一、用户需求及项目概述

近年来随着中国经济的快速增长，有线、无线网络也得到高速发展，网络日益庞大和复杂，大量的光纤收发器、交换机和路由器等网络设备广泛分布在数以千计的运营商的基站、分局以及企业的枢纽中心等地方。另外近年来中国各地城市基础建设频繁，经常导致光纤被恶意施工挖断和突然发生的洪涝灾害等特殊情况都可能导致网络出现中断。如何快速定位故障点并及时通过远程控制手段是网络管理需要迫切解决的问题。

当前交换机和路由器设备一般都具有SNMP网络管理系统，在带内网络正常的情况下能够较好的运行，加上可以通过TELNET等辅助手段能够满足日常的运营维护。但一旦出现光纤中断或骨干路由表错误的特殊情况，带内管理的SNMP、TELNET方式都因为网络不同而失效，传统的恢复方式只能由维护人员赶到现场去处理。由于现在广域网络分布广、物理距离远，核心维护人员有限，导致排出故障的时间较长，不能满足业务的需要。目前这个问题是网络运维管理部门面临的最大问题之一。

带外管理的核心思想是在本地光纤网络之外，借助三大运营商本身成熟的4G/5G无线网络作为有线光纤的带外补充管理手段，在光纤中断、本地网络路由不可到达或设备出现不可控的信息孤岛状态下，借助4G/5G无线和附近其他基站的连通性直接对本地设备进行底层管理控制，相当于维护人员直接到达现场进行处理排查，能够快速恢复软件故障和及时准确定位硬件故障点交给设备维修人员，快速高效解决网络故障，是现在SNMP、TELNET带内管理的有力补充，是未来移动网络正常工作的强有力保障。

带外管理是新一代网络管理技术的简称。网络管理又分为带内管理（In-Band）和带外管理(Out-Of-Band)。目前我们使用的网络管理手段基本上都是带内管理，即管理控制信息与数据信息使用统一物理通道进行传送。例如：我们常用的HP Openview网络管理软件就是典型的带内管理系统，数据信息和管理信息都是通过网络设备以太网端口进行传送。带内管理的最大缺陷在于：当网络出现故障中断时数据传输和管理都无法正常进行，如果无法通过网络访问被管理对象，带内网管系统就失效了，带外管理系统就排上用场了。

带外管理的核心理念在于通过不同的物理通道传送管理控制信息和数据信息，两者完全独立，互不影响。例如：如果我们把网络管理比喻成街道，那么带内管理就是一条行人和机动车共用的街道，而带外管理就是一条把人行道和机动车道分开的街道。当街道机动车道出现障碍物并造成机动车无法正常行驶时，可以通过人行道过去把障碍物移走来恢复机动车道的正常通行.

带内管理是基于在这条数据链路上的协议进行管理的。在硬件上看来数据接口和管理接口是走相同的物理线路。

带外管理是跟数据链路分开的管理模式。在硬件上看来它可以应用单独的网口，USB或者RS232来进行单独管理。一般情况下，这条路径在物理上是与数据链分开的。

成都瑞科技术有限公司提供的无线带外管理终端产品，一方面具有4G/5G广域网络接口，能同时接入附近的多点基站，避免出现信息孤岛；另外一方面无线带外管理终端具有本地的RS232串口和100BaseT以太网络接口，RS232接口能和本地路由器、交换机设备的CONSOLE配置口直接连接，在网络完全失效的情况做最基础的底层配置操作；100BaseT接口能和本地的局域网络相连，网管中心可以通过4G/5G网络TELNET到无线带外管理终端产品，再通过100BaseT接口TELNET到本地的路由器和交换机等设备上实现故障恢复和状态检测。同时根据本地网络的设备规模数量，具有单串口和多串口等多种规格，配合相应的网络堆叠接口，能满足多种网点的需要。

二、带外管理构架

带外管理构架由工业带外管理终端、远程带外客户端及完全独立于生产网络的安全网络平台架构组成。它能提供安全的途径来进行网络设备的远程访问、检测和管理，同时也可以提供临时行的安全网络冗余通道。如果一台网络设备出了故障，带外管理能够远程地修复它，使之在可能的最短时间内重新恢复工作。带外管理能最小化本地管理和站点访问的需要，显著地减少使网络设备重新工作所需的时间和运营成本。

在企业生产网和带外管理之间的关系及拓扑结构图如下：

工业带外管理终端：连接被管理设备的console口或RS232串口，通过独立于生产的安全网络平台访问工业带外管理终端，就可以直接进入被管理设备的控制接口，即使该设备无法通过网络（生产网络）访问。

远程带外管理平台：是所有带外管理设备的管理客户端集中平台。如下图：

带外安全网络平台：主要是为带外网管设备完全独立于生产单独组网，基于物联网+VPN实现，能达到金融安全级别的安全网络。

三、什么环境需要带外管理

管理人员和被管理设备不在同一个地点。这种类型的网络环境包括所有的电信运营商和银行及有分支机构的政府、企业网络。一旦设备故障无法通过网络解决（telnet 、pcanywhere、VNC等手段），运维人员只能到现场解决问题。这种类型的网络通过带外网管可以大幅提高网络运维效率，同时有效降低运维成本。

下面介绍几个要用到带外管理情况：

1、如下图，一个为整个站点提供网络连接的路由器发生了故障。这个路由器提供生产网络和其他所有通过路由器连接到网络的设备之间的连接。由于不能通过生产网络接入，因此管理员要通过独立于生产网的4G/5G VPN带外管理网络的工业带外管理终端的一个串口来连接路由器，从而快速地发现问题。他/她能更正错误，修复路由器，使所有通过路由器连接到网络的设备重新工作。这样，一个本来需要耗费管理员几个小时在现场解决的问题又一次轻易地被解决了。如此时接入路由器没有办法尽快回复及生产网络断网状态下，此时的带外管理终端可以作为临时带外网络冗余，可以临时与企业中心联网并传输数据，一直到网络设备及生产网络恢复后就切换到正常网络状态上。

2、如下图，数据中心的一台交换机或网络设备发生故障。正常情况下，当一台设备发生故障而网络仍然可用时，管理员可以通过生产网络远程访问该设备，并进行远程维护，但当这台故障设备丢失了与网络的连接，在这种情况下，管理员就必须通过独立于生产网的4G/5G VPN带外管理网络的工业带外管理终端的一个串口来连接该设备的串口，并进行远程访问及诊断问题及修复，使其该设备能重新连接到生产网络。

3、以上两种情况都是临时运用带外管理来远程维护，还有种情况就是所有维护人员很头疼的状况，就是设备运行不稳定，故障现象有可能2小时出现，有可能1天或几个月才出现。那就需要管理员把带外管理终端长期与该设备连接，记录该设备的运行状况一直到该设备出现故障时的日志记录，就方便管理人员解决问题。如要长期运行带外管理终端就必须采用工业的设备终端，24小时长在线运作，商用级的终端会出现不稳定状态，反而影响管理员跟踪设备日志记录。

四、如何组建带外管理系统

1、带外管理组网方式

      带外管理系统组网模式主要是为带外网管设备完全独立于生产单独组网，适合对于网络健壮要求较高的电信运营商或金融系统的用户。单独组网有两种模式，一种是标准传统的组网方式，首先在数据中心单独申请一个运营商的专线，再需要部署一台到两台L2TP VPDN路由器做LNS。当各带外管理终端网络直接通过L2TP与中心LNS连接，连接后再规划相应的路由才能进行访问。

      以上组网方案存在以下不足的地方：

Ø  由于被管理端遍布在全国，有些地方电信好，有些地方移动好，也有的地方联通号，那么中心申请专线就需要申请三条不同运营商的专线。并且申请专线周期长，每月会产生相应费用较高

Ø  中心端需要部署一台到两台LNS接入路由器

Ø  中心端还需要部署两台专网认证服务器。

      瑞科针对以上的不足，将致力为上述的网络痛点，提供另一种组网方式就是云LNS整体安全组网方式。瑞科云LNS主要提供LNS服务，同时支持可扩展的安全特性配置，可通过和AAA认证服务器的配套使用来实现金融业级别的网络安全接入解决方案。同时提供带外管理终端、云端、企业管理端的三方互联互通的网络环境，提供便利的网络管理功能。

2、瑞科云LNS整体安全解决方案网络的实现

我们要实现满足用户互联网+VPDN的要求，首先在现有云服务器上部署一套瑞科云LNS，可部署两台做热备；其次在数据中心或管理中心部署专业安全认证服务器。

    当各带外管理终端网络能访问云服务器数据回传同时通过扩展安全特性的L2TP方式和云LNS服务器连接，连接后用户终端会向中心专网认证服务器获取固定的IP地址，以实现和云服务器业务地址相互访问，便于维护中心随时远程维护管理。

    数据中心使用认证服务器同样以可扩展安全特性的L2TP方式连入云服务器。负责各带外管理终端接入时安全授权，固定IP地址分配以及对各分支设备的直接管理工作。

以上组网方案优势：

Ø     部署简单：提供整体打包式的一站式部署。

Ø     配置简单：仅需修改几项网络参数即可运行服务器。

Ø     运行稳定：提供高可靠性的网络接入服务

Ø     安全性能：配合专业认证服务器使用可实现金融级别的安全等级及对等网络。

3、云LNS整体安全组网方式的安全接入

Ø  在带外管理终端设备上

在传统的物联网+VPN连接过程中，用户名和密码很容易被不法分子非法窃取，在使用瑞科安全整体解决方案中的4G/5G工业带外管理终端和专网认证服务器设备配合下，即便是获取了用户名或密码，没有提供正确的身份识别码，同样不能建立通信连接。

Ø  在中心专网认证服务器上

无线专网AAA认证服务器是成都瑞科技术有限公司研发的网络身份认证安全产品，主要实现身份认证、固定IP地址分配及其他辅助网管功能。

认证通过的用户，在“用户管理”中全部显示出来，同时根据底色的不同，管理员可直观的看到哪些用户在线哪些用户不在线。

五、瑞科公共云部署

     用户不需要自己去新建独立于原生产网的网络，可以在瑞科现有的公共云LNS服务上运行，安全级别和自建是一样的，只是部署服务器的位置作了变化。这种模式优势就是企业不需部署整套，只需购买前端工业带外管理终端设备，而管理中心只需准备一台能上互联网的工作计算机或手机终端就可以实现远程带外管理的维护工作。

     关于公共云LNS的安全问题，首先不同的企业客户是完全独立的，我们根据不同登录域名来登录自己企业的域，其次每个企业客户只有一个最高权限用户登录管理该企业的被管理设备，如需要第三方维护人员协助，企业最高权限用户可以临时授权一个合法用户进入维护相应设备，当第三方维护人员完成维护工作后，该企业的最高权限用户可以立即删除该临时合法用户。