
经过资料查询和产品信息比较,本方案选择美国AVOCENT公司的Cyclades ACS5008串口控制台服务器。
美国AVOCENT公司是目前全球最大的带外管理系统制造商及数据中心(IDC)管理解决方案提供商。据IDC统计,AVOCENT在带外管理设备的市场占有率超过50%。
Cyclades ACS5008控制台服务器是1U标准机柜支架空间的设备,提供了8串行端口,1个以太网接口,最大限度地提高网络和服务器的可用率,同时提供出色的可扩展性和成本效益。
安全性方面,Cyclades ACS5008通过使用SSH v2、RADIUS