浅析IP地址管理问题
艾派姆网络技术有限公司首席架构师 SUNNY XU 2011/07/19
1.什么是网络核心服务及管理必要性
随着Internet的迅速发展和现有IP网络的不断扩展,使得基于IP协议的通信量巨大增长,这种增长主要体现在用户数量,IP地址数量和通信量上,随之而来的问题就是IP地址管理的问题,怎样有效地管理整个网络系统的中IP地址,地址过多和怎么有效的分配这些IP地址,成为困扰在企业信息化建设中的问题。如果没有有效的管理,可能导致网络可用性和服务质量的下降,甚至网络的崩溃。还可能造成大量商业损失。
IP地址也是网络和应用之间的“粘合剂”,对于所有网络和应用而言都是很重要的,没有网络核心服务,基于IP的网络及其应用将会陷于停顿。以下是网络核心服务所涵盖的范围:
服务/协议 简述
IPAM(IP地址管理系统) IPv4/IPv6地址管理
DHCPv4(动态主机配置协议) IPv4地址分配
DHCPv6(动态主机配置协议) IPv6地址分配
NAC(IP地址接入控制) IP地址接入控制
IP地址管理系统可以进行IP/MAC地址的分配和自动化开通,实现集中式、有效的IP地址管理,同时支持IPv4/IPv6地址协议。通过IP开通自动化来控制操作成本;提供实时、准确的交换机端口和IP/MAC的对应信息,协助IT维护人员对故障IP地址进行快速定位;实时跟踪IP/MAC地址的变更,及时对废弃的IP地址进行回收和再利用,优化网络资源的使用率。
动态主机配置协议(DHCPv4)是一种使网络管理员能够集中管理和自动分配 IP 网络地址的通信协议。在 IP 网络中,每个连接 Internet 的设备都需要分配唯一的 IP 地址。DHCP 使网络管理员能从中心结点监控和分配 IP 地址。当某台计算机移到网络中的其它位置时,能自动收到新的 IP 地址。
动态主机配置协议(DHCPv6)向 IPv6 主机提供有状态的地址配置或无状态的配置设置。IPv6 主机可以使用多种方法来配置地址:无状态地址自动配置 用于对链接本地地址和其他非链接本地地址两者进行配置,方法是与相邻路由器交换路由器请求和路由器公告消息;有状态地址自动配置 通过使用如 DHCP 的配置协议,用来配置非链接本地地址。
IP地址接入控制可以提供对未授权IP/MAC地址提供二次访问的授权机制,解决非法IP接入的安全隐患。同时可以将接入客户,按安全级别分为以下几类;永久授权客户(分配固定IP地址)、永久授权客户(分配动态IP地址)、临时授权客户、未授权客户。
2.网络核心服务的管理现状
对于现有网络中存在的网络核心服务的管理难度及准入控制的缺陷,总结起来可分为以下几个方面:
(1)现有手工管理IP地址的方式不方便,应用不灵活
无可质疑,网络管理员为内部网络设备分配IP地址是一项非常繁锁而且艰巨的工作,网络管理员清楚知道每个IP地址使用情况,这就需要管理员为每个IP地址的使用作登记,尤其当业务系统分布较为分散时,为及时完成IP地址分配带来困难。IP地址登记册和Excel文档查找空闲IP资源时不灵便、不直观、浪费工作时间。
(2)缺乏对IP数据的同步实时管理
手工IP地址管理登记册和Excel文档无法保障对IP数据的同步实时管理。当不同的网络管理员对同一IP数据进行添加、修改、删除等操作后缺乏及时沟通,会导致IP管理混乱。另外,由于没有统一的的数据库对IP数据进行管理,当遇到人员调动、机器更换、办公地点调整时,利用登记册和Excel文档很难及时对废弃的IP地址进行回收和再利用,造成网络资源的浪费。
(3)IPv6技术升级所导致的管理问题
IPv4定义的有限地址空间将在2011年被耗尽,地址空间的不足必将影响互联网的进一步发展。如VoIP手持设备、云计算/虚拟化、统一通信、传感网络等,对IP地址的移动性、集中性、安全性和兼容性方面有了新的要求。IPv6的到来是必然的。以下是IPv4和IPv6地址的对比:
IPv6地址: FE80:85A4:D1B1:D1B8:DCB1:4545:3326:3134
IPv4地址: 192.168.100.188
与IPv4地址相比,IPv6的主要改变就是地址的长度为128位,也就是说可以有2的128次方的IP地址,相当于10的后面有38个零。这么庞大的地址空间,手工管理IPv6地址存在很大的难度。
(4)现有DHCP服务的存在的问题
在路由器或者接入设备上启用DHCP服务,经常会出现以下几种情况导致地址不能分出去(实际上地址并没有分完):出现地址冲突时,部分路由器便会将冲突的地址记录在冲突表中,只要不去手工地清除该表,冲突的地址,便无法再分配出去;同时部分DHCP地址租约到期而不能释放,也需要手工清除,工作量非常大;由于用户量不停地增长,相关要处理大量的DHCP请求,负荷过大而导致有时无法作出响应。
传统的DHCP服务,采用孤岛式的管理,信息不能集中汇总分析,同时安全性差,易被攻击(恶意IP地址请求 、DDOS攻击等),不具备电信级可靠性、并发处理能力低;对业务保障能力差,不能有效、快速的满足IPTV,VOIP等新业务的开通。
(5)对临时接入控制的问题
网络管理员无法进行接入IP地址合法性的确认。目前网络内部有众多应用服务器以及各种机密电子资料,外来人员一旦获得IP地址后,便可以无控制地使用网络,从而造成机密信息的泄露。
3.新一代网络核心服务自动化解决方案
新一代网络核心服务自动化管理支撑平台能自动、有效地管理访问网络的IP/MAC 资源,实时提供更新数据,控制未授权IP/MAC地址访问网络,从而提高内部网络的可管理性和安全性。下图是网络核心服务解决方案的所经历的发展阶段:
No IP, No Network, No Business, IP通信是保证业务稳定运行的关键。新一代网络核心服务自动化管理支撑平台提供面向业务服务的IPv4/IPv6地址管理和安全接入, 提供可扩展的技术框架,从而保证网络更稳定的运行。
图:IPM-1000A
通过网络核心服务的自动化和统一化管理来控制网络运营成本,体现在以下几个方面:
- 统一化管理,减少运营操作成本
- 提高效率和生产力,减少技术支援成本
- 简化和自动化现有基于手工管理的流程
- 减少由网络IP地址分配错误而导致的运营损耗
- IP地址的授权管理和提高技术支援响应能力
- 实时监视地址分配和统计分析
- 简化故障的诊断、定位和排除
- 防止非法设备的接入而造成信息的泄露
作者简介:
SUNNY XU :艾派姆网络技术有限公司首席架构师,负责网络核心服务系列产品战略
艾派姆网络技术有限公司成立于2007年,总部位于加拿大多伦多市。公司拥有一支高素质专业研发队伍,自成立起就专注于网络核心服务自动化领域的研究和开发工作,研究内主要容包括DHCPv4,DHCPv6,NAC,DNS,IPAM,NTP服务等。
作者供稿 CTI论坛编辑