ip位址管理基本理念
順暢的企業網路依賴於良好的ip位址管理。隨著網路以及it設施(例如voip、雲計算、伺服器虛擬化、桌面虛擬化、ipv6和服務自動化等)複雜性的增加使網路團隊需要選擇使用自動化ip位址管理(ipam)的工具,自動化ip位址管理工具可以讓管理員管理網域名稱,分配子網、分配/追蹤/**/審計ip位址
/解析dns網域名稱
以及提供對網路的可視性。
ip位址管理的基本理念:什麼人,是否有許可權接入網路,使用哪一台終端,使用的那乙個ip接入到網路,是否存在位址欺騙/衝突的現象,並對上述位址分配進行記錄、審計和定位。因此涉及到實名制分配、終端mac、ip資源管理、dns網域名稱管理、ip接入授權和位址審計等。
dns、dhcp、ip位址管理(簡稱ddi)是企業網路穩定執行的根本,是企業網路的核心部分。一旦ddi出現了問題,整個網路都會處於癱瘓。
下面我們通過若干案例分析來討論ddi產品在客戶處的應用:
案例一:某基地ip位址審計和准入專案
現有基地的ip位址分配採用手工配置,管理方面採用excel**登記的方式,位址實名審計存在問題。同時在網路接入方面缺乏有效的控制,目前基地的網路裝置種類較多、新舊程度不同,在加上終端windows作業系統的版本差異較大(win2000, win xp, win 98,win 7,win8等),採用傳統的802.1x的准入方式對現有的網路和終端環境基本不可行。使用者的目標是尋找一套不需要安裝任何客戶端,不需要更改現有的網路拓撲的准入方式,同時還需要對ip/mac位址進行實時的審計功能。
案例二:集團dhcp位址分配審計和訪客接入專案
隨著集團網路規模的擴大和不同廠商裝置的差異性,很難對來訪者的臨時接入進行有效的管理和審計。目前常規做法是填寫訪客位址申請單,由管理員手工靜態配置訪客的ip,以excel**的方式進行管理。缺乏對訪客的接入授權申請、本集團的接待人和訪客臨時分配的ip位址之間進行有效的關聯,同時也不利於訪客區位址的**和重複利用,由於來訪者比較頻繁,系統管理員很難對臨時接入申請進行實時的跟蹤處理。
案例三:大學綜合實驗樓改造專案
現有教學樓網路不能滿足教學任務也不能和其它教學樓內其他實驗室網路實現互通。實驗室內網ip位址由於沒有統一分配、管理、審計。不能很好的對現有的教學網進行有效的監控,所有終端的ip都沒有進行有效的安全審計。隨著it建設的不斷投入,伺服器和業務系統迅速增加,it管理員除了需要面對日常it管理和維護的問題之外,還需要面對資訊保安的問題。
通過本專案的實施,實現了透明dhcp位址分配和審計,可以對使用者終端進行動態實名的位址審計,同時也實現了mac准入的問題。
案例四:電力公司ip位址管理專案
電力公司的ip網路接入採用內、外網物理隔離。外網租用wlan網路進行公網訪問。內網包括辦公網路、排程網、生產網,所有的內網的ipv4位址分配權由資訊中心分配。
目前管理方式存在的問題包括:
ø無線ap或接入裝置要處理大量dhcp請求,負荷過大而降低裝置自身效能;
ø傳統dhcp功能是沒有認證和安全機制的,缺乏雙機冗餘保證和負載均衡能力;
ø無法實時統計分析當前ip位址的使用情況及利用率;
ø缺乏對臨時接入外網使用者的ip位址進行臨時授權機制;
ø缺乏對新一代ipv6位址分配技術的支援及管理。
案例五:資訊化部ip位址管理專案
目前資訊化部的ip位址管理是通過網路管理人員手工配置和管理ip位址,同時在匯聚裝置上部署了arp繫結(ip位址和mac位址的關聯資訊)、user-bind並結合tsm身份認證一起來實現網路接入安全。
案例六:油田虛擬化辦公網專案
客戶需求分析:12
系統實現功能:
1)ip位址分配:提供dhcpv4、dhcpv6服務,全面的dhcpv4/v6客戶端、伺服器端引數支援;實名制位址分配方式方便管理,客戶能夠對ip位址分配進行控制。23
4)快速埠定位:客戶可通過統中「ip位址調和」的ipv4位址調和功能、裝置埠/mac掃瞄功能及「網路裝置配置管理」的指令碼功能,實現對終端的快速定位,方便查詢故障終端。
案例七
目前學院辦公網路的ip位址完全通過手工分配、手工excel**管理。學院通過相關上網行為裝置進行上網控制。
隨著網路規模的擴大,通過手工管理ip位址很難實現實名ip位址分配的要求,使用者隨意更改ip位址,轉殖mac位址、私設路由裝置的現象時有發生,不利於公安部門對ip/mac定位到具體人的要求。
既上網行為系統報告在過去的某段時間,有主機感染蠕蟲病毒、或在網上發表違法言論、或有重大洩密嫌疑,是否能夠根據報警資訊中所關聯的ip位址或(ip+mac)位址及時追蹤及定位到涉案主機?如果報警資訊中關聯的ip位址是臨時修改,是否能夠還原事發時段該ip位址所對應真實的mac位址。
目前學院採用linuxredhat+bind搭建主從dns伺服器。dns伺服器由於效能不足或者系統問題,造成錯誤解析失敗;同時也很難實現智慧型dns功能。
現在通過cns平台可以實現透明的位址分配和推送。通過人/ip/mac/埠/指紋的資訊實現追蹤定位作用,對ip進行全程的跟蹤審計。
ddi通過綜合管理方法結合了三種ip位址服務,來提高網路的可靠性和減少工程團隊的工作量。另外,ddi工具為it管理免費提供報告和容量規劃功能,這遠遠優於自製解決方案。最重要的是,ddi是相當成熟的技術集,有廣泛的解決方案,從免費的工具到中等規模的網路優化軟體,再到大型裝置的企業解決方案。
你所不知道的 const
const 常量是不可修改的,也就是說only read,例如 const int nbuffsize 512 nbuffsize 0 error就是因為const 常量不能修改,所以定義時必須初始化預設在全域性作用域中定義的非const變數可以在整個程式中訪問,例如 int ncounter ex...
你所不知的css before和 after
css 有兩個說不上常用的偽類 before 和 after,偶爾會被人用來新增些自定義格式什麼的,但是它們的功用不僅於此。前幾天發現了 creative link effects 這個非常有意思的介紹創意鏈結特效的頁面,裡面驚人的效果大量使用到的特性除了 transform 屬性進行變形之外,就是...
你所不知道的background
今天要說說css中background這個屬性裡面的大學問。在乙個宣告中設定所有的背景屬性 body 看到這串 你怕了嗎?知道他們都代表啥意思嘛?不要捉急,來看展開式。展開式 background color設定元素的背景顏色,不能設定到外邊距,可以繼承父級的背景顏色,預設為透明。backgroun...