《某单位网络带外管理技术方案》由会员分享,可在线阅读,更多相关《某单位网络带外管理技术方案(7页珍藏版)》请在装配图网上搜索。
1、某单位网络带外管理方案一、某单位网络管理现状随着我单位信息化建设的改革和发展,现在我 单位的各项政务和业务工作都离不开信息系统。计算机网络是承载信息系统 的基础设施,经过多年的建设,我单位的计算机网络以SDH数字专线和光纤 线路为主要传输手段,已经延伸到 8 个办事处,涵盖 20多个业务现场。每 个业务现场都设置了网络机房用于线路汇聚和集中安装各种通信网络设备, 包括路由器、交换机、有线通讯设备等。在发展中,因我单位业务发展和基 于安全性的需求,我单位的计算机网络发展成物理隔离的 4 个子网络,分别 命名为业务运行网、业务管理网、对外业务专网、单位内部互联网,这使得 各个机房内网络设备的数量大
2、大增加。信息系统的高效稳定运行对于我单位 业务至关重 要,网络运维成为技术处系统维护科日常工作的重要组成部分。 目前,我单位虽然部署了网络监控运维系统,但是网络运维和故障处理还是 离不开网络管理员的人工操作。在网络运维日常工作中,网络管理员一般是 在同一网络里的客户机通过telnet (或SSH程序 远程连接到目标设备进行 网络维护操作,如果网络出现故障,上述连接就不能成功,网络管理员唯有 带上笔记本电脑等工具乘坐“急救车”亲临网络机房查看目标设备,诊断问 题并最终恢复网络连接。二、建设带外管理的必要性及可行性目前我单位现有的网络维护手段相对单一,而且存在较大的缺点。telnet (或 SSH
3、 远程连接方式是基于网络正常运行为前提,网络管理员只能做一些参数查看、监控的工作。当网络连接出现故障时,远 程连接方式就无能为力,网络管理员只好担当“救火队员” 亲临网络故障现 场处理。即使是从网络中心到最近的业务现场,单 向车程也需要 30 分钟左 右,这样的处理方式,不仅不能保证网络故 障处理的时效性,而且耗费了宝 贵的用车资源。为了缓解人力物力 有限而网络维护工作日益复杂,对网络恢 复时效要求越来越高的矛 盾,增加网络管理途径的需要也显得越来越重要。 带外管理是成熟、 稳定的技术手段,已成为业界标准的网络管理方式,是我 单位现有 网络管理手段最佳的选择和最有效的补充。三、某单位带外管理设
4、计方案网络管理可分为带内管理(in-band management)和带外管理( out-of-band management 两种管理模式。在带內管理方式下, 管理控制 信息与数据信息使用同一物理通道进行传送。带外管理的 核心理念在于通过 不同的物理通道传送管理控制信息和数据信息, 两者完全独立、互不影响。 当网络出现故障,带内管理不能发挥作 用时,带外管理为管理员提供了访问 网络故障设备的后备通道。串口控制台服务器( console server )是实现网络设备带外管 理系统的 设备。通常每个网络设备都配有一个用于本地连接管理的console 口(属于 EIA/TIA-232串行接口通信
5、规范),每个串口服务器配有多个串行口用于连接 目标设备的con sole接口另外配有一个或者两个以太网口用于连接TCP/IP 网络,为网络设备的console 口到TCP/IP之间完成数据转换的通讯。网络 管理员可以通过TCP/IP网络里的客户端直接连接到控制台服务器(连接方式有Telnet、SSH拨号、WE浏览器等),再管理各个串行口连接的网 络设备, 可以大大减少亲临故障现场的次数。下图是一个控制台服 务器与被管理设备的连接图示。理碁F卓口控制台服务理蓉LU端在我单位现有的网络结构下对网络设备进行带外管理,无需改 动现有的 网络结构,只需要在每个现场机房配置一台控制台服务器、 用于带外管理
6、的 TCP/IP 网络。在各个机房里每个子网大约有一台主 要的网络设备,总数量 一般不超过 8台,所以每个机房配置一台8 个串口的控制台服务器即可实现 对各个子网络的带外管理。重新布 设一个网络不符合资源整合的设计理念, 而相对其它子网络,“单位 内部互联网”客户端最少,网络负载最小,所以 本方案拟将各现场 机房的控制台服务器的以太网口连接到“单位内部互联 网”,每个控 制台服务器设置一个“单位内部互联网” IP 地址,网络管理 员通过“单位内部互联网”内的一台客户端进行管理验操作。为了增加网 络管理 员快速响应速度和工作方便性,本方案使用便携式计算机作为管理客户端,下图中本设计方案的连接图示
7、。某单位配置网络机房的业务现场包括 21业务现场,此方案拟购 置 22 台控制台服务器,配备多余一台用于应急后备。本方案所需的资源清单资源名称数量8串行口控制台服务器22台“单位内部互联网” IP地址21个控制台服务器与互联网不能互访,我单位的“单位内部互联 网”使用 公用的私有IP地址通过代理服务器统一出口,还部署了互联网用户审计监控 系统,所以虽然控制台服务器接入到“单位内部 互联网”,但控制台服务器 与互联网用户不能互访,保证系统安全。连接到控制台服务器串行口的被管理设备之间不能互访。控 制台服务器本身的各个串行接口是相互独立的,不能互通,虽然各 个网络设 备通过 console 口连接
8、到控制台服务器的串行接口,这种 接口一般传输速率 只有是9600b/s,是100Mb以太网网接口的1 / 1 0000,这条连接只传输 对被管理设备的控制管理信息,不会发生 串网的情况,保证了被管理设备之 间不能互访。被管理设备传输的信息不能传输到带外管理的网络(即“单 位内部互 联网”),原理同上,“单位内部互联网”内的客户端能访问 控制台服务器, 与被管理设备之间只和传输控制信息,不能获得设 备传输的数据信息。通过上述分析得知,本设计方案操作简易、可扩展性好,符合 安全性 的要求。四、设备选型 经过资料查询和产品信息比较,本方案选择美国 AVOCEN 公司 的 Cyclades ACS50
9、08 串口控制台服务器。美国AVOCEN公司是目前全球最大的带外管理系统制造商及数据中 心(IDC)管理解决方案提供商。据IDC统计,AVOCENT在带外管理设备 的市场占有率超过 50%。Cyclades ACS5008 控制台服务器是 1U 标准机柜支架空间的 设备, 提供了 8串行端口, 1 个以太网接口,最大限度地提高网络 和服务器的可 用率,同时提供出色的可扩展性和成本效益。安全性方面, Cyclades ACS 5008通过使用 SSH v2、RADIUS 身 份验证、 IP 过滤和每个端口的用户访问列表等安全功能,数据中 心管 理人员和系统管理员可以更安全可靠地远程管理网络。经过一段时间试用,此设备配置简单、使用方便、安全性高, 符合我 单位带外管理的需求,选择为本方案的控制台服务器。
某单位网络带外管理技术方案
