国税信息中心机房Word下载.docx
- 文档编号:15299070
- 上传时间:2022-10-29
- 格式:DOCX
- 页数:22
- 大小:805.63KB
国税信息中心机房Word下载.docx
《国税信息中心机房Word下载.docx》由会员分享,可在线阅读,更多相关《国税信息中心机房Word下载.docx(22页珍藏版)》请在冰豆网上搜索。
A.要求如下:
1.被控端:
80台PC服务器、小型机
2.KVM接线方式采用的是CAT5、CAT6线缆
3.整套并提供诸如分组管理、设置密码访问、权限分配、日志管理等多项功能。
B.数量要求:
方案采用Raritan公司的CommandCenter和Dominion数字系列产品,在系统管理人员的统一安排下,操作人员只需要通过控制终端就可以接入分布于各个远程机房内的各种平台服务器/设备以进行对这些设备的各种操作而不需要来回穿梭于各地机房。
Raritan提供的系统应已包括所有必备的组件。
还满足方案下文所述一些基本要求:
技术先进完善;
项目实施简单;
价格合理;
有良好的扩展性。
2、方案设计
2.1方案拓扑图
2.2方案说明
方案从设计上分为两层结构,分别为接入层和管理层。
接入层位于数据机房,实现被管理设备的接入和汇聚,管理层实现对各机房设备的集中管理。
接入层使用Dominion数字系列的KX2代产品对数据中心的被管理设备进行汇聚,使用UTP5类线从被管理设备的I/O口(KVM口或串口)连接到Dominion的端口上,由Dominion使用OverIP技术将模拟信号转换成IP数据包并连接到IP网络,可从远程对被管设备进行管理。
当各地数据机房中的管理员需要在本地访问被管理设备的时,可使用Dominion系列提供的本地管理接口来进行操作。
Dominion可根据各地数据机房中被管设备的数量,可使用不同型号。
管理层均接入CommandCenter用户只要登陆CommandCenter即可通过整合的界面访问各地数据的所有设备,而不用考虑被管理设备是连接在哪台Dominion上。
当安装了CommandCenter后,使用者不能直接连接Dominion而需要访问CommandCenter通过统一的界面进行集中的身份验证和权限分配后才能访问各台被管理设备。
在考虑备份冗余方面,采用CommandCenter集群设计,CommandCenter和Dominion均提供备份的Modem接口,以便在网络连接失效时可使用模拟PSTN网进行拨号访问。
2.3CommandCenter与微软ActiveDirectory系统的无缝集成
2.3.1CommandCenter使用外部身份验证系统的原理
在CommandCenter中可配置使用外部验证服务器对登陆用户进行集中身份验证,所支持的外部身份验证协议包括:
LDAP、LDAPS、RADIUS、TACACS+及Certificate等。
CommandCenter可以很好的与微软ActiveDirectory方式实现LDAP域控制器之间进行无缝集成。
CommandCenter可以通过ActiveDirectory数据库的后台接口NDIS将LDAP服务器内所有用户帐户和用户组帐户全部导入到CommandCenter中,通过CommandCenter内的用户组权限策略给每个ActiveDirectory中的用户组进行访问权限分配。
技术优势首先是可以仅在CommandCenter中只对超级管理员开放用户帐户管理的权限,其他所有对用户帐户和用户组帐户的操作都在高安全性的ActiveDirectory中进行,从而提升了KVM系统的整体安全性。
其次,还可以避免用户在ActiveDirectory和CommandCenter中分别维护系统用户数据库,避免很多繁琐的日常操作
设备实现方式见下图所示:
2.3.2当集中管控系统CommandCenter发生宕机时的用户身份验证和系统访问
在CommandCenter发生宕机或网络中断时,Raritan系统中的所有Dominion设备均支持单独工作的模式,并可以使用LDAP的外部身份验证功能,通过LDAP服务器进行。
用户是要直接访问各台Dominion设备,仍然通过LDAP服务器进行集中访问。
在DominionKXII中均可以配置两台LDAP服务器进行互为备份。
2.4、系统的用户验证方式建议
CommandCenter和可KXII有内部验证系统同时也支持外部验证系统(RADIUS、ActiveDirectory、LDAP(S)和TACACS+),并且CommandCenter还支持在AAA故障情况下能选择多种“AAA”servers(相同类型或者不同类型)做认证工作,用户可以指定选择其他认证方式的顺序,比如.,LDAP首先,AD第二,TACACS+第三。
。
来保证用户真正的可用性。
2.5系统管理方式简介
通过远程集中管控系统中CommandCenter所具有的精细化和强大的管理功能,可以完全按照管理人员的职责和权限来灵活方便的实现集中远程管理。
针对具体的高级管理人员和一般管理人员可以实现如下的管理方式:
2.5.1一般管理人员
管理权限:
管理本市内的设备,可以按照人员职责划分不同的管理帐号权限来管理不同设备。
管理路径:
a.通过KXII本地管理口进行设备的本地管理。
b.通过IP网络,实现远程管理。
C.通过PSTN电话拨号网络实现在IP网络不可访问时的应急访问。
管理深度:
设备日常状态的查看;
设备配置更新;
设备内核升级;
设备重起,设备加电断电诊断。
2.5.2高级管理人员
监控管理全系统的设备,可以按照人员职责划分不同的管理帐号权限来管理不同的设备或不同省市的设备。
a.通过IP网络,实现远程管理。
b.通过PSTN电话拨号网络实现在IP网络不可访问时的应急访问。
可以随时监控到任何地点的设备状态,并可以直接登陆到设备上进行操作;
系统内使用人员权限划分管理,系统内所有设备管理,系统的统一升级(CommandCenter、KXII)
2.6设备配置清单
设备名称
说明
数量
CommandCenter
集中管理控制器;
支持集中管理多达10000台的IT设备,国际化语言版本支持包括简体中文界面等七种语言,双网口,双磁盘镜像,内置Modem,支持双机冗余,支持SSL/SSH,SNMP,ACL,SYSLOG,支持RADIUS,LDAP(S),ActiveDirectory,TACACS+的外部验证服务器和多个外部验证服务器的FailOver。
2台
DKX2-432
数字式(KVMoverIP)切换器,单台支持多达5用户通道和32个服务器通道,冗余双网口,外置Modem备份,支持多平台KVM设备,支持远程电源管理整合,支持虚拟光驱及虚拟硬盘功能,支持1600*1200分辨率,1U高度。
DKX2-216
数字式(KVMoverIP)切换器,单台支持多达5用户通道和16个服务器通道,冗余双网口,外置Modem备份,支持多平台KVM设备,支持远程电源管理整合,支持虚拟光驱及虚拟硬盘功能,支持1600*1200分辨率,1U高度。
1台
DCIM
被管理设备接口转换器,支持PS2,USB,SUN,串口设备等。
80个
3、方案技术优势
3.1、方案的可靠性
本方案设计采用的是集带内、带外管理优点于一身的全冗余设计方案,保证了系统运行的可靠性,具体体现在以下几个方面:
3.1.1、系统的链路冗余
对管理设备的访问有三条链路:
a)带外的本地链路访问;
b)带外的PSTN电话链路访问(28.8Kbps的低速率链路支持,通过配备远程访问服务器支持多个并发用户的直接拨入访问)
c)IP宽带网络访问,实现了系统链路的可访问性。
3.1.2、整个系统平台的独立性和可靠性
系统的产品内核采用定制的LINUX内核体系设计,不依赖任何Windows平台或Windows平台的服务器,无病毒,补丁的额外风险的困扰。
3.1.3、没有单点故障影响
系统模块化结构设计,保证单点故障的对整个系统影响的最低,系统中的设备连接互为独立,系统的单点故障不影响整个系统运行,机房中的KXII如果出了故障也只能影响到本地的操作,CommandCenter即使双机都不能工作,操作人员可以临时直接访问KX来维护设备,也不会影响到对管理设备的访问。
3.2、方案的安全性
3.2.1、用户验证的安全性
系统中的所有设备都支持用户安全的内部验证,当使用内部验证时不需要安装任何的外部验证服务器;
同时系统也支持外部验证服务器,当选用外部验证系统时可以支持业界通用的标准的验证服务器:
RADIUS,LDAP(S)/ActiveDirectory,TACACS+。
系统支持多级安全验证,验证故障自动转移功能,即系统可以安装多台不同类型的验证服务器,指定验证的优先顺序,当第一台验证服务器不可用,系统自动转向第二台。
依次类推直到正常验证完成。
系统支持用户的精细化分权管理功能,可以对系统中的设备CommandCenter,KX分权管理,对目标设备分权管理。
3.2.2、系统操作的时的数据流安全
系统操作时采用的是VPN级别的数据安全:
128BitSSL加密,所有信号:
包括键盘,鼠标和视频信号全部128位加密,保障系统数据流的传输安全。
3.2.3、登录密码安全
增强型密码的设置,可自定义密码最大和最小长度、可自定义设定密码可含有的字符种类、可自定义设定密码过期时间
3.2.4、本系统对AD系统的嵌套学习
当用户将用户组从AD系统导入到CC中时,支持对AD中用户组嵌套关系的学习。
3.3、方案的可管理性
3.3.1、系统强大的集中管理功能
1)对被管理设备按照设备的属性和类别来定义策略如:
按设备的位置、按设备的平台、按设备的供应商等等来分类;
2)用户组按功能权限来分类;
3)将不同策略映射到不同的用户组;
4)将策略生效赋予时间段的限制:
实现时间管理。
3.3.2、系统支持SNMP协议
可以利用现有的通用网管平台如:
HPOpenView,IBMTivoli等,对系统的状态进行监控,实现网络层面的可管理性。
3.3.3、众多报告生成管理
系统支持众多的报告记录,如:
资产管理、活动用户、访问的设备、活动端口、审计跟踪、错误日志、内核报告和ping报告等,这些报告都支持存档和打印。
3.4、方案的可扩充性
由于此方案为集中管理方案,统一界面,统一地址,因此扩充简单,当有管理数量的扩充时,只需要再增加KXII,就可满足需求;
此外,由于此方案已具备了支持电源管理,因此未来如有新功能的需求,只须添加相应的设备就可将新功能无缝接入到现有系统中去。
本系统还支持,TCL(ToolsCommandlanguage)脚本编程引擎,即第三方脚本的开发,可以针对被管理设备作一些定制化的自动执行功能,如设计一段语言程序:
如HP-UNIX主机的CPU利用率大于80%时给管理员发一个邮件告警。
3.5、方案的易用性
3.5.1、多语言操作界面
系统的良好的人机操作界面,用户可定制的国际化语言支持(简/繁体
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 国税 信息中心 机房