淺析IP地址管理問題
艾派姆網絡技術有限公司首席架構師 SUNNY XU 2011/07/19
1.什么是網絡核心服務及管理必要性
隨著Internet的迅速發(fā)展和現有IP網絡的不斷擴展��,使得基于IP協議的通信量巨大增長,這種增長主要體現在用戶數量��,IP地址數量和通信量上�,隨之而來的問題就是IP地址管理的問題��,怎樣有效地管理整個網絡系統的中IP地址����,地址過多和怎么有效的分配這些IP地址,成為困擾在企業(yè)信息化建設中的問題���。如果沒有有效的管理��,可能導致網絡可用性和服務質量的下降�,甚至網絡的崩潰。還可能造成大量商業(yè)損失����。
IP地址也是網絡和應用之間的“粘合劑”,對于所有網絡和應用而言都是很重要的�,沒有網絡核心服務,基于IP的網絡及其應用將會陷于停頓�。以下是網絡核心服務所涵蓋的范圍:
服務/協議 簡述
IPAM(IP地址管理系統) IPv4/IPv6地址管理
DHCPv4(動態(tài)主機配置協議) IPv4地址分配
DHCPv6(動態(tài)主機配置協議) IPv6地址分配
NAC(IP地址接入控制) IP地址接入控制
IP地址管理系統可以進行IP/MAC地址的分配和自動化開通,實現集中式�、有效的IP地址管理,同時支持IPv4/IPv6地址協議��。通過IP開通自動化來控制操作成本���;提供實時�、準確的交換機端口和IP/MAC的對應信息��,協助IT維護人員對故障IP地址進行快速定位�;實時跟蹤IP/MAC地址的變更,及時對廢棄的IP地址進行回收和再利用�,優(yōu)化網絡資源的使用率���。
動態(tài)主機配置協議(DHCPv4)是一種使網絡管理員能夠集中管理和自動分配 IP 網絡地址的通信協議。在 IP 網絡中�,每個連接 Internet 的設備都需要分配唯一的 IP 地址。DHCP 使網絡管理員能從中心結點監(jiān)控和分配 IP 地址���。當某臺計算機移到網絡中的其它位置時���,能自動收到新的 IP 地址。
動態(tài)主機配置協議(DHCPv6)向 IPv6 主機提供有狀態(tài)的地址配置或無狀態(tài)的配置設置���。IPv6 主機可以使用多種方法來配置地址:無狀態(tài)地址自動配置 用于對鏈接本地地址和其他非鏈接本地地址兩者進行配置���,方法是與相鄰路由器交換路由器請求和路由器公告消息;有狀態(tài)地址自動配置 通過使用如 DHCP 的配置協議��,用來配置非鏈接本地地址����。
IP地址接入控制可以提供對未授權IP/MAC地址提供二次訪問的授權機制�,解決非法IP接入的安全隱患。同時可以將接入客戶�,按安全級別分為以下幾類����;永久授權客戶(分配固定IP地址)�、永久授權客戶(分配動態(tài)IP地址)、臨時授權客戶����、未授權客戶。
2.網絡核心服務的管理現狀
對于現有網絡中存在的網絡核心服務的管理難度及準入控制的缺陷���,總結起來可分為以下幾個方面:
(1)現有手工管理IP地址的方式不方便��,應用不靈活
無可質疑��,網絡管理員為內部網絡設備分配IP地址是一項非常繁鎖而且艱巨的工作��,網絡管理員清楚知道每個IP地址使用情況��,這就需要管理員為每個IP地址的使用作登記���,尤其當業(yè)務系統分布較為分散時,為及時完成IP地址分配帶來困難��。IP地址登記冊和Excel文檔查找空閑IP資源時不靈便����、不直觀���、浪費工作時間。
(2)缺乏對IP數據的同步實時管理
手工IP地址管理登記冊和Excel文檔無法保障對IP數據的同步實時管理��。當不同的網絡管理員對同一IP數據進行添加��、修改�、刪除等操作后缺乏及時溝通,會導致IP管理混亂���。另外�,由于沒有統一的的數據庫對IP數據進行管理���,當遇到人員調動����、機器更換��、辦公地點調整時���,利用登記冊和Excel文檔很難及時對廢棄的IP地址進行回收和再利用���,造成網絡資源的浪費。
(3)IPv6技術升級所導致的管理問題
IPv4定義的有限地址空間將在2011年被耗盡���,地址空間的不足必將影響互聯網的進一步發(fā)展���。如VoIP手持設備、云計算/虛擬化���、統一通信�、傳感網絡等�,對IP地址的移動性、集中性����、安全性和兼容性方面有了新的要求。IPv6的到來是必然的���。以下是IPv4和IPv6地址的對比:
IPv6地址: FE80:85A4:D1B1:D1B8:DCB1:4545:3326:3134
IPv4地址: 192.168.100.188
與IPv4地址相比�,IPv6的主要改變就是地址的長度為128位�,也就是說可以有2的128次方的IP地址,相當于10的后面有38個零���。這么龐大的地址空間���,手工管理IPv6地址存在很大的難度��。
(4)現有DHCP服務的存在的問題
在路由器或者接入設備上啟用DHCP服務�,經常會出現以下幾種情況導致地址不能分出去(實際上地址并沒有分完):出現地址沖突時��,部分路由器便會將沖突的地址記錄在沖突表中���,只要不去手工地清除該表���,沖突的地址,便無法再分配出去����;同時部分DHCP地址租約到期而不能釋放,也需要手工清除���,工作量非常大��;由于用戶量不停地增長���,相關要處理大量的DHCP請求���,負荷過大而導致有時無法作出響應。
傳統的DHCP服務�,采用孤島式的管理�,信息不能集中匯總分析,同時安全性差��,易被攻擊(惡意IP地址請求 �、DDOS攻擊等),不具備電信級可靠性��、并發(fā)處理能力低���;對業(yè)務保障能力差��,不能有效�、快速的滿足IPTV��,VOIP等新業(yè)務的開通��。
(5)對臨時接入控制的問題
網絡管理員無法進行接入IP地址合法性的確認����。目前網絡內部有眾多應用服務器以及各種機密電子資料����,外來人員一旦獲得IP地址后�,便可以無控制地使用網絡,從而造成機密信息的泄露��。
3.新一代網絡核心服務自動化解決方案
新一代網絡核心服務自動化管理支撐平臺能自動���、有效地管理訪問網絡的IP/MAC 資源����,實時提供更新數據�,控制未授權IP/MAC地址訪問網絡,從而提高內部網絡的可管理性和安全性�。下圖是網絡核心服務解決方案的所經歷的發(fā)展階段:
No IP, No Network, No Business, IP通信是保證業(yè)務穩(wěn)定運行的關鍵。新一代網絡核心服務自動化管理支撐平臺提供面向業(yè)務服務的IPv4/IPv6地址管理和安全接入, 提供可擴展的技術框架����,從而保證網絡更穩(wěn)定的運行。
圖:IPM-1000A
通過網絡核心服務的自動化和統一化管理來控制網絡運營成本�,體現在以下幾個方面:
- 統一化管理,減少運營操作成本
- 提高效率和生產力����,減少技術支援成本
- 簡化和自動化現有基于手工管理的流程
- 減少由網絡IP地址分配錯誤而導致的運營損耗
- IP地址的授權管理和提高技術支援響應能力
- 實時監(jiān)視地址分配和統計分析
- 簡化故障的診斷����、定位和排除
- 防止非法設備的接入而造成信息的泄露
作者簡介:
SUNNY XU :艾派姆網絡技術有限公司首席架構師����,負責網絡核心服務系列產品戰(zhàn)略
艾派姆網絡技術有限公司成立于2007年,總部位于加拿大多倫多市��。公司擁有一支高素質專業(yè)研發(fā)隊伍�,自成立起就專注于網絡核心服務自動化領域的研究和開發(fā)工作�,研究內主要容包括DHCPv4,DHCPv6�,NAC,DNS�,IPAM,NTP服務等�。
作者供稿 CTI論壇編輯