帶外架構——遠程網路管理的整合

摘要：本文回顧比較通用的監測、維護和恢複系統的方法，同時探索更有效方法來滿足日益緊迫的網路評定目標要求-減少成本同時提高業務水平和生產能力。 
這篇文章還將介紹遠程IT管理的原理和下一代網路設施管理的基礎。

　　關鍵詞：帶外架構 遠端管理

　　1.引言

　　數十年來，資訊技術（IT）的營運目標都是一樣的——減少成本同時提高業務水平和生產能力。這個目標

為當今受網際網路影響越來越大的經濟帶來了新的緊迫性。IT已不再是技術專家們內部關注的領域，它更多地要面向外部。在那裡，客戶、夥伴、准客戶和遠端的僱員通過網路直接和該企業所提供的業務互動。如今，只要一個線上的服務不可用，客戶只需輕點滑鼠就能馬上用到你競爭者提供的相同服務。簡單地說，一個企業的網路設施已經成為其業務的臉面，它在給客戶的第一印象中扮演著極其重要的作用，而這也將直接影響到公司間今後的合作。因此，網路的效能已經成為影響公司業務的重要因素。

　　面對這樣的現實，很多大公司投資數百萬元甚至上千萬元來構建兩倍，三倍甚至四倍冗餘的網路來保證他們的網路不出問題。然而冗餘系統配置不僅在安裝時要花很多費用，而且維護的開銷也非常昂貴，這促使進階管理員去尋找更加有效方法來管理和維護他們的網路裝置資產。小型和中型的企業由於缺乏足夠的財力來組建冗餘網路，他們更要尋找更好的方法來維持企業的業務水準以及提高生產力。

　　2.網路架構現狀概述

　　現如今很多大型企業的典型網路架構都是由一個或多個資料中心所組成的，有的也包括遠端站台或分支辦事處。在有些情況下，大型企業構建冗餘的資料中心來保證業務的連續性，如果有潛在的災難發生時也能提供和以前一樣的IT業務。從建築學的角度來看，各個資料中心都有相似的結構（包括伺服器，儲存系統和應用軟體）和網路設施（包括電線，集線器，路由器，防火牆，交換器和電纜）。

　　大型企業可能也包括遠程或分支的辦事處，這些辦事處通過虛擬私人網路（VPN）或者廣域網路（WAN）與企業內部網相串連。大的遠端廠房，像倉庫或百貨公司的儲備室，可能有一個包括伺服器，存放裝置和網路裝置在內的資料中心。而小型的遠程辦事處可能僅限於由路由器，防火牆和集線器提供到案頭PC的網路連接。無論一個企業是大到串連多個分散的網站還是小到僅限於一個單獨的資料中心，她的網路系統管理員都會面臨相同的挑戰-怎樣用最小的代價來換取系統最大可能的運行水平和可用性。

　　一般地，大型企業都依靠複雜的網管軟體，如果一個網路裝置掉線了，網管軟體會提醒管理員這個裝置不可用，但是因為這些軟體是通過生產性網路本身來管理裝置的，所以它們不能提供問題的詳細細節，而僅僅只能提示裝置掉線。恢複裝置的傳統方法要求裝置旁必須有一個技術人員，無論這個裝置是在資料中心還是在遠端站台。特別地，技術人員必須將攜帶的膝上型電腦與問題裝置物理地串連在一起才能診斷並修複裝置。這個不僅費錢而且費時的過程詳細說明了“本地管理”這個術語的意思。

　　遠程或頻外管理允許管理員利用網路，串口或數據機通過不同於生產性網路的替代性路徑串連到裝置。管理員將不必親自到場。進一步地說，遠端管理可能發生在數千千米以外或20厘米以內，無論裝置是在資料中心還是在遠端站台。遠端管理是指除了本地的、物理串連以外的所有串連。

　　遠程網路管理可以通過頻外管理架構（OOBI）來實現。OOBI為整個內網提供安全的、替代性的途徑來進行網路裝置的遠端存取、監測和管理。如果一台網路裝置出了故障，OOBI能夠遠程地修複它，使之在可能的最短時間內重新恢複工作。OOBI能最小化本地管理和網站訪問的需要，顯著地減少使網路裝置重新工作所需的時間和運營成本。

3.頻外管理架構（OOBI）

　　OOBI由一個或以上的技術裝置群組成，它能提供到生產性網路的替代路徑。生產性網路和OOBI之間的關係和圖1所示的邏輯結構類似。

點擊放大圖片

 

圖1

　　下面介紹幾個要用到OOBI情況。

　　1.（見圖2）資料中心裡的一台裝置或伺服器發生了故障。正常情況下，當一台裝置發生了故障而網路仍然可用時，管理員可以通過生產性網路或OOBI遠端存取裝置。一旦管理員接入裝置以後，他/她就能尋找到問題，如有必要的話還能把電源關閉或開啟，幾分鐘內裝置就能恢複工作。這樣就降低了人工成本，提高了生產能力，減少了風險。

點擊放大圖片

 

圖2

　　2.(見圖3)一台串連了其他伺服器的交換器發生了故障，丟失了與網路的串連。在這種情況下，交換器的OOBI串連通過生產性網路依然可用。網管軟體提醒管理員這台交換器不再串連到網路。利用OOBI串連，管理員可以遠端存取交換器，診斷問題並修複交換器，使所有串連到交換器上面的裝置重新串連到網路。

點擊放大圖片

 

圖3

　　3.（見圖4）一個為整個網站提供網路連接的路由器發生了故障。這個路由器提供生產性網路和OOBI以及其他所有通過路由器串連到網路的裝置之間的串連。因為OOBI不能通過生產性網路接入，因此管理員需要通過一條撥號的線路來接入OOBI。管理員通過一個串口來連線路由器，從而快速地發現問題。他/她能更正錯誤，修複路由器，使所有通過路由器串連到網路的裝置重新工作。這樣，一個本來需要耗費管理員幾個小時在現場解決的問題又一次輕易地被解決了。

點擊放大圖片

 

圖4

　　OOBI帶來的好處顯而易見：運營費用減少的同時裝置的可用性也得到了提高。當冗餘系統無法發揮作用時，業務也不會受到影響。簡單地說，減少成本提高服務品質和生產能力的基本目標已經達到了。

　　4.OOBI的組成

　　OOBI可能由下面一個或多個組件組成：

　　1．OOBI manager在OOBI中是一個相當於HP OpenView一樣的網管軟體。OOBI manager 為OOBI的不同組件（像串口控制伺服器、KVM交換器、業務處理管理器和刀片式管理器）提供統一的訪問和組態管理。它還通過一個統一的介面來提供對所有串連到OOBI的裝置的管理能力。這將整個OOBI系統整合在一起，並完善了OOBI系統。

　　2．串口控制伺服器（Serial console server）提供對伺服器和其他網路裝置（路由器，交換器，電纜，防火牆等）串口的遠端存取，而不是依靠生產性網路本身來串連。

　　3．KVM交換器或KVM over IP交換器通過鍵盤，顯示器和滑鼠介面訪問伺服器，好象管理員就在現場一樣。

　　4．智能電源分布單元（IPDS）提供對遠程裝置電源開關的能力，用於軟體/硬體故障的操作控制或重啟。

　　5．業務處理管理器（Service processor managers）對植入電腦母板的業務處理器提供統一的、集中的訪問。這些操作獨立於主中央處理器（CPU）運作，因此管理員能夠訪問，監測和管理伺服器的硬體部分，並使他們在無論主處理器或作業系統是否啟動並執行情況下都能重啟裝置。IPMI（intelligent Platform Management Interface智能平台管理介面），Sun Microsystem公司的ALOM（Advanced Lights Out Management）和HP/Compaq公司的ILO（Intelligent Lights Out）都是為業務處理器介面制定的技術和協議。

　　6．刀片式管理器使刀片式伺服器和刀片式背盤能安全地和OOBI串連起來，它在生產性網路不可用時提供對刀片系統安全的遠端存取。因為刀片系統特有的散熱和電源的要求，人在資料中心裡感覺並不舒適。因此，刀片式伺服器的OOBI接入能在減少責任風險的同時也減少運營的成本。每一個廠家的刀片式伺服器系統都有自己特定的管理體系，而串連到OOBI的刀片式管理器能提供一個對不同廠家刀片系統集中管理的有效方法。

　　所有這些裝置群組成了OOBI，它們提供了一條遠端管理網路裝置的替代性途徑。

　　顯然，OOBI能提供對網路裝置強有力的訪問能力，而這些訪問都應該是安全的。所有OOBI組件都要有對管理員認證和對通訊過程加密的功能。有些OOBI系統提供單獨的安全設施，這樣做只會增加複雜度，使其成為系統的另一個被攻擊點。管理員需要OOBI提供簡單的管理網路的能力，而不是把事情搞得更複雜。理想情況下，OOBI和它的所有組件都應該能支援工業標準的認證和加密協議，使管理者能在其現有安全設施上構建OOBI。

　　5.OOBI的實現

　　帶外網管的結構5所示。

　　網路布局採用星型結構，即在所有的網路節點放置進階控制台伺服器（ACS），通過ACS串連到該節點內所有網路裝置的Console口和伺服器的串口。在網管中心放置一台Manager，管理所有的ACS，提供對帶外網管設施的集中訪問入口。Manager和ACS通過專線方式單獨組網。由於帶外網管網路獨立於電訊廠商的運營網路，因此不會受到運營網路狀況的影響。

　　帶外網管的組網方式可以採用ADSL專線、EDSL專線、SDH專線、FR等。在電信電訊廠商的骨幹網路，除了專線組網方式以外還可以考慮兩個運營網路互為備份組建帶外網路。

　　網管中心的工程師通過WEB介面或命令列方式訪問Manager就可以管理所有網路中的裝置，即使裝置無法通過網路正常訪問。通過這種方式，工程師解決問題就不用到現場處理，降低瞭解決故障的時間。

　　通過Manager可以實現對所有網路裝置的集中存取控制，對所有通過Manager登入的使用者行為都可以以日誌的形式記錄下來，對所有帶外網管系統管理的裝置通過Console介面的警示均可以向網管中心發出警示。通過在Manager和ACS上設定不同的使用者組別和許可權，可以把網管工程師分成不同的組維護不同的裝置。

　　對於DCN網路未覆蓋的節點機房，可以利用“傳輸+PSTN備份”的接入方式。網管中心與各機房的網路連接使用機房內E1線路的一個64K時隙。在每個機房與網管中心之間放置一對“Ethernet協議在E1鏈路”的封裝裝置，此裝置的Ethernet連接埠串連ACS的Ethernet連接埠，其E1連接埠串連機房的E1線路。此星型結構提供了從各機房到網管中心的IP鏈路，以PSTN網作為備份鏈路。

點擊放大圖片

 

圖5

　　6.小結

　　本地管理和網站人工訪問是非常浪費人力、物力和財力的事情。OOBI能提供一種更好的方法-省時，安全，划算-保證網路裝置的連續可用和與網路保持串連。為達到減少成本、提高業務水平和生產力的目標，下一代IT架構必須將OOBI作為其基本組成部分之一。

　　然而，要使OOBI能夠有效地運作，其各個組件必須成為一個整體，並能通過一個統一的介面來管理，而不是僅僅只作為一些分離的個體。OOBI組件必須能支援所有工業標準的安全性通訊協定和規範，這樣OOBI才能融入企業現有安全設施。正確地設計和構建OOBI系統，使其具有遠程網路管理的能力，這將直接影響到企業的成本並使投資更快地得到回報。