帶外管理簡易理解及方案設計
|
一、帶外網管基本概念,什么是帶外管理?
|
從技術的角度,網絡管理可分為帶外管理(out-of-band)和帶內管理(in-band)兩種管理模式。所謂帶內管理,是指網絡的管理控制信息與用戶網絡的承載業務信息通過同一個邏輯信道傳送;而在帶外管理模式中,網絡的管理控制信息與用戶網絡的承載業務信息在不同的邏輯信道傳送。
簡單的來說,象Openview、CiscoWorks、Tivoli 這類的網管軟件系統都是帶內網管,管理系統必須通過網絡來管理設備。如果無法通過網絡訪問被管理對象,帶內網管系統就失效了,帶外管理系統就排上用場了。就象你家里的固定電話壞了,只能通過手機來報修一樣,帶外網管是管理系統中的緊急通道。 帶外管理系統的構成:串口控制臺、KVM控制臺、智能電源管理器、服務處理器控制臺、帶外管理集中管理平臺等組成。 串口控制臺:連接設備的console口或RS-232串口,通過網絡或modem撥號訪問串口控制臺,就可以直接進入被管理設備的控制接口,即使該設備無法通過網絡訪問。 KVM控制臺:通過KVM OVER IP技術你能從網絡的任意地點,通過你的顯示器、鍵盤鼠標來控制遠端的服務器。 智能電源管理器:通過智能電源管理器,可以遠程開關設備電源。 服務處理器管理器:提供對計算機主板內嵌的服務處理器進行統一、集中訪問的功能。上述管理器可獨立于主 CPU 運行,確保管理員可以訪問、監控和管理服務器的硬件部件。服務處理器管理器還可允許管理員重啟服務器,而不論主處理器或操作系統是否運行。智能平臺管理界面 (IPMI)、HP Integrated Lights Out (iLO)、Dell DRAC 和 Sun Advanced Lights Out Management (ALOM) 均為成熟的服務處理器技術。
帶外管理集中管理平臺:是以上所有帶外管理設備統一管理平臺。 |
二、帶外管理主要作用
|
帶外網管能夠使用戶:減少運營成本、提高運營效率、減少宕機時間、提高服務質量。
帶外網管有以下幾種主要功能:串口控制臺具有所有功能,KVM控制臺具備前兩種功能。 1、設備緊急訪問通道; 2、集中訪問控制、分級授權管理; 3、操作日志記錄; 4、故障告警。 設備緊急訪問通道:所有可以使用命令行進行配置的設備(網絡設備、存儲設備、unix服務器、linux服務器、win2003服務器、甚至PBX)都有console口或RS-232串口,通過這些管理接口可以直接使用命令控制設備。串口控制臺連接到設備console或串口,在任何情況下只要能夠通過網絡或者撥號方式訪問到串口控制臺就對設備進行操作。KVM控制臺連接到設備的鼠標接口、鍵盤接口、視頻輸出接口。KVM OVER IP使用戶可以用自己的鼠標、鍵盤遠程控制設備,同時視頻輸出到用戶本地的顯示器上。使用串口控制臺+KVM組合,可以解決所有設備的非硬件故障。 集中訪問控制:由于帶外網管提供了訪問設備的通道,因此可以把通過網絡訪問設備(Telnet等方式)方式進行嚴格限制,可以降低網絡安全隱患。比如限定特定的IP地址才可以通過Telnet訪問設備。大部分的訪問均通過帶外管理系統進行,可以把整個IT環境設備的訪問統一到帶外管理系統。與傳統的設備管理各自為政不同,通過帶外網管可以很容易做到不同用戶名登錄對應不同設備管理權限,一個IT TEAM可以根據各個人員職責不同進行授權。 操作日志記錄:通過串口控制臺訪問設備,所有的命令及結果都會被以文件方式記錄下來。這樣所有對于設備進行的操作均有跡可尋,這種級別的IT審計對于日后糾正錯誤操作和發現非法操作有非常大的貢獻。尤其是在美國上市的公司要求IT審計的級別非常高,帶外網管可以很好的滿足這個要求。 故障告警:串口控制臺連接設備的console接口時,設備出現故障將會通過console接口發出相應的信息。所有通過console接口發出的告警信息經過過濾后可以發給用戶運維人員,作為帶內網管告警的補充。 |
三、什么樣的IT環境需要帶外網管
|
運維人員和IT設備不在同一個物理地點。這種類型的網絡環境包括所有的電信運營商和銀行及有分支機構的政府、企業網絡。一旦設備故障無法通過網絡解決(telnet 、pcanywhere、VNC、RDP等手段),運維人員只能到現場解決問題。這種類型的網絡通過帶外網管可以大幅提高網絡運維效率,同時有效降低運維成本。
運維人員與IT設備在同一地點,IT設備數目很多統一管理面臨很大難度。這種類型IT環境包括所有IDC、企業的數據中心(非托管)、互聯網公司、游戲運營商。運維TEAM需要面對幾百臺甚至上萬臺服務器,對設備的訪問控制授權、操作記錄均需要借助帶外網管來完成。 |
四、如何組建帶外管理系統
|
帶外管理系統組網模式主要有兩種,一種是為帶外網管設備單獨組網,另一種帶外網管設備和管理的設備放在同一個網絡中使用撥號等方式做為備份。第一種組網模式適合對于網絡健壯要求較高的電信運營商或金融系統的用戶。組網一般采用低帶寬的專線模式,如64K的DDN、幀中繼等,目前國內的運營商也有用2M傳輸線路組網的。第二種組網模式,帶外網管設備接入到運營網絡中,如果網絡出現故障,通過撥號訪問帶外網管設備。
串口控制臺有若干個RS232接口(最多64個),通過普通CAT5網線+轉換頭連接到不同設備的console接口或串口。 KVM控制臺上有若干個RJ45的接口,通過CAT5網線與服務器連接,網線服務器端接一個轉換頭。轉換頭帶有鼠標接頭和鍵盤接頭、視頻接頭與服務器相連,用戶通過訪問KVM控制臺就可以控制相應的設備。 智能電源管理器上有直流或交流電源接口與設備的電源插頭連接。智能電源管理器的console接口與串口控制臺連接。通過串口控制臺控制智能電源管理器的任何一個電源單元的開關。 |
五、路由器+八爪魚能代替串口控制臺嗎?
|
熟悉Cisco人的都知道,一般的Cisco Lab里面都用2509或2511連接router的console口,通過反向telnet方式來進行帶外管理。有一段時間,考CCIE的人多了,很多人自己建lab都買2509,二手市場2509和2511的價格一路飚升。以至于很多人一提帶外網管就是使用路由器+八爪魚進行設備管理。?
路由器+八爪魚提供了遠程訪問console接口的通道。但是它也僅能實現這一功能,其它的帶外網管的功能它都不能實現。如果僅僅為了實現這一功能,通過modem撥號也可以實現,成本更低。大部分的設備都有異步口,接上modem后,遠程撥號就可以訪問該設備。 下面看一下串口控制臺比路由器+八爪魚究竟有什么優勢。在帶外網管的作用一文里介紹了除了設備緊急訪問通道外,還有以下三種功能:集中訪問控制、分級授權管理,操作日志記錄,故障告警。這三種功能路由器和串口卡都不能實現。在安全方面串口控制臺也做的更好。串口控制臺支持SSHv1、v2可以有效的防止數據泄露。通過串口控制臺可以傳送SUN break信號,這點路由器和串口卡也做不到。同時通過串口控制臺訪問設備,支持進行多進程操作,比如兩個用戶同時對于一個設備操作,或者一個操作一個觀看等。 不難看出傳統的路由器+八爪魚是不能代替串口控制臺的。 |
六、串口控制臺與KVM控制臺的區別
|
串口控制臺ACS主要用于命令行(CLI)設備,它是連接設備的Console口或RS-232串口(常見的如路由器、交換機、網絡存儲設備、Linux Server、Unix Serve、Windows 2003 Server等),通過網絡或modem撥號訪問串口控制臺,就可以直接進入被管理設備的控制接口,即使該設備無法通過網絡訪問。
KVM控制臺主要用于圖形工作(GUI)服務器,它通過連接被管設備的顯卡、鍵盤接口和鼠標接口,將信號傳輸至本地,通過本地的顯示器、鍵盤和鼠標來控制遠端的服務器(一般用于Windows NT Server、Linux Server、Unix Server、Sun Server等)。KVM控制臺分為數字的KVM over IP服務器和模擬的本地使用KVM控制臺。
|