电信网管方案

第一章需求分析………………………………………………………………………………………………….3

1.1需求概述………………………………………………………………………………………………………….3

1.2需求分析………………………………………………………………………………………………………….3

1.3系统建设目标………………………………………………………………………………………………….5

第二章带管系统方案…………………………………………………………………………………..7

2.1 方案论证…………………………………………………………………………………………………………7

2.2 DCN交换机集中管理方案………………………………………………………………………………8

2.3 网络管理系统…………………………………………………………………………………………9

2.4 带管运维结构图……………………………………………………………………………………10

2.5 设备清单及预算……………………………………………………………………………………………11

第三章运维管理系统规划………………………………………………………………………………..12

3.1 管理权限划分……………………………………………………………………………………………….12

3.2 设备分组管理……………………………………………………………………………………………….13

3.3 安全审计功能……………………………………………………………………………………………….14

3.4 日志管理……………………………………………………………………………………………………….14

3.5 故障管理……………………………………………………………………………………………………….15

3.6 故障告警……………………………………………………………………………………………………….15

第四章带管安全策略…………………………………………………………………………………16

4.1 数据加密系统………………………………………………………………………………………………..16

4.2 身份认证系统………………………………………………………………………………………………..21

4.3 IP地址过滤技术……………………………………………………………………………………………..25

第五章带管系统介绍………………………………………………………………………………….26

5.1 控制台服务器………………………………………………………………………………………………..27

5.2 网络管理器……………………………..…………………………………………………………….30

第六章设备安装及系统调试……………..………………………………………………………………33

6.1 设备安装……………………………………….……………………………………………………………….33

6.2 系统调试……………………………………….……………………………………………………………….33

6.3 技术培训……………………………………….……………………………………………………………….33

第七章技术培训及售后服务…………….……………………………………………………………….34

7.1 技术支持……………………………………….……………………………………………………………….34

7.2 售后服务……………………………………….……………………………………………………………….35

第一章需求分析

1.1 需求概述

DCN运维专网作为XX电信网络系统、数据业务系统、各类应用系统运维支撑平台，为网络系统、数据业务系统以及各类应用系统提供技术保障服务。目前XX电信机房有8个DCN交换机机柜，共计安装60多台DCN网管交换机设备。目前运维管理人员通过内部网络远程登陆方式或者直接到机房用笔记本串口直接连接交换机Console端口进行管理，鉴于现行管理模式过于分散无法实现管理过程的集中记录，同时也不利于DCN网络系统的安全。因此XX电信运维管理中心规划建立一套DCN网管交换机带管系统，运维管理人员通过带管系统对DCN网管交换机设备进行集中管理和维护，带管系统对运维管理人员的管理权限和管理范围进行严格的界定，对运维管理人员的管理过程进行集中记录。

1.2 需求分析

1）DCN设备集中管理

运维管理人员在网管中心直接使用个人电脑或着带外管理终端设备登陆带管系统对机房内部所有DCN网管交换机设备的Console端口进行集中管理，而无须运维管理人员携带笔记本亲自到机房对DCN网管交换机进行直接配置或管理。

2）权限分级管理

通过带管系统对运维管理人员的权限权限、管理范围进行严格界定，通常情况下运维管理人员分权限为四级：超级管理员帐户、高级管理帐户、受限管理员帐户、来宾监控帐户。运维管理人员登陆带外管理系统时只能看到有权限管理的设备列表，高级别管理人员可以对低级别管理人员的管理过程进行全程监控。带管系统使得运维管理人员工作分工明确大大提高运维效率。

3）管理过程集中记录

带管系统对管理员帐户信息进行认证，对运维管理人员的登陆时间、操作内容、退出时间等信息进行详细记录。支持用户ID告警功能，当预设管理人员登陆带管系统时，自动向预设的高级别管理用户发送邮件告警，高级别用户登陆系统对低级别管理用户进行跟踪和监听。

4）提高网络系统安全性

带管系统支持SSHv2、SSLv3加密技术，所有管理控制信息均通过加密方式在管理员和被管理设备之间传送。带管系统还支持LDAP、SecurID 、RADIUS、NIS、Kerberos 和TACACS+等身份认证系统，防止未经授权用户非法访问。支持IP地址过滤技术根据IP地址列表允许或阻止用户访问。

5）提高相互协作能力和运维效率

带管系统建成后将对DCN网络设备进行集中管理，通过带管系统对运维部门人力资源进行合理分配和资源调度，提高各级运维部门的相互协作能力和运维效率。带外管理系统的分级管理功能可以对各级运维管理人员的管理权限、管理范围进行严格界定，使得运维管理人员工作分工精细、责任明确。所有管理配置过程记录集中存到网络管理器上，任何设备的管理配置信息都能够通过网络管理器查看。

1.3系统建设目标

1)提高DCN网络安全及可靠性

通过带管系统对DCN网管交换机设备进行集中管理，使得所有DCN交换机设备配置信息文件进行集中存储，当配置文件混乱或者丢失时，通过带管系统快速恢复。带外管理系统支持权限分级管理功能，对运维管理人员的管理权限和管理范围进行限定。端口分组管理功能可以对DCN网管交换机Console端口进行分组管理。带管系统集中记录所有运维管理人员对交换机管理信息，并通过带外管理系统进行查看。

带管系统建成后，所有运维管理人均通过带管系统集中管理DCN网络设备。在提高运维效率的同时，大大的提高DCN网络系统的安全性和可靠性。

2)增强故障快速处理能力

运维管理人员通过带管系统对DCN网络设备的Console端口进行集中管理，运维管理在网管中心通过带管终端机登陆带管系统对DCN网络设备进行配置和管理。当DCN网络设备出现配置丢失、宕机等故障时通过带管系统快速恢复正常运行，而无须运维管理人员到机房对故障设备进行直接干预。整个管理维护过程集中记录到网络管理器，运维管理人员通过带管系统直接查看管理过程信息，从而大大的提高运维效率和突发故障快速处理能力。

3)减低企业运维成本

带外管理系统具有良好兼容特性和系统扩展性能，最多可以对12288台网元设备进行集中管理。带管系统还可以对机房内部的其它重要网络设备如：交换机、路由器、服务器设备以及设备电源系统进行整合管理。带外管理系统投入使用后建立各级运维部门联动协作的运维新，实现集中监控、统一调度、远程协助、本地维护的全新运维管理模式。明确各级运维部门的责任和分工，提高各级运维部门的整体协同工作能力。通过带外管理的先进运维管理模式在提高企业运维效率和服务质量的同时有效的降低企业运维成本。

第二章带管系统方案

2.1 方案论证

XX电信机房网络系统由各种不通用途的网络设备和通信设备组成，因此网络设备和通信设备的稳定运行是确保网络系统持续稳定运行的关键。考虑到机房内部的网络设备（路由器、交换机、防火墙等）和通信设备由不同的厂商提供，这些来自不同厂商、不同类型的网络设备和通信设备的管理和维护方式也都不一样，因此现有的管理软件和难对这些设备进行集中管理。目前机房中使用的网络设备和通信设备都带有本地Console配置管理端口，且所有网络设备的Console端口都采用标准的串行(RS232)通信协议。

SLC控制台服务器是基于标准串行（RS232）通信协议的集中管理工具， SLC控制台服务器对DCN网管交换机设备的串行（Console）配置端口通过透明方式转换到以太网络，通过SLC控制台服务器的以太网络端口连接到DCN运维网络。这样运维管理人员在网管中心通过运维网络直接对DCN网管交换机设备进行配置和管理。

SLM网管管理器是带管系统集中管理平台，通过SLM网络管理器对SLC控制台服务器、远程KVM设备、远程电源管理器设备以及单一网元设备进行整合管理。通过统一的管理界面对机房内部的DCN网管交换机设备进行管理和维护，通过SLM网络管理器分级权限管理功能对运维管理人员的管理权限、管理范围进行界定，对运维管理人员的操作管理过程进行集中记录。

2.2 DCN交换机集中管理方案

SecureLinx™ SLC控制台服务器是网络设备（交换机、路由器、防火墙、漏洞扫描、入侵检测、负载均衡设备等）集中管理工具，通过SLC控制台服务器可以对DNC网管交换机设备的Console配置端口进行集中管理。运维管理人员通过SLC控制台服务器对DCN网管交换机设备的串行（Console）配置端口进行配置管理。SLC控制台服务器的以太网络端口连接到集中运维管理平台上实现集中管理，这样运维管理人员在网管中心通过运维管理平台对机房网络设备进行集中配置和管理。

网络设备集中运维管理拓扑图：

2.3 网络集中管理方案

SecureLinx™ SLM网络管理器是带管系统平台的核心部分，SLM网络管理对多种网络设备（如计算机、服务器、路由器、交换机、防火墙等设备）通过SLM内置的https或SNMP图形化管理界面整合管理。运维管理人员通过SLM监控管理界面集中查看各地机房内部网络的设备运行状况，对于故障设备进行快速准确定位。系统管理员还可以通过SLM对网络内部的计算机或网络设备进行统一系统升级，而无需管理员对设备进行逐一安装。SLM具有强大的日志存储和管理能力，通过对设备产生系统日志进行系统分析和处理，对于有风险日志通过Email发送给管理员。

集中运维管理界面

2.5 设备清单及方案预算

3.1 管理权限划分

运维管理系统对运维技术人员身份及管理权限详细划分，并自动生成管理权限列表。管理系统对登录的运维技术人员的身份及管理权限进行认证，并对运维技术人员身份信息、登录时间、登录设备、操作内容等进行记录。

通常情况下运维管理系统把运维技术人员的管理权限分为五个级别：即超级管理账户、高级管理账户、一般管理账户、受限管理账户、来宾帐户。

超级管理用户

运维管理系统只对开放本地超级管理用户权限，超级管理用户负责本地运维账户权限管理，增加、删除和修改本地运维管理账户权限。

高级管理用户

高级管理用户通过运维管理系统可以部分网络系统的网络设备、服务器设备、电源系统进行高级级别的管理和维护。

一般管理用户

一般管理用户通过运维管理系统可以指定的网络设备或指定设备端口进行管理和维护。

受限管理用户

受限管理账户只能通过运维管理系统对特定的网络设备或服务器设备指定端口或单一功能进行管理。

来宾用户

来宾帐号在登录运维管理系统后只能查看到设备状态，不能对任何设备进行管理和操作。

以上各级别管理员都是的视图管理界面登陆到网络管理系统，的视图管理界面中只能看到自己有权限管理和监听的设备列表。

3.2 设备分组管理

运维管理系统可以对不同类型、不同地点的被管理设备重新分组管理，可以按照用户习惯自行定义。例如：把同一机房的网络设备分为一组，或者同一类型的网络设备分为一组，或者把相同功能的网络设备分为一组。

    对设备完成分组后可以对被管理设备的端口再进行分组，例如：把控制台服务器的第6端口、电源管理器的第7端口、远程KVM的第8端口进行任意组合分组，根据创建的管理用户权限添加对应被管理设备或设备端口，通过端口许可管理功能对管理用户的管理权限和管理范围进行严格审查和界定。

3.3 安全审计功能

    运维管理系统通过SLM网络管理器做集中认证管理和审计，管理用户通过SLM到达被管理设备时自动创建访问列表，详细记录管理用户的登陆时间、操作内容等信息。如果管理未经SLM直接登录被管理设备进行操作时，被管理设备自动将系统日志和访问记录传送到SLM网络管理器。也可以通过系统日志或SNMP trap方式对设备端口的访问和操作进行全程跟踪记录，管理权限高的用户可实时监控低级别用户访问过程。

3.4 日志管理

SLM管理系统自动本机运行日志及端口访问记录，同时对被管理设备运行日志及端口访问记录进行集中存取，运维管理人员可以在本地查看系统日志和访问记录，也可以登陆到网络管理系统查看有权限管理设备的运行日志及端口访问记录，系统日志也可以通过FTP方式及集中存储到远端的NFS服务器，

    SLC控制台服务器有一个128MB CF存储卡用于存放设备运行日志及端口访问记录，每端口有256KB的缓冲区用于存放端口访问日志，即使在突然断电情况下数据不丢失。

3.5 故障管理

运维管理系统支持事故告警功能，管理设备在运行过程中报错时。运维系统自动将设备运行日志通过电子邮件方式向运维管理人员发送告警信息。系统管理员根据这些信息判定故障原因，并采取相应措施。

故障管理提供以下机制：

• 通过电子邮件和/或 SNMP（自动）报告故障的出现

• 记录日志以及事件/端口缓冲状况

• 进行诊断检测，找出错误原因。

• 简单的自动纠正错误能力。

3.6 事件报警

SLM网络管理系统可以通过Email邮件、Syslog日志、SNMP （Mib）trap发送事件告警，告警形式包括关键字告警、用户ID告警、事件告警以及故障告警等。例如：当日志中出现预设字符123时，自动发送告警，当预设用户ABC登录系统时，自动发送告警信息，管理员可以对ABC用户管理过程进行全程监听。

第四章带管安全策略

带管系统具有高级别保安功能，采用先进的包括：128-bit SSHv2、128-bit SSLv3数据加密，支持LDAP, RADIUS, TACACS+、 NIS、Kerberos等身份认证系统，防止未经授权用户非法访问。IP地址过滤功能可自由定义允许访问的IP地址列表或不允许访问的IP地址列表，根据访问控制IP地址表进行过滤或拦截。

4.1 数据加密系统

1）SSHv2加密

SSH( Secure Shell Protocol）安全外壳协议（SSH）是一种在远程登录及其它安全网络服务的加密协议。 SSH 主要有三部分组成： 

传输层协议 [SSH-TRANS] 

提供了服务器认证，保密性及完整性。此外它有时还提供压缩功能。 SSH-TRANS 通常运行在 TCP/IP连接上，也可能用于其它可靠数据流上。 SSH-TRANS 提供了强力的加密技术、密码主机认证及完整性保护。该协议中的认证基于主机，并且该协议不执行用户认证。更高层的用户认证协议可以设计为在此协议之上。 

用户认证协议 [SSH-USERAUTH] 

用于向服务器提供客户端用户鉴别功能。它运行在传输层协议 SSH-TRANS 上面。当 SSH-USERAUTH 开始后，它从低层协议那里接收会话标识符（从第一次密钥交换中的交换哈希 H ）。会话标识符唯一标识此会话并且适用于标记以证明私钥的所有权。 SSH-USERAUTH 也需要知道低层协议是否提供保密性保护。 

连接协议 [SSH-CONNECT] 

将多个加密隧道分成逻辑通道。它运行在用户认证协议上。它提供了交互式登录话路、远程命令执行、转发 TCP/IP 连接和转发 X11 连接。 

一旦建立一个安全传输层连接，客户机就发送一个服务请求。当用户认证完成之后，会发送第二个服务请求。这样就允许新定义的协议可以与上述协议共存。连接协议提供了用途广泛的各种通道，有标准的方法用于建立安全交互式会话外壳和转发（“隧道技术”）专有 TCP/IP 端口和 X11 连接。 

通过使用SSH，你可以把所有传输的数据进行加密，这样"中间人"这种攻击方式就不可能实现了，而且也能够防止DNS欺骗和IP欺骗。使用SSH，还有一个额外的好处就是传输的数据是经过压缩的，所以可以加快传输的速度。SSH有很多功能，它既可以代替Telnet，又可以为FTP、PoP、甚至为PPP提供一个安全的"通道"。

SSH连接示意图：

2）SSLv3加密

SSL (Secure Socket Layer)是用以保障在Internet上数据传输之安全，利用数据加密(Encryption)技术，可确保数据在网络上之传输过程中不会被截取及窃听。目前一般通用之规格为40 bit之安全标准，美国则已推出128 bit之更高安全标准，但出境。SSL加密技术已被广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输。

SSL协议位于TCP/IP协议与各种应用层协议之间，为数据通讯提供安全支持。SSL协议可分为两层：

SSL记录协议（SSL Record Protocol）：

它建立在可靠的传输协议（如TCP）之上，为高层协议提供数据封装、压缩、加密等基本功能的支持。 

SSL握手协议（SSL Handshake Protocol）：

它建立在SSL记录协议之上，用于在实际的数据传输开始前，通讯双方进行身份认证、协商加密算法、交换加密密钥等。

SSL协议提供的服务主要有：

1）认证用户和服务器，确保数据发送到正确的客户机和服务器；

2）加密数据以防止数据中途被窃取；

3）维护数据的完整性，确保数据在传输过程中不被改变。

SSL协议的工作流程：

服务器认证阶段：

1）客户端向服务器发送一个开始信息“Hello”以便开始一个新的会话连接；

2）服务器根据客户的信息确定是否需要生成新的主密钥，如需要则服务器在响应客户的“Hello”信息时将包含生成主密钥所需的信息；

3）客户根据收到的服务器响应信息，产生一个主密钥，并用服务器的公开密钥加密后传给服务器；

4）服务器恢复该主密钥，并返回给客户一个用主密钥认证的信息，以此让客户认证服务器。

用户认证阶段：

在此之前，服务器已经通过了客户认证，这一阶段主要完成对客户的认证。经认证的服务器发送一个提问给客户，客户则返回（数字）签名后的提问和其公开密钥，从而向服务器提供认证。

从SSL 协议所提供的服务及其工作流程可以看出，SSL协议运行的基础是商家对消费者信息保密的承诺，这就有利于商家而不利于消费者。在电子商务初级阶段，由于运作电子商务的企业大多是信誉较高的大公司，因此这问题还没有充分暴露出来。但随着电子商务的发展，各中小型公司也参与进来，这样在电子支付过程中的单一认证问题就越来越突出。虽然在SSL3.0中通过数字签名和数字证书可实现浏览器和Web服务器双方的身份验证，但是SSL协议仍存在一些问题，比如，只能提供交易中客户与服务器间的双方认证，在涉及多方的电子交易中，SSL协议并不能协调各方间的安全传输和信任关系。在这种情况下，Visa和 MasterCard两大信用卡公组织制定了SET协议，为网上信用卡支付提供了全球性的标准。 

SSL连接示意图：

3）HTTPS介绍

HTTPS（Secure Hypertext Transfer Protocol）安全超文本传输协议它是内置于其浏览器中，用于对数据进行压缩和解压操作，并返回网络上传送回的结果。HTTPS实际上应用了Netscape的完全套接字层（SSL）作为HTTP应用层的子层。（HTTPS使用端口443，而不是象HTTP那样使用端口80来和TCP/IP进行通信。）SSL使用40 位关键字作为RC4流加密算法，这对于商业信息的加密是合适的。HTTPS和SSL支持使用X.509数字认证，如果需要的话用户可以确认发送者是谁。

HTTPS是以安全为目标的HTTP通道，简单讲是HTTP的安全版。即HTTP下加入SSL层，https的安全基础是SSL，因此加密的详细内容请看SSL。它是一个URI scheme(抽象标识符体系)，句法类同http:体系。用于安全的HTTP数据传输。https:URL表明它使用了HTTP，但HTTPS存在不同于HTTP的默认端口及一个加密/身份验证层（在HTTP与TCP之间）。这个系统的最初研发由网景公司进行，提供了身份验证与加密通讯方法，现在它被广泛用于万维网上安全敏感的通讯，例如交易支付方面。它的安全保护依赖浏览器的正确实现以及服务器软件、实际加密算法的支持。

4.2 身份认证系统

网络运维系统支持可以支持LDAP、NIS、RADIUS, SecurID、Kerberos等系统认证方式，认证系统是识别一个人身份的过程，一般采用用户名和密码识别法。认证可以保证某人身份的正确性，但不会指明该人的存取权利。建议采用SecurID 、LDAP或RADIUS认证来确保系统安全防止未授权客户非法访问。系统管理远程访问运维网络须经过认证服务器对管理远程身份、管理权限进行系统认证，在通过系统认证后登陆SLM运维管理系统进行管理和维护。

1）TACACS+ 认证

TACACS+(Terminal Access Controller Access Control System)终端访问控制器访问控制系统。与IDsentrie的Radius协议相近。不过TACACS+用的是TCP协议，Radius用的是UDP, 一些管理员推荐使用TACACS+协议，因为TCP更可靠些。RADIUS从用户角度结合了认证和授权，而TACACS+分离了这两个操作。 

2）SecurID认证系统

RSA SecurID 用户认证系统是一个集数学、工程学和用户界面设计于一体的技术，它基于拥有专利的时间同步技术。一个RSA SecurID 解决方案有三个主要部件组成：一个简单易用的令牌、一个功能强大的管理服务器以及一些不同的软件代理。

RSA SecurID 令牌，使用户证明自己的身份后获得受保护资源的访问权。令牌先产生一个随机但专用于某个用户的“种子值”，该令牌每60秒钟就自动更新一次，其数字只有对于指定用户和特定时刻才有效，当然，还要综合用户的PIN码和密码。鉴于这种令牌具有动态性质，用户的电子身份很难被模仿、盗用或者破坏。

SecurID 使用一种称为令牌的由电池供电的手持设备。它存储当前时间并拥有一个只有该令牌才有的  位值。每隔指定的间隔，通常是每隔一分钟，令牌计算并显示一个新的代码。用户以某种方式将该代码同个事先协商的密码结合起来，在任何需要通行码的地方都输入该代码。认证服务器每隔那一特定的时间就计算令牌代码，并以指定的方式将该代码同用户的秘码的副本相结合，如果两个通行码相互匹配，就允许访问。

3） RADIUS远程用户拨入认证系统

RADIUS 是一种在网络接入服务器（Network Access Server）和共享认证服务器间传输认证、授权和配置信息的协议。RADIUS 使用 UDP 作为其传输协议。此外 RADIUS 也负责传送网络接入服务器和共享计费服务器间的计费信息。

RADIUS认证系统特征如下： 

•客户/服务器模式：

网络接入服务器作为 RADIUS 的客户端，负责将用户信息传递给指定的 RADIUS 服务器，然后根据返回信息进行操作。RADIUS 服务器负责接收用户连接请求，认证用户后，返回所有必要的配置信息以便客户端为用户提供服务。RADIUS 服务器可以作为其他 RADIUS 服务器或认证服务器的代理。 

•网络安全：

客户端与 RADIUS 记帐服务器之间的通信是通过共享密钥的使用来鉴别的，这个共享密钥不会通过网络传送。此外，任何用户口令在客户机和 RADIUS 服务器间发送时都需要进行加密过程，以避免有人通过嗅探非安全网络可得到用户密码。 

•灵活认证机制：

RADIUS 服务器支持多种用户认证方法。当用户提供了用户名和原始口令后， RADIUS 服务器可支持 PPP PAP 或 CHAP、UNIX 登录和其它认证机制。 

•协议的可扩充性：

所有的事务都是由不同长度的“属性－长度－值”的三元组构成的。新的属性值的加入不会影响到原有协议的执行。 

4）LDAP认证系统

LDAP（Lightweight Directory Access Protocol）是轻量目录访问协议，它是基于X.500标准的，但是简单多了并且可以根据需要定制。与X.500不同，LDAP支持TCP/IP，这对访问Internet是必须的。LDAP的核心规范在RFC中都有定义，所有与LDAP相关的RFC都可以在LDAPman RFC网页中找到。简单说来，LDAP是一个得到关于人或者资源的集中、静态数据的快速方式。LDAP是一个用来发布目录信息到许多不同资源的协议。通常它都作为一个集中的地址本使用，不过根据组织者的需要，它可以做得更加强大。

从另一个意义上 LDAP是实现了指定的数据结构的存贮，它是一种特殊的数据库。LDAP对查询进行了优化，与写性能相比LDAP的读性能要优秀很多。就象Sybase、Oracle、Informix或Microsoft的数据库管理系统（DBMS）是用于处理查询和更新关系型数据库那样，LDAP服务器也是用来处理查询和更新LDAP目录的。

5） Kerberos认证系统

Kerberos 是一种网络认证协议，其设计目标是通过密钥系统为客户机 / 服务器应用程序提供强大的认证服务。该认证过程的实现不依赖于主机操作系统的认证，无需基于主机地址的信任，不要求网络上所有主机的物理安全，并假定网络上传送的数据包可以被任意地读取、修改和插入数据。在以上情况下，Kerberos 作为一种可信任的第三方认证服务，是通过传统的密码技术（如：共享密钥）执行认证服务的。

4.3 其它安全策略

IP地址过滤 （IP Packet filtering）

IP地址过滤 （IP Packet filtering）是通过分析进、出数据包，根据其源、目标 IP 地址而允许或阻止其通过，从而控制对网络的存取。包过滤是实施安全防火墙的的许多技术之一。

第五章带管产品介绍

Lantronix ITM带管系统基于国际先进的带外管理技术开发的新一代网络运维管理系统，ITM带管系统可以对机房内部来自不同厂商、不同类型的网络设备、服务器设备以及电源系统进行集中监控和整合管理。通过ITM网络运维管理系统可以对企业运维人力资源进行合理的分配提高协作能力，在提高企业IT运维效率和管理水平的同时还可以有效的降低企业IT运维成本。ITM带管系统方案包括控制台管理系统、服务器管理系统、电源远程控制系统、网络管理系统。

ITM运维管理家族成员：

5.1 控制台服务器

SLC控制台服务器可以把机房内部网络设备（交换机、路由器、防火墙、漏洞扫描、入侵检测、负载均衡等）的Console端口集中起来联网建立一套于数据网络之外的专用管理网络，数据和管理将不再共用同一物理信道，数据网络和管理网络完全互不影响。系统管理员利用专用管理网络通过控制台服务器对机房内部的网络设备进行集中监控、管理和维修。在网络出现故障情况下管理员可以通过Modem拨号方式登陆控制台服务器对网络设备进行管理和维修。

控制台服务器提供多种的安全加密和系统认证方案，采用标准的SSHv2硬件加密和SSLv3加密技术保护数据信息安全，利用功能强大的例如RADIUS、TACACS+、LDAP、Kerberos、NIS和RSA Security的SecureID令牌等认证方案确保授权用户的访问。

管理员在任何时间从任何地点利用Internet或Modem拨号方式通过控制台服务器对远端机房内的网络设备进行管理或维护，管理员利用https、Telnet、SSH Telnet等系统自带程序对网络设备进行集中管理，而无需任何专用管理软件。

技术参数：

网络界面：

2个10/100Base-TX (RJ45)以太网端口；

网络协议：

DHCP、BOOTP、NTP、FTP,、TFTP、DNS、SSH, SSL, Telnet, PPP, NFS、CIFS、SNMP、TCP/IP、UDP、UDP Multicast、ICMP、HTTPS；

串行界面：

Console端口：8、16、32、48个；端口类型：EIA-RS232（RJ45）；波特率：2400-115.2Kbps；

安全加密：

SSHv2、SSLv3、AES (256/192/128)、3DES；

系统认证：

LDAP、NIS、RADIUS、PAP/CHAP、Kerberos、RSA SecureID、IP地址过滤；

管理界面：

Https/SSL、Telnet/SSH、SNMPv3/Mib II、本地Console管理、前置面板键盘；日志管理：端口缓冲：每端口256KB；远程NFS档案；SYSLOG；利用email进行事件通知；

并发访问数：

支持多个并发 Telnet/SSH 会话（最大  个）

产品认证：

CCC、FCC、CE (EN55022, EN55024, EN60950)、CSA、VCCI、TUV、GS Mark,、UL/CUL、C-Tick、CB Scheme；

PCMCIA端口：

2个PCMCIA插槽（V.92 Modem）；

Console端口：

1个本地Console配置端口；

LED控制面板：

LED系统状态面板，功能控制键盘；

电源输入：

单/双AC电源（100 -240VAC，50-60Hz）；单/双DC电源（-24 至 -60 VDC）；

工作环境：

工作温度：0 至 50°C；存储温度：-20 至 70°C；

尺寸（高x长x宽）：

1U机架、1.75寸 x 17.25寸 x 12寸；

操作系统：

嵌入式Linux；

5.2 网络管理器

SecureLinx™ SLM网络集中管理器是Lantronix  SecureLinx™ “带外管理”Out-Of-Band系统的核心组成部分，为整个带外管理架构内所有网络设备提供集中管理平台。系统管理员通过SLM网络集中管理器对网络中心的所有网络设备进行统一管理。例如：服务器、路由器、交换机、PBX、UPS、主控台服务器、远程KVM、远程电源管理器。SLM网络管理器作为整个网络管理的心脏，它整合所有连接到主控台服务器、KVM 或远端电源管理的设备。透过一个存取点和管理界面，让管理人员简易和快速的管理网络中心的任何设备。

SLM集中化管理模式可以有效地降低管理和维护成本，系统管理员通过SLM网络管理器提供的Web图形界面对远端机房网络设备进行统一管理，而无须专用管理软件。当有设备出现问题时管理员可以迅速隔离或通过带外管理结构对该设备进行维护。这样可以把因系统宕机时间带来的冲击降低，从而提高公司和员工的效率。SLM管理器把所有设备产生的系统日志、设备系统配置等信息记录并储存在内部硬盘里，提供安全和永久的记录，对系统恢复非常有帮助。

系统容量：

管理设备数量：256个（最大值）

同时访问数量：25个（最大值）

系统配置：

处理器：Intel® Pentium® 4, 3.0 GHz

内  存：512MB  硬  盘：40GB

操作系统：

嵌入式LINUX

设备端口界面：

1个10/100M Base-T(RJ45)

1个10/100/1000M Base-T(RJ45)

1个本地Console配置管理端口（DB9针式）

安全认证：

128/192/256位 Secure Shell（SSHv2）

128/192/256位 Secure Sockets Layer (SSL v3,TLS v1)

LDAP、RADIUS、NIS、Kerberos 和TACACS+

电源输入：

100-240VAC输入, 50 to 60 Hz, 功耗250W

工作环境：

工作温度：10 - 35°C； 存储温度：-40 to 70°C

尺寸重量：

尺寸： 1U  43 x 429 x 584 mm   重量： 12.7 kg

产品认证：

UL/CSA 60950-1:2003, EN 60 950; CE Mark-EUDirective 73/23/EEC, IEC 60 950, EMKO-TSE (74-SEC)207/94, GOST-R 50377-92 (GOST-R Mark)、FCC Class A, ICES-003 Class A, EN55022 Class A,EN55024 (Immunity), CE Mark (EU Directive /336/EEC),CISPR-22/VCCI Class A, AS/NZS 3548 Class A (C-tick Mark),RRL Class A Certification to MIC Notices 1997-41 &1997-42, GOST-R 29216-91, GOST-R 50628-95(GOST-R Mark), BSMI CNS13438 Class A (DOC)

第六章设备安装及系统调试

6.1 设备安装

    根据客户进度安排成立由资深技术工程师和应用技术工程师组成的项目实施小组，与客户运维管理工程师到工程现场指导设备安装及设备综合调试，调试完成后移交给用户进行使用和管理。对用户技术工程师进行技术培训， 

6.2 综合调试

    硬件设备安装结束后，安全网络技术工程师于客户运维工程师一起对带外管理设备进行逐个调试。单机设备调试完成后根据客户需求制订安全对运维管理系统进行综合调试。

6.3 技术培训

项目综合调试完成后，安排资深应用工程事对运维管理人员进行为期3天的应用技术培训，培训内容包括：设备安装及配置、设备使用操作、设备调试和维护。

第七章 技术支持与售后服务

7.1技术支持

Lantronix ITM带管硬件设备提供7x24技术支持服务，48小时内现场技术服务，当设备出现故障无法正常运行时提供备用机服务。

1）技术支持

厂商工程师提供24小时技术支持。支持方式包括：电话、Email、远程协助、传真等方式进行。

2）现场服务

当带外管理设备出现故障不能正常运行时或用户需要对网络架构进行大规模升级改造时，厂商工程师可以提供48小时到达现场支持服务。

3）备用机服务

当带外管理设备出现故障不能正常使用时，经过厂商工程师判断设备需要进行返厂维修时，厂商可以免费提供备用机服务。直到故障设备完成维修并交付客户后，厂商将收回备用机。

4）不可抗拒因素

  A.因意外不可抗拒力（指自然灾难、地震、洪水、雷击、火灾、强 

    电串入及战争状态、恐怖活动、戒严、罢工等）；

  B.非卖方指定人员安装、修理或改动过部件；

  C.由于不可抗拒力等造成对系统的影响，卖方有责任和义务及时为

    买方修复，费用由买方负责。