KVM監控管理系統設計方案一 系統概述隨著KVM技術的發展，機房KVM監控管理系統已經不再是鍵盤、鼠標和顯示器的簡單延伸。機房KVM監控管理系統整合了現代機房管理的理念，為設備管理、用戶管理、用戶操作控制及用戶操作記錄提供了全新的技術手段，已成為現代機房管理的重要環節。現代企業和其分支機構對信息技術的依賴程度越來越高，其機房設備明顯表現出數量大、跨地域的特點。KVM交換機單機工作模式已經不能滿足現代企業機房管理的需要。利用機房KVM監控管理系統對KVM交換機進行集群管理，可以應對機房設備及操作人員數量不斷增加、機房設備種類日益多樣化的復雜局面。機房KVM監控管理系統可以提供KVM交換機不能具備的增值功能： A：集中、安全地管理機房設備；B：統一的用戶管理，用戶權限分配；C：完整的用戶訪問記錄；D：完整的安全性架構。二 需求分析與背景某單位數據機房現狀分析目前某單位機房的服務器與網絡設備基本都是采用單機單點管理，隨著信息化、網絡化的發展，計算機系統的規模、功能不斷增強擴大，機房設備將不斷增加，需要更高的運行維護效率和科學合理嚴密的機房管理制度。A：現狀1. 某單位機房目前需求為30多個操作點（服務器及網絡設備），由于各操作點都有著自己的維護界面，系統維護人員需要逐個進行維護和管理。2. 目前的機房管理，基本使用傳統的管理模式。日常維護中需要操作人員頻繁的進出機房，鍵盤、鼠標和顯示器等外部I/O設備大量的占用機房空間；機房電磁環境也有害于操作人員身體健康。B：依據目前的現狀，某單位數據機房需要一個更高效、更集中、更智能化的管理平臺.基于以上分析，為了更好的進行系統運行維護管理，迫切需要對機房管理設備進行升級，以期能提供一套與目前機房設備規模相適應的更安全、更高效的集中管理平臺,為了滿足目前大規模、跨地域、多種類、多用戶的機房設備管理需求，可以對機房設備及操作員進行集中統一管理;本機房KVM監控管理系統可以滿足前面所提出的管理需求。三 機房KVM監控管理系統設計方案3.1 系統設計原則 系統兼顧成熟性與先進性 開放性和標準化 可擴充性 安全性與可靠性 實用性，適應用戶實際應用環境3.2 機房KVM監控管理系統安全性設計完整的安全系統，需要綜合考慮訪問控制、數據傳輸、存儲的安全及完整性、事后審計三大要素。本方案根據用戶使用的具體特點，對系統安全性進行重點設計，對各種可能的安全性問題進行全面防范。3.2.1 訪問控制的安全性設計 訪問控制的安全性，在于防止非法用戶對系統的入侵。機房KVM監控管理系統通過以下技術手段來實現安全的訪問控制：1）服務器證書、客戶端個人證書雙向認證:只有當服務器端、客戶端互相認證對 方的合法性，才能建立起正常聯機，保證了系統的應用中免受第三方攻擊。2）操作員分級權限管理:系統管理員、一般操作員使用不同的用戶名及密碼登錄系統，對系統管理員、一般操作員規定不同管理操作權限。一般操作員設備操作權限由系統管理員分配，按照不同操作員職責設定不同的管理權限，遵循“權限最小”原則，進行訪問控制，提高系統安全性。3）KVM接入安全網關及用戶接入安全網關:KVM交換機與服務器、用戶與服務器之間都采用安全、加密通訊協議連接，屏蔽其它網絡協議包。4）操作員IP限制:對操作員采用固定IP的方式，可以過濾掉網絡中無關IP所發出的IP包，限制網絡中的試探行為。3.2.2 密文傳輸防范數據傳輸風險 數據密文傳輸，在于防止非法用戶對網絡數據流的竊聽和分析。 機房KVM監控管理系統通過以下技術手段來實現密文傳輸： 采用1024/2048位RSA非對稱算法，有效保證身份認證體系的安全性和會話密鑰傳輸的保密性；采用MD5摘要算法，保護數據傳輸過程的完整性；采用128 bit AES加密算法，符合國際商業安全標準。XML采用HTTPS傳輸；數據采用SSL隧道傳輸。3.2.3 安全日志記錄和審計 事后審計，可以對于機房設備操作過程及運行狀態進行實時記錄，為事后追溯，查明事故發生原因、明確責任人的具體責任提供了技術手段。 機房KVM監控管理系統通過以下技術手段來實現安全日志記錄和審計：1）計算機屏幕圖像同步存儲與回放功能:采用圖像及字符數據存儲與回放技術，可以將操作員的所有操作圖像都記錄下來，在需要對操作過程進行監督和事后追溯時回放。2）日志儲存、管理、查詢功能:將操作員的所有操作的相關要素（登錄時間、登出時間、操作員號、訪問設備、訪問IP地址等）都記錄下來，以備需要對操作員進行監督時查詢。3）報警及異常狀態日志：受控設備宕機、掉電報警.上述功能使系統具備了事后審計的能力：記錄和跟蹤各種系統狀態的變化；提供對系統故意入侵行為的記錄和危害系統安全的記錄；實現對各種安全事故的定位；監控和捕捉各種安全事件。2.2.4 減少機房人員進出，提高物理安全性 主機運行機房是核心部位之一，減少人員頻繁進出，可以提高機房設備的物理安全性。使用機房KVM監控管理系統使得操作員可以在機房外操作維護機房設備，可以有效減少機房內人員流動。3.3 管理模式的整合與調整 機房KVM監控管理系統，為機房管理提供了新的技術手段。根據新的技術手段對機房管理模式進行調整，可以提供一套與目前機房設備規模和安全性要求相適應的高效、集中管理平臺，完善機房管理制度，具體如下：3.3.1全面集中管理 隨著機房設備規模的擴大，對機房管理提出了更高的要求。面對眾多的機房設備，仍采用一對一的方式，逐個控制和管理制約了機房管理水平的進一步提高。集中管理包含兩個層面的含義：1）用戶的集中管理： 所有用戶按其任務或所在的科室進行分組管理，統一分配訪問權限，統一設定允許其接入的IP地址或IP地址段，統一進行證書管理。2）機房設備的集中管理： 所有機房設備按其任務進行分組，以便按任務或科室進行設備管理。當用戶登錄系統時，該用戶所有有權訪問的機房設備同時在單一的用戶界面顯示，方便用戶在不同的機房設備之間切換。3.3.2 遠程控制管理 機房KVM監控管理系統是基于網絡的機房管理解決方案，IP所到之處，即可部署遠程控制臺，利用用戶現有的網絡體系，構建起遠程控制系統，中心系統管理人員在獲得機房設備訪問權后，即可遠程訪問機房設備。3.3.3 準確的過程管理 目前機房管理制度，雖然對操作員行為進行了規范，但操作員是否按機房管理制度進行操作，是否定期進行巡檢，無法進行準確的監控和審核。利用機房KVM監控管理系統，進行準確的過程管理，從而提高操作員責任心，落實機房管理制度。基于上述管理技術手段，需要對目前機房管理模式進行整合和調整，除對機房管理制度進行調整外，在技術層面上，在進行系統配置時應考慮兼顧系統可用性及安全性；在用戶及用戶組、設備及設備組劃分，權限分配上充分考慮管理上的需求；在日志記錄、圖像存儲設置上應與管理制度相適應；在IP信任域設置上應兼顧系統安全性與訪問的方便性；使系統發揮最大效益。3.4 方案描述3.4.1方案概述 依照某單位使用要求，設計為在機房安裝機房KVM監控管理系統主服務器及KVM交換機，實現全域認證服務和日志記錄。主服務器中需安裝KVM接入代理、用戶訪問代理、用戶管理和日志服務軟件模塊，實現該機房區域KVM接入、IP用戶接入和日志服務等功能。KVM交換機通過主服務器形成集群。實現對全域機房設備的統一管理和訪問控制。3.4.2方案實現 由于某單位數據機房操控設備約為30臺左右，分布在同一機房區域。故采用EasyWay KVM交換機組合配置予以接入。 接入設備數：32個 需安裝EasyWay 16端口KVM交換機2臺； 另選用相應接口功能模塊計 32個即可。機房KVM監控管理系統主服務器： 服務器配置根據設備及網絡帶寬情況，以按需配置原則，同時權衡用戶投資、可用性和擴展性，使用戶在目前條件下以較小的投資，獲得最大的使用效率。在數據機房安裝機房KVM監控管理系統主服務器，實現全域用戶管理和日志服務。機房內的服務器與網絡設備。按就近接入原則，選擇與其匹配的接口模塊類型，與本機房內的KVM交換機連接。 主服務器中安裝KVM接入代理、用戶訪問代理、用戶管理和日志服務軟件模塊，全域用戶管理和日志服務都集中于主服務器，所有用戶的權限管理、證書發放、日志存儲與查詢都由主服務器完成。主服務器安裝軟件模塊：ES-AS 用戶管理 ES-LS 日志服務ES-KP KVM接入代理 ES-CP 用戶訪問代理3.4.3方案功能及特點全域訪問能力：遠程IP用戶可以位于任何有OA網絡存在的地方，通過TCP/IP登錄控制所有服務器及網絡設備；快捷切換方式：遠程IP用戶通過客戶端界面操作，其所有有權訪問的機房設備完全列表在同一顯示界面中，只需鼠標點擊即可接入和控制任何一臺機房設備；友好的用戶界面：不論是本地控制臺還是遠程IP用戶，均為全圖形全中文界面。高度可管理性：KVM交換機、機房設備、用戶集中統一管理，支持分組管理模式。安全強度高：雙向證書認證、用戶分級權限管理、數據安全加密傳輸、日志審計功能、圖像存儲與回放，構成完整的安全體系。可靠性：在KVM交換機關機或出現故障時，接口模塊具備斷電保護功能，能保證所連接的服務器及網絡設備正常工作。更換KVM交換機非常方便，只需進行IP地址等少量配置即可，接口模塊支持熱拔插，即插即用；KVM交換機為分布式安裝，當機房KVM監控管理系統主服務器出現故障時，可以很方便地將KVM交換機設置為單機模式，IP用戶可不通過主服務器直接登錄KVM交換機訪問控制服務器及網絡設備。實用性：KVM交換機1U標準可上機架式，支持包括PS/2、SUN、USB服務器和各種終端服務器及串口設備，VGA、SVGA顯示器，最大分辨率本地端和IP端均支持高達1600x1280 顯示分辨率。支持多平臺多系統：如HP、IBM、SUN、COMPAQ、DELL、小型機、串口等硬件多平臺的服務器；用戶資源保護：非介入式安裝，不會占用被控制的服務器及網絡設備的內存、CPU等重要資源。利用原有OA網絡，不會增加網絡設備投資，不會占用業務網絡帶寬。用戶訂制：完全自主知識產權，可以按用戶需求擴充功能，實現用戶定制。系統通知：系統管理員可以對關注的事件設定通知功能，當系統有相關事件生成時，系統會以多種通知管理員。安裝部署方便：方案簡潔、直觀，實現規范化五類線布線，簡化工程施工，布線整齊