搜索
集成的神神州州InIP地(州州数数码码安安金金牌牌22nfoblo地址管(IPAM何帆安安全全及及应应牌牌产产品品业业2001100年年77月月密级文档编号ox管理解M)用用增增值值本本务务部部月月级:商业秘密号:解决方本本部部密方案Infoblox集成的IP地址管理解决方案神州数码(中国)有限公司第2页共22页目录第1章 概述.......................................................................................................................................3 第2章 IP地址管理现状.............................................................................................................4 2.1 传统的IP地址管理解决方案..............................................................................................5 第3章 全新的IP地址管理解决方案.............................................................................................7 第4章 总结.....................................................................................................................................22 Infoblox集成的IP地址管理解决方案神州数码(中国)有限公司第3页共22页第1章概述IP地址管理(IPAM)提供在公司内部,有效的管理,控制,监控,分配IP地址空间的能力。为了提供有效的IP地址管理,在一个公司内部控制好两个(其中一个负责命名,另外一个负责提供IP地址)关键服务(也就是DNS,DHCP这两个服务)是很必要的。同样必要的是提供功能模块,这些功能模块在生成和提交报告(其中详细描述IP地址信息以及使用情况的报告)的时候是很需要的。Infoblox集成的IP地址管理解决方案神州数码(中国)有限公司第4页共22页第2章IP地址管理现状今天,几乎所有的公司,从财富500里面的大企业到中小型企业,都依赖TCP/IP网络来提供核心业务服务。昀低限度,他们的内部电子邮件,网络,网络打印以及文件存储基本设施都依赖于网络。在大多数情况下,网络也支持重要的业务应用(比如电子商务,企业资源管理(ERP),客户管理以及销售人员的自动化管理)。逐渐的,网络的程序也把公司和他们的客户,供应商,合作伙伴联系在一起。网络已经成为一个如此必不可少的企业资源,网络中断会导致破坏性的影响,会大大削弱公司的业务能力。相应地,许多公司已经在网络基础设施上投了不少钱,包括购买路由器和广域网连接。TCP/IP网络的重要性只会与日俱增。移动计算的增长和各种各样基于IP的设备(IP电话,照相机,RFID读卡器)的引入意味着很快几乎所有的业务活动(从进入一栋大楼到打一个电话)都需要IP网络的协助。因此,IP网络连接成为了一个基本需求,就像我们对电的需求一样。随着网络服务越来越像常见的公用事业,比如电,供水供气管道那样,对IP地址的管理就变得越来越重要。组织机构需要工具来帮助分配,跟踪IP地址空间(从全范围到个别的IP地址)。他们需要对DHCP和DNS配置有集中式的控制,需要得到DHCP和DNS配置的视图,需要对这些服务的状态有一个集中式监控。而这些工具需要成为网络内置的一个部分,因为现在变化发生得越来越频繁,生意伙伴,项目承包商来来去去,消费者也成为网络的一部分,当移动办公的雇员在大厅穿梭,或者在全球漫游的时候,他们希望有稳定持续的网络连接。遵从规范的要求给我们增加了新的挑战。塞班斯法案要求公司对DNS,DHCP配置信息的变动有充分的控制能力,必须有一个审核日志说明每次修改是哪个管理员完成的。如果法院需要相关证明,公司就需要提供一份日志记录,里面记载了在某段时间,某台计算机使用某个IP地址。即使没有相关规范的要求,这些功能很明显对一个企业是很重要的。企业可以利用这些功能来检测和阻止对网络的错误使用。Infoblox集成的IP地址管理解决方案神州数码(中国)有限公司第5页共22页对于IP地址管理的需求已经迫在眉睫的今天,大部分的公司手动的分别配置DNS,DHCP服务器来为设备提供域名解析,IP寻址等相关的配置信息,并且使用电子表格来跟踪这些信息的分配。这种办法笨拙,难处理,而且容易出错,这种办法完全和底层的网络分离,这种方法没有提供丰富的管理和报告功能。更先进一点的办法是用一个“置于其上”的IP管理程序来管理DNS和DHCP数据。在这种“置于其上”模式中,专用的IPAM软件使用一个分离的,外部数据库来保存IP地址以及主机数据。在公司范围内,这个软件生成配置和数据文件,并且把它们传送到DNS和DHCP服务器上。这个置于其上的系统也提供报告和统计功能。这减轻了管理IP地址和域名空间的负担,但是因为它是一次性的获得底层的DNS和DHCP的数据来构成这个分离式的数据库,所以它不能够反映出网络的实时状态。这种置于其上的方法可能无法提供完整的系统管理功能,比如管理远程服务器硬件,底层操作系统以及应用程序软件。进行IP地址管理的昀新的方法是从头开始,彻底得构建一个完整的系统,这个系统把IP管理的功能完全整合到DNS,DHCP设备解决方案中。这样整合的解决方案带有一个可调整规模的,零管理的,支持实时网络活动和报告的数据库。这样的解决方案可以保证数据的完整性,为管理IP地址空间,管理运行核心网络服务的设备和底层软件提供全面的功能。2.1传统的IP地址管理解决方案传统的IPAM系统(包括旧的完全基于软件的产品以及较新的“IPAM设备”)被设计为一个“置于其上”的程序,它与DHCP,DNS服务和相关的数据(IPAM系统利用这些数据生成报告)是一个并行合作,然而分离的关系。这种方法有几个弱点:•除了要照顾好他们的DNS,DHCP服务器以外,客户必须另外购买和维护单独的IPAM硬件和软件。这产生了明显的额外费用(不仅在初始的安装阶段,而且在后期的管理上)。•由于没有内置的方法来维护一个活动的,“置于其上”的IPAM系统的实时拷贝,如果你要实现的话,就必然带来额外的复杂性,必须增加一些附加的软件来做这些数据映像的工作。即使你使用了加强的系统,IPAM数据也不能实时Infoblox集成的IP地址管理解决方案神州数码(中国)有限公司第6页共22页同步;因此备用IPAM系统可能比当前的活动系统延迟数小时到一天。在今天的动态网络环境下,这将可能成为一个大问题,因为这样有可能导致主机名和租赁出去的IP地址的重复。•这个分离的IPAM应用程序使用自己的数据库,这个数据库和用来为DNS,DHCP提供数据的数据库是不同的。这些系统典型情况下,使用安装在DNS,DHCP服务器上的代理,让这些代理周期性的把数据更新发回IPAM数据库。那么必然的,网络上DNS,DHCP信息更新的时间,和代理将这些信息更新发回IPAM应用程序的时间之间存在一定的延迟。这导致数据不能同步。进而,IPAM系统提供的数据和报告往往不能反映当前网络的真实状况。随着网络越来越动态化,DNS,DHCP数据的变动越来越频繁而迅速。上面提到的问题变得越来越紧迫。•传统IPAM系统中使用的通用数据库并没有为实时网络应用程序优化,而且对很多新的网络服务协议(比如TFTP,NTP,RADIUS,和lDAP)的整合使用,支持并不太好。昀后这种系统表现就受到很大限制。在这种环境下,管理员必须努力的把用户,设备,和IP地址结合在一起,来进行规划,查找问题,以及规范化。通过使用内置的,分布式的数据库,横跨整个Infoblox网格(由多个,相互联结的设备组成)进行实时数据更新,Infoblox可以提供一个基于设备的IPAM解决方案(这个方案和底层的DHCP,DNS服务是统一的)。使用Infoblox的解决方案,我们可以降低费用,因为不再需要独立的IPAM软硬件设备。Infoblox的解决方案可以保证提供的报告总是反映出网络当前的实时状态。Infoblox的解决方案可以为以后往这个网络基础设施中添加更多的服务提供支持。Infoblox集成的IP地址管理解决方案神州数码(中国)有限公司第7页共22页第3章全新的IP地址管理解决方案Infoblox提供IPAM功能,这些功能是作为硬件化的,可信赖的DNS,DHCP网络服务设备的一个整合部分提供的。这把IP地址管理功能作为整合的,分布式的网格框架(用来管理DNS,DHCP服务,可参见Infoblox网格技术白皮书)的一个无缝扩展来提供。而不是以独立的软硬件的方式提供。这样做的优点是强大的IPAM功能以及附带的一些好处,同时费用却相当低廉。特别的,InfobloxIPAM提供的解决方案:•一个统一的IP地址管理控制台,可以让你从一个控制台窗口观察,配置DNS,DHCP和IPAM信息;•以数据为中心,以服务器(也就是相关的设备)为中心的方式来管理所有的数据;•Infoblox‘主机对象’把所有与一个可IP寻址设备(比如设备名,IP地址,MAC地址,正向,反向纪录,别名,设备分类信息(比如地点,所有者,生产者,型号等))相关的数据合并,同步到一个单独的逻辑对象中,这样可以确保在设备使用期间数据的同步,同时消除了信息过时的可能性,也消除了在一个动态网络中可能堆积的孤立纪录;•进行设备分类,这样就不再需要使用电子表格来跟踪IP地址和可IP寻址设备的资产跟踪数据(比如设备类型,序列号,生产商,物理位置等信息)•域名服务器分组,允许创建模版,用来为每一个不同的区域指定主,辅服务器,这样就大大简化了DNS服务中区域创建的工作。•分割网络的功能,这个功能可以为特定的网络自动得创建子网络,设置相应的网络掩码,这样就大大简化了DHCP网络和DNS反查区域(DNSreversezones)的配置;•DHCP向外租赁IP地址的历史记录,这个功能可以用来跟踪什么时间,什么地点,谁在某个特定的时间使用某个IP地址。•DHCP上下限界功能,如果某个DHCP范围使用过份频繁,或者很少被使用,这个功能可以预先提醒我们;Infoblox集成的IP地址管理解决方案神州数码(中国)有限公司第8页共22页•把动态的DHCP租赁的IP地址转化成DHCP固定地址,这样可以自动得把新设备和它们的数据添加到系统中。•高级查找功能,使用实时结果窗口,可以允许从查找结果中直接修改或者编辑对象;•内置的分布式数据库技术,不需要用户安装和维护。即使数据库复制和分发也不需要用户参与;•持久稳固的事务化子系统,确保即使在lAN,WAN或者设备出现故障的时候也不会发生数据丢失的问题;•语义约束,提供数据校验和一致性检查;•先进的高可用性,如果系统中任何一个部件出现了故障,能够在3到5秒内完成故障设备替换(也包括DNS,DHCP,和IPAM数据的恢复);•无缝化的灾难恢复,能够自动的将管理控制从一个数据中心(或者NOC)转移到另外一个,这个过程不会中断服务,而且会为全企业范围内的所有设备自动的重新同步所有数据;•一键式软件升级使得软件升级变得很容易。我们可以轻易的把在一个Infoblox网格中的所有设备都升级到昀新的NIOS™软件;•实时获得IP地址使用信息,提供IP地址使用信息的实时报告。因为报告是从网络上使用的实际数据生成的,而不是从网络数据的一个延迟拷贝(放在一个分离的报告数据库中)中获得的。所以可以实现上述功能。INFOBLOXIPAM重要特性IPAM功能内置于InfobloxNIOS4.1版软件中,包含一