用户手册
文档版本
发布日期
用户手册
i
浪潮专有和保密信息
版权所有 浪潮电子信息产业股份有限公司
尊敬的用户:
版权 © 浪潮 2019. 版权所有
未经事先书面同意,本文档的任何部分不得复制或以任何形式或任何方式修改、外传
注:您购买的产品、服务或特性等应受浪潮集团商业合同和条款的约束。本文档中描述的全部
或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定,浪潮集团
对本文档内容不做任何明示或默示的声明或保证。由于产品版本升级或其他原因,本文档内
容会不定期进行更新。除非另有约定,本文档仅作为使用指导,本文档中的所有陈述、信息
和建议不构成任何明示或暗示的担保。
Inspur 和“浪潮”是浪潮集团的注册商标。
Windows 是微软公司的注册商标。
Ampere 是安培计算有限责任公司的注册商标。
其他商标分别属于其相应的注册公司。
技术服务电话:
地址:
中国济南市浪潮路 号
浪潮电子信息产业股份有限公司
邮编:
用户手册
9
浪潮专有和保密信息
版权所有 浪潮电子信息产业股份有限公司
概述
文档用途
描述了浪潮基板管理控制器(BMC)的功能规范及其详细信息。
目标读者
软件开发人员、系统集成人员、测试人员和服务器管理用户。
部分用于生产、装备、返厂检测维修的接口、命令,定位故障的高级命令,如使用不当,将可能导致设备异常或者业务中
断,故不在本资料中说明。如需要,请向浪潮申请。
适用范围
本用户手册适用于 和 机型。
说明:本文档参照 机型撰写,其他机型功能根据硬件配置情况或稍有不同,
具体参考机型 页面
用户手册
10
浪潮专有和保密信息
版权所有 浪潮电子信息产业股份有限公司
服务器系统概述
BMC,英文全称为 Baseboard Management Controller,为基板管理控制器。主要用
于服务器整机设备状态监控,提供远程管理控制功能。BMC 是一个独立的嵌入式系统,有自
己的处理器和内存。其运行不依赖于操作系统,可以在主机关机的情况下,对机器进行固件
升级、管理控制以及查看设备状态等一系列操作。
功能特点
BMC 有如下功能特点:
支持 IPMI2.0,IPMI 接口包括 KCS, LANPLUS, IPMB
管理协议:IPMI2.0, HTTPS, SNMP, Smash CLI
Web GUI
Redfish
管理网口接口:Dedicated/NCSI
控制台重定向(KVM)、虚拟媒体
Serial Over Lan(SOL)
诊断日志:系统事件日志(SEL)、审计日志、浪潮故障诊断日志(IDL)和一键
收集日志
用户手册
11
浪潮专有和保密信息
版权所有 浪潮电子信息产业股份有限公司
BMC硬件看门狗,若 BMC 在 4分钟内没有响应,风扇将拉高到安全转速以保证服务器散
热正常
事件报警:SNMP Trap(v1/v2c/v3)、邮件报警、系统日志(syslog)
支持 BMC固件 双Flash
存储:监控和配置 RAID 控制器 / 硬盘 / 虚拟硬盘
固件更新:BMC/BIOS/CPLD/SCP/PSU
设备状态监控和诊断
系统设计
ASPEED AST2500 基板管理控制器,在服务器管理子系统的中心是 ASPEED AST2500
集成基板管理控制器。该设备支持多种平台功能,包括系统视频功能、传统超级 I/O 功能、
硬件监控功能,并集成了一个 ARM1176JZF-S 32 位RISC CPU 微控制器,以承载符合 IPMI
2.0 的服务器管理固件堆栈。
组件中集成了以下功能:
带外围设备的基板管理控制器(BMC)
服务器级超级I/O(SIO)
图形控制器
远程KVM重定向、USB媒体重定向和硬件加密
用户手册
12
浪潮专有和保密信息
版权所有 浪潮电子信息产业股份有限公司
CPU1 CPU0
PCIE to USB
PCIe4.0 x8
PCIe4.0 x8
PCIe4.0 x8
PCIe4.0 x8
PCIe4.0 x8
PCIe4.0 x8
PCIe4.0 x8
PCIe4.0 x8
CCIX
CCIX
CCIX
CCIX
PCIe4.0 x8
PCIe4.0 x8
PCIe4.0 x8
PCIe4.0 x8
PCIe4.0 x8
PCIe4.0 x8
PCIe4.0 x8
PCIe4.0 x8
CCIX
CCIX
CCIX
CCIX
CCIX @25G x16
CCIX @25G x16
USB3.0
GBE
controll
er
Front Right
Front Left
RJ45
DDR4
@3200Mbps
CH4,5,6,7
DDR4
@3200Mbps
CH0,1,2,3
DDR4
@3200Mbps
CH4,5,6,7
DDR4
@3200Mbps
CH0,1,2,3
BMC
TPM
···
USB3.0*2
OCP3.0
M.2*2
Rear VGA
PCIe4.0 x8 [7..0]PCIe4.0 x8 [15..8]
CPU0/CPU1_RCB0A
slimline
SATA controller
SATA_B
SATA_A
USB2.0
USB2.0
USB2.0
NCSI header
图 硬件体系结构
主机的 SSIF 接口用于 SIO 和BMC 通信。I2C 总线接口提供 IPMI 兼容的 SSIF 接口。
PCI-Express 接口主要用于图形控制器接口与主机通信。图形控制器是一个兼容 VGA 的
控制器,具有 2D 硬件加速和完全的总线主控支持。图形控制器最多可支持 1920x1200
32bpp@60Hz 高刷新率下的分辨率。PCI Express 接口还用于使用 MCTP 协议向其他系统设
备发送 BMC 消息。
USB 2.0 集线器接口用于远程键盘和鼠标,以及远程存储支持。BMC 支持各种存储设备,
如CDROM、DVDROM、CDROM(ISO 映像)、软盘和 USB 闪存。任何存储设备都可以用作
引导设备,主机可以通过 USB 接口重定向从该远程媒体引导。
用户手册
13
浪潮专有和保密信息
版权所有 浪潮电子信息产业股份有限公司
安全管理
安全特性
用户账号安全管理
账号安全包括密码长度及复杂度、密码有效期、禁用历史密码重复次数和登录失败
锁定等功能,还包含修改口令时验证旧口令、首次登录时提示修改默认口令等措施保证账号
安全。
安全协议及安全端口防攻击
按照最小化原则对外开放网络服务端口,关闭不使用的服务;默认使用安全协议,
默认关闭不安全协议的端口。
基于角色的权限管理
支持多种类型的用户,包括 、 、 和 用户,各类用户按照不同
角色分配不同权限,实现用户的权限分立,且仅授予所需的最小访问权限。
安全更新及安全启动
镜像文件采用安全长度的密钥加密算法进行数字签名,在更新及启动时对镜像文件
的数字签名进行校验,校验通过才允许固件更新及启动,防止镜像被恶意篡改。同时提供防
错刷机制,防止不同厂商、不同产品型号、不同固件类型的镜像文件之间禁止互相刷新。
镜像安全备份
用户手册
14
浪潮专有和保密信息
版权所有 浪潮电子信息产业股份有限公司
支持双 ,每个 上存储一份镜像文件,支持双镜像升级,确保镜像文件
的可用性。
基于场景的登录限制
基于安全考虑,从 地址、端口、时间段、 等多个维度将服务器管理接口访问控制
在最小范围。用户可根据使用场景,创建白名单访问控制规则,防止非法访问。
日志管理
记录所有接口的非查询操作,记录内容应包括事件发生时间、操作接口、操作源
、操作源用户、执行动作等。支持通过 导出日志,支持日志循环记录及 外
发,防止日志空间记录满时造成日志丢失。故障诊断日志 是浪潮 独有的日志类型,
用于记录 设备上基于 传感器的事件历史记录,每条日志都有相应的处理建议,能更
有效的帮助用户进行日志诊断和分析。
数据加密存储及传输
中的敏感数据在日志、文件或 中使用安全算法进行加密存储,默认使用
进行通信, 、 、 及 等均支持 ,以保证数据传输的安
全性。在使用远程控制台时, 支持开启 加密、 加密功能,实现数据的安全
传输。
证书管理
支持 证书生成及证书替换功能,为提高安全性,建议替换成自己的证书和公
私钥对,并及时更新证书,保证证书的有效性。
用户手册
15
浪潮专有和保密信息
版权所有 浪潮电子信息产业股份有限公司
总体使用原则
使用业务网络外的内部专用网络对BMC进行管理及配置。
关闭不使用的服务端口,使用安全的协议进行通信。
定期审计BMC操作日志,更新固件安全补丁。
安全加固
默认用户/密码
为了方便用户首次操作,表 3-1 描述了 BMC 系统默认口令
表 默认用户 密码
默认用户 密码
平台
的默认值
备注
默认用户名 密
码
用户名:
密码:
用户 拥有最高权限,属
于角色 。
默认密码修改,请遵循密码复杂
度要求。
密码
命令主要用于加载底层
软件、调试底层设备,属于调试
命令,请专业人员操作。
团体字
读团体字:
默认团体字修改,请遵循密码复
杂度要求,
设置方法请参考
第
用户手册
16
浪潮专有和保密信息
版权所有 浪潮电子信息产业股份有限公司
写团体字:
设置
章
节。
串口用户 密码
用户名:
密码:
仅限 调测串口登陆,进行
调试和维护。
说明
为保证系统的安全性,建议您在首次操作时修改默认值。
用户管理
BMC 采用基于角色的本地用户精细化管理。系统权限类型被化分为用户配置、常规配
置、电源控制、远程媒体、远程 KVM、安全配置、调试诊断、查询功能、配置自身这九种
类型。默认支持“管理员”、“操作员”、“普通用户”角色,不允许配置修改其权限。另外还
支持最大 4个自定义角色组 OEM1、OEM2、OEM3、OEM4,系统管理员可灵活地根据业
务维护需求将这九类权限配置给一个自定义角色。
建议系统管理员创建审计角色和维护角色,其中审计角色拥有安全配置和查询功能权限;
维护角色拥有调试诊断和查询功能。具体各个角色的权限
设置方法请参考
14.2.2 用户权限
章节。
建议创建审计员,拥有
审计角色;创建维护员,拥有维护角色。用户创建和分配角色
设置方法请参考
14.2 用户精细化管理章节。
用户手册
17
浪潮专有和保密信息
版权所有 浪潮电子信息产业股份有限公司
认证管理
支持本地认证认证模式,本地认证方式适合小型组网环境,如中小型企业。本地
支持用户名密码认证,另外本地自动化采用 方式登录 命令行建议采用公钥认证。
服务管理
BMC服务按照最小化原则对外开放网络服务端口:即调试使用的网络服务端口在正式使
用的时候必须关闭,不安全协议的端口默认关闭,不使用的网络服务必须关闭。服务及端口
如下:
服务
非安全端口
安全端口
用户手册
18
浪潮专有和保密信息
版权所有 浪潮电子信息产业股份有限公司
基于最小化原则,不安全协议的端口默认关闭, 目前支持非安全端口服务包括
、 、 、 、 、 ,建议关闭非安全端口。
基于最小化原则,不使用的服务建议关闭。必须使用这些服务时,建议开启安全配置,
包括会话超时和会话限制。目前 、 、 、 、 等支持会话超时配置,会
话超时可根据不同应用场景设置不同值,建议会话超时设置不超过 秒; 、 、
、 、 、 等支持最大会话数限制,默认开启。
可在“ 设置 服务”进行设置,
设置方法请参考 服务章节。
密码策略
密码策略包括:密码复杂度、密码有效期、历史密码记录和登录失败锁定。为了防
密码猜测和暴力破解,密码复杂度建议设置密码长度至少 位以上,字符类型包含 种及以
上;本地用户建议开启密码有效期和历史密码记录检查;建议开启密码登录失败锁定配置。
可在“ 设置 用户精细化管理”进行设置,
设置方法请参考
用户精细化管
理章节。
访问控制
BMC访问控制主要通过系统防火墙,包括一般防火墙、IP地址防火墙、端口防火墙和
MAC防火墙,减少攻击来源。基于安全考虑从时间、地点(IP/端口/MAC)、行为三个维度将
服务器管理接口访问控制在最小范围,建议用户根据需要设置登录规则的白名单。
可在“BMC 设置 > 系统防火墙” 进行设置,
设置方法请参考 14.4 系统防火墙章节。
用户手册
19
浪潮专有和保密信息
版权所有 浪潮电子信息产业股份有限公司
加密认证
建议配置 实体装置安全设置,启用加密媒体重定向封包功能,具体见 媒体
重定向章节。
证书管理是指对 SSL 证书的各种管理操作。SSL 证书默认使用自签名 SSL 证书,证书的
签名算法为 SHA-256、RSA-2048。从安全考虑,建议客户在首次使用时导入自己的证书来
替换系统中默认的自定义证书,从而以安全的模式访问 BMC。具体设置方法可参考 14.6 SSL
设置章节。
Syslog 系统日志支持传输过程中的加密功能,为了保证数据传输的安全性,建议 syslog
配置使用 TLS 传输协议,具体配置见 9.3 日志设置章节。
BMC 支持 SNMP set/get,建议配置 SNMP V3,认证算法 SHA,保密算法为 AES。BMC
支持 SNMP Trap,用户打开 Trap 接收器,在 BMC Web GUI 中设置 Trap 目标 IP,当
BMC 检测到事件发生时,BMC 将自动发送事件给 Trap 接收器,具体设置方法可参考 9.7
SNMPTrap 设置章节。
远程会话安全设置建议启用 KVM 加密功能,具体设置方法见 8.4 媒体重定向小节。
虚拟媒体
媒体重定向功能允许用户通过客户端/远程呈现各种媒体设备和镜像,并将其作为虚拟
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
ページが読み込まれています...
-
1
-
2
-
3
-
4
-
5
-
6
-
7
-
8
-
9
-
10
-
11
-
12
-
13
-
14
-
15
-
16
-
17
-
18
-
19
-
20
-
21
-
22
-
23
-
24
-
25
-
26
-
27
-
28
-
29
-
30
-
31
-
32
-
33
-
34
-
35
-
36
-
37
-
38
-
39
-
40
-
41
-
42
-
43
-
44
-
45
-
46
-
47
-
48
-
49
-
50
-
51
-
52
-
53
-
54
-
55
-
56
-
57
-
58
-
59
-
60
-
61
-
62
-
63
-
64
-
65
-
66
-
67
-
68
-
69
-
70
-
71
-
72
-
73
-
74
-
75
-
76
-
77
-
78
-
79
-
80
-
81
-
82
-
83
-
84
-
85
-
86
-
87
-
88
-
89
-
90
-
91
-
92
-
93
-
94
-
95
-
96
-
97
-
98
-
99
-
100
-
101
-
102
-
103
-
104
-
105
-
106
-
107
-
108
-
109
-
110
-
111
-
112
-
113
-
114
-
115
-
116
-
117
-
118
-
119
-
120
-
121
-
122
-
123
-
124
-
125
-
126
-
127
-
128
-
129
-
130
-
131
-
132
-
133
-
134
-
135
-
136
-
137
-
138
-
139
-
140
-
141
-
142
-
143
-
144
-
145
-
146
-
147
-
148
-
149
-
150
-
151
-
152
-
153
-
154
-
155
-
156
-
157
-
158
-
159
-
160
-
161
-
162
-
163
-
164
-
165
-
166
-
167
-
168
