带外网管

一、什么是带外网管

从技术的角度，网络管理可分为带外管理（ out-of-band ）和带内管理（ in-band ）两种管理模式。所谓带内管理，是指网络的管理控制信息与用户网络的承载业务信息通过同一个逻辑信道传送；而在带外管理模式中，网络的管理控制信息与用户网络的承载业务信息在不同的逻辑信道传送。

    简单的来说 , 象 Openview 、 CiscoWorks 、 Tivoli 这类的网管软件系统都是带内网管，网管系统必须通过网络来管理设备。如果无法通过网络访问被管理对象，带内网管系统就失效了，带外网管系统就排上用场了。就象你家里的固定电话坏了，只能通过手机来报修一样，带外网管是网管系统中的紧急通道。

    带外网管系统的构成：控制台服务器、 KVM 服务器、智能电源管理器、带外网管 Manager 等组成。

    控制台服务器：连接设备的 console 口或 RS-232 串口，通过网络或 modem 拨号访问控制台服务器，就可以直接进入被管理设备的控制接口，即使该设备无法通过网络访问。

        KVM 服务器：通过 KVM OVER IP 技术你能从网络的任意地点，通过你的显示器、键盘鼠标来控制远端的服务器。

        智能电源管理器：通过智能电源管理器，可以远程开关设备电源。

        带外网管 Manager 是以上所有带外网管设备统一管理平台。

[separator]

二、带外网管的作用

        带外网管能够使用户：减少运营成本、提高运营效率、减少宕机时间、提高服务质量。

带外网管有以下几种主要功能：控制台服务器具有所有功能、 KVM 具备前两种功能。

l     设备紧急访问通道

l     集中访问控制、分级授权管理

l     操作日志记录

l     故障告警

1、  设备紧急访问通道

所有可以使用命令行进行配置的设备（网络设备、存储设备、 unix 服务器、 linux 服务器、 win2003 服务器、甚至 PBX ）都有 console 口或 RS-232 串口，通过这些管理接口可以直接使用命令控制设备。控制台服务器连接到设备 console 或串口，在任何情况下只要能够通过网络或者拨号方式访问到控制台服务器就对设备进行操作。 KVM 服务器连接到设备的鼠标接口、键盘接口、视频输出接口。 KVM OVER IP 使用户可以用自己的鼠标、键盘远程控制设备，同时视频输出到用户本地的显示器上。使用控制台服务器＋ KVM 组合，可以解决所有设备的非硬件故障。

2、  集中访问控制

由于带外网管提供了访问设备的通道，因此可以把通过网络访问设备（ Telnet 等方式）方式进行严格限制，可以降低网络安全隐患。比如限定特定的 IP 地址才可以通过 Telnet 访问设备。大部分的访问均通过带外网管系统进行，可以把整个 IT 环境设备的访问统一到带外网管系统。与传统的设备管理各自为政不同，通过带外网管可以很容易做到不同用户名登录对应不同设备管理权限，一个 IT TEAM 可以根据各个人员职责不同进行授权。

3、  操作日志记录

通过控制台服务器访问设备，所有的命令及结果都会被以文件方式记录下来。这样所有对于设备进行的操作均有迹可寻，这种级别的 IT 审计对于日后纠正错误操作和发现非法操作有非常大的贡献。尤其是在美国上市的公司要求 IT 审计的级别非常高，带外网管可以很好的满足这个要求。

4、  故障告警

控制台服务器连接设备的 console 接口时，设备出现故障将会通过 console 接口发出相应的信息。所有通过 console 接口发出的告警信息经过过滤后可以发给用户运维人员，作为带内网管告警的补充。

三、什么样的IT 环境需要带外网管

        运维人员和 IT 设备不在同一个物理地点。这种类型的网络环境包括所有的电信运营商和银行及有分支机构的政府、企业网络。一旦设备故障无法通过网络解决（ telnet 、 pcanywhere 等手段），运维人员只能到现场解决问题。这种类型的网络通过带外网管可以大幅提高网络运维效率，同时有效降低运维成本。

        运维人员与 IT 设备在同一地点， IT 设备数目很多统一管理面临很大难度。这种类型 IT 环境包括所有 IDC 、企业的数据中心（非托管）、互联网公司、游戏运营商。运维 TEAM 需要面对几百台甚至上万台服务器，对设备的访问控制授权、操作记录均需要借助带外网管来完成。

四、如何组建带外网管系统 

       带外网管系统主要由控制台服务器、 KVM 服务器、智能电源管理器组成，如果一个网络中带外网管设备（指控制台服务器等）有十台以上，需要带外管理 Manager 来管理带外网管设备。

        带外网管系统组网模式主要有两种，一种是为带外网管设备单独组网，另一种带外网管设备和管理的设备放在同一个网络中使用拨号等方式做为备份。第一种组网模式适合对于网络健壮要求较高的电信运营商或金融系统的用户。组网一般采用低带宽的专线模式，如 64K 的 DDN 、帧中继等，目前国内的运营商也有用 2M 传输线路组网的。第二种组网模式，带外网管设备接入到运营网络中，如果网络出现故障，通过拨号访问带外网管设备。

        控制台服务器有若干个 RS232 接口（最多 48 个），通过普通 CAT5 网线＋转换头连接到不同设备的 console 接口或串口。

       KVM 服务器上有若干个 RJ45 的接口，通过 CAT5 网线与服务器连接，网线服务器端接一个转换头。转换头带有鼠标接头和键盘接头、视频接头与服务器相连，用户通过访问 KVM 服务器就可以控制相应的设备。

       智能电源管理器上有直流或交流电源接口与设备的电源插头连接。智能电源管理器的 console 接口与控制台服务器连接。通过控制台服务器控制智能电源管理器的任何一个电源单元的开关。

       带外网管 Manager 是所有带外网管设备的网管平台。 Manager 只要能够访问到所有的带外网管设备即可。所有通过对单个带外网管设备的访问集中到 Manager 上，只通过 Manager 就可以访问所有网络中的被管理的设备。同时 Manager 存储所有带外网管设备的日志。

五、路由器＋八爪鱼能代替控制台服务器吗

熟悉 Cisco 人的都知道，一般的 Cisco Lab 里面都用 2509 或 2511 连接 router 的 console 口，通过反向 telnet 方式来进行带外管理。有一段时间，考 CCIE 的人多了，很多人自己建 lab 都买 2509 ，二手市场 2509 和 2511 的价格一路飚升。以至于很多人一提带外网管就是使用路由器＋八爪鱼进行设备管理。

       路由器＋八爪鱼提供了远程访问 console 接口的通道。但是它也仅能实现这一功能，其它的带外网管的功能它都不能实现。如果仅仅为了实现这一功能，通过 modem 拨号也可以实现，成本更低。大部分的设备都有异步口，接上 modem 后，远程拨号就可以访问该设备。

       下面看一下控制台服务器比路由器＋八爪鱼究竟有什么优势。在带外网管的作用一文里介绍了除了设备紧急访问通道外，还有以下三种功能：集中访问控制、分级授权管理，操作日志记录，故障告警。这三种功能路由器和串口卡都不能实现。在安全方面控制台服务器也做的更好。控制台服务器支持 SSHv1 、 v2 可以有效的防止数据泄露。通过控制台服务器可以传送 SUN break 信号，这点路由器和串口卡也做不到。同时通过控制台服务器访问设备，支持进行多进程操作，比如两个用户同时对于一个设备操作，或者一个操作一个观看等。

       不难看出传统的路由器＋八爪鱼是不能代替控制台服务器的。