發(fā)表評論分享按鈕

淺析IP地址管理問題

艾派姆網(wǎng)絡(luò)技術(shù)有限公司首席架構(gòu)師 SUNNY XU 2011/07/19

1.什么是網(wǎng)絡(luò)核心服務(wù)及管理必要性

  隨著Internet的迅速發(fā)展和現(xiàn)有IP網(wǎng)絡(luò)的不斷擴展,使得基于IP協(xié)議的通信量巨大增長,這種增長主要體現(xiàn)在用戶數(shù)量,IP地址數(shù)量和通信量上,隨之而來的問題就是IP地址管理的問題,怎樣有效地管理整個網(wǎng)絡(luò)系統(tǒng)的中IP地址,地址過多和怎么有效的分配這些IP地址,成為困擾在企業(yè)信息化建設(shè)中的問題。如果沒有有效的管理,可能導致網(wǎng)絡(luò)可用性和服務(wù)質(zhì)量的下降,甚至網(wǎng)絡(luò)的崩潰。還可能造成大量商業(yè)損失。

  IP地址也是網(wǎng)絡(luò)和應用之間的“粘合劑”,對于所有網(wǎng)絡(luò)和應用而言都是很重要的,沒有網(wǎng)絡(luò)核心服務(wù),基于IP的網(wǎng)絡(luò)及其應用將會陷于停頓。以下是網(wǎng)絡(luò)核心服務(wù)所涵蓋的范圍:

    服務(wù)/協(xié)議                      簡述
  IPAM(IP地址管理系統(tǒng))       IPv4/IPv6地址管理
  DHCPv4(動態(tài)主機配置協(xié)議)      IPv4地址分配
  DHCPv6(動態(tài)主機配置協(xié)議)      IPv6地址分配
  NAC(IP地址接入控制)        IP地址接入控制

  IP地址管理系統(tǒng)可以進行IP/MAC地址的分配和自動化開通,實現(xiàn)集中式、有效的IP地址管理,同時支持IPv4/IPv6地址協(xié)議。通過IP開通自動化來控制操作成本;提供實時、準確的交換機端口和IP/MAC的對應信息,協(xié)助IT維護人員對故障IP地址進行快速定位;實時跟蹤IP/MAC地址的變更,及時對廢棄的IP地址進行回收和再利用,優(yōu)化網(wǎng)絡(luò)資源的使用率。

  動態(tài)主機配置協(xié)議(DHCPv4)是一種使網(wǎng)絡(luò)管理員能夠集中管理和自動分配 IP 網(wǎng)絡(luò)地址的通信協(xié)議。在 IP 網(wǎng)絡(luò)中,每個連接 Internet 的設(shè)備都需要分配唯一的 IP 地址。DHCP 使網(wǎng)絡(luò)管理員能從中心結(jié)點監(jiān)控和分配 IP 地址。當某臺計算機移到網(wǎng)絡(luò)中的其它位置時,能自動收到新的 IP 地址。

  動態(tài)主機配置協(xié)議(DHCPv6)向 IPv6 主機提供有狀態(tài)的地址配置或無狀態(tài)的配置設(shè)置。IPv6 主機可以使用多種方法來配置地址:無狀態(tài)地址自動配置 用于對鏈接本地地址和其他非鏈接本地地址兩者進行配置,方法是與相鄰路由器交換路由器請求和路由器公告消息;有狀態(tài)地址自動配置 通過使用如 DHCP 的配置協(xié)議,用來配置非鏈接本地地址。

  IP地址接入控制可以提供對未授權(quán)IP/MAC地址提供二次訪問的授權(quán)機制,解決非法IP接入的安全隱患。同時可以將接入客戶,按安全級別分為以下幾類;永久授權(quán)客戶(分配固定IP地址)、永久授權(quán)客戶(分配動態(tài)IP地址)、臨時授權(quán)客戶、未授權(quán)客戶。

2.網(wǎng)絡(luò)核心服務(wù)的管理現(xiàn)狀

  對于現(xiàn)有網(wǎng)絡(luò)中存在的網(wǎng)絡(luò)核心服務(wù)的管理難度及準入控制的缺陷,總結(jié)起來可分為以下幾個方面:

  (1)現(xiàn)有手工管理IP地址的方式不方便,應用不靈活

  無可質(zhì)疑,網(wǎng)絡(luò)管理員為內(nèi)部網(wǎng)絡(luò)設(shè)備分配IP地址是一項非常繁鎖而且艱巨的工作,網(wǎng)絡(luò)管理員清楚知道每個IP地址使用情況,這就需要管理員為每個IP地址的使用作登記,尤其當業(yè)務(wù)系統(tǒng)分布較為分散時,為及時完成IP地址分配帶來困難。IP地址登記冊和Excel文檔查找空閑IP資源時不靈便、不直觀、浪費工作時間。

  (2)缺乏對IP數(shù)據(jù)的同步實時管理

  手工IP地址管理登記冊和Excel文檔無法保障對IP數(shù)據(jù)的同步實時管理。當不同的網(wǎng)絡(luò)管理員對同一IP數(shù)據(jù)進行添加、修改、刪除等操作后缺乏及時溝通,會導致IP管理混亂。另外,由于沒有統(tǒng)一的的數(shù)據(jù)庫對IP數(shù)據(jù)進行管理,當遇到人員調(diào)動、機器更換、辦公地點調(diào)整時,利用登記冊和Excel文檔很難及時對廢棄的IP地址進行回收和再利用,造成網(wǎng)絡(luò)資源的浪費。

  (3)IPv6技術(shù)升級所導致的管理問題

  IPv4定義的有限地址空間將在2011年被耗盡,地址空間的不足必將影響互聯(lián)網(wǎng)的進一步發(fā)展。如VoIP手持設(shè)備、云計算/虛擬化、統(tǒng)一通信、傳感網(wǎng)絡(luò)等,對IP地址的移動性、集中性、安全性和兼容性方面有了新的要求。IPv6的到來是必然的。以下是IPv4和IPv6地址的對比:

  IPv6地址: FE80:85A4:D1B1:D1B8:DCB1:4545:3326:3134
  IPv4地址: 192.168.100.188

  與IPv4地址相比,IPv6的主要改變就是地址的長度為128位,也就是說可以有2的128次方的IP地址,相當于10的后面有38個零。這么龐大的地址空間,手工管理IPv6地址存在很大的難度。

  (4)現(xiàn)有DHCP服務(wù)的存在的問題

  在路由器或者接入設(shè)備上啟用DHCP服務(wù),經(jīng)常會出現(xiàn)以下幾種情況導致地址不能分出去(實際上地址并沒有分完):出現(xiàn)地址沖突時,部分路由器便會將沖突的地址記錄在沖突表中,只要不去手工地清除該表,沖突的地址,便無法再分配出去;同時部分DHCP地址租約到期而不能釋放,也需要手工清除,工作量非常大;由于用戶量不停地增長,相關(guān)要處理大量的DHCP請求,負荷過大而導致有時無法作出響應。

  傳統(tǒng)的DHCP服務(wù),采用孤島式的管理,信息不能集中匯總分析,同時安全性差,易被攻擊(惡意IP地址請求 、DDOS攻擊等),不具備電信級可靠性、并發(fā)處理能力低;對業(yè)務(wù)保障能力差,不能有效、快速的滿足IPTV,VOIP等新業(yè)務(wù)的開通。

  (5)對臨時接入控制的問題

  網(wǎng)絡(luò)管理員無法進行接入IP地址合法性的確認。目前網(wǎng)絡(luò)內(nèi)部有眾多應用服務(wù)器以及各種機密電子資料,外來人員一旦獲得IP地址后,便可以無控制地使用網(wǎng)絡(luò),從而造成機密信息的泄露。

3.新一代網(wǎng)絡(luò)核心服務(wù)自動化解決方案

  新一代網(wǎng)絡(luò)核心服務(wù)自動化管理支撐平臺能自動、有效地管理訪問網(wǎng)絡(luò)的IP/MAC 資源,實時提供更新數(shù)據(jù),控制未授權(quán)IP/MAC地址訪問網(wǎng)絡(luò),從而提高內(nèi)部網(wǎng)絡(luò)的可管理性和安全性。下圖是網(wǎng)絡(luò)核心服務(wù)解決方案的所經(jīng)歷的發(fā)展階段:


  No IP, No Network, No Business, IP通信是保證業(yè)務(wù)穩(wěn)定運行的關(guān)鍵。新一代網(wǎng)絡(luò)核心服務(wù)自動化管理支撐平臺提供面向業(yè)務(wù)服務(wù)的IPv4/IPv6地址管理和安全接入, 提供可擴展的技術(shù)框架,從而保證網(wǎng)絡(luò)更穩(wěn)定的運行。

IPM-1000A

圖:IPM-1000A

  通過網(wǎng)絡(luò)核心服務(wù)的自動化和統(tǒng)一化管理來控制網(wǎng)絡(luò)運營成本,體現(xiàn)在以下幾個方面: 作者簡介

  SUNNY XU :艾派姆網(wǎng)絡(luò)技術(shù)有限公司首席架構(gòu)師,負責網(wǎng)絡(luò)核心服務(wù)系列產(chǎn)品戰(zhàn)略

  艾派姆網(wǎng)絡(luò)技術(shù)有限公司成立于2007年,總部位于加拿大多倫多市。公司擁有一支高素質(zhì)專業(yè)研發(fā)隊伍,自成立起就專注于網(wǎng)絡(luò)核心服務(wù)自動化領(lǐng)域的研究和開發(fā)工作,研究內(nèi)主要容包括DHCPv4,DHCPv6,NAC,DNS,IPAM,NTP服務(wù)等。
共 2 頁:1 2 

作者供稿 CTI論壇編輯