一、引言 随着Internet的迅速发展和企业网络系统的不断扩展,推动了基于IP的通信量的巨大增长,这种增长主要体现在用户数量,IP地址数量和通信量上,随之而来的问题就是IP地址管理的问题,怎样有效地管理整个网络系统的中IP地址,地址过多和怎么有效的分配这些IP地址,成为困扰一些企业的问题。如果没有有效的管理,可能导致网络可用性和服务质量的下降,甚至网络的崩溃。还可能造成大量商业损失。
在一个具有成千上万个IP地址的动态变化的网络中,最经常引起网络故障的原因之一是出现重复的IP地址,这看起来像是一个小问题,但它能带来巨大的影响以致一些重要的业务功能被丧失,不仅仅使人们在出问题时不能访问网络从而无法工作,还可能造成大量商机的丢失,例如在一段时间内无法接收在线订单。
许多组织平时认识不到它们存在IP地址的管理问题,直到出现灾难为止。一旦其网络瘫痪则即刻成为头号问题,然而在没有恰当工具的条件下要解决IP地址问题将是非常困难的和耗时的。如果没有一种机制可以知道在某个时刻谁拥有哪个地址,那么要在一个具有成千上万个IP地址的池内找出一个重复的IP地址或指出问题所在将是一件非常困难的事。
非授权的IP地址的使用也成为不少企业大为头痛的事情。许多公司要求其雇员在公司里不要花费大量时间去浏览因特网,或者对如何使用因特网进行控制。但即使这样,只要稍有一点技术知识和足够耐心的人有时仍能获取到一个意外的IP地址并进行免费浏览。多数的IP地址管理系统不具备发现这一情况的机制,或者即使能知道也无法进行追踪。更坏的是,这样一种未被发觉的活动可能会产生一个重复的IP地址,它将可能带来整个网络的瘫痪。
这就要求有一种自动的解决方案,这就是动态IP管理。动态IP管理系统使你能对你的整个网络的IP地址与IP名字空间进行集中管理。动态IP解决方案可将DHCP、DNS与其他的IP服务集成在一起使你能通过单一的界面来对它们进行管理,你将可进行完全的审核、方便的管理与可地防故障的地址分配。
锐讯计算机科技公司研发的NextIP管理系统便是针对提高IP地址使用率、对网络的IP地址使用管理以及应对各种IP地址故障处理而提出的解决方案。
二、传统IP地址管理方法和问题 IP管理中最常见的就是地址盗用的问题。在TCP/IP的环境下,每台主机都有其IP地址,但IP只是在时标示主机的一种逻辑方法。在局域网中使用的是48位的MAC地址(物理地址),主机间互相通讯必须知道各自的MAC地址。在设计网络接口卡时,每块网络接口卡都有其各独一无二的MAC地址。常见的IP地址管理方法是,管理员通过MAC来识别甚至网络用户。但在实际使用网络的过程中,用户可能会私自加装设备,更改网卡,更换IP地址。方法其实很简单,只需在主机上做些简单的配置即可。对于上述修改IP或MAC地址的情况,管理员基本上就束手无策了。这些非法用户更改IP地址或MAC地址的用意也很显而易见,就是为了享有这个IP的“特权”或是对某事物不满而心存报复或是为了达到某种不可告人的目的等原因。
对于中国现今的网络而言,大多数还是采用静态地址分配方式,那就一定存在着私设IP碰到的种种问题。私设的IP如果恰巧是你公司的某台关键应用,会导致你企业的业务不能运转,给企业造成巨大损失;私设的IP地址如果和网关地址重叠,会导致此网关下的用户不能访问网络,造成网络瘫痪;私设的地址和你的同事或者上司的相同,会导致他不能访问网络。由私设IP所带来的后果还远远不止这些。
对于很多网络管理员而言,您可能还经常碰到私设DHCP的情况。大家都知道,DHCP是为TCP/IP网络上的主机提供配置参数的一个工具。客户机在广播DHCPDISCOVER报文后,每个收到客户机DHCPDISCOVER报文的DHCP服务器都会发送一个DHCPOFFER报文回应客户机,而客户机采用的是先收到哪台DHCP服务器的回应,就采用它提供的配置的方式。如果一个局域网内私设了一台DHCP服务器,它所管理的地址池中的地址可能会与原DHCP服务器的重叠。就会存在下列情况,当A主机申请IP地址时,私设的DHCP服务器先响应了A的请求,并给了它一个IP地址,而恰恰这个地址已由另一台DHCP服务器分配给了局域网中别的主机,这就造成了地址冲突。还有一种可能性,就是该非法DHCP服务器给你的地址根本是个不可使用的地址。
遗憾的是,按照常规的方式进行IP地址管理,是难以杜绝这些问题的,因为即使网络管理员知道有人设置了错误的IP地址,也无法定位使用非法IP的终端设备,大部分情况下网管员只能束手无策的等待有人主动的报告谁正在使用这个IP地址。作为网管,可能正因为上述的某一情况的发生,使得您被上司斥责,被同事唠叨。
三、NextIP-全面的IP地址管理解决方案 NextIP是一个完整的企业网络IP地址解决方案。系统可以通过DHCP服务与用户注册服务协同工作的方式,自动化地址分配;能够提供基于WEB的一体化系统管理界面;提供统一的数据库,确保数据的一致性;多种注册方式,方便企业为多种用户群服务;能够实时探测IP地址的使用状态。当监测到非法的IP地址使用时,会自动发送告警信息;系统还自动的监测到该使用者的位置(具体到他通过哪台设备的哪个端口接入网络),并通过与机、路由器或的交互对非法用户进行阻断。
NextIP针对地址盗用问题有其独特的处理方式。由于NextIP采用的是DHCP服务器与用户注册服务协同工作的方式,也就是用户ID与地址捆绑的方式。这就有效地防止了地址盗用的问题。设想一种可能的情况,用户A在主机A上将其IP地址和MAC地址都改为主机B的IP地址和MAC地址。在通常没有认证的情况下,A用户已经获得了和B用户相同的访问权限。但由于NextIP用户和地址的绑定作用,A用户不知道B用户的用户名和密码,就无法通过认证,自然也就得不到B用户的服务。
NextIP采用动态DHCP分配地址的方式,有效的杜绝了静态地址分配所带来的地址冲突问题。除了个别设备和人员允许采用静态地址外,其他人员必须由NextIP中的DHCP服务器分配配置信息。如果有某个未经允许的用户私设了静态IP地址,NextIP会通过告警并阻断其访问网络的方式,防止地址冲突的发生。
NextIP对私设DHCP服务器作了严格地防范。它对局域网内存在的DHCP服务器进行检测,一旦检测到NextIP未授权使用的DHCP服务器,会通过阻断的方式阻止其在网络中生效,并可通过实时的检测信息捕获该非法DHCP服务器的地理位置,便于管理员管理。
NextIP对已经下线用户的地址进行及时的回收,以防止地址资源的匮乏。当用户下线时,NextIP会判断出该用户已处于离线状态,并将其地址收回。当有用户申请地址时,该地址可再利用。这就克服了静态分配IP地址所带来的地址数量不足问题,使得地址池的利用率达到最高。
NextIP系统结构图如下:
NextIP功能模块简介:
各模块主要功能如下:
* 核心服务器:NEXTIP系统的核心模块,负责直接与数据库打交道,更新数据库。
* 数据库:包含了所有关于域、IP网及用户等相关数据。
* 地区服务器:收集该地区的DHCP动态更新信息,并将信息汇总到核心服务器。
* DNS服务器:支持BIND9,因而支持基于标准的动态DNS更新。
* 主DHCP服务器:负责向注册服务器查询用户信息、提供动态IP地址分配及管理服务。
* 备份DHCP服务器:确保主DHCP服务器的高可用性,并提供负载均衡。
* 收集服务器:负责收集检测服务器的检测结果。
* 检测服务器:对所管理的子网进行用户数据收集
* 主注册服务器:提供用户认证与注册服务。
* 备份注册服务器:确保主注册服务器的高可用性,并提供负载均衡。
* 注册客户端:负责与注册服务器交互,提交用户信息。
* 服务代理:实现与NetScreen、Ipchains 的集成并实时更新信息。一旦检测到非法的IP地址,自动生成防火墙策略进行阻断。也可实现与机或路由器的集成。当发现有非法IP时,通过SNMP通知交换机关断其相应的端口,或者通知路由器更改相应的访问控制列表。它还为第三方应用程序提供了接口,从而实现计费、QOS等应用。
四、总结 使用NextIP地址管理系统可以有效的解决企业中各种地址管理的问题,它能使你能对你的整个网络的IP地址与IP名字空间进行集中管理。它使管理员可将DHCP、DNS与其他的IP服务集成在一起使你能通过单一的界面来对它们进行管理,从而你可以进行完全的审核、方便的自动化管理和方便的故障处理。采用锐讯的NextIP管理软件,您可以对您的网络情况了如指掌,对于异常情况的处理也可以游刃有余。工作轻松之际,还能得到老板的赏识,使用NextIP何乐而不为!!
【责编:admin】
--------------------next---------------------