网站地图
联系我们

解决方案

首页 >> 解决方案

DDI--IP核心网络服务

DDI——IP核心网络服务保障方案

 

IP 核心网络服务 (IP Core Network Services) 是企业/学校/政府部门所有IP网络及应用系统得以顺利运行的基础。IP核心网络服务的组成组件包含:动态地址发放服务 DHCPDNS 查询服务、IPAM (IP Address Management - IP地址管理)等。业界称之为DDI,是IP核心网络服务的最重要的三个功能。此外,还有其它次要的功能如:NTP 网络时钟服务、FTP/TFTP 档案传送服务等亦属于IP核心网络服务的一环。

具备稳建强固的IP核心网络服务,企业/学校/政府部门才能确各个保重要的应用系统能正常地提供企业营运所需信息及运算结果。因此,企业需要选择优良的DDI产品,以降低IT成本,并加强信息网络的稳定性以因应市场上的竞争。

面临的问题及需求

随着因特网的高速发展,笔记本电脑、手机、IPAD等移动终端设备的发明、WEB2.0的发展,使得学校的工作和业务越来越依赖于IT网络。十年前, IT只需为员工的计算机手动配置一个IP地址,因此很容易通过电子表格软件或类似工具对所有的 IP 地址进行追查及管理。然而今日,网络使用者很可能需要不止一个IP地址;内部用户们与IP相连接的设备数量不断增加,一名用户可能同时在使用IP语音(VoIP)电话、智能手机及其他无线设备来面对业务的挑战。所有这些设备都与网络相连,因此也都需要IP地址。此外,这些设备通常都是由DHCP动态分配IP地址,导致电子表格软件等老式IP地址追查管理工具失去效力。

 

IPAM (IP Address Management) 的挑战及需求

 

企业成长的同时,IP地址空间的规模和复杂性不断增加,规划、分配及追查记录变得越来越困难。实际上,管理IP地址对许多企业来说都是愈发严峻的挑战。若使用电子表格软件的简单解决方案,或互联网开源软件等传统方式来管理IP地址,则根本无法提供符合目前状况所需的进阶特性,来支持企业的需求。

 

传统工具不再适用

电子表格软件及自行开发之软件等传统IP管理工具,已经无法满足当今企业需求。这些工具在网络规模较小以及静态分配地址时虽然有用,但已不能适应现在的情况。动态IP连接设备的爆炸性增长,导致企业无法依赖旧有方法进行IP地址管理。

 

即将来临 IPv6 地址管理的挑战

由于 IPv4 地址即将用罄,IPv6 已是无可避免的下一代解决IP地址不足的方案。因此,在政府带头的引领下,IPv6 的环境即将更快来临。无论各政府机关、学校单位、网络服务供货商、以及民间公司,都即将开始享受 IPv6 代来几乎无限IP地址的好处。然而,由于 IPv6 是一个全新的技术与规格,地址高达128bit, 已经是人力所无法记忆及管理的。因此,我们无法避免的,必须使用IPAM来管理这一连串复杂,且容易出错的 IP 地址,甚至切割及管理注记企业环境内的IPv6网段。

此外,目前实施IPv4IPv6过渡的策略,最常用的是 Dual Stack 的方式;即一部计算机的网络接口,同时设定IPv4 IPv6地址。这是在不改动网络架构下,最容易实施的方式。但相对的,管理者需要面对管理双倍IP地址的挑战。因此,IPAM更是IPv4IPv6过渡期间不可缺少的工具。

 

传统IPAM管理方法,无法达到动态整合的目的

现在,几乎所有的设备都在使用DHCP动态获取IP地址。由此产生的动态寻址需求,导致电子表格软件,以及用于追查记录IP使用状况的自行开发软件失去效力。如果无法与DHCP直接整合,动态地追查记录IP地址与相关信息(例如MAC地址,或设备名称等),企业将需要维护及查询两个单独的系统:使用电子表格软件来追查IP和网络信息,同时必须在DHCP服务器上再次查找动态IP信息与其MAC地址等信息。这种缺乏统一管理的机制,将进一步增加管理者的负担,并且无法提供管理者整个网络IP分配情况的全貌。

 

设定变更无法纪录

 

电子表格软件和自行开发软件的传统管理方法,在现今的环境下,通常都无法提供足够的信息对变更进行追查记录与稽核;例如,IP地址、DNS名称、或DHCP地址等信息修改的“执行设定修改的管理者名称”、“变更的时间”以及“变更发生的位置”等。当因为配置发生问题导致服务中断时,为了立即恢复系统服务,管理者在追查导致服务中断的「变更者」、「变更时间」及「变更项目」时,常常耗费时日,因而无法及时修正错误来恢复服务。这种情形更是常见于多用户环境中,管理员对「设定变更」的了解及透通性几乎是零,因此导致该问题变得更加严重(这种缺乏「设定变更」透通性的问题,常常是系统服务无法扩充的原因之一)

 

需要更有弹性的访问权限控制

 

许多IPAM服务都是通过第三方管理软件、命令行、或者服务器附带的简单工具来做设定。许多情况下,这些方法大都不包含对管理者访问权限,做更进一步设定地功能。缺乏更细微的权限控管设定功能,将会导致管理权限,限制于少数人手中(通常是高级管理者),根本没有办法将权限下放出去。另外,缺乏更细致的权限划分及控管功能,可能会带来不同管理员同时修改相同数据的问题 (因为权限无法划分的问题,导致他们都有相同的权限,来更改原本不属于他们职掌范围的相关设定)。这个问题亦将会导致服务中断,使业务停摆。一个好地IPAM系统,应该具备有弹性的访问权限设定功能,以阶层是地权限继承,以及个别对象的权限设定,可以建立更完善的设定管控机制;例如谁可以做什么样子的设定更改,哪位管理者可以签可允许这样的变更,进而这个变更何时可以生效等。

 

DNS / DHCP 的挑战及需求

目前许多企业使用的是 BIND 系统来做DNS服务器,在网络设备上配置DHCP来构建DHCP Server。但就BIND系统而言,常常需要有经验的工程师才能熟悉的管控BIND的设定。但由于其配置文件是文本文件的特性,仍旧容易因为设定错误导致服务无法执行的问题。而他人也可因为不熟悉BIND系统,因而限制了工作互相备援的能力。

企业现状:使用 ISC BIND DNS系统,面临的问题:

l   ISC BIND太难复杂,文本模式的设定方法、太难管理、人员离职后不容易递补

l   ISC BIND 没有两台设备做硬件式 HA的机制。

l   Linux 安全漏洞修补工作落在管理者身上,管理者要随时注意是否有新的漏洞产生,并且须自行维护修补程序。

l   ISC BIND 不具备 HA 功能。无法以两台设备做硬件备援,以防止单点故障的发生。

l    免费的软件,没有服务支持。自行采购的硬件,有限的维护服务。IT人员须承担软件、硬件的维护。甚至需负责软硬件整合的工作与除错。

 

为了应对目前的挑战,需要一套优秀的DDI解决方案

就上述面临的挑战及需求而言,需要一套优良的 IPAM 系统。而一套好的DDI系统,应具备下列功能:

l   具备图型化接口,简单且容易上手。无论管理IP地址、DHCPDNS功能,易学易懂,让IT管理人员的工作可以顺利轮值、代班或交接。

l   能够同时整合IPAMDHCPDNS这三个系统。使各种数据在这三个系统中互相链接。管理者无论由哪个系统都可以找到不同系统中相关的信息。

l   具备细致的权限控管设定功能;并具备「配置更改追踪纪录」、「配置回朔(rollback)」等稽核功能。

l   具备HA功能,以防止单点故障

l   丰富的报表功能。

l   具备软件储存及部建功能,并且能选择性的升级某一部系统。使软件升级可以在测试无误之后,再进行全面升级。

l   具备探索目前网络上IP设备的功能,以了解网络全貌。

l   具备排程能力,使配置文件能在适当时间(如服务较少的深夜)生效。

l   高度可扩充的功能。可以适用于简单的DHS/DHCP架构,或复杂的架构,以因应企业成长的需求。

l   可同时管理IPv4IPv6的功能。并支持各种外来及将使用的功能,例如DNSSECDHCPv6DNS64等功能。

l   具备虚拟化功能;无论是设备本身能提供虚拟化的版本,或与目前虚拟化平台的整合功能。

 

uniware DDI 解决方案

UniDDI及其 DNSDHCPIP地址管理(IPAM)解决方案,提供了集中化 IPAM 管理系统与自动化处理的功能;以及高可靠的DNSDHCP专属硬件平台。解决方案的功能强大,可支持企业未来 IPv6DNSSEC 以及 BYOD(使用自己设备)服务做好准备。UniDDI的解决方案,可协助企业保持IP 永远连接、提高IP 网络的可靠性、安全性和效率等好处。同时亦可降低企业的 IT管理及人工成本。

 

UniDDI 系统架构:

 

UniDDI方案拓扑

拓扑说明

如上图所示,为了实现对企业内部网络IP地址的全面管理,UniIPAM模块收集收集企业内部的动态/静态IP信息,实现智能化流程化的IP地址管理。

同时,为提供可靠稳定的DNSDHCP服务 ,将企业原BINDMSDHCP的所有DNS配置和原在交换机上的DHCP迁移到UniDDI设备上,为企业内部用户提供可靠稳定的DNS/DHCP服务,并整合IPAM平台,实现智能高效的DNS/DHCP服务的管理和监控。

方案可以实现:

       100 Web 的用户界面, 允许多个管理员用户同时使用

        高性能的 DNS/DCHP 服务器,为企业内部提供稳定可靠的DNS/DHCP服务

        在一个平台上统一管理静态和动态 IP 地址的记录,分配,转让,和监测

        存储所有网络资料 (IP 地址,子网标识,网络标识,系统信息)

        自动收集当前的 IP 地址使用情况和自动更新 IP 地址资料來保持资料库的准确性

        操纵静态和动态 IP 地址分配政策

        监视 IP 使用情况,用户活动和 DNS / DHCP 服务活动

        记录所有跟 IP 地址相关的历史 (例如: 转让的 DHCP,网络的变化,系统登录等)

        自动维修和恢复 DNS / DHCP 服务故障

        集中审计 IP 网络

       DDIWorkFlow工作流程管理

       IPv6地址管理,双栈支持, 更多!!!

方案还可以实现:

集中化管理

  集中配置 DNSDHCPTFTPNTP 服务,将服务分配到需要的地方

  无限的自定义字段和可搜索的元数据标签

  网络发现,搜索活跃设备和 MAC

全局可见性

   全面审核所有事件、任务和网络更改的历史记录

   符合 Sarbanes-OxleyGLBBAHIPPA 和其他企业标准和要求

  从单个界面管理 IPv6 IPv4 环境,为 DNSDHCPNTPSSH SNMP 提供全面 IPv6 支持

掌控

   控制人物、事件、地点、时间和 IP 地址的分配、追踪和回收的方式

   根据部门、用户技能水平或其他业务政策授予用户访问权和工作流

  QuickActions 可让管理员直接使用 Proteus 主页快速执行日常普通操作,例如添加主机、IP地址和 DHCP 信息,减少执行普通任务的时间高达 80%

   使用 MAC 池追踪网络上的所有 MAC 地址

  识别未使用的 IP 地址以进行回收,识别会带来安全隐患违反 IP 协调政策的未授权 IP 地址

服务与业务连续性

   UniDDI还提供群集解决方案,针对高可用性(HA),为了可以很方便的过渡到HA架构,进一步提供商核心网络服务的可靠性

   灾难恢复设置支持

   全面硬件保修,包括 NBA服务

集成

   所有 UniIPAM 功能都可通过简单、统一的网络服务 API 获取 — 将IPAM基础设施或其他系统集成,实现为故障贴标签、网络自动化或资产/配置追踪

   通过配置导入导出、迁移原有的BIND DNS数据。

  基于 LLDP 的第 2 层发现功能能提供有关交换器和路由器的关键信息的可见性和访问。

  SNMP 可简化整个网络下对DNS/DHCP服务的监控

 

选择UniDDI解决方案可以提供您以下好处:

l   协助顺利移转至 IPv6–追踪现有 IPv4 信息,规划 IPv6 地址分配;并同时管理IPv4 IPv6 混合的环境。

l   降低IT成本–借助内建工作流程(workflow)功能之「批准控制」将任务委托给IT help desk 人员;消除人工对 DNS/DHCP 服务器更新操作系统和安全修补程序的工作等,最多可减少80%的网络管理的时间和工作

l   加速推出以 IP 为基础的服务–降低企业虚拟化中的中断风险。确保 VoIP服务顺利运行。

l   改善并提高核心服务可靠度–消除因为 DNS/DHCP 故障而影响业务的情形;能协助企业进行网络扩充,并适应网络增长的情形。

l   虚拟化或建造云端服务–自动化的 IP 地址发放,以加速企业虚拟化服务。

l   强化远程办公室的 IP 核心基础服务–使用弹性、具备成本效益的解决方案,提升远程办公室 IP核心基础服务的可靠度,并同时拥有集中控管的好处。

l   替代传统旧式 IP地址管理方法–使用GUI 图形接口,集中管理所有 IPDNS  DHCP 设定及信息。

 

 

 

 

 

沪公网安备 31010402002791号