現今互聯網絡的應用已經成為各大公司提高勞動生產率和利潤率的革命性因素,它們通過電子商務和廣域網獲得了新的商機。與此同時,越來越多的僱員通過互聯網絡的標準協議TCP/IP連接到一起,這就導致了一個嚴重的問題,即成倍增長的IP地址超出了公司IT部門所能控制的範圍。下面將討論網絡管理員每天必須應對的IP地址管理問題。

■自動分配IP地址

現今互聯網絡正在以驚人的速度擴張,接入網絡的設備數量也成幾何數目增長,但網絡的管理方式卻沒能夠跟上,相當一部分的網絡仍通過DNS服務和數據表格跟蹤來管理IP地址。當網絡發生變化時,網絡管理員必須手工編輯數據表格中的條目,修改工作站或網絡設備的配置,然後再修改DNS服務中相應的配置條目。據保守的估計,對每個IP的更改都要花費大約15分鐘。那麼,對於一個有100個節點的小網絡來說,一個網絡管理員要花費近25個小時來做這些必要的修改。隨著網絡的擴展,這種工作將變得越來越難以負擔,並極易發生錯誤。

建議採用基於動態主機配置協議DHCP(DynamicHostConfiguration Protocol)的IP地址管理解決方案,實現動態管理IP地址,從而自動處理大部分由於網絡變化引起的與配置IP地址相關的工作。這將有效地減少網絡運營費用,同時避免發生像IP地址重複這樣的錯誤。自動分配IP地址將會使像接入或移出網絡設備這樣的工作變得輕而易舉。

■高效地擴展網絡

當今各大公司網絡的擴展是極其迅猛的,同時對網絡IP地址和名字空間的有序性和可靠性也提出了更高的要求。眼下時興的公司重組和合併也給網絡管理帶來了新的挑戰,因為這兩個公司的網絡可能採用完全不同的IP地址管理方案。我們需要的是一個模塊化的IP地址管理解決方案,它既能整合現有的網絡,又能靈活地進行擴展,因此,有3個特性是它所必需的:

1.支持不同類型的網絡平台

現在常用的網絡平台,有WindowsNT、Linux、Unix、NetWare等,一個企業級的解決方案必須能在所有的平台上支持DNS和DHCP,這樣才能在構建網絡時完全不必考慮採用不同平台對IP管理所帶來的影響。

2.允許以漸進的方式安裝使用

如果沒有這個承諾,安裝IP地址管理解決方案將要求整個公司的網絡在一段時間內同時進行全面的檢查和調整,由此帶來的長時間的網絡癱瘓對相當多的公司來說是難以想像的。

3.支持網絡將來的擴展

在公司不斷增長的情況下,能夠保持網絡框架的完整性是非常重要的。當新增一個辦公室或新僱傭一個僱員時,一個設計良好的解決方案將簡化更新整個IP地址和名字空間的過程,自動向每個網絡節點聲明新的IP地址和網絡服務。

■整合公司的網絡設施

目前,網絡發展的一個趨勢是將DNS、DHCP等網絡服務分散到網絡的下層子網中去,新的管理方式必須做到以下幾點:

1.對分佈的網絡服務進行管理

在沒有一個集中管理模式的情況下,網絡管理員必須用telnet通過多重DNS和DHCP來獲取遠程網絡的運行情況。為了提高這一工作的效率,他們需要一個能顯示所有分佈式網絡服務的單一界面,而無需知道它們所在何處。

2.集中管理和本地網絡管理相結合

對於一個集中網絡管理系統,它將在分配、管理整個網絡範圍內的IP地址和名字空間的同時,授權給本地網絡的管理員管理本地網絡的日常工作,當然對本地網絡管理員進行權限控制以確保只能管理他所負責的網絡資源也是非常重要的。

■為網絡問題建立應急機制

網絡控制跟不上網絡發展後經常出現的一個問題就是IP地址重複。用手工方式為新計算機和網絡設備分配IP地址不但費時而且容易發生錯誤。

在動態分配IP地址的解決方案中為了保證高可用性一般採取將可分配的IP地址放在兩個DHCP中分配,當主用DHCP失效時,另一個備份DHCP可以接替主用DHCP繼續分配IP地址,當然這種方式要求保留冗余的IP地址給備份的DHCP。另外,網絡管理員對網絡的控制必須具有高可用性,不管網絡管理員在什麼地方,他都能夠隨時對網絡進行管理控制。

■用戶權限管理

TCP/IP協議的廣泛採用導致了IP相關應用程序的極大增長,用戶通過分佈式網絡訪問各種網絡服務和應用程序。大多數應用程序的權限管理是基於IP地址而不是基於用戶的。在動態分配IP地址的網絡環境中,或在多個僱員合用一台計算機的情況下,採用基於IP地址的權限管理是不合適的,因為用戶和IP地址之間並沒有穩定的聯繫,這使我們陷入兩難的境地:或者犧牲效率,採用複雜的多重身份鑒定方式;或者為了保證效率,犧牲安全性。

對於某些網絡應用,例如瀏覽Web主頁,可能會想設定使用權限但又不想採用複雜的多重身份鑒定。把網絡安全程序與對用戶透明的動態IP分配方式相結合就可以完成這一任務,通過這一結合,防火牆可以實現基於策略的網絡管理,從而可以把網絡安全設施集中使用在最需要保護的網絡資源上。

■將遠程用戶接入公司IP網絡  在外出差的僱員經常需要採用遠程接入服務RAS(RemoteAccess

Services)訪問公司的網絡。接通後,用戶通過遠程撥入用戶身份鑒別服務RADIUS(RemoteAuthenticationDial-In User Service)進行身份鑒別。這種接入方式在IP地址分配方面存在一些問題。通常遠程接入服務從DHCP獲取動態IP地址,並在身份鑒別後分配給遠程用戶,但當遠程用戶退出網絡後,這些IP地址卻得不到釋放,其結果就是可用IP地址的緩慢流失。所以,不斷增長的遠程接入服務要求新的IP地址管理解決方案能夠更好地將遠程用戶整合到網絡當中,以防止IP地址的浪費。

■執行新的目錄服務

最近兩年「目錄服務」、「支持目錄服務的網絡」幾乎已經成為網絡廠商的口頭禪。事實上,這也將成為網絡發展的方向,它將為網絡管理方式帶來巨大的變化。在支持目錄服務的網絡中,所有網絡設備的配置信息都被存儲在一個數據庫當中,每個網絡設備都有一個虛擬的位置,目錄服務模塊將數據傳輸給這一虛擬位置。這樣,在理論上可以對網絡信息管理實現標準化。

大多數網絡由來自不同廠商的交換機、路由器和管理工具組成,但網絡供應商一般只為全部使用自己提供的軟件和硬件的網絡設計來實現目錄服務功能。所以,為了實現目錄服務功能,在採購網絡產品方面必須考慮這一因素。

IP地址管理將與目錄服務相結合是大勢所趨,事實上,微軟就應用了這種結構,將Active

Directory結合到DNS中。為了保護對IP地址管理系統的投資,新購買的系統應包括一個支持LDAP的信息庫和一個數據圖表,這樣就能在將來順利地將它和目錄服務相結合。

■建立以用戶為中心的管理方式

如果把用戶為中心的管理方式建立在「僱員——工作站——IP地址」固定的一對一關係上,這種「用戶——地址」的固定聯繫對於網絡管理的靈活性以及網絡服務的安全性和可靠性都是十分不利的,況且這種一對一關係在許多公司也並不能得到保證,所以,在建立以用戶為中心的管理方式方面,IP地址管理解決方案應能夠在動態分配IP地址的同時,明確IP地址和用戶之間的聯繫。以此為基礎,網絡將具有開放的擴展性,可以靈活地選用各種網絡設備供應商的產品。

作者:張蘇吉

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *