IT设备的救命稻草-如何正确构建OOB带外网络

现实生活中，不管是传统的大型园区网络，运营商。或是现今流行的数据中心、虚拟化等技术，每每归根结底都是大量的网络设备以及服务器堆叠而成。天然而然，当网络或者服务器由于软件故障或者人为操做失误的缘由致使系统宕机后，如何第一时间登录到故障设备，并快速恢复业务已经成为考验运维人员的一大难题。

 

其实，试想若是网络中存在一个完善的OOB带外网络，在故障发生时，网络控制中心可经过此网络登陆网络设备或者服务器的带外管理接口或者Console接口。从而第一时间获取故障信息并予以修正，或者收集log文件上报厂家。岂不美哉？

 

 

OOB网络定义及现网问题分析

 

在详细介绍解决方案以前，先明确什么是OOB带外网络。

 

OOB全称Out Of Band，而OOB带外网络是指：经过一套与任何业务数据网络没有关联的独立网络，网络控制中心能够链接到各个服务器或者网络设备的管理接口或者console。此管理流量不会因业务数据网络重大故障而受其影响，故称之为带外网络。与之相对于的则是带内网络。

 

为何须要OOB网络？

 

对不少企业或者运营商来讲，当进行计划性的远端网络或系统维护时，每每会提早安排远端值班人员或者临时驻场工程师随时待命。若由于软件Bug等状况致使系统没法启动时，驻场工程师到达现场并链接带外接口或者console，协助远端操做工程师进行故障排查及业务恢复。

 

此方法存在的两个弊端：

 

• 一方面驻场工程师经验资质可能低于远端执行计划事务的工程师，从而致使故障排查进度缓慢，故障时间延长。最总影响网络KPI以及很是糟糕的客户使用体验。

 

• 另外一方面，不管是值班人员或者驻场工程师都存在项目成本问题，长期来讲，每一次计划性的维护都须要一个驻场人员待命。但其实多数维护工做并不必定就会产生严重的故障，但是为了“万一”两字，也须要驻场工程师支持。

 

 

对于网络规模较大，业务节点分布全国的大型企业甚至运营商来讲，这些问题会被不断放大。试想某企业的北京总部为了管理公司全国的网络节点，没有OOB网络而经过大量的驻场工程师协助维护将是一件费时费力的事情。

 

解决方案

 

若是此时引入OOB网络，不管是执行计划维护的工程师仍是平常运维工程师，OOB就如一颗定心丸。一旦出现任何意外事故，工程师能够当即经过OOB网络登陆远端故障设备当即排查故障，并及时恢复业务。因此OOB网络从某种程度上可算的上是IT设备的救命稻草。

真OOB？假OOB？

 

也许有朋友会问到，我司的设备全部带外接口和console接口也都经过网络设备互联起来了，咱们能够随时随地经过带外接口或者console接口登陆设备。

 

可是，依我多年经验发现，不少企业为了节省管理成本。仅仅是简简单单把带外接口以及console-以太网转换设备直连到业务交换机或者路由器上。

当企业网络工做正常时，一切相安无事。试想如出现任何网络故障时，则极有可能波及此“带外管理”和console接口设备，从而致使这些“带外设备”形同虚设。

 

此为假OOB网络！

如何正确构建OOB网络

 

为正确构建OOB网络，咱们须要遵循以下要求：

 

    1). 此OOB网络须要与业务网络彻底独立。

 

如何实现与业务网络彻底独立？

 

对企业来讲，若是购买了运营商A的业务网络。则能够经过购买运营商B的广域网接入服务接入全国重要网络节点的OOB网络，以及连接到公司总部OOB核心节点。

 

对于运营商来讲，能够从新铺设独立的OOB光纤网络。或者租用其余运营商的广域网构建其独立的OOB网络。

 

 

    2). 网络须要覆盖企业或者运营商全部的重要网络节点，不管国内仍是国际节点。

 

所谓的重要网络节点是指那些若是出现故障会引发区域范围的严重服务中断，例如企业的某远程节点机房核心交换机或路由器。而对运营商来讲，多是某PE路由器，P路由器或者BNG等。

 

那什么是国际节点？随着愈来愈多的中国公司走出国门。在海外设置分支机构的公司家常便饭。因此对于国内总部来讲，远端OOB网络管理海外节点尤为重要。一样对于运营商上来讲，也存在不少海外PE路由器等。这些都是须要被OOB网络保护的对象。

 

与境内OOB节点不一样的是，咱们很难找到一个独立的运营商帮助构建一个涵盖国内和国际节点的OOB网络。这个时候就须要借助Internet来链接海外OOB节点。总部OOB网络站点能够链接本地运营商的Internet。而海外OOB站点能够经过链接当地运营商从而得到Internet接入。

 

   3). 当链接国际节点时，须要有安全的通讯机制来保障OOB网络的私密性。

 

上面提到须要用Internet来保证国际节点的通讯。而Internet自己是不被信任的，同时平常工做中，网管数据大部分均为明文数据，为了解决此问题咱们须要有一套安全机制来保证国内总部OOB网络与国外分支OOB设备的通讯是安全可靠的。

 

    4).7x24的高可用性。

 

    5.) 经过OOB网络可以链接到网络设备的带外接口、系统设备的iLO口，以及最重要的console 口等管理接口。

 

    6). 具有监控节点环境的功能，例如但不限于：机柜先后门的开关监控，机柜温度监控等。

 

监控节点环境和监控设备软件方面的健康一样重要。只有保证设备的物理安全才存在软件方面的设备监控。例如咱们须要监控机柜门是否在未受权的状况下开启或者关闭，若是此状况发生，总部管理员会收到相关的告警提示等。

 

OOB网络设备选型

 

与业务网络设备相似，OOB网络也须要对于的网络设备来支撑。但相比业务网络，OOB网络存在以下特性：

·        低带宽，ssh/telnet/SNMP等管理流量占用带宽很低。偶尔会存在带外FTP或者SCP传输升级文件等状况，可是总的来讲对吞吐量要求不高。

·        有必定的安全性要求，支持防火墙功能，支持IPsec***等。

 

而console转以太网设备，正如上文OOB要求中提到，除基本的以太网转console功能之外，还须要环境温度检测，以及经过DIO接口配合小型触发开关来检测机柜门的开关动做。

 

 

#选型示例#

经过分析，选型以下（以Juniper为例）：

 

OOB网络路由器：

 

总部：SRX300 x2 组成Cluster模式，支持1Gbps光纤。

 

Juniper最新款企业级低端防火墙，支持全部路由器协议（例如：RIP, OSPF, BGP等），交换功能，以及做为防火墙自己细颗粒度的安全策略等。全1Gbps 以太网口以及1Gbps 光口。

 

 

分支机构：SRX110 100Mbps 以太网上联或者ADSL、VDSL上联。

 

与SRX300相似，支持全部路由协议，支持交换以及防火墙功能。同时因为有RJ11接口，支持xDSL服务。以太网口为100Mbps。

 

 

 

OOB Console转换器：（以Opengear为例）

 

分支机构：Opengear 远端网关，根据console口数量不一样，型号也不一样。支持温度传感器以及DIO编程接口。

（注：下图的Opengear 甚至支持3G/4G，在某些不具有有线OOB网络链接的地方，例如某些户外站点可使用3G/4G版本的Opengear作到远程OOB网络管理。）

 

 

 

以上仅是选型示例。固然，你能够根据自身需求以及当地市场状况采用相似的产品来实现同样的效果。

网络设计

 

设备选型完成之后，接下来就是网络设计阶段，根据OOB网络需求分析，得出以下网络框架，以下图：

 

 

技术细节

OOB设备数量

 

OOB设备数量包含SRX110设备数量以及Opengear 数量，二者的区别在于，SRX110除了预留一个接口链接Opengear的以太网接口之外，剩余的以太网接口将用于链接业务设备的带外管理接口，例如Juniper设备的FXP0接口。

 

基于此，工程师须要统计每个远程OOB站点须要接入多少业务设备，每个设备存在多少个带外管理接口或iLo接口，此决定了所需SRX110接口数量，若业务设备带外管理口数量超过SRX110的以太网接口数，咱们能够经过下挂二层交换机的方法解决接口短缺。

 

同时，工程师也须要统计每一个站点须要接入OOB网络的业务设备console数量。并根据此数量购买相应的Opengear设备。

 

子网划分

 

在OOB网络中，有以下几个地方须要IP地址：

1.     每个远端OOB站点（国内和国际）须要一个独立的子网用于SRX110下挂子网网关，Opengear以太网接口须要一个IP地址做为console登录地址，以及业务设备带外接口IP。

2.     国内远端OOB站点SRX110与OOB中心路由器SRX300之间，须要点对点的IP地址来作到互联互通。

3.     在网管中心与OOB中心节点SRX300之间须要创建点对点互联。此处也须要IP地址。

4.     最后就是互联网Internet IP地址。SRX300 须要向本地运营商申请互联网Internet点对点IP地址。而海外OOB节点也一样须要从当地的运营商申请Internet IP地址。

 

互联互通

三层路由互联方面，国内OOB网络和国际OOB网络实现细节不尽相同。

 

先从国内OOB网络提及:

 

因为使用了运营商B的广域网来链接各个OOB节点。根据运营商B提供的网络服务不一样，能够采用不一样的路由协议。

 

存在下面两种状况：

 

    1.     若运营商B根据每个OOB站点分配一个VLAN ID，此VLAN ID最终二层透传到总部OOB网络SRX300（在运营商此为L2***技术）。此种状况下，SRX300配置为点到多点P2MP型接口来链接全部国内远程站点。并在点到多点P2MP上运行OSPF协议，从而让总部可以学习到全部OOB站点的网段。另外，总部SRX300经过OSPF发布默认路由到每个分支OOB网络站点。

    2.     若运营商B在其内部为此OOB网路构建了一个三层VRF。全部国内远程OOB节点均经过PPPoE协议学习到运营商B的默认网关，而在OOB网络中心节点来讲，因为是光纤专线，OOB网络SRX300能够与运营商B的PE运行BGP协议从而学习到全部国内远程OOB站点的网段信息。

 

 

对国际OOB站点而言

因为是经过Internet传输数据，因此保证海外OOB站点与中心OOB站点的数据通讯安全可靠很是重要。天然而然IPsec *** Site to Site是最好的选择。经过在海外站点与中心站点之间创建IPsec 隧道。全部网管数据例如SNMP，FTP，telnet等明文数据均被很好的保护起来。

 

而为了实现中心OOB网络站点与海外站点的互联互通，取决于海外OOB站点的数量多少，咱们能够采用点对点OSPF动态学习的方式，站点较少的状况下也能够手工指定静态路由来实现路由的互通。

 

总结

 

本文概述了OOB带外网络的定义，以及业务网和带外网分离的重要性。同时也介绍了如何构架一个安全完整的OOB网络。

 

在完成OOB网络构建之后，一方面减小了公司项目资源没必要要的浪费，同时也大大减少了运维工程师的压力，毕竟出现软件bug等故障时，咱们还有那么一根救命稻草。

 

谢谢你们的关注！