• 軟件產品
• 公共安全領域
• 智能化領域
• 系統集成
• 服務外包
• 新產品代理
• BlueCoat
• Array
• LANDesk
• Radware
• 力登KVM
• 東華和Raritan
• 解決方案
• 產品介紹
• 典型案例
• 聯系方式
• GUARDIUM
• Infinera
• Smallworld
• Compuware
• StoneGate
• SEPATON
• Nimble Storage
• 互聯網金融
• 特種產品
• 典型用戶

國家XX總局集中遠程監控管理系統設計方案

1 國家XX總局集中遠程管控的具體需求

1.1現狀和背景

根據與用戶交流，目前準備在新機房應用集中管控系統，其中服務器數量約為200臺（包括IBM P系列小型機，IBM X系列PC服務器，IBM Bladcenter系列刀片服務器）；網絡設備數量約為50臺。

由于平均每個機柜存放設備數量尚無規劃，因此機柜與機柜之間的距離應保留足夠的管理半徑。初步估計至少預留40米。

1.2管理方式需求

1、要求滿足國稅總局的管理體系架構：同城機房能實時方便的進行日常維護，總部對設備可進行集中監控和協同分支機房管理，總部可隨時監控同城異地的設備運行狀況，并負責管理本系統。

2、要求實現帶外管理功能和考慮系統的安全、冗余設計，符合專用系統的應用需求。

3、要求支持無限個并發用戶的遠程訪問，支持多個維護人員同時管理控制同一臺設備。

4、要求為統一集中管理平臺：通過一個IP地址統一管理所有設備，可詳細、完整的定義用戶權限管理策略和查詢設備策略。 

2 國家XX總局集中遠程管控方案概述

2.1系統方案拓撲圖

2.2系統結構描述

方案從設計上分為兩層結構，分別為接入層和管理層。接入層位于數據機房設備機柜內，實現被管理設備的接入和匯聚，管理層實現對所有機房設備的集中管理。

接入層使用Dominion 數字系列的KX2和SX產品對數據機房中的被管理設備進行匯聚，使用UTP5類線從被管理設備的I/O口（KVM口或串口）連接到Dominion的端口上，由Dominion 使用Over IP技術將模擬信號轉換成IP數據包并連接到IP網絡，可從遠程對被管設備進行管理。當各地數據機房中的管理員需要在本地訪問被管理設備時，可使用Dominion系列提供的本地管理接口來進行操作。

本方案在接入層采用13臺Dominion KX2 416數字KVM交換機管理接入服務器，提供200臺服務器的管理能力。該設備單臺具備16個管理接口，支持4個遠程用戶并發訪問，同時具備1個本地用戶訪問接口，預留機架邊的救援能力，在網絡故障時，可通過Modem撥號方式進行應急處理。

采用2臺Dominion SXA32數字串口服務器管理接入的網絡設備，提供64臺網絡設備的管理能力。該設備單臺具備32個管理接口，支持單端口10用戶的并發訪問能力，在網絡故障時，可通過Modem撥號方式進行應急處理。

管理層使用兩臺Command Center SG-V1，組成邏輯上的雙機熱備集群，兩臺Command Center SG均連接到IP網絡來集中管理接入層中的各臺Dominion系列產品，并相互實時同步配置。用戶只要登陸主Command Center SG即可通過整合的界面訪問各地數據機房的所有設備，而不用考慮被管理設備是連接在哪臺Dominion上。當主Command Center SG本身或網絡連接出現問題時，用戶可使用備份Command Center SG來訪問控制各地的設備提高系統的可用性。當安裝了Command Center SG后，使用者不能直接連接Dominion而需要訪問Command Center SG通過統一的界面進行集中的身份驗證和權限分配后才能訪問各臺被管理設備。

如圖所示，Command Center SG-V1支持雙接口1000M銅纜以太網，可將網絡交換機與Command Center SG-V1進行雙鏈路配置，形成網絡結構的冗余，核心管理區域沒有單點故障。

在考慮備份冗余方面， Dominion均提供備份的Modem接口，以便在網絡連接失效時可使用模擬PSTN網進行撥號應急訪問。

2.3系統帶外管理備份方案描述

2.3.1 PSTN的帶外管理方案

針對Dominion系列所在的機房網絡出現故障，可以通過Dominion內置的Modem實現PSTN帶外管理的訪問。

2.3.2本地口的帶外管理方案

當各地機房的網絡出現故障時，可以采用Dominion的本地端口實現機房一級的帶外管理網絡：將機房的本地端口延長到機房外的控制室，實現人機分離的帶外管理。

2.4系統的用戶驗證方式

Command Center SG和KX2\SX都有內部驗證系統同時也支持外部驗證系統（Radius、Active Directory、LDAP(S) 和 TACACS+），并且        Command Center SG還支持 在AAA故障情況下能選擇多種“AAA” 服務器 (相同類型或者不同類型)做認證工作，用戶可以指定選擇其他認證方式的順序，比如LDAP首先，AD第二，TACACS+ 第三。。。來保證用戶真正的可用性。

結合國稅總局的實際情況和利用Raritan系統多種靈活驗證模式的支持，建議采用外部統一集中驗證的方式，并將系統的驗證體系納入到國稅總局的Secure ID的驗證體系中；如：AAA的主、備Server為Radius，同時建議Command Center SG內部驗證系統留有用戶數據庫備用，當出現意外的AAA故障時可不影響使用。

2.5系統管理方式簡介

通過遠程集中管控系統中Command Center SG所具有的精細化和強大的管理功能，可以完全按照管理人員的職責和權限來靈活方便的實現集中遠程管理。針對具體的分支機房管理人員和總部管理人員可以實現如下的管理方式：

2.5.1分支機房管理人員

管理權限：

管理分支機房內的設備，可以按照人員職責劃分不同的管理帳號權限來管理不同的設備。

管理路徑：

A.通過KX2和SX的本地管理口進行設備的本地管理。

B.通過IP網絡，實現遠程管理。

C.通過PSTN電話撥號網絡實現在IP網絡不可訪問時的應急訪問。

管理深度：

設備日常狀態的查看；設備配置更新；設備內核升級；設備重起；設備加電斷電診斷等。

2.5.2總部級管理人員

管理權限：

監控管理全系統的設備，可以按照人員職責劃分不同的管理帳號權限來管理不同的設備或不同省市的設備。

管理路徑：

A.通過IP網絡，實現遠程管理。

B.通過PSTN電話撥號網絡實現在IP網絡不可訪問時的應急訪問。

管理深度：

可以隨時監控到任何地點的設備狀態，并可以直接登陸到設備上進行操作；系統內使用人員權限的劃分管理，系統內所有設備的管理，系統的統一升級（Command Center SG、KX2、SX）等

2.6設備配置清單