数据灾备中心机房KVM监控管理系统投标文件

第 1 页人保南方数据灾备中心机房人保南方数据灾备中心机房KVMKVM 监控管理系统监控管理系统投标文件投标文件第 2 页目目 录录1技术规范书要求技术规范书要求.32对技术规范书的应答对技术规范书的应答.33总体方案建议总体方案建议.93.1建设目标 .93.2设计方案 .103.2.1系统拓扑图.103.2.2方案连接方式.113.3设备配置清单 .123.4解决方案特性说明 .133.4.1整体解决方案的合理性、可行性.133.4.2应用方案安全、严密、具有一定的前瞻性.153.4.2.1解决方案的安全性.153.4.2.2解决方案的前瞻性.153.4.2.3对刀片服务器系统的支持.163.4.2.4对虚拟服务器系统（VMWare）的支持.173.4.2.5对桌面管理系统 LANDesk 的支持.183.4.2.6解决方案的合理安排.193.4.2.7解决方案的高可操作性.194投标设备说明投标设备说明.214.1DSR8035 KVM 交换机.214.2DSR8030 KVM 交换机.244.3MP5300 服务器管理器网关.274.4安全审核服务器 .304.5DSVIEW集中控管平台.324.6设备连接示意图 .35第 3 页1 技术规范书要求技术规范书要求本技术规范书是人保灾备机房 KVM 监控管理系统技术规范书，并作为人保（以下简称买方）向提供机房 KVM 监控管理系统设备的公司（以下简称卖方）提出的工程技术要求及数据，本技术规范书应结合人保网络本身的特点和业务发展的实际情况，从管理范围、建设规模、网络结构、功能要求、性能要求、接口要求等方面对机房 KVM 监控管理系统进行规范性的描述。本规范的制定依据为以下国际标准和电总的相关规范： 1) YD/T695-2004 市话通信系统过电压过电流防护原则及技术要求；2) YD/T1051-2000 通信局（站）电源系统总技术要求；3) GF002-9002.4 邮电部电话交换设备总技术规范书。4) YD/T1478-2006 电信管理网安全技术要求。2 对技术规范书的应答对技术规范书的应答指标项指标要求投标要求是否满足基本功能基本功能管理员及用户数KVM 管理方式为集中管理，应考虑到使用用户数，能满足用户随时控制其权限内服务器。本次投标的 Avocent 集中控管系统 KVM 管理方式为集中管理，使用用户数等，能满足用户随时控制其权限内服务器。满足访问通道数KVM 设备的访问通道数是该设备一个最重要的指标，它标示着设备的科技含量、易用性、访问弹性及运维的快速处理，为达到较好的性能，单台设备并发通道一定不少于 8 个。本次投标的 KVM 设备 DSR8035的访问通道数是该设备一个最重要的指标，它标示着设备的科技含量、易用性、访问弹性及运维的快速处理，为达到较好的性能，单台设备并发通道一定不少于 8 个。满足第 4 页指标项指标要求投标要求是否满足安全性问题安全问题包括输出数据的安全及用户帐号的安全，要求用户验证符合 128SSL、RSA 动态令牌、U-KEY 等方式和协议。要求 KVM 系统的集中管理系统具备 4 台并发工作能力，及易维护性。安全问题包括输出数据的安全及用户帐号的安全，本次投标的 DSView 集中控管平台要求用户验证符合 128SSL、RSA 动态令牌、U-KEY 等方式和协议，具备 4 台并发工作能力，及易维护性。满足连接方式采用 CAT5 连接，也可延伸为KVM 设备与 KVM 设备之间的级联，要求 KVM 设备级联之后能实现一站式管理，能通过桌面远程管理服务器 。本次投标的 Avocent 集中控管系统采用 CAT5 连接，也可延伸为 KVM 设备与 KVM 设备之间的级联，KVM 设备级联之后能实现一站式管理，并能通过桌面远程管理服务器 。满足操作管理功能可分为按钮切换、热键切换、菜单切换、点击选择等，而且可以设置多个管理员和普通用户帐号，实现设备专人专用、专人管理。本次投标的 Avocent 的设备可使用按钮切换、热键切换、菜单切换、点击选择等，而且可以设置多个管理员和普通用户帐号，实现设备专人专用、专人管理。满足产品成熟性要求具有三年以上通过市场验证的产品。本次投标的 Avocent 集中控管系统要求具有三年以上通过市场验证的产品。满足主机硬件兼容性系统具有良好的兼容性，能支持多种硬件接口平台（包括 PS/2、USB、SUN 以及Console 口接口类型等）。本次投标的 Avocent 集中控管系统具有良好的兼容性，能支持多种硬件接口平台（包括PS/2、USB、SUN 以及 Console口接口类型等）。满足操作系统支持多种主流操作系统，如本次投标的 Avocent 集中控管满足第 5 页指标项指标要求投标要求是否满足兼容性Windows 2000 Server、Windows 2003 Server、UNIX、Linux、AIX、Solaris 等。系统支持多种主流操作系统，如 Windows 2000 Server、Windows 2003 Server、UNIX、Linux、AIX、Solaris 等。组网及操作范围采用数字信号，系统以 IP 方式组网，用户可以不受地域制约进行全域操作。要求系统可以实现 BIOS 诊断及系统重启动等深层次功能。本次投标的 Avocent 集中控管系统采用数字信号，系统以 IP方式组网，用户可以不受地域制约进行全域操作。要求系统可以实现 BIOS 诊断及系统重启动等深层次功能。满足认证系统1）集中认证管理平台同KVM 产品为同一品牌的产品，本次要求集中管理系统应包含 4 台（每楼层 1 台）的并发工作的系统服务器，每台都可以提供整个系统得认证授权及访问服务。2）系统支持自定义企业图标和系统当日消息，方便用户实现个性化管理。本次投标的 DSView 集中控管平台与 KVM 产品为同一品牌的产品。本次投标的 DSView 集中控管平台服务器为 4 台（每楼层1 台）并发工作的系统服务器，且每台都可以提供整个系统得认证授权及访问服务。DSView 系统支持自定义企业图标和系统当日消息，方便用户实现个性化管理。满足KVM 设备1）单台数字式 KVM 切换设备具备远程 IP 并发数8，单台设备可管理通道数16。2）KVM 设备在支持集中远程管理的同时，提供本地1）本次投标的单台数字式KVM 切换设备DSR8035、DSR8030 具备远程 IP并发数=8，单台设备可管理通道数16。2）本次投标的 KVM 设备满足第 6 页指标项指标要求投标要求是否满足管理方式，以便在网络出现问题时，保证本地正常的操作。DSR8035、DSR8030 在支持集中远程管理的同时，提供本地管理方式，以便在网络出现问题时，保证本地正常的操作。虚拟媒体支持虚拟媒体技术，可将管理者终端的 U 盘、CDROM、ISO 等媒体虚拟到远程服务器，快速完成文件的传递，系统的升级等操作。为保证虚拟媒体的安全性，虚拟媒体的读写及访问权限应由集中管理平台控制。并实现交互式读写操作。本次投标的 DSView 集中控管平台支持虚拟媒体技术，可将管理者终端的 U 盘、CDROM、ISO 等媒体虚拟到远程服务器，快速完成文件的传递，系统的升级等操作。本次投标的 DSView 集中控管平台为保证虚拟媒体的安全性，虚拟媒体的读写及访问权限由 DSView 集中管理平台控制。并实现交互式读写操作。满足安全性安全性访问审计所有服务器操作都要通过集中控管平台进行，通过此平台的所有操作必须进行安全审核记录。每楼层与认证控管服务器一起配置安全审核服务器一台。通过安全审核服务器，记录用户通过集中控管平台操作服务器的全程屏幕，要求在访问控制端不能安装任何客户端软件。所有服务器操作都将通过本次投标的 DSView 集中控管平台进行，通过此平台的所有操作都会进行安全审核记录。每楼层与认证控管服务器一起配置 DRA 安全审核服务器一台。通过 DRA 安全审核服务器，记录用户通过集中控管平台操作服务器的全程屏幕，在访问控制端不需要安装任何客户端软件。满足第 7 页指标项指标要求投标要求是否满足系统日志集中认证管理平台可提供有关日志和报表以利于管理和决策，以保证对 KVM 系统的审计。本次投标的 DSView 集中控管平台可提供有关日志和报表以利于管理和决策，以保证对KVM 系统的审计。满足安全认证1）控管平台应具有内部认证，并支持多种外部认证系统：RADIUS、LDAP、NT Domain、Active Directory、TACACS+必须支持 RSA 双因素的令牌认证，保证高度的安全策略一致性。2）系统要求必须支持X.509(U-KEY)认证。本次投标的 DSView 集中控管平台应具有内部认证，并支持多种外部认证系统：RADIUS、LDAP、NT Domain、Active Directory、TACACS+必须支持RSA 双因素的令牌认证，保证高度的安全策略一致性。本次投标的 DSView 集中控管平台要求必须支持 X.509(U-KEY)认证。满足增强型密码的设置可自定义密码最大和最小长度，可自定义设定密码可含有的字符种类，可自定义设定密码过期时间等。本次投标的 DSView 集中控管平台可自定义密码最大和最小长度，可自定义设定密码可含有的字符种类，可自定义设定密码过期时间等。满足ACL（访问控制列表）功能所有设备必须支持ACL（访问控制列表）功能，要求提供 ACL 与用户组捆绑功能。本次投标的所有设备支持ACL（访问控制列表）功能，通过本次投标的 DSView 集中控管平台可提供 ACL 与用户组捆绑功能。满足网管协议1）系统硬件支持 SNMP协议，可以纳入网管系统统一管理（例如：OPENVIEW）。本次投标的 KVM 设备DSR8035、DSR8030 系统硬件支持 SNMP 协议，可以纳入网管系满足第 8 页指标项指标要求投标要求是否满足2）系统整合带内访问软件 RDP, VNC ,SSH 等。统统一管理（例如：OPENVIEW）。本次投标的 DSView 集中控管平台整合带内访问软件 RDP, VNC ,SSH 等。可管理性可管理性提供虚拟域管理模式支持分域的管理方式。在集中管理平台中将设备和用户等资源划分到不同子域（部门），每个子域（部门）设立管理员，对自己所在区域的 IT 设备进行增删和管理指派，实现以区域（部门）的自治运维管理。本次投标的 DSView 集中控管平台支持分域的管理方式。在集中管理平台中将设备和用户等资源划分到不同子域（部门），每个子域（部门）设立管理员，对自己所在区域的 IT设备进行增删和管理指派，实现以区域（部门）的自治运维管理。满足KVM 设备可独立工作当 KVM 集中认证管理平台不可用的情况下, 单台KVM 设备仍能独立安全运作,通过认证后有关人员可通过操作终端与机房内 KVM 设备的直连，单台 KVM 设备支持日志与虚拟媒体功能。当本次投标的 DSView 集中控管平台不可用的情况下, 单台 KVM 设备 DSR8035、DSR8030仍能独立安全运作,通过认证后有关人员可通过操作终端与机房内 KVM 设备的直连，单台KVM 设备 DSR8035、DSR8030 支持日志与虚拟媒体功能。满足辅助远程控制对服务器系统IBM（RSA2）、HP（ILO）、DELL（DRAC）远程控制卡进行管理通过本次投标的 MP5300 对服务器系统 IBM（RSA2）、HP（ILO）、DELL（DRAC）远程控制卡进行管理。满足第 9 页指标项指标要求投标要求是否满足服务器监控通过服务器内部的服务处理器管理服务器电源，并通过 IPMI，监控服务器内部温度，工作电压，风扇转速等通过本次投标的 MP5300，服务器内部的服务处理器管理服务器电源，并通过 IPMI，监控服务器内部温度，工作电压，风扇转速等满足告警可对监控内容（温度、电压、转速等）参数设置阀值，进行告警，包括邮件、SNMP 等方式通过本次投标的 MP5300，可对监控内容（温度、电压、转速等）参数设置阀值，进行告警，包括邮件、SNMP 等方式满足扩展性扩展性系统扩展在任何时候，无论是增加要被管理的设备数量还是增加用户终端数，均可以通过线性增加或改变相应的设备实现(热插拔)，不改变原系统结构，不影响系统的正常工作。本次投标的 DSView 集中控管平台在任何时候，无论是增加要被管理的设备数量还是增加用户终端数，均可以通过线性增加或改变相应的设备实现(热插拔)，不改变原系统结构，不影响系统的正常工作。满足3 总体方案建议总体方案建议3.1 建设目标建设目标在“人保灾备机房 KVM 监控管理系统技术规范书”中，人保信息中心机房内有众多的服务器、网络设备需要统一的集中远程控管。要求所有可控节点必须通过 TCP/IP 方式访问。对于所有的用户需要具备权限划分，可以通过权限的控制逐级对可控节点进行级别的访问。机房的众多服务器需在一个平台上得到统一管理，以解决因大量设备分散分布所带来的管理不便，免除众多不必要的外围设备而节省大量空间，从而更有效地保障整体机房的正常运营。此外由第 10 页于采用了 TCP/IP 的传输方式，在主控端和被控服务器端不用加载任何的附加软件，有效防止单一接点出现故障影响维护和操作事件发生，达到远程的故障诊断、故障排除、技术远程支援等目的，提高运维效率、节约人力资源成本。3.2 设计方案设计方案3.2.1 系统拓扑图系统拓扑图第 11 页 3.2.2 方案连接方式方案连接方式考虑到人保灾备机房 NOC 中心这次需要接入管理设备的具体情况，对所有服务器（包括 PC 服务器、网络交换机、路由器、小型机、）进行集中统一管理；提供多个并发 IP 操作用户通过 TCP/IP 同时操作访问机房内所有 PC 服务器、主机终端、小型机（Console 口）；针对 KVM 管理方式，DSR8035 数字交换机还可以提供 1 个本地操作终端方便管理用户进入机房在机架旁操作管理第 12 页其所连接的被控服务器，且 DSR8035KVM 交换机提供 VM 功能，满足日常维护打补丁等传输数据；由集中控制管理平台 DSView 实现统一用户认证及访问权限设置，除集中控制管理平台内部认证外，还支持 Active Directory、Windows NT、LDAP、RADIUS、TACACS+、RSA SecurID 外部认证系统；由集中控制管理平台 DSView 实现系统统一日志管理，功能包括：保存、查询、索引、归档，日志内容包括访问日志审计、事件日志审计、数据日志审计、告警机制；方案连接实现：方案连接实现：针对 DSR 系列数字交换机对服务器的 KVM 接口进行管理时，我们只需要在每台服务器的键盘、鼠标、显示器接口都直接连接一根 DSRIQ 服务器接口线缆攫取键盘、鼠标、显示器信号，DSRIQ 服务器接口线缆再通过普通五类线线（标准 568B）连接到 DSR 系列数字交换机的被控主机端口，DSR 系列的本地控制端可以直接连接一套 PS/2 或USB 接口类型的键盘、鼠标和显示器提供管理用户进入机房在机架旁操作管理其所连接的服务器；DSR 系列数字交换机的网络端口通过普通五类线连接到网络交换机，提供远程管理用户通过 TCP/IP 操作管理。远程 IP 操作用户只需要在 IE 浏览器内输入 DSView HUB 中心认证服务器或 Spoke 分支服务器的 IP 地址经过权限认证后即可对机房内的所有的 PC 服务器、主机终端、存储设备、小型机（KVM 或 Console 口）和网络设备（Console 口）进行集中统一管理。不同的 IP 用户都通过开放式的 Web 浏览器只需鼠标点击即可访问到机房内相应的设备，通过简单的用户分组和权限设置第 13 页后不同部门的操作用户根据各自权限的不同可以访问各自不同部门的设备，每个操作用户不但可以在自己的屏幕上打开操作一台服务器画面，还可以打开多个服务器的界面轮流进行操作或监视不同设备的运行状态。实现最小化访问权限控制。实现从单点技术管理、普通系统管理、区域本地管理过渡到全面集中管理、安全系统管理和远程控制管理。3.3 设备配置清单设备配置清单型号型号产品描述产品描述数量数量DSR80358 数字通道，1 本地用户(带 modem 口），32 接口，机架式，CAT530DSR80308 数字通道，1 本地用户(带 modem 口），16 接口，机架式，CAT515DSRIQ-USB2服务器接口线缆，USB 键盘/鼠标1200DRA安全审核服务器4MP5300服务器管理器网关2DSV3集中控管平台服务器43.4 解决方案特性说明解决方案特性说明3.4.1 整体解决方案的合理性、可行性整体解决方案的合理性、可行性本投标方案将人保公司这次工程所需连接的生产运行服务器、网络设备实现了远程集中管理，通过 IP 方式进行集中管控，IP 集中管控的总数量为 1200台。控管平台沿用原 NOC 的集中控管平台，保证投资回报的最大化和可延续性。统一设备管理Avocent 公司的 DSView 是带外管理架构（OOBITM）统一的管理工具，可以第 14 页集中管理所有带外访问设备，如 ACS、DSR、电源管理、IPMI、ILO、RSA 的新型接口的管理和 IBM blade server 等新机型的管理同样纳入统一平台下，实现在同一平台下的全方位的集中带外管理。DSView 采用 B/S 方式，在统一的管理界面中，可实现：带外管理架构的组成和变更带外访问设备的配置、监测、升级和维护对控管设备各端口所连接设备进行设置，包括名称、隶属部门、维护人员、联系方式等信息对所管理设备的直接管理统一安全管理 系统提供统一的安全管理措施，具体包括：身份认证系统支持本地身份认证及第三方服务器认证，如RADIUS，TACACS+，NT 域 LDAP，RSA SecurID，等认证技术，且支持动态口令认证方式IP 过滤系统提供内嵌 IP 过滤技术，对来自于 LAN/WAN 的登陆进行 IP 过滤，并提供 Proxy 功能,使得 DSR8035 等设备的 IP 地址隐藏在后台数据加密传输系统对 KVM 信息全部采用 DES、3DES（128 位）、SSL 或 AES 算法进行加密传输权限管理系统可根据用户的角色不同，进行用户权限设置、修改统一用户管理在 DSView 上实现系统的统一用户管理，避免在 DSR 上分别建立多套用户管理系统，降低管理复杂度。统一的用户管理具体表现在：统一的用户登陆界面统一的用户创建、变更、删除管理统一的用户组管理统一的用户权限管理，支持共享、独占、隐身操作模式第 15 页端口视图：依据用户的权限，显示其所管理端口的视图。统一事件管理在 DSView 实现系统的统一事件管理。事件管理内容包括：事件定义：按照关键字进行事件定义事件侦测：在端口日志中，按照事件定义，自动监测事件发生事件记录：在数据库中，记录事件的发生时间、关联设备、事件内容事件通知：根据用户权限分配，以特定形式发送到相关用户事件跟踪：相关人员可以记录对事件的处理方式和结果统一日志管理在 DSView 实现系统统一日志管理，功能包括：保存、查询、索引、归档：访问日志访问日志主要用于记录监控人员或网管人员对网络设备和服务器的访问情况，包括了访问时间、访问端口、访问用户名、访问源 IP 地址。访问日志以表格方式记录在 DSView 的数据库中备份管理系统提供完备的备份管理，具体包括：冗余备份：DSView 最多支持 15 个备份，可以避免 DSView 的单点故障配置备份：DSR8035 和 DSView 的配置信息可以备份和恢复链路备份：在网络崩溃时通过安全的拨号连接，建立到 DSR8035 的连接3.4.2 应用方案安全、严密、具有一定的前瞻性应用方案安全、严密、具有一定的前瞻性3.4.2.1解决方案的安全性解决方案的安全性安全管理功能强大，用户密码登陆及身份认证技术，保障系统安全性。用户、用户组管理和权限管理，将管理级别进一步细划，提高了管理的效率。每个端口的用户权限控制技术和用户登录的视图技术，保证用户管理设备的方便和安全。所有服务器键盘、鼠标、视频信号均经过 128 位加密处理。第 16 页提供 IP 过滤功能，保证合法的 IP 地址才能访问。支持本地身份认证及第三方服务器认证，如 Active Directory 外部认证服务、Windows NT 外部认证服务、LDAP 外部认证服务、RADIUS 外部认证服务、TACACS+ 外部认证服务、RSA SecurID 外部认证等。3.4.2.2解决方案的前瞻性解决方案的前瞻性Avocent 是企业数据中心、中小型企业和分支机构 IT 基础设施管理解决方案的全球领先供应商，为各行业数万个数据中心提供了数据中心管理解决方案。每年有 14%的销售收入持续不断的投入到新产品的开发和研究，Avocnet 将不断致力于为您的企业提供全面的管理解决方案和优良的服务。集中控管系统是一个以 DSView 为核心的系统，各种控管设备均通过DSView 统一管理为用户提供便捷的机房管理方式。当新的运维管理技术出现后，Avocent 会快速的将其融入 DSView 的集中控管平台下，使 Avocent 的客户的运维手段始终保持世界领先水平。第 17 页3.4.2.3对刀片服务器系统的支持对刀片服务器系统的支持在数据中心部署刀片服务器的好处节省空间-每平方英尺更多的计算能力/服务器。简化的基础设施和线缆-刀片机架供应冗余电源和风扇，减少了对连接不同刀片服务器的外部线缆的需要，具有易于插拔刀片服务器的框架结构。易于扩展-很容易添加更多的刀片服务器。可恢复性。维修效率。动态负载平衡。可管理特性。 Avocent 基础设施管理专用设备与 DSView 3 管理软件配合提供了连接所有刀片服务器的多种方式，不管刀片服务器是由哪家厂商生产的。此外，DSView 3 软件还未提供了访问和管理数据中心中的刀片服务器、机架式服务器或独立服务器以及所有其他网络设备的单一用户界面。支持的刀片系统IBM 刀片机箱：BladeCenter、BladeCenter T、BladeCenter H 和 BladeCenter HTDell 刀片机箱：PowerEdge 1855 和 PowerEdge 1955HP 刀片机箱：BladeSystem c-Class 和 BladeSystem p-Class通用刀片机箱3.4.2.4对虚拟服务器系统（对虚拟服务器系统（VMWare）的支持）的支持许多 IT 机构或多或少的实施了 VMWare 技术，在选定的物理服务器上创建多个虚拟服务器。这种虚拟服务器的广泛使用可以提供诸多的优势-包括降低硬件方面的资本支出、减少能耗和冷却容量方面的需求，以及实现更为灵活的处理容量分配。然而，虚拟技术的引入也给 IT 机构的管理工作带来了许许多多的挑战。这些新的挑战主要应归咎于两个基本原因：1 虚拟服务器的本质与物理服务器不同，因此必须以不同的方式对其实施管第 18 页理，尤其是考虑到目前 VMware 工具不能神的诸多限制，管理工作的挑战就显得更为明显。2 数据中心只实现了部分虚拟化。也就是说，服务器既可能是物理机器，也可能是驻留在物理机器上的多个虚拟机之一。虚拟和物理服务器的混合为管理运营带来了新一层的复杂性。因此，IT 机构必须重新思考新的方法，对这些动态混合程度越来越高的虚拟和物理服务器实施有效的管理。Avocent 帮助客户应对部分虚拟的数据中心环境所带来的管理挑战。发现 Virtual Centers、VMware ESX Server 及其支持的虚拟服务器的能力。将这些虚拟服务其包括在目标设备之内。在虚拟机创建、拆除或移动时对目标设备列表进行持续的同步/更新。通过 DSView3 管理控制台以精细的力度管理虚拟服务器访问权的能力，采用与其它目标设备相同的方式，并且在对应的 ESX 服务器上对许可进行自动复制。将虚拟服务器获得的时间和警报收纳于 DSView3 时间日之中，并用于现实和相关的动作。将虚拟服务器上的所有的管理操作捕获到 DSView3 审查日志中。支持的虚拟服务器支持的虚拟服务器VMware VirtualCenter 2.01 版或更高VMware ESX server 3.01 版或更高3.4.2.5对桌面管理系统对桌面管理系统 LANDesk 的支持的支持Avocent 机房集中管理系统与 LANDesk 管理软件的结合是您管理数据中心的生活方式发生变化，实现服务器运营从头痛医头，脚痛医脚管理服务器的反应是的方式向主动与控制的方式的转变即规划和测试、部署和变更一次，然后利用可重复的配置模板部署多次。这种方式带来的一致性和符合性为培置变更可以为可控的和可靠的方式来计划部署打下坚实基础或建立基线。这将导致更高水平的运营效率和安全可靠、符合企业服务器策略的系统。第 19 页LANdesk 的融合通过标准化方式配置服务器，可以在有多种物理和虚拟服务器平台组成的数据中心中管理和部署，实现对异构的环境可以以一种更为一致的方式来管理。“设计一次、部署多次”的方式提供高控制水平，是自动完成服务配置、补丁修补和软件分发等主要操作任务的自动化成为可能。在与 Avocent DSView 3 管理软件配合使用时，LANDesk 扩展为包括一种完全的带外管理解决方案。这种方式通过实现对服务器硬件的“永不间断”的远程访问。进一步完善 LANDesk 管理平台的系统管理功能。对服务器“永不间断”的远程访问是无人值守数据中心的必要条件，它提供了真正的远程管理。3.4.2.6解决方案的合理安排解决方案的合理安排本项目的建设旨在满足“人保灾备机房 KVM 监控管理系统”项目各机房的带外集中管理需求，提供带外管理操作手段，通过先进的软、硬件控管技术，实现服务器、网络设备的日常运维、集中控管和紧急情况下的排错维护。北京昕辰华业科技有限公司将根据人保这次 KVM 系统工程的特殊情况，为“人保灾备机房 KVM 监控管理系统”项目设计一套方案，它将满足服务器远程集中管理的要求、能够高效稳定运行、具有易管理性、安全性和良好的扩展性。集中控管平台沿用原 NOC 的集中控管平台，保证投资回报的最大化和可延续性。北京昕辰华业科技有限公司服从人保的统一协调，在系统集成方案设计、设备供货、工程实施、技术支持与售后服务、运行维护等方面和人保相互配合，第 20 页并严格遵循统一领导、统一规划、统一标准、统一组织的实施原则。北京昕辰华业科技有限公司在本项目中系统集成的目标是通过质量管理，最大程度的规避风险，保证项目的顺利实施，按时、保质完成所有任务，让用户满意。3.4.2.7解决方案的高可操作性解决方案的高可操作性集中控管系统具有良好的可操作性，访问端只要网络连通即可通过 IE 等浏览器工具访问到控管系统。每台控管设备提供一套接口供接本地键盘、鼠标、显示器，使用户在维护时方便的通过本地操作台进行维护。集成方案建议多机房 IT 基础设施集中控制系统互访问题 集中控制系统实现多机房统一化管理，方便集中监控、控制、管理、运维，提高运维效率。各部门和各机房的 IT 基础设施，应当考虑统一设备管理、人员管理、日志管理，在业务系统出现故障时，能够有应急系统和相关方面的专家及时隔离故障和解决系统问题。集中控管系统逻辑划分的实现服务器设备逻辑分组说明首先，按照各服务器设备所属单位部门进行划分。其次，对于每个组别中的各台服务器设备，分别添加各自的标志信息，如：应用类型、设备型号、操作系统、IP 地址、联系人、联系电话等。当用户需要时，还可对以上信息进行导出，保存为.CSV 文件，更方便用户直观地对具体服务器进行各项操作。安全权限设置Avocent 数字解决方案针对应用，设置了 5 层用户安全级别控制方式：I）外部结合认证可通过外部认证系统实施外部验证机制，Avocent 目前支持 AD，NT Domain，Radius，LDAP，Tacacs+，RSA SecurID 六种外部认证系统 ，使得各操作人员仅需牢记一套密码即可对具有管理权限的 KVM 系统及日常生产进行第 21 页同时操作和维护。方便快捷安全高效。II）服务维护人员登录可通过 DSView 系统针对不同用户设置不同等级的用户权限，管理相应的服务器；任一用户在访问终端设备前，必须先通过多冗余设计的认证服务器（Hub 或 Spoke）的严格权限验证（SSPI、AASP 专用安全协议），成功后才能访问到具有相应的终端设备并进行相应权限的操作，此其间所有的鼠标、键盘及视频信号的传输皆采用可选方式的 DES，3DES，128 位 SSL，AES 加密算法，并可结合利用防火墙的端口设置等功能，最大程度地保障了系统的安全性能。III）访问时间短控制结合人保外部认证系统，可指定用户在指定时间访问相应服务器设备，增强了系统的安全完备性。IV）操作权限控制可由 DSView 系统分配给各不同用户不同的用户权限。 V）绑定 IP 控制DSView 具有的强大功能使得系统可指定访问用户的 IP 地址列表，使得仅在此列表中存在的 IP 网段内的访问用户可以访问到 DSView 系统，防止了各种外部无效访问，大大增强了系统的严密性。具体机房改造工作步骤建议对整个数据中心进行改造工作，若没有做好妥善的计划和步骤安排，将会给改造工作带来极大的不便。Avocent 结合多年机房工程的实施经验，先提出具体改造工作步骤建议如下：A.要求每一台主机都必须先行填写相应的“设备信息表”，在此表中，应包含每台主机的应用名称、设备型号、所属单位、负责人及联系方式、IP 地址、操作系统、设备编号、访问对象、设备用途等等；B.由具体签收人员对指定设备进行验机签收；C.由系统管理员按照机房布局图及服务器分布表对每台服务器进行具体位置放置；D.由系统管理员开启新账号，分配相应权限；第 22 页E.将新账号交与具体日常维护管理人员，进行相应操作。F.如上所述，管理员可有条不紊地对各设备进行放置及维护。4 投标设备说明投标设备说明4.1 DSR8035 KVM 交换机交换机32 端口 DSR8035 KVM over IP 交换机提供 8 条同步数字通道用于远程访问和 对数据中心内所有连接的服务器和串行设备进行 BIOS 级的控制。您可以远程重新启动所连接设备的电源，并在网络出现故障时提供外置调制解调器支持。DSR 8035 交换机配备有与 Internet Explorer、Mozilla、Firefox 或 Netscape 兼容的板载 Web 界面，可用于访问和控制基于 IP 的服务器。 这为那些需要可灵活伸缩扩展系统的公司提供了便利。随着系统的扩展，可以使用 DSView 3 管理软件。 通过这个强大的集中化管理工具，您仅需一个单一界面即可以安全方式访问和控制服务器和网络设备。其中心和分支架构可以提供故障转移验证。用户接受中央管理服务器（中心）或 15 个镜像服务器（分支）中的一个服务器的验证。另外还提供 SNMP 和 IPMI 支持。DSView 3 软件也可将虚拟媒体功能添加至 DSR8035 交换机。虚拟媒体功能允许远程加载软件，以便于进行文件传输、应用程序和操作系统补丁安装以第 23 页及诊断测试。 特性与优点特性与优点特性特性优点优点用户用户远程服务器管理32 端口 DSR8035 KVM over IP 交换机， 1 个本地用户，8 个数字用户， 可以进行本地和远程服务器管理。32 端口紧凑型结构，节省了硬件和机架空间，从而降低了每个服务器端口的成本。虚拟媒体支持与 DSView 3 管理软件配套使用时，DSR8035 交换机可提供虚拟媒体支持。通过该软件可将 CD-ROM 和其他存储媒体映射到远程分支服务器，以执行文件传输、应用程序和操作系统补丁安装以及 CD-ROM 诊断程序。KVM 和电源控制整合解决方案集 BIOS 级别访问和电源控制于一身的解决方案。在网络出现故障时还提供外置调制解调器支持。提供两个可直接连接至电源管理设备的电源控制端口。管理管理板载 Web 界面通过板载 Web 界面可直接访问目标设备，无需再使用其他软件。这对于希望拥有可伸缩扩展系统的小公司管理员来说，非常有益。可根据系统扩展的需要，在日后添加 DSView 3 软件。单一的管理平台通过配套使用 DSView 3 软件和 DSR8035 交换机，您就可以通过一个单一的界面管理包括数据中心和分支办公室在内的整个 IT 基础设施。访问启用 IPMI 的服务器使用 DSView 3 软件，IT 管理员还可以监控和管理温度、风扇和电压等系统运行状况。通知DSView 3 软件为定义的系统事件发送 SNMP 陷阱和电子邮件通知。制定计划DSView 3 软件简化了日常任务、更新第 24 页和文件加载（包括任务的自动定制和更新）的管理。两个网络界面端口提供网络故障转移冗余安全性安全性故障转移验证 DSView 3 管理软件具有中心和分支架构，提供故障转移验证以确保系统的可靠性和安全性。用户日志和访问控制DSView 3 软件具有高级的安全性，包括审查日志功能，并可为每个用户单独分配权限。需要在本地登录必须通过本地端口才能登录，更安全可靠规格规格机械规格机械规格高度4.37 cm宽度43.18 cm深度36.20 cm重量4.5 kg，不包括缆线环境规格环境规格工作温度0 至 50 存放温度-20 至 70 电源电源工作电压交流 100 至 240 V电源频率50 - 60 Hz（自动检测）输入最大 60 W支持的硬件支持的硬件计算机PS/2、Sun、USB显示器VGA, SVGA （XGA 和 XGA-II，带适配器）, 最大分辨率: 1280 x 1024 75 Hz外围设备USB 键盘和鼠标、PS/2 键盘、PS/2 鼠标、IntelliMouse第 25 页标准标准认证机构UL、FCC、cUL、ICES-003、CE、GS、VCCI、MIC、C-Tick 和 GOST4.2 DSR8030 KVM 交换机交换机通过 16 端口一数字通道的 DSR8030KVM over IP 交换机，您可以对数据中心内所有连接的服务器和基于串行的设备进行 BIOS 级的控制， 为您管理分支办公室的设备提供了极大的方便。DSR8030 交换机专为方便您对分支办公室的服务器或串行设备进行故障排除、重新启动甚至重新启动电源的操作而设计，可避免现场服务所需的高昂花费。DSR8030 交换机还带有一个 USB 端口，用于在网络出现故障时轻松访问网络设备和外部调制解调器支持。交换机的视频是采用 Dambrackas Video Compression 算法的高分辨率视频。DSR8030 交换机有一个板载 Web 界面，用于通过 IP 访问和控制服务器。DSR8030 KVM over IP 交换机可提供虚拟媒体功能，使用 DSView 3 管理软件，您可以将软件远程加载到分支办公室的目标设备上。DSView 3 软件让您仅需通过单一界面即可安全地访问和控制服务器和网络设备。 其中心和分支架构可以提供故障转移验证。用户接受中央管理服务器（中心）或 15 个镜像服务器（分支）中的一个服务器的验证。还提供 SNMP 和 IPMI 支持。 特性与优点特性与优点特性特性优点优点用户用户远程分支管理DSR8030 16 端口数字 KVM over IP 交换第 26 页机具备 1 个本地用户和 8 个数字用户，可使 IT 管理员远程管理服务器或串行设备。避免昂贵的远程分支办公室访问。对分支办公室提供虚拟媒体支持DSView 3 管理软件可提供虚拟媒体支持。通过该软件可将 CD-ROM 和其他存储媒体映射到远程分支服务器，以执行文件传输、应用程序和操作系统补丁安装以及 CD-ROM 诊断程序。KVM 和电源控制整合解决方案集 BIOS 级别访问和电源控制于一身的解决方案。在网络出现故障时还提供外置调制解调器支持。管理管理板载 Web 界面通过板载 Web 界面可直接访问目标设备，无需再使用其他软件。这对于希望拥有可伸缩扩展系统的小公司管理员来说，非常有益。可根据系统扩展的需要，在日后添加 DSView 3 软件。单一的管理平台通过配套使用 DSR8030 交换机和 DSView 3 软件，您就可以通过一个单一的界面管理包括数据中心和分支办公室在内的整个 IT 基础设施。访问启用 IPMI 的服务器DSView 3 软件让 IT 管理员可以监控和管理温度、风扇和电压等系统运行状况。包括电源管理设备。制定计划DSView 3 软件简化了日常任务、更新和文件加载（包括任务的自动定制和更新）的管理。安全性安全性故障转移验证 DSView 3 软件具有中心和分支架构，提供故障转移验证。用户接受中央管理服务器或 15 个镜像服务器中的一个服务器的验证。用户日志和访问控制DSView 3 软件具有高级的安全性，包括审查日志功能，并可为每个用户单独分配权限。规格规格机械规格机械规格高度4.37 cm第 27 页宽度43.18 cm深度27.98 cm重量3.31 kg（不包括缆线）环境规格环境规格工作温度0 至 40 存放温度-20 至 70 电源电源工作电压交流 100 至 240 V电源频率50 - 60 Hz（自动检测）输入最大 40 W支持的硬件支持的硬件计算机PS/2、Sun、USB显示器VGA、SVGA（XGA 和 XGA-II，带适配器），最大分辨率：1280 x 1024 75 Hz外围设备USB 键盘和鼠标、PS/2 键盘、PS/2 鼠标、IntelliMouse标准标准认证机构UL、FCC、cUL、ICES-003、CE、GS、VCCI、MIC、C-Tick、GOST4.3 MP5300 服务器管理器网关服务器管理器网关第 28 页MergePoint 5300 管理网关设备使 IT 专业人员能够通过使用内嵌服务器管理技术，特别是智能平台管理界面 (IPMI)、Dell 远程访问卡 (DRAC) 和 HP Integrated Lights Out (iLO) 从任何位置执行安全的远程服务器管理。作为 MergePoint 5300 系列服务器管理器网关的一部分，MergePoint 5300 装置提供安全的 Serial over LAN (SoL) 控制台访问、电源控制、服务器硬件监控，以及全新 DirectCommand 功能，该功能可以实现透明和安全地访问服务处理器固有界面以及进行 IPMI 自动配置和服务处理器自动发现。在与 DSView 3 管理软件配合使用时，MergePoint 5300 SP 管理器提供基本的服务器覆盖，补充了全面的管理基础设施。MergePoint 5300 设备提供功能丰富的 Web 用户界面，采用了服务器硬件系统管理架构命令行协议 (SMASH CLP) 的命令行界面，该界面是由分布式管理任务组 (DMTF) 定义的一个标准的用户和脚本界面。这为管理来自多个制造商的服务器提供了一个单一的命令行界面，从而简化了管理、提高了互操作性并最终提供了脚本和自动化功能。通过 MergePoint 5300 装置不仅能够更轻松地利用服务处理器的功能，而且可以通过插件提高服务处理器的功能性。例如，SoL 功能补充了持续数据记录功能，从而实现了更高的安全性和审核水平。同时，多服务器同步电源控制提高了现有服务处理器的电源管理功能，包括 IPMI 依次关机支持。通过这些功能，用户可充分利用这些服务处理器技术。特性与优点特性与优点特性特性优点优点SoL、电源控制、硬件监控和报警完整、全面的远程服务器管理SoL 带数据记录功能更好的审核功能、更快的故障排第 29 页除强大的安全功能（AAA、细粒度 ACL、数据记录）轻松符合内部安全策略以及与现有安全系统集成以群组方式执行命令从整体上控制基础设施减少脚本更改/错误以及针对新命令的培训丰富的 SSH 命令选项用于脚本控制设备管理更方便的自动化、脚本编写以及与现有管理程序集成IPMI 自动配置更快、更方便的 IPMI 部署自动发现服务处理器更好地利用现有（已购买）的服务器管理功能自动发现和配置启用 DHCP 的服务处理器新服务处理器的配置更简单DirectCommand 直接访问服务处理器的固有用户界面访问熟悉的服务处理器用户界面及利用其所有功能，而不影响安全性服务处理器自动登录和直接访问虚拟 KVM 和虚拟媒体功能服务处理器功能的使用和访问更简单用于集成服务器 GUI 的 RDP 和 VNC 支持通过一个用户界面对服务器进行全面管理规格规格硬件硬件服务处理器支持IPMI 1.5、IPMI 2.0、DRAC、iLO内存512 MB RAM存储器80 GB SATA 硬盘，7200 rpm 接口2x 千兆以太网端口机械规格机械规格尺寸78.7 x 60.9 x 17.7 cm重量13.7 kg环境规格环境规格工作温度0C 至 35C存放温度35C 至 70C湿度10 至 90%，非凝结第 30 页电源电源电源通用 260 W标准标准认证机构FCC Class BEN 60950/IEC 60950UL Listed (USA)CUL Listed (Canada)TUV Certified (Germany)CE Marking (Europe)4.4 DRA 安全审核服务器安全审核服务器在部署了集中带外管理系统后，对服务器的管理仅使用 KVM（键盘、鼠标、显示器）端口，安全性提高到较高级别。但由于集中控管平台（DSView3）不能第 31 页对用户打开服务器会话后的操作内容提供记录，所以没有用户在服务器内部操作的审核内容。这样，对于安全性要求级别较高的信息中心来说，IT 带外管理系统存在安全审核的漏洞。 DRA(Desktop Record Audit )系统为一个 DRA 访问安全审核服务器。用户在任何时间、任何地点通过集中控制系统对服务器进行访问时，DRA 系统可对操作进行全程记录（包括 BIOS 操作）。这样，完成的认证、授权、审核的全步骤，静默监视和记录所有控制操作。不但可以规范操作规程，并可及时发现误操作，对事后分析提供第一手资料和依据。审核人员可以通过浏览器，在任何时间登录 DRA 安全审核服务器，访问其身份有权限访问的视频录像，可进行在线播放或下载播放。特性与特点特性与特点特性特性优点优点管理管理单一平台无须在任何访问端安装客户端软件浏览器/服务器结构用户通过任何时间、地点都可以通过浏览器进行访问建筑模型通过 DRA 系统建立实时访问的服务器群结构拓扑模型制定计划DRA 简化了日常任务、录制和查询任务（包括视频文件的自动备份）的管理。完全解决方案无须另购任何操作系统及辅助软、硬件，加电后立即运行循环录制支持循环录制，本地硬盘可保留 10,000 小时数据安全性安全性系统自测系统带有系统自测程序，保证服务不间断运行故障转移验证 依照集中管理平台具有中心和分支架构，提供故障转移验证以确保系统的可靠性和安全性。用户日志和访问控制DRA 系统具有高级的安全性，详细的日志记录，包括系统日志、访问日志等，并可为每个用户单独分配权限。冗余设计DRA 系统模块化设计双电源，及双千兆网卡，具有高度冗余性第 32 页画面质量画面质量图像清晰流畅支持 1-30 帧/秒，最大分辨率支持 1600X1200扩展性扩展性集中控管平台支持支持集中控管平台扩展，在单套安全审核系统中，支持 1-16 个集中控管平台存储扩展可支持 SCSI、SATA、ISCSI、SAN 多种存储扩展技术规格技术规格机械规格机械规格高度8.74 cm宽度43.18 cm深度70.00 cm重量13.31 kg环境规格环境规格工作温度0 至 40 存放温度-20 至 70电源电源工作电压交流 100 至 240 V电源频率50 - 60 Hz（自动检测）输入最大 300 W外设外设外围设备USB 键盘和鼠标4.5 DSView 集中控管平台服务器集中控管平台服务器控管平台沿用原 NOC 的集中控管平台，保证投资回报的最大化和可延续性。Avocents DSView 3 管理软件为数据中心所有联网的物理和虚拟软硬件提供了一个安全、集中的管理解决方案。通过 DSView 3 软件，管理员可以在全球任何地点访问、诊断和修改任何网络资产，且无需考虑操作系统或连接设备网第 33 页络的运行状况或状态。通过 DSView 3 软件，可使数据中心和远程办公室的管理、访问和扩展变得更加容易，并可提高它们的安全性。 DSView 3 软件通过单个基于浏览器的安全界面管理整个数据中心环境，包括：刀片式服务器和机柜 VMware 虚拟架构，包括虚拟中心、ESX 服务器和虚拟机 嵌入式服务处理器 机架安装式服务器 Cyclades ACS 高级控制台服务器 DSR KVM over IP 交换机 Cyclades PM 智能配电设备 (IPDU) MergePoint 服务处理器管理设备DSView 3 软件还可为每个用户提供无限制的自定义查看功能、图形报告创建功能和任务自动化工具，以及无可比拟的网络资产整体查看功能。DSView 3 软件的冗余“中心和分支”架构使管理员可以通过任何联网的 PC 或移动设备访问贵公司网络中的所有资产。管理员通过 DSView 3 软件的带外 (OOB) 功能可以诊断和修复问题，即使网关、路由器或其他 IP 连接已被断开。数据中心不断发展。无论您是正在向刀片系统转移、实验 SAN（区域网络存储），还是仅仅尝试使用新的路由器，DSView 3 软件都可以通过集成新技术和提供一致的接口，帮助您进行控制，且无需考虑您的基础设施如何。DSView 3 软件预先深度集成了 HP Software、NetClarity、Uptime Devices、VMWare 以及其他解决方案，同时为希望撰写定制软件的开发人员提供免费的 API。DSView 3 软件无需使用额外的安全程序，可通过您现有的内部或外部标准服务进行身份验证。所有通信均经过加密，并可提供详细的活动日志，为问题处理和合规性提供重要的审计记录。远程管理功能最大程度地降低对数据中心的本地访问需求，因此您可以更安心地以物理方式锁定敏感机器。特性与优点特性与优点功能功能优点优点用户用户第 34 页安全的数据中心远程集中管理访问和控制您的全部 IT 基础设施 从单个画面管理物理和虚拟设备。多设备支持可对刀片系统、VMware 虚拟基础架构、DSR KVM over IP、MergePoint 服务器管理器网关、Cyclades ACS 高级控制台服务器、Cyclades PM 智能配电设备进行即点即连接的集中管理虚拟媒体支持对不关机的 lights-out 数据中心进行远程诊断测试和软件加载。KVM 和电源控制的整合解决方案集 BIOS 级别访问和电源控制于一身的解决方案。在网络出现故障时还提供外置调制解调器支持。简单、快速和可靠的用户界面基于浏览器，可自定义包括键盘传递、缩放和定制查看器工具栏等诸多实用功能管理管理访问服务处理器使用 DSView 3 管理软件，管理员可以通过 MergePoint 服务处理器管理启用 IPMI 的单个服务器上的电源和系统状况。 通知DSView 3 软件为定义的系统事件发送 SNMP 陷阱和电子邮件。制定计划DSView 3 管理软件简化了日常任务管理、更新和文件加载（包括任务的自动定制和更新）的管理。多平台支持支持 Wintel、Linux、Sun Solaris 和 SuSE 平台安全性安全性故障转移验证DSView 3 管理软件具有中心和分支架构，提供故障转移访问验证以确保系统的可靠性和安全性。灵活的验证/访问控制验证用户访问现有内部或外部数据库（如 LDAP、活动目录、NT 域、TACACS+、RADIUS 和 RSA SecurID）的权限。系统/用户日志DSView 3 软件安全功能包括系统和用户日志管理以及事件通知，以便于记录审核第 35 页和合规性。可选加密模式可选加密模