發(fā)表評(píng)論分享按鈕

淺析IP地址管理問(wèn)題

艾派姆網(wǎng)絡(luò)技術(shù)有限公司首席架構(gòu)師 SUNNY XU 2011/07/19

1.什么是網(wǎng)絡(luò)核心服務(wù)及管理必要性

  隨著Internet的迅速發(fā)展和現(xiàn)有IP網(wǎng)絡(luò)的不斷擴(kuò)展,使得基于IP協(xié)議的通信量巨大增長(zhǎng),這種增長(zhǎng)主要體現(xiàn)在用戶數(shù)量,IP地址數(shù)量和通信量上,隨之而來(lái)的問(wèn)題就是IP地址管理的問(wèn)題,怎樣有效地管理整個(gè)網(wǎng)絡(luò)系統(tǒng)的中IP地址,地址過(guò)多和怎么有效的分配這些IP地址,成為困擾在企業(yè)信息化建設(shè)中的問(wèn)題。如果沒(méi)有有效的管理,可能導(dǎo)致網(wǎng)絡(luò)可用性和服務(wù)質(zhì)量的下降,甚至網(wǎng)絡(luò)的崩潰。還可能造成大量商業(yè)損失。

  IP地址也是網(wǎng)絡(luò)和應(yīng)用之間的“粘合劑”,對(duì)于所有網(wǎng)絡(luò)和應(yīng)用而言都是很重要的,沒(méi)有網(wǎng)絡(luò)核心服務(wù),基于IP的網(wǎng)絡(luò)及其應(yīng)用將會(huì)陷于停頓。以下是網(wǎng)絡(luò)核心服務(wù)所涵蓋的范圍:

    服務(wù)/協(xié)議                      簡(jiǎn)述
  IPAM(IP地址管理系統(tǒng))       IPv4/IPv6地址管理
  DHCPv4(動(dòng)態(tài)主機(jī)配置協(xié)議)      IPv4地址分配
  DHCPv6(動(dòng)態(tài)主機(jī)配置協(xié)議)      IPv6地址分配
  NAC(IP地址接入控制)        IP地址接入控制

  IP地址管理系統(tǒng)可以進(jìn)行IP/MAC地址的分配和自動(dòng)化開(kāi)通,實(shí)現(xiàn)集中式、有效的IP地址管理,同時(shí)支持IPv4/IPv6地址協(xié)議。通過(guò)IP開(kāi)通自動(dòng)化來(lái)控制操作成本;提供實(shí)時(shí)、準(zhǔn)確的交換機(jī)端口和IP/MAC的對(duì)應(yīng)信息,協(xié)助IT維護(hù)人員對(duì)故障IP地址進(jìn)行快速定位;實(shí)時(shí)跟蹤IP/MAC地址的變更,及時(shí)對(duì)廢棄的IP地址進(jìn)行回收和再利用,優(yōu)化網(wǎng)絡(luò)資源的使用率。

  動(dòng)態(tài)主機(jī)配置協(xié)議(DHCPv4)是一種使網(wǎng)絡(luò)管理員能夠集中管理和自動(dòng)分配 IP 網(wǎng)絡(luò)地址的通信協(xié)議。在 IP 網(wǎng)絡(luò)中,每個(gè)連接 Internet 的設(shè)備都需要分配唯一的 IP 地址。DHCP 使網(wǎng)絡(luò)管理員能從中心結(jié)點(diǎn)監(jiān)控和分配 IP 地址。當(dāng)某臺(tái)計(jì)算機(jī)移到網(wǎng)絡(luò)中的其它位置時(shí),能自動(dòng)收到新的 IP 地址。

  動(dòng)態(tài)主機(jī)配置協(xié)議(DHCPv6)向 IPv6 主機(jī)提供有狀態(tài)的地址配置或無(wú)狀態(tài)的配置設(shè)置。IPv6 主機(jī)可以使用多種方法來(lái)配置地址:無(wú)狀態(tài)地址自動(dòng)配置 用于對(duì)鏈接本地地址和其他非鏈接本地地址兩者進(jìn)行配置,方法是與相鄰路由器交換路由器請(qǐng)求和路由器公告消息;有狀態(tài)地址自動(dòng)配置 通過(guò)使用如 DHCP 的配置協(xié)議,用來(lái)配置非鏈接本地地址。

  IP地址接入控制可以提供對(duì)未授權(quán)IP/MAC地址提供二次訪問(wèn)的授權(quán)機(jī)制,解決非法IP接入的安全隱患。同時(shí)可以將接入客戶,按安全級(jí)別分為以下幾類;永久授權(quán)客戶(分配固定IP地址)、永久授權(quán)客戶(分配動(dòng)態(tài)IP地址)、臨時(shí)授權(quán)客戶、未授權(quán)客戶。

2.網(wǎng)絡(luò)核心服務(wù)的管理現(xiàn)狀

  對(duì)于現(xiàn)有網(wǎng)絡(luò)中存在的網(wǎng)絡(luò)核心服務(wù)的管理難度及準(zhǔn)入控制的缺陷,總結(jié)起來(lái)可分為以下幾個(gè)方面:

  (1)現(xiàn)有手工管理IP地址的方式不方便,應(yīng)用不靈活

  無(wú)可質(zhì)疑,網(wǎng)絡(luò)管理員為內(nèi)部網(wǎng)絡(luò)設(shè)備分配IP地址是一項(xiàng)非常繁鎖而且艱巨的工作,網(wǎng)絡(luò)管理員清楚知道每個(gè)IP地址使用情況,這就需要管理員為每個(gè)IP地址的使用作登記,尤其當(dāng)業(yè)務(wù)系統(tǒng)分布較為分散時(shí),為及時(shí)完成IP地址分配帶來(lái)困難。IP地址登記冊(cè)和Excel文檔查找空閑IP資源時(shí)不靈便、不直觀、浪費(fèi)工作時(shí)間。

  (2)缺乏對(duì)IP數(shù)據(jù)的同步實(shí)時(shí)管理

  手工IP地址管理登記冊(cè)和Excel文檔無(wú)法保障對(duì)IP數(shù)據(jù)的同步實(shí)時(shí)管理。當(dāng)不同的網(wǎng)絡(luò)管理員對(duì)同一IP數(shù)據(jù)進(jìn)行添加、修改、刪除等操作后缺乏及時(shí)溝通,會(huì)導(dǎo)致IP管理混亂。另外,由于沒(méi)有統(tǒng)一的的數(shù)據(jù)庫(kù)對(duì)IP數(shù)據(jù)進(jìn)行管理,當(dāng)遇到人員調(diào)動(dòng)、機(jī)器更換、辦公地點(diǎn)調(diào)整時(shí),利用登記冊(cè)和Excel文檔很難及時(shí)對(duì)廢棄的IP地址進(jìn)行回收和再利用,造成網(wǎng)絡(luò)資源的浪費(fèi)。

  (3)IPv6技術(shù)升級(jí)所導(dǎo)致的管理問(wèn)題

  IPv4定義的有限地址空間將在2011年被耗盡,地址空間的不足必將影響互聯(lián)網(wǎng)的進(jìn)一步發(fā)展。如VoIP手持設(shè)備、云計(jì)算/虛擬化、統(tǒng)一通信、傳感網(wǎng)絡(luò)等,對(duì)IP地址的移動(dòng)性、集中性、安全性和兼容性方面有了新的要求。IPv6的到來(lái)是必然的。以下是IPv4和IPv6地址的對(duì)比:

  IPv6地址: FE80:85A4:D1B1:D1B8:DCB1:4545:3326:3134
  IPv4地址: 192.168.100.188

  與IPv4地址相比,IPv6的主要改變就是地址的長(zhǎng)度為128位,也就是說(shuō)可以有2的128次方的IP地址,相當(dāng)于10的后面有38個(gè)零。這么龐大的地址空間,手工管理IPv6地址存在很大的難度。

  (4)現(xiàn)有DHCP服務(wù)的存在的問(wèn)題

  在路由器或者接入設(shè)備上啟用DHCP服務(wù),經(jīng)常會(huì)出現(xiàn)以下幾種情況導(dǎo)致地址不能分出去(實(shí)際上地址并沒(méi)有分完):出現(xiàn)地址沖突時(shí),部分路由器便會(huì)將沖突的地址記錄在沖突表中,只要不去手工地清除該表,沖突的地址,便無(wú)法再分配出去;同時(shí)部分DHCP地址租約到期而不能釋放,也需要手工清除,工作量非常大;由于用戶量不停地增長(zhǎng),相關(guān)要處理大量的DHCP請(qǐng)求,負(fù)荷過(guò)大而導(dǎo)致有時(shí)無(wú)法作出響應(yīng)。

  傳統(tǒng)的DHCP服務(wù),采用孤島式的管理,信息不能集中匯總分析,同時(shí)安全性差,易被攻擊(惡意IP地址請(qǐng)求 、DDOS攻擊等),不具備電信級(jí)可靠性、并發(fā)處理能力低;對(duì)業(yè)務(wù)保障能力差,不能有效、快速的滿足IPTV,VOIP等新業(yè)務(wù)的開(kāi)通。

  (5)對(duì)臨時(shí)接入控制的問(wèn)題

  網(wǎng)絡(luò)管理員無(wú)法進(jìn)行接入IP地址合法性的確認(rèn)。目前網(wǎng)絡(luò)內(nèi)部有眾多應(yīng)用服務(wù)器以及各種機(jī)密電子資料,外來(lái)人員一旦獲得IP地址后,便可以無(wú)控制地使用網(wǎng)絡(luò),從而造成機(jī)密信息的泄露。

3.新一代網(wǎng)絡(luò)核心服務(wù)自動(dòng)化解決方案

  新一代網(wǎng)絡(luò)核心服務(wù)自動(dòng)化管理支撐平臺(tái)能自動(dòng)、有效地管理訪問(wèn)網(wǎng)絡(luò)的IP/MAC 資源,實(shí)時(shí)提供更新數(shù)據(jù),控制未授權(quán)IP/MAC地址訪問(wèn)網(wǎng)絡(luò),從而提高內(nèi)部網(wǎng)絡(luò)的可管理性和安全性。下圖是網(wǎng)絡(luò)核心服務(wù)解決方案的所經(jīng)歷的發(fā)展階段:


  No IP, No Network, No Business, IP通信是保證業(yè)務(wù)穩(wěn)定運(yùn)行的關(guān)鍵。新一代網(wǎng)絡(luò)核心服務(wù)自動(dòng)化管理支撐平臺(tái)提供面向業(yè)務(wù)服務(wù)的IPv4/IPv6地址管理和安全接入, 提供可擴(kuò)展的技術(shù)框架,從而保證網(wǎng)絡(luò)更穩(wěn)定的運(yùn)行。

IPM-1000A

圖:IPM-1000A

  通過(guò)網(wǎng)絡(luò)核心服務(wù)的自動(dòng)化和統(tǒng)一化管理來(lái)控制網(wǎng)絡(luò)運(yùn)營(yíng)成本,體現(xiàn)在以下幾個(gè)方面: 作者簡(jiǎn)介

  SUNNY XU :艾派姆網(wǎng)絡(luò)技術(shù)有限公司首席架構(gòu)師,負(fù)責(zé)網(wǎng)絡(luò)核心服務(wù)系列產(chǎn)品戰(zhàn)略

  艾派姆網(wǎng)絡(luò)技術(shù)有限公司成立于2007年,總部位于加拿大多倫多市。公司擁有一支高素質(zhì)專業(yè)研發(fā)隊(duì)伍,自成立起就專注于網(wǎng)絡(luò)核心服務(wù)自動(dòng)化領(lǐng)域的研究和開(kāi)發(fā)工作,研究?jī)?nèi)主要容包括DHCPv4,DHCPv6,NAC,DNS,IPAM,NTP服務(wù)等。
共 2 頁(yè):1 2 

作者供稿 CTI論壇編輯