什么叫带外管理？

常见的设备管理方式有SNMP、RMON、Web、TELNET以及通过CONSOLE、AUX接口管理，有些高端设备还具备100BASE-TX的带外管理端口。
我在网上查到大概SNMP、RMON、Web、TELNET这些管理方式属于带内管理，通过CONSOLE、AUX接口管理和通过某些高端设备具有的100BASE-TX的带外管理端口进行管理的方式属于带外管理。
那么所谓带内、带外是不是指跟占用生产网络带宽、接口的管理方式称之为带内管理，与此相反，不占生产网络带宽、接口的管理方式称之为带外管理？

带外网管是指通过专门的网管通道实现对网络的管理，将网管数据与业务数据分开，为网管数据建立独立通道。在这个通道中，只传输管理数据、统计信息、计费信息等，网管数据与业务数据分离，可以提高网管的效率与可靠性，也有利于提高网管数据的安全性。

带内管理使得网络中的网管数据和业务数据在相同的链路中传输，当管理数据（包括SNMP，Netflow，Radius，计费等）较多时，将会影响到整个网络的性能；管理数据的流量较少，对整个网络的性能影响不明显，可采用带内管理。

首先我们要先搞清带外网管的概念。

什么是带外网管？

从技术的角度，网络管理可分为带外管理（out-of-band）和带内管理（in-band）两种管理模式。所谓带内管理，是指网络的管理控制信息与用户网络的承载业务信息通过同一个逻辑信道传送；而在带外管理模式中，网络的管理控制信息与用户网络的承载业务信息在不同的逻辑信道传送。

简单的来说,象 Openview、CiscoWorks、Tivoli 这类的网管软件系统都是带内网管，网管系统必须通过网络来管理设备。如果无法通过网络访问被管理对象，带内网管系统就失效了，这时候带外网管系统就排上用场了。就象你家里的固定电话坏了，只能通过手机来报修一样，带外网管是网管系统中的紧急通道。

带外网管由哪几部分组成？

带外网管系统的构成：控制台服务器（Console Server）、KVM服务器、智能电源管理器（Intelligent Power Distribution Units）、带外网管Manager（Network Management）等组成。

控制台服务器：连接idc中设备的console口或RS-232串口，通过网络或modem拨号访问控制台服务器，就可以直接进入被管理设备的控制接口，即使该设备无法通过网络访问。

KVM服务器：通过KVM OVER IP技术你能从网络的任意地点，通过你的显示器、键盘鼠标来控制远端的服务器。

智能电源管理器：通过智能电源管理器，可以远程开关设备电源。

带外网管Manager是以上所有带外网管设备统一管理平台。

清楚了带外网管的概念，知道了它的构成，下面我们来聊聊带外网管的作用。

带外网管能够使用户：减少运营成本、提高运营效率、减少宕机时间、提高服务质量。

带外网管有以下几种主要功能：控制台服务器具有所有功能、KVM具备前两种功能。1、设备紧急访问通道 2、集中访问控制、分级授权管理 3、操作日志记录4、故障告警。

设备紧急访问通道：所有可以使用命令行进行配置的设备（网络设备、存储设备、unix服务器、linux服务器、win2003服务器、甚至PBX）都有 console口或RS-232串口，通过这些管理接口可以直接使用命令控制设备。控制台服务器连接到设备console或串口，在任何情况下只要能够通过网络或者拨号方式访问到控制台服务器就对设备进行操作。KVM服务器连接到设备的鼠标接口、键盘接口、视频输出接口。KVM OVER IP使用户可以用自己的鼠标、键盘远程控制设备，同时视频输出到用户本地的显示器上。使用控制台服务器＋KVM组合，可以解决所有设备的非硬件故障。

集中访问控制：由于带外网管提供了访问设备的通道，因此可以把通过网络访问设备（Telnet等方式）方式进行严格限制，可以降低网络安全隐患。比如限定特定的IP地址才可以通过Telnet访问设备。大部分的访问均通过带外网管系统进行，可以把整个IT环境设备的访问统一到带外网管系统。与传统的设备管理各自为政不同，通过带外网管可以很容易做到不同用户名登录对应不同设备管理权限，一个IT TEAM可以根据各个人员职责不同进行授权。

操作日志记录：通过控制台服务器访问设备，所有的命令及结果都会被以文件方式记录下来。这样所有对于设备进行的操作均有迹可寻，这种级别的IT审计对于日后纠正错误操作和发现非法操作有非常大的贡献。尤其是在美国上市的公司要求IT审计的级别非常高，带外网管可以很好的满足这个要求。

故障告警：控制台服务器连接设备的console接口时，设备出现故障将会通过console接口发出相应的信息。所有通过console接口发出的告警信息经过过滤后可以发给用户运维人员，作为带内网管告警的补充。

什么样的IT环境需要带外网管

运维人员和IT设备不在同一个物理地点。这种类型的网络环境包括所有的电信运营商和银行及有分支机构的政府、企业网络。一旦设备故障无法通过网络解决（telnet 、pcanywhere等手段），运维人员只能到现场解决问题。这种类型的网络通过带外网管可以大幅提高网络运维效率，同时有效降低运维成本。

运维人员与IT设备在同一地点，IT设备数目很多统一管理面临很大难度。这种类型IT环境包括所有IDC、企业的数据中心（非托管）、互联网公司、游戏运营商。运维TEAM需要面对几百台甚至上万台服务器，对设备的访问控制授权、操作记录均需要借助带外网管来完成。

如何组建带外网管系统

带外网管系统主要由控制台服务器、KVM服务器、智能电源管理器组成，如果一个网络中带外网管设备（指控制台服务器等）有十台以上，需要带外管理Manager来管理带外网管设备。

带外网管系统组网模式主要有两种，一种是为带外网管设备单独组网，另一种带外网管设备和管理的设备放在同一个网络中使用拨号等方式做为备份。第一种组网模式适合对于网络健壮要求较高的电信运营商或金融系统的用户。组网一般采用低带宽的专线模式，如64K的DDN、帧中继等，目前国内的运营商也有用2M传输线路组网的。第二种组网模式，带外网管设备接入到运营网络中，如果网络出现故障，通过拨号访问带外网管设备。

控制台服务器有若干个RS232接口（最多48个），通过普通CAT5网线＋转换头连接到不同设备的console接口或串口。

KVM服务器上有若干个RJ45的接口，通过CAT5网线与服务器连接，网线服务器端接一个转换头。转换头带有鼠标接头和键盘接头、视频接头与服务器相连，用户通过访问KVM服务器就可以控制相应的设备。

智能电源管理器上有直流或交流电源接口与设备的电源插头连接。智能电源管理器的console接口与控制台服务器连接。通过控制台服务器控制智能电源管理器的任何一个电源单元的开关。

带外网管Manager是所有带外网管设备的网管平台。Manager只要能够访问到所有的带外网管设备即可。所有通过对单个带外网管设备的访问集中到 Manager上，只通过Manager就可以访问所有网络中的被管理的设备。同时Manager存储所有带外网管设备的日志。

带外网管与传统的路由器＋八爪鱼相比有何优势？

熟悉Cisco人的都知道，一般的Cisco Lab里面都用2509或2511连接router的console口，通过反向telnet方式来进行带外管理。有一段时间，考CCIE的人多了，很多人自己建lab都买2509，二手市场2509和2511的价格一路飚升。以至于很多人一提带外网管就是使用路由器＋八爪鱼进行设备管理。

路由器＋八爪鱼提供了远程访问console接口的通道。但是它也仅能实现这一功能，其它的带外网管的功能它都不能实现。如果仅仅为了实现这一功能，通过modem拨号也可以实现，成本更低。大部分的设备都有异步口，接上modem后，远程拨号就可以访问该设备。

下面看一下控制台服务器比路由器＋八爪鱼究竟有什么优势。在带外网管的作用一文里介绍了除了设备紧急访问通道外，还有以下三种功能：集中访问控制、分级授权管理，操作日志记录，故障告警。这三种功能路由器和串口卡都不能实现。在安全方面控制台服务器也做的更好。控制台服务器支持SSHv1、v2可以有效的防止数据泄露。通过控制台服务器可以传送SUN break信号，这点路由器和串口卡也做不到。同时通过控制台服务器访问设备，支持进行多进程操作，比如两个用户同时对于一个设备操作，或者一个操作一个观看等。

不难看出传统的路由器＋八爪鱼是不能代替带外网管的。