現今互聯網絡的應用已經成為各大公司提高勞動生產率和利潤率的革命性因素
它們通過電子商務和廣域網獲得了新的商機
與此同時
越來越多的雇員通過互聯網絡的標准協議TCP/IP連接到一起
這就導致了一個嚴重的問題
即成倍增長的IP地址超出了公司IT部門所能控制的范圍
下面將討論網絡管理員每天必須應對的IP地址管理問題
自動分配IP地址 現今互聯網絡正在以驚人的速度擴張
接入網絡的設備數量也成幾何數目增長
但網絡的管理方式卻沒能夠跟上
相當一部分的網絡仍通過DNS服務和數據表格跟蹤來管理IP地址
當網絡發生變化時
網絡管理員必須手工編輯數據表格中的條目
修改工作站或網絡設備的配置
然後再修改DNS服務中相應的配置條目
據保守的估計
對每個IP的更改都要花費大約
分鐘
那麼
對於一個有
個節點的小網絡來說
一個網絡管理員要花費近
個小時來做這些必要的修改
隨著網絡的擴展
這種工作將變得越來越難以負擔
並極易發生錯誤
建議采用基於動態主機配置協議DHCP(DynamicHostConfiguration Protocol)的IP地址管理解決方案
實現動態管理IP地址
從而自動處理大部分由於網絡變化引起的與配置IP地址相關的工作
這將有效地減少網絡運營費用
同時避免發生像IP地址重復這樣的錯誤
自動分配IP地址將會使像接入或移出網絡設備這樣的工作變得輕而易舉
高效地擴展網絡 當今各大公司網絡的擴展是極其迅猛的
同時對網絡IP地址和名字空間的有序性和可靠性也提出了更高的要求
眼下時興的公司重組和合並也給網絡管理帶來了新的挑戰
因為這兩個公司的網絡可能采用完全不同的IP地址管理方案
我們需要的是一個模塊化的IP地址管理解決方案
它既能整合現有的網絡
又能靈活地進行擴展
因此
有
個特性是它所必需的
.支持不同類型的網絡平台
現在常用的網絡平台
有WindowsNT
Linux
Unix
NetWare等
一個企業級的解決方案必須能在所有的平台上支持DNS和DHCP
這樣才能在構建網絡時完全不必考慮采用不同平台對IP管理所帶來的影響
.允許以漸進的方式安裝使用
如果沒有這個承諾
安裝IP地址管理解決方案將要求整個公司的網絡在一段時間內同時進行全面的檢查和調整
由此帶來的長時間的網絡癱瘓對相當多的公司來說是難以想象的
.支持網絡將來的擴展
在公司不斷增長的情況下
能夠保持網絡框架的完整性是非常重要的
當新增一個辦公室或新雇傭一個雇員時
一個設計良好的解決方案將簡化更新整個IP地址和名字空間的過程
自動向每個網絡節點聲明新的IP地址和網絡服務
整合公司的網絡設施 目前
網絡發展的一個趨勢是將DNS
DHCP等網絡服務分散到網絡的下層子網中去
新的管理方式必須做到以下幾點
對分布的網絡服務進行管理
在沒有一個集中管理模式的情況下
網絡管理員必須用telnet通過多重DNS和DHCP來獲取遠程網絡的運行情況
為了提高這一工作的效率
他們需要一個能顯示所有分布式網絡服務的單一界面
而無需知道它們所在何處
集中管理和本地網絡管理相結合
對於一個集中網絡管理系統
它將在分配
管理整個網絡范圍內的IP地址和名字空間的同時
授權給本地網絡的管理員管理本地網絡的日常工作
當然對本地網絡管理員進行權限控制以確保只能管理他所負責的網絡資源也是非常重要的
為網絡問題建立應急機制 網絡控制跟不上網絡發展後經常出現的一個問題就是IP地址重復
用手工方式為新計算機和網絡設備分配IP地址不但費時而且容易發生錯誤
在動態分配IP地址的解決方案中為了保證高可用性一般采取將可分配的IP地址放在兩個DHCP中分配
當主用DHCP失效時
另一個備份DHCP可以接替主用DHCP繼續分配IP地址
當然這種方式要求保留冗余的IP地址給備份的DHCP
另外
網絡管理員對網絡的控制必須具有高可用性
不管網絡管理員在什麼地方
他都能夠隨時對網絡進行管理控制
用戶權限管理 TCP/IP協議的廣泛采用導致了IP相關應用程序的極大增長
用戶通過分布式網絡訪問各種網絡服務和應用程序
大多數應用程序的權限管理是基於IP地址而不是基於用戶的
在動態分配IP地址的網絡環境中
或在多個雇員合用一台計算機的情況下
采用基於IP地址的權限管理是不合適的
因為用戶和IP地址之間並沒有穩定的聯系
這使我們陷入兩難的境地
或者犧牲效率
采用復雜的多重身份鑒定方式
或者為了保證效率
犧牲安全性
對於某些網絡應用
例如浏覽Web主頁
可能會想設定使用權限但又不想采用復雜的多重身份鑒定
把網絡安全程序與對用戶透明的動態IP分配方式相結合就可以完成這一任務
通過這一結合
防火牆可以實現基於策略的網絡管理
從而可以把網絡安全設施集中使用在最需要保護的網絡資源上
將遠程用戶接入公司IP網絡 在外出差的雇員經常需要采用遠程接入服務RAS(RemoteAccess
Services)訪問公司的網絡
接通後
用戶通過遠程撥入用戶身份鑒別服務RADIUS(RemoteAuthenticationDial
In User Service)進行身份鑒別
這種接入方式在IP地址分配方面存在一些問題
通常遠程接入服務從DHCP獲取動態IP地址
並在身份鑒別後分配給遠程用戶
但當遠程用戶退出網絡後
這些IP地址卻得不到釋放
其結果就是可用IP地址的緩慢流失
所以
不斷增長的遠程接入服務要求新的IP地址管理解決方案能夠更好地將遠程用戶整合到網絡當中
以防止IP地址的浪費
執行新的目錄服務 最近兩年
目錄服務
支持目錄服務的網絡
幾乎已經成為網絡廠商的口頭禅
事實上
這也將成為網絡發展的方向
它將為網絡管理方式帶來巨大的變化
在支持目錄服務的網絡中
所有網絡設備的配置信息都被存儲在一個數據庫當中
每個網絡設備都有一個虛擬的位置
目錄服務模塊將數據傳輸給這一虛擬位置
這樣
在理論上可以對網絡信息管理實現標准化
大多數網絡由來自不同廠商的交換機
路由器和管理工具組成
但網絡供應商一般只為全部使用自己提供的軟件和硬件的網絡設計來實現目錄服務功能
所以
為了實現目錄服務功能
在采購網絡產品方面必須考慮這一因素
IP地址管理將與目錄服務相結合是大勢所趨
事實上
微軟就應用了這種結構
將Active
Directory結合到DNS中
為了保護對IP地址管理系統的投資
新購買的系統應包括一個支持LDAP的信息庫和一個數據圖表
這樣就能在將來順利地將它和目錄服務相結合
建立以用戶為中心的管理方式 如果把用戶為中心的管理方式建立在
雇員——工作站——IP地址
固定的一對一關系上
這種
用戶——地址
的固定聯系對於網絡管理的靈活性以及網絡服務的安全性和可靠性都是十分不利的
況且這種一對一關系在許多公司也並不能得到保證
所以
在建立以用戶為中心的管理方式方面
IP地址管理解決方案應能夠在動態分配IP地址的同時
明確IP地址和用戶之間的聯系
以此為基礎
網絡將具有開放的擴展性
可以靈活地選用各種網絡設備供應商的產品
From:http://tw.wingwit.com/Article/Network/201311/29950.html
