2022年某单位网络带外管理技术方案 .pdf

某单位网络带外管理方案一、某单位网络管理现状随着我单位信息化建设的改革和发展，现在我单位的各项政务和业务工作都离不开信息系统。计算机网络是承载信息系统的基础设施，经过多年的建设，我单位的计算机网络以SDH 数字专线和光纤线路为主要传输手段，已经延伸到8 个办事处，涵盖 20 多个业务现场。每个业务现场都设置了网络机房用于线路汇聚和集中安装各种通信网络设备，包括路由器、交换机、有线通讯设备等。在发展中，因我单位业务发展和基于安全性的需求，我单位的计算机网络发展成物理隔离的 4 个子网络，分别命名为业务运行网、业务管理网、对外业务专网、单位内部互联网，这使得各个机房内网络设备的数量大大增加。信息系统的高效稳定运行对于我单位业务至关重要，网络运维成为技术处系统维护科日常工作的重要组成部分。目前，我单位虽然部署了网络监控运维系统，但是网络运维和故障处理还是离不开网络管理员的人工操作。在网络运维日常工作中，网络管理员一般是在同一网络里的客户机通过telnet （或 SSH ）程序远程连接到目标设备进行网络维护操作，如果网络出现故障，上述连接就不能成功，网络管理员唯有带上笔记本电脑等工具乘坐“急救车”亲临网络机房查看目标设备，诊断问题并最终恢复网络连接。二、建设带外管理的必要性及可行性目前我单位现有的网络维护手段相对单一，而且存在较大的缺名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 6 页 - - - - - - - - - 点。telnet （或 SSH ）远程连接方式是基于网络正常运行为前提，网络管理员只能做一些参数查看、监控的工作。当网络连接出现故障时，远程连接方式就无能为力，网络管理员只好担当“救火队员”亲临网络故障现场处理。即使是从网络中心到最近的业务现场，单向车程也需要 30 分钟左右，这样的处理方式，不仅不能保证网络故障处理的时效性，而且耗费了宝贵的用车资源。为了缓解人力物力有限而网络维护工作日益复杂，对网络恢复时效要求越来越高的矛盾，增加网络管理途径的需要也显得越来越重要。带外管理是成熟、稳定的技术手段，已成为业界标准的网络管理方式，是我单位现有网络管理手段最佳的选择和最有效的补充。三、某单位带外管理设计方案网络管理可分为带内管理（in-bandmanagement）和带外管理（out-of-bandmanagement ）两种管理模式。在带內管理方式下，管理控制信息与数据信息使用同一物理通道进行传送。带外管理的核心理念在于通过不同的物理通道传送管理控制信息和数据信息，两者完全独立、互不影响。当网络出现故障，带内管理不能发挥作用时，带外管理为管理员提供了访问网络故障设备的后备通道。串口控制台服务器（ consoleserver ）是实现网络设备带外管理系统的设备。通常每个网络设备都配有一个用于本地连接管理的console 口（属于 EIA/TIA-232 串行接口通信规范） ，每个串口服务器配有多个串行口用于连接目标设备的console 接口、另外配有一个或者两个以太网口用于连接TCP/IP 网络，为网络设备的console名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 6 页 - - - - - - - - - 口到 TCP/IP 之间完成数据转换的通讯。网络管理员可以通过TCP/IP 网络里的客户端直接连接到控制台服务器（连接方式有Telnet 、SSH 、拨号、 WEB 浏览器等） ，再管理各个串行口连接的网络设备，可以大大减少亲临故障现场的次数。下图是一个控制台服务器与被管理设备的连接图示。在我单位现有的网络结构下对网络设备进行带外管理，无需改动现有的网络结构，只需要在每个现场机房配置一台控制台服务器、用于带外管理的 TCP/IP 网络。在各个机房里每个子网大约有一台主要的网络设备，总数量一般不超过8 台，所以每个机房配置一台8个串口的控制台服务器即可实现对各个子网络的带外管理。重新布设一个网络不符合资源整合的设计理念，而相对其它子网络，“单位内部互联网”客户端最少，网络负载最小，所以本方案拟将各现场机房的控制台服务器的以太网口连接到“单位内部互联网”，每个控制台服务器设置一个“单位内部互联网”IP 地址，网络管理员通过“单位内部互联网”内的一台客户端进行管理验操作。为了增加网络管理员快速响应速度和工作方便性，本方案使用便携式计算机作名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 6 页 - - - - - - - - - 本方案所需的资源清单本设计方案安全性分析：为管理客户端，下图中本设计方案的连接图示。某单位配置网络机房的业务现场包括21 业务现场，此方案拟购置 22 台控制台服务器，配备多余一台用于应急后备。控制台服务器与互联网不能互访，我单位的“单位内部互联网”使用公用的私有IP 地址通过代理服务器统一出口，还部署了互联网用户审计监控系统，所以虽然控制台服务器接入到“单位内部互联网”，但控制台服务器与互联网用户不能互访，保证系统安全。资源名称数量8 串行口控制台服务器22台“单位内部互联网” IP 地址21个名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页，共 6 页 - - - - - - - - - 连接到控制台服务器串行口的被管理设备之间不能互访。控制台服务器本身的各个串行接口是相互独立的，不能互通，虽然各个网络设备通过 console 口连接到控制台服务器的串行接口，这种接口一般传输速率只有是9600b/s ，是 100Mb以太网网接口的1/10000，这条连接只传输对被管理设备的控制管理信息，不会发生串网的情况，保证了被管理设备之间不能互访。被管理设备传输的信息不能传输到带外管理的网络（即“单位内部互联网”），原理同上，“单位内部互联网”内的客户端能访问控制台服务器，与被管理设备之间只和传输控制信息，不能获得设备传输的数据信息。通过上述分析得知，本设计方案操作简易、可扩展性好，符合安全性的要求。四、设备选型经过资料查询和产品信息比较，本方案选择美国AVOCENT公司的 Cyclades ACS5008串口控制台服务器。美国 AVOCENT公司是目前全球最大的带外管理系统制造商及数据中心（ IDC）管理解决方案提供商。据IDC统计， AVOCENT在带外管理设备的市场占有率超过50% 。Cyclades ACS5008 控制台服务器是1U 标准机柜支架空间的设备，提供了 8 串行端口， 1 个以太网接口，最大限度地提高网络和服务器的可用率，同时提供出色的可扩展性和成本效益。安全性方面， CycladesACS 5008通过使用SSH v2、RADIUS名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页，共 6 页 - - - - - - - - - 身份验证、 IP 过滤和每个端口的用户访问列表等安全功能，数据中心管理人员和系统管理员可以更安全可靠地远程管理网络。经过一段时间试用，此设备配置简单、使用方便、安全性高，符合我单位带外管理的需求，选择为本方案的控制台服务器。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页，共 6 页 - - - - - - - - -