因为之前有部署过一些安全设备,在部署完成之后往往需要给客户留一个管理地址,在翻阅手册的过程中涉及到了一个概念“带内管理”与之相对的是“带外管理”。

上网搜索了一下发现网上有关这两个概念的文章不多,这里来简单谈谈这两种概念

先从前人的观点入手,搜索带内管理与带外管理的区别的时候,有几个高赞回答:

观点1:认为所谓“带”指的是网络带宽,涉及网络资源的都是带内,反之不涉及的就是带外

举个例子:用网络接口进行管理的是带内,使用console接口管理的是带外

观点2:认为所谓“带”指的是业务接口的网络带宽,管理接口与业务接口在同一链路上,也就是说管理口与业务口为同一口为带内管理,同时他认为:

“带内管理的最大缺陷在于:当网络出现故障中断时数据传输和管理都无法正常进行。”

“带外管理的核心理念在于通过不同的物理通道传送管理控制信息和数据信息,两者完全独立,互不影响”

我认为这两种观点殊途同归,接下来从我遇到的环境来讨论所谓“带内”还是“带外”

举例:

我去部署防火墙,客户要求可以进行远程管理,随后将eth2和eth3配置成业务传输口,将eth1配置成管理口,那么请问这属于带内管理还是带外管理呢?

首先按照观点1,那肯定属于带内管理

但是按照观点2则情况有所不同,首先这种管理方式在网络完全瘫痪的情况下一样会失效,但是如果单纯的是业务口网络故障或瘫痪的时候,则可以正常运行,所以我觉得这种部署方式的定义颇为模糊,姑且算是一种带有一定带外能力的带内管理罢

结论:

上文提及的部署方式应该还是属于带内管理的一种

大伙也不用太过于纠结究竟是什么管理,毕竟能跑就行呗

说几个比较确定的结论:

1.如果你选择把业务口和管理口配在同一个网口,那么一定是带内管理

2.如果你选择使用console等外部串口管理设备,那么一定是带外管理

剩下的情况就请各位见仁见智了。

2024.1.9新编

偶然发现该文章阅读量挺高的,随着入行时间变长这个问题也是迎刃而解了,给大家分享一下。

一、什么是带内管理

以网络安全设备举例(防火墙、堡垒机),通俗来说业务口和管理口是使用的同一根网线的同一个地址接入客户网络中的即为带内管理,最经典的例子就是堡垒机旁路部署在客户网络中,客户访问堡垒机业务也是用这个地址,管理堡垒机也是用这个地址,即为“带内管理”

二、什么是带外管理

还是以网络安全设备举例,通俗来说业务口和管理口使用的是不同网线的不同地址分别接入客户网络中即为带外管理,举个例子,我有一台防火墙以透明模式部署在客户路由器与汇聚交换机之间,客户说想要另外接一根网线用作管理,这样的话就是带外管理,同理堡垒机这类旁路设备也可以使用带外管理,比如说客户的业务网段是“192.168.0.0/24”,客户的管理网段是"172.16.1.0/24",就可以给堡垒机的1口分配192.168.0.0/24这个C段中的一个地址做业务口,给2口分配172.16.1.0/24这个C段的地址做管理口,这样就能做到业务管理分流,即为通过192.168.0.0/24这个网段访问的都是访问堡垒机业务,通过172.16.1.0这个C段访问的都是管理堡垒机。