某單位網(wǎng)絡(luò)帶外管理技術(shù)方案

1、某單位網(wǎng)絡(luò)帶外管理方案一、某單位網(wǎng)絡(luò)管理現(xiàn)狀隨著我單位信息化建設(shè)的改革和發(fā)展，現(xiàn)在我單位的各項(xiàng)政務(wù)和業(yè)務(wù)工作都離不開信息系統(tǒng)。計(jì)算機(jī)網(wǎng)絡(luò)是承載信息系統(tǒng)的基礎(chǔ)設(shè)施，經(jīng)過多年的建設(shè)，我單位的計(jì)算機(jī)網(wǎng)絡(luò)以SDh«字專線和光纖線路為主要傳輸手段，已經(jīng)延伸到8個(gè)辦事處，涵蓋20多個(gè)業(yè)務(wù)現(xiàn)場(chǎng)。每個(gè)業(yè)務(wù)現(xiàn)場(chǎng)都設(shè)置了網(wǎng)絡(luò)機(jī)房用于線路匯聚和集中安裝各種通信網(wǎng)絡(luò)設(shè)備，包括路由器、交換機(jī)、有線通訊設(shè)備等。在發(fā)展中，因我單位業(yè)務(wù)發(fā)展和基于安全性的需求，我單位的計(jì)算機(jī)網(wǎng)絡(luò)發(fā)展成物理隔離的4個(gè)子網(wǎng)絡(luò)，分別命名為業(yè)務(wù)運(yùn)行網(wǎng)、業(yè)務(wù)管理網(wǎng)、對(duì)外業(yè)務(wù)專網(wǎng)、單位內(nèi)部互聯(lián)網(wǎng)，這使得各個(gè)機(jī)房?jī)?nèi)網(wǎng)絡(luò)設(shè)備的數(shù)量大大增加。信息系統(tǒng)

2、的高效穩(wěn)定運(yùn)行對(duì)于我單位業(yè)務(wù)至關(guān)重要，網(wǎng)絡(luò)運(yùn)維成為技術(shù)處系統(tǒng)維護(hù)科日常工作的重要組成部分。目前，我單位雖然部署了網(wǎng)絡(luò)監(jiān)控運(yùn)維系統(tǒng)，但是網(wǎng)絡(luò)運(yùn)維和故障處理還是離不開網(wǎng)絡(luò)管理員的人工操作。在網(wǎng)絡(luò)運(yùn)維日常工作中，網(wǎng)絡(luò)管理員一般是在同一網(wǎng)絡(luò)里的客戶機(jī)通過telnet（或SSH程序遠(yuǎn)程連接到目標(biāo)設(shè)備進(jìn)行網(wǎng)絡(luò)維護(hù)操作，如果網(wǎng)絡(luò)出現(xiàn)故障，上述連接就不能成功，網(wǎng)絡(luò)管理員唯有帶上筆記本電腦等工具乘坐“急救車”親臨網(wǎng)絡(luò)機(jī)房查看目標(biāo)設(shè)備，診斷問題并最終恢復(fù)網(wǎng)絡(luò)連接。二、建設(shè)帶外管理的必要性及可行性目前我單位現(xiàn)有的網(wǎng)絡(luò)維護(hù)手段相對(duì)單一，而且存在較大的缺點(diǎn)。telnet（或SSH遠(yuǎn)程連接方式是基于網(wǎng)絡(luò)正常運(yùn)行為前提，網(wǎng)

3、絡(luò)管理員只能做一些參數(shù)查看、監(jiān)控的工作。當(dāng)網(wǎng)絡(luò)連接出現(xiàn)故障時(shí)，遠(yuǎn)程連接方式就無(wú)能為力，網(wǎng)絡(luò)管理員只好擔(dān)當(dāng)“救火隊(duì)員”親臨網(wǎng)絡(luò)故障現(xiàn)場(chǎng)處理。即使是從網(wǎng)絡(luò)中心到最近的業(yè)務(wù)現(xiàn)場(chǎng)，單向車程也需要30分鐘左右，這樣的處理方式，不僅不能保證網(wǎng)絡(luò)故障處理的時(shí)效性，而且耗費(fèi)了寶貴的用車資源。為了緩解人力物力有限而網(wǎng)絡(luò)維護(hù)工作日益復(fù)雜，對(duì)網(wǎng)絡(luò)恢復(fù)時(shí)效要求越來越高的矛盾，增加網(wǎng)絡(luò)管理途徑的需要也顯得越來越重要。帶外管理是成熟、穩(wěn)定的技術(shù)手段，已成為業(yè)界標(biāo)準(zhǔn)的網(wǎng)絡(luò)管理方式，是我單位現(xiàn)有網(wǎng)絡(luò)管理手段最佳的選擇和最有效的補(bǔ)充。三、某單位帶外管理設(shè)計(jì)方案網(wǎng)絡(luò)管理可分為帶內(nèi)管理(in-bandmanagement)和帶外管

4、理(out-of-bandmanagement.兩種管理模式。在帶內(nèi)管理方式下，管理控制信息與數(shù)據(jù)信息使用同一物理通道進(jìn)行傳送。帶外管理的核心理念在于通過不同的物理通道傳送管理控制信息和數(shù)據(jù)信息，兩者完全獨(dú)立、互不影響。當(dāng)網(wǎng)絡(luò)出現(xiàn)故障，帶內(nèi)管理不能發(fā)揮作用時(shí)，帶外管理為管理員提供了訪問網(wǎng)絡(luò)故障設(shè)備的后備通道。串口控制臺(tái)服務(wù)器(consoleserver)是實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備帶外管理系統(tǒng)的設(shè)備。通常每個(gè)網(wǎng)絡(luò)設(shè)備都配有一個(gè)用于本地連接管理的console口(屬于EIA/TIA-232串行接口通信規(guī)范)，每個(gè)串口服務(wù)器配有多個(gè)串行口用于連接目標(biāo)設(shè)備的console接口、另外配有一個(gè)或者兩個(gè)以太網(wǎng)口用于連接

5、TCP/IP網(wǎng)絡(luò)，為網(wǎng)絡(luò)設(shè)備的console口到TCP/IP之間完成數(shù)據(jù)轉(zhuǎn)換的通訊。網(wǎng)絡(luò)管理員可以通過TCP/IP網(wǎng)絡(luò)里的客戶端直接連接到控制臺(tái)服務(wù)器（連接方式有Telnet、SSH撥號(hào)、WEB$U覽器等），再管理各個(gè)串行口連接的網(wǎng)絡(luò)設(shè)備，可以大大減少親臨故障現(xiàn)場(chǎng)的次數(shù)。下圖是一個(gè)控制臺(tái)服務(wù)器與被管理設(shè)備的連接圖示。棒號(hào)宵理客戶端在我單位現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)下對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行帶外管理，無(wú)需改動(dòng)現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)，只需要在每個(gè)現(xiàn)場(chǎng)機(jī)房配置一臺(tái)控制臺(tái)服務(wù)器、用于帶外管理的TCP/IP網(wǎng)絡(luò)。在各個(gè)機(jī)房里每個(gè)子網(wǎng)大約有一臺(tái)主要的網(wǎng)絡(luò)設(shè)備，總數(shù)量一般不超過8臺(tái)，所以每個(gè)機(jī)房配置一臺(tái)8個(gè)串口的控制臺(tái)服務(wù)器即可實(shí)現(xiàn)對(duì)各

6、個(gè)子網(wǎng)絡(luò)的帶外管理。重新布設(shè)一個(gè)網(wǎng)絡(luò)不符合資源整合的設(shè)計(jì)理念，而相對(duì)其它子網(wǎng)絡(luò)，“單位內(nèi)部互聯(lián)網(wǎng)”客戶端最少，網(wǎng)絡(luò)負(fù)載最小，所以本方案擬將各現(xiàn)場(chǎng)機(jī)房的控制臺(tái)服務(wù)器的以太網(wǎng)口連接到“單位內(nèi)部互聯(lián)網(wǎng)”，每個(gè)控制臺(tái)服務(wù)器設(shè)置一個(gè)“單位內(nèi)部互聯(lián)網(wǎng)”IP地址，網(wǎng)絡(luò)管理員通過“單位內(nèi)部互聯(lián)網(wǎng)”內(nèi)的一臺(tái)客戶端進(jìn)行管理驗(yàn)操作。為了增加網(wǎng)絡(luò)管理員快速響應(yīng)速度和工作方便性，本方案使用便攜式計(jì)算機(jī)作為管理客戶端，下圖中本設(shè)計(jì)方案的連接圖示。被管理設(shè)鉛 祓管理設(shè)備RS232品行提線RS232串行短線控粉臺(tái)服務(wù)器以太網(wǎng)網(wǎng)線冷服務(wù)器以太網(wǎng)網(wǎng)線現(xiàn)場(chǎng)機(jī)底Ethernet單位內(nèi)部互取網(wǎng)某單位配置網(wǎng)絡(luò)機(jī)房的業(yè)務(wù)現(xiàn)場(chǎng)包括21業(yè)務(wù)現(xiàn)

7、場(chǎng)，此方案擬購(gòu)置22臺(tái)控制臺(tái)服務(wù)器，配備多余一臺(tái)用于應(yīng)急后備。本方案所需的資源清單資源名稱數(shù)量8串行口控制臺(tái)服務(wù)器22臺(tái)“單位內(nèi)部互聯(lián)網(wǎng)”IP地址21個(gè)本設(shè)計(jì)方案安全性分析：控制臺(tái)服務(wù)器與互聯(lián)網(wǎng)不能互訪，我單位的“單位內(nèi)部互聯(lián)網(wǎng)”使用公用的私有IP地址通過代理服務(wù)器統(tǒng)一出口，還部署了互聯(lián)網(wǎng)用戶審計(jì)監(jiān)控系統(tǒng)，所以雖然控制臺(tái)服務(wù)器接入到“單位內(nèi)部互聯(lián)網(wǎng)”，但控制臺(tái)服務(wù)器與互聯(lián)網(wǎng)用戶不能互訪，保證系統(tǒng)安全。連接到控制臺(tái)服務(wù)器串行口的被管理設(shè)備之間不能互訪?？刂婆_(tái)服務(wù)器本身的各個(gè)串行接口是相互獨(dú)立的，不能互通，雖然各個(gè)網(wǎng)絡(luò)設(shè)備通過console口連接到控制臺(tái)服務(wù)器的串行接口，這種接口一般傳輸速率只有是

8、9600b/s,是100Mb以太網(wǎng)網(wǎng)接口的1/10000,這條連接只傳輸對(duì)被管理設(shè)備的控制管理信息，不會(huì)發(fā)生串網(wǎng)的情況，保證了被管理設(shè)備之間不能互訪。被管理設(shè)備傳輸?shù)男畔⒉荒軅鬏數(shù)綆夤芾淼木W(wǎng)絡(luò)（即“單位內(nèi)部互聯(lián)網(wǎng)”），原理同上，“單位內(nèi)部互聯(lián)網(wǎng)”內(nèi)的客戶端能訪問控制臺(tái)服務(wù)器，與被管理設(shè)備之間只和傳輸控制信息，不能獲得設(shè)備傳輸?shù)臄?shù)據(jù)信息。通過上述分析得知，本設(shè)計(jì)方案操作簡(jiǎn)易、可擴(kuò)展性好，符合安全性的要求。四、設(shè)備選型經(jīng)過資料查詢和產(chǎn)品信息比較，本方案選擇美國(guó)AVOCEN公司的CycladesACS5008串口控制臺(tái)服務(wù)器。美國(guó)AVOCEN公司是目前全球最大的帶外管理系統(tǒng)制造商及數(shù)據(jù)中心（IDC）管理解決方案提供商。據(jù)IDC統(tǒng)計(jì)，AVOCEN在帶外管理設(shè)備的市場(chǎng)占有率超過50%CycladesACS5008控制臺(tái)服務(wù)器是1U標(biāo)準(zhǔn)機(jī)柜支架空間的設(shè)備，提供了8串行端口，1個(gè)以太網(wǎng)接口，最大限度地提高網(wǎng)絡(luò)和服務(wù)器的可用率，同時(shí)提供出色的可擴(kuò)展性和成本效益。安全性方面，CycladesACS5008通過使用SSHv2、RADIUS身份驗(yàn)證、IP過濾和每個(gè)端口的用戶訪問列表等安全功