|
带外管理简易理解及方案设计
|
|
一、带外网管基本概念,什么是带外管理?
|
|
从技术的角度,网络管理可分为带外管理(out-of-band)和带内管理(in-band)两种管理模式。所谓带内管理,是指网络的管理控制信息与用户网络的承载业务信息通过同一个逻辑信道传送;而在带外管理模式中,网络的管理控制信息与用户网络的承载业务信息在不同的逻辑信道传送。
简单的来说,象Openview、CiscoWorks、Tivoli 这类的网管软件系统都是带内网管,管理系统必须通过网络来管理设备。如果无法通过网络访问被管理对象,带内网管系统就失效了,带外管理系统就排上用场了。就象你家里的固定电话坏了,只能通过手机来报修一样,带外网管是管理系统中的紧急通道。 带外管理系统的构成:串口控制台、KVM控制台、智能电源管理器、服务处理器控制台、带外管理集中管理平台等组成。 串口控制台:连接设备的console口或RS-232串口,通过网络或modem拨号访问串口控制台,就可以直接进入被管理设备的控制接口,即使该设备无法通过网络访问。 KVM控制台:通过KVM OVER IP技术你能从网络的任意地点,通过你的显示器、键盘鼠标来控制远端的服务器。 智能电源管理器:通过智能电源管理器,可以远程开关设备电源。 服务处理器管理器:提供对计算机主板内嵌的服务处理器进行统一、集中访问的功能。上述管理器可独立于主 CPU 运行,确保管理员可以访问、监控和管理服务器的硬件部件。服务处理器管理器还可允许管理员重启服务器,而不论主处理器或操作系统是否运行。智能平台管理界面 (IPMI)、HP Integrated Lights Out (iLO)、Dell DRAC 和 Sun Advanced Lights Out Management (ALOM) 均为成熟的服务处理器技术。
带外管理集中管理平台:是以上所有带外管理设备统一管理平台。 |
|
二、带外管理主要作用
|
|
带外网管能够使用户:减少运营成本、提高运营效率、减少宕机时间、提高服务质量。
带外网管有以下几种主要功能:串口控制台具有所有功能,KVM控制台具备前两种功能。 1、设备紧急访问通道; 2、集中访问控制、分级授权管理; 3、操作日志记录; 4、故障告警。 设备紧急访问通道:所有可以使用命令行进行配置的设备(网络设备、存储设备、unix服务器、linux服务器、win2003服务器、甚至PBX)都有console口或RS-232串口,通过这些管理接口可以直接使用命令控制设备。串口控制台连接到设备console或串口,在任何情况下只要能够通过网络或者拨号方式访问到串口控制台就对设备进行操作。KVM控制台连接到设备的鼠标接口、键盘接口、视频输出接口。KVM OVER IP使用户可以用自己的鼠标、键盘远程控制设备,同时视频输出到用户本地的显示器上。使用串口控制台+KVM组合,可以解决所有设备的非硬件故障。 集中访问控制:由于带外网管提供了访问设备的通道,因此可以把通过网络访问设备(Telnet等方式)方式进行严格限制,可以降低网络安全隐患。比如限定特定的IP地址才可以通过Telnet访问设备。大部分的访问均通过带外管理系统进行,可以把整个IT环境设备的访问统一到带外管理系统。与传统的设备管理各自为政不同,通过带外网管可以很容易做到不同用户名登录对应不同设备管理权限,一个IT TEAM可以根据各个人员职责不同进行授权。 操作日志记录:通过串口控制台访问设备,所有的命令及结果都会被以文件方式记录下来。这样所有对于设备进行的操作均有迹可寻,这种级别的IT审计对于日后纠正错误操作和发现非法操作有非常大的贡献。尤其是在美国上市的公司要求IT审计的级别非常高,带外网管可以很好的满足这个要求。 故障告警:串口控制台连接设备的console接口时,设备出现故障将会通过console接口发出相应的信息。所有通过console接口发出的告警信息经过过滤后可以发给用户运维人员,作为带内网管告警的补充。 |
|
三、什么样的IT环境需要带外网管
|
|
运维人员和IT设备不在同一个物理地点。这种类型的网络环境包括所有的电信运营商和银行及有分支机构的政府、企业网络。一旦设备故障无法通过网络解决(telnet 、pcanywhere、VNC、RDP等手段),运维人员只能到现场解决问题。这种类型的网络通过带外网管可以大幅提高网络运维效率,同时有效降低运维成本。
运维人员与IT设备在同一地点,IT设备数目很多统一管理面临很大难度。这种类型IT环境包括所有IDC、企业的数据中心(非托管)、互联网公司、游戏运营商。运维TEAM需要面对几百台甚至上万台服务器,对设备的访问控制授权、操作记录均需要借助带外网管来完成。 |
|
四、如何组建带外管理系统
|
|
带外管理系统组网模式主要有两种,一种是为带外网管设备单独组网,另一种带外网管设备和管理的设备放在同一个网络中使用拨号等方式做为备份。第一种组网模式适合对于网络健壮要求较高的电信运营商或金融系统的用户。组网一般采用低带宽的专线模式,如64K的DDN、帧中继等,目前国内的运营商也有用2M传输线路组网的。第二种组网模式,带外网管设备接入到运营网络中,如果网络出现故障,通过拨号访问带外网管设备。
串口控制台有若干个RS232接口(最多64个),通过普通CAT5网线+转换头连接到不同设备的console接口或串口。 KVM控制台上有若干个RJ45的接口,通过CAT5网线与服务器连接,网线服务器端接一个转换头。转换头带有鼠标接头和键盘接头、视频接头与服务器相连,用户通过访问KVM控制台就可以控制相应的设备。 智能电源管理器上有直流或交流电源接口与设备的电源插头连接。智能电源管理器的console接口与串口控制台连接。通过串口控制台控制智能电源管理器的任何一个电源单元的开关。 |
|
五、路由器+八爪鱼能代替串口控制台吗?
|
|
熟悉Cisco人的都知道,一般的Cisco Lab里面都用2509或2511连接router的console口,通过反向telnet方式来进行带外管理。有一段时间,考CCIE的人多了,很多人自己建lab都买2509,二手市场2509和2511的价格一路飚升。以至于很多人一提带外网管就是使用路由器+八爪鱼进行设备管理。?
路由器+八爪鱼提供了远程访问console接口的通道。但是它也仅能实现这一功能,其它的带外网管的功能它都不能实现。如果仅仅为了实现这一功能,通过modem拨号也可以实现,成本更低。大部分的设备都有异步口,接上modem后,远程拨号就可以访问该设备。 下面看一下串口控制台比路由器+八爪鱼究竟有什么优势。在带外网管的作用一文里介绍了除了设备紧急访问通道外,还有以下三种功能:集中访问控制、分级授权管理,操作日志记录,故障告警。这三种功能路由器和串口卡都不能实现。在安全方面串口控制台也做的更好。串口控制台支持SSHv1、v2可以有效的防止数据泄露。通过串口控制台可以传送SUN break信号,这点路由器和串口卡也做不到。同时通过串口控制台访问设备,支持进行多进程操作,比如两个用户同时对于一个设备操作,或者一个操作一个观看等。 不难看出传统的路由器+八爪鱼是不能代替串口控制台的。 |
|
六、串口控制台与KVM控制台的区别
|
|
串口控制台ACS主要用于命令行(CLI)设备,它是连接设备的Console口或RS-232串口(常见的如路由器、交换机、网络存储设备、Linux Server、Unix Serve、Windows 2003 Server等),通过网络或modem拨号访问串口控制台,就可以直接进入被管理设备的控制接口,即使该设备无法通过网络访问。
KVM控制台主要用于图形工作(GUI)服务器,它通过连接被管设备的显卡、键盘接口和鼠标接口,将信号传输至本地,通过本地的显示器、键盘和鼠标来控制远端的服务器(一般用于Windows NT Server、Linux Server、Unix Server、Sun Server等)。KVM控制台分为数字的KVM over IP服务器和模拟的本地使用KVM控制台。
|
