你所不知的IP地址管理

IP地址管理基本理念

顺畅的企业网络依赖于良好的IP地址管理。随着网络以及IT设施(例如VoIP、云计算、服务器虚拟化、桌面虚拟化、IPv6和服务自动化等)复杂性的增加使网络团队需要选择使用自动化IP地址管理(IPAM)的工具，自动化IP地址管理工具可以让管理员管理域名，分配子网、分配/追踪/回收/审计IP地址/解析DNS域名以及提供对网络的可视性。

IP地址管理的基本理念：什么人，是否有权限接入网络，使用哪一台终端，使用的那一个IP接入到网络，是否存在地址欺骗/冲突的现象，并对上述地址分配进行记录、审计和定位。因此涉及到实名制分配、终端MAC、IP资源管理、DNS域名管理、IP接入授权和地址审计等。

DNS、DHCP、IP地址管理（简称DDI）是企业网络稳定运行的根本，是企业网络的核心部分。一旦DDI出现了问题，整个网络都会处于瘫痪。

下面我们通过若干案例分析来讨论DDI产品在客户处的应用：

案例一：某基地IP地址审计和准入项目

现有基地的IP地址分配采用手工配置，管理方面采用Excel表格登记的方式，地址实名审计存在问题。同时在网络接入方面缺乏有效的控制，目前基地的网络设备种类较多、新旧程度不同，在加上终端WINDOWS操作系统的版本差异较大（WIN2000, WIN XP, WIN 98，WIN 7，WIN8等），采用传统的802.1x的准入方式对现有的网络和终端环境基本不可行。用户的目标是寻找一套不需要安装任何客户端，不需要更改现有的网络拓扑的准入方式，同时还需要对IP/MAC地址进行实时的审计功能。

案例二：集团DHCP地址分配审计和访客接入项目

随着集团网络规模的扩大和不同厂商设备的差异性，很难对来访者的临时接入进行有效的管理和审计。目前常规做法是填写访客地址申请单，由管理员手工静态配置访客的IP，以Excel表格的方式进行管理。缺乏对访客的接入授权申请、本集团的接待人和访客临时分配的IP地址之间进行有效的关联，同时也不利于访客区地址的回收和重复利用，由于来访者比较频繁，系统管理员很难对临时接入申请进行实时的跟踪处理。

本项目提供基于DHCP的二次地址授权分配技术实现了对IP/MAC地址授权接入，由接待人提出申请，同时在申请临时IP地址的时候与集团的LDAP Server进行授权账户的同步验证，实现来访者/访客IP地址/接待人/设备MAC地址之间的实时关联审计。

案例三：大学综合实验楼改造项目

现有教学楼网络不能满足教学任务也不能和其它教学楼内其他实验室网络实现互通。实验室内网IP地址由于没有统一分配、管理、审计。不能很好的对现有的教学网进行有效的监控，所有终端的IP都没有进行有效的安全审计。随着IT建设的不断投入，服务器和业务系统迅速增加，IT管理员除了需要面对日常IT管理和维护的问题之外，还需要面对信息安全的问题。

通过本项目的实施，实现了透明DHCP地址分配和审计，可以对用户终端进行动态实名的地址审计，同时也实现了MAC准入的问题。

案例四：电力公司IP地址管理项目

电力公司的IP网络接入采用内、外网物理隔离。外网租用WLAN网络进行公网访问。内网包括办公网络、调度网、生产网，所有的内网的IPv4地址分配权由信息中心分配。

目前管理方式存在的问题包括：

Ø无线AP或接入设备要处理大量DHCP请求，负荷过大而降低设备自身性能；

Ø传统DHCP功能是没有认证和安全机制的，缺乏双机冗余保证和负载均衡能力；

Ø无法实时统计分析当前IP地址的使用情况及利用率；

Ø缺乏对临时接入外网用户的IP地址进行临时授权机制；

Ø缺乏对新一代IPv6地址分配技术的支持及管理。

案例五：信息化部IP地址管理项目

目前信息化部的IP地址管理是通过网络管理人员手工配置和管理IP地址，同时在汇聚设备上部署了arp绑定（IP地址和MAC地址的关联信息）、user-bind并结合TSM身份认证一起来实现网络接入安全。

随着人员的增长和外来访客人员的不断增加，通过手工配置IP地址的方式已不能适应现有的地址管理方式，存在手工私改IP地址、不能实现实名地址分配管理和审计；对于临时访客的地址分配，不能实现访客信息/IP地址/MAC地址等相关信息的实时对应，存在很大的安全隐患。

案例六：油田虚拟化办公网项目

客户需求分析：

1）以CNS-APP系统代替原有基于windowsserver 2003（ 虚拟机）的DHCP服务器，并实现相应的IP地址管理、审计功能及人员信息管理功能；

2）其所在楼层的所有公司皆使用同一网段地址。客户提出，希望对所有DHCP请求进行接入控制，达到由CNS-APP系统分配的IP地址只允许被本公司人员使用的效果。

系统实现功能：

1）IP地址分配：提供DHCPv4、DHCPv6服务，全面的DHCPv4/v6客户端、服务器端参数支持；实名制地址分配方式方便管理，客户能够对IP地址分配进行控制。

2）IP地址管理：实现在虚拟环境中管理终端的IP地址，并对IP地址变更（IP地址分配情况、IP地址核查结果等）进行审计。

3）安全接入认证： 基于地址分配的认证授权功能，实现对接入终端的准入控制，有效防止本公司的IP地址因外人的请求而被占用；

4）快速端口定位：客户可通过统中“IP地址调和”的IPv4地址调和功能、设备端口/MAC扫描功能及“网络设备配置管理”的脚本功能，实现对终端的快速定位，方便查找故障终端。

案例七：工业学院实名IP地址分配/DNS项目

目前学院办公网络的IP地址完全通过手工分配、手工Excel表格管理。学院通过相关上网行为设备进行上网控制。

随着网络规模的扩大，通过手工管理IP地址很难实现实名IP地址分配的要求，用户随意更改IP地址，克隆MAC地址、私设路由设备的现象时有发生，不利于公安部门对IP/MAC定位到具体人的要求。

既上网行为系统报告在过去的某段时间，有主机感染蠕虫病毒、或在网上发表违法言论、或有重大泄密嫌疑，是否能够根据报警信息中所关联的IP地址或（IP+MAC）地址及时追踪及定位到涉案主机？如果报警信息中关联的IP地址是临时修改，是否能够还原事发时段该IP地址所对应真实的MAC地址。

目前学院采用LinuxREDHAT+BIND搭建主从DNS服务器。DNS服务器由于性能不足或者系统问题，造成错误解析失败；同时也很难实现智能DNS功能。

现在通过CNS平台可以实现透明的地址分配和推送。通过人/IP/MAC/端口/指纹的信息实现追踪定位作用，对IP进行全程的跟踪审计。

DDI通过综合管理方法结合了三种IP地址服务，来提高网络的可靠性和减少工程团队的工作量。另外，DDI工具为IT管理免费提供报告和容量规划功能，这远远优于自制解决方案。最重要的是，DDI是相当成熟的技术集，有广泛的解决方案，从免费的工具到中等规模的网络优化软件，再到大型设备的企业解决方案。