DDI (DNS,DHCP,IP地址管理) 解决方案概述

1、迪迪讯讯信息信息 DDI（ （ DHCPDNS & IPAM）解决方案）解决方案 Securing & Simplifying & Auditing IP Address Management 2 DHCPDHCP，DNSDNS，IPIP地址管理地址管理 的硬件设备的硬件设备 什么是什么是CNS解决方案？解决方案？ 简单、可靠、稳定。通过冗余架构来保障网络核心 服务DHCP、DNS的高可用性。实现IP地址自动化 分配管理审计及IP地址的接入授权控制 3 客户端接入客户端接入 No IP, No Network, No Business。网络核心服务是IP网络和应用的基础。IP地 址管理的好坏，

2、直接影响企业网络发展。 基础网络基础网络 & & 业务应用业务应用 微软微软WWebeb应用系统应用系统 互联网互联网 邮件系统邮件系统 网络核心服务（网络核心服务（Core Network ServicesCore Network Services） DNS, DHCP, NTP, TFTP, IPAMDNS, DHCP, NTP, TFTP, IPAM CNS网网络络核心服核心服务务的重要性的重要性 4 IDC IP 地址管理是一个飞速发展的市场，截至2011年预期可以达到 $425 million The most significant dimension of the IPAM ma

3、rket performance in 2006 is that IT departments are finding the budget to invest in this often overlooked product category, said Elisabeth Rainge, director, Network Management. The essentially new spending on IPAM solutions is expanding this market.“ (全球IP地址管理 2007-2011的预测和分析。) IPAM 市场 价值 (million)

4、2000200120022003200420052006200720082009 $400 $350 $300 $250 $200 $150 $100 $50 $0 2011 IP地址管理市地址管理市场发场发展展趋势趋势 5 网网络络核心服核心服务产务产品品发发展路展路标标 DHCPDHCP管理管理 使用 DHCP IP 有限的 IP 地址资源 手工管理IP地址 开始发行 IP 地址管理 出现 IPAM （IP地址管理）供 应商 19902000 20012006 20042009 2010至今 手工管理手工管理 使用静态IP 有限的用户 有限的网络知识 手工管理IP地址资源 IPIP地址管理

5、地址管理 有限的 IP 地址功能 只支持IPv4地址管理 配置步骤繁琐 不能解决准入控制问题 并发处理能力较差 新业务扩展能力差 C/S架构 软体方式实现 网络核心服务网络核心服务 双栈协议 符合ETOM/ITIL 同时IPv4/IPv6 专用硬件平台 定制系统内核 负载均衡能力 实时IP地址管理 网络资源实时分析 非法接入安全控制 B/S架构 支持虚拟化、云计算 支持VOIP、IPTV等 IP IP 地址管理（地址管理（DDIDDI） & & 核心网络服务解决方案市场回顾核心网络服务解决方案市场回顾 6 NETWORK SECURITY 网络安全领域网络安全领域 VPN 虚拟专用网虚拟专用网

6、 FIREWALL 防火墙防火墙 IPS/IDS 入侵检测入侵检测 VIRUS WALL 防病毒网关防病毒网关 UTM/ASA 统一威胁管理统一威胁管理 SPAM WALL 垃圾邮件检测垃圾邮件检测 CONTENTS MONITOR 上网行为管理上网行为管理 SIM 安全日志分析安全日志分析 IPAM IP地址管理审计地址管理审计 DHCP/DNS 实名分配实名分配/域名解析域名解析 网网络络安全安全领领域涉及的域涉及的产产品系列品系列 7 CNS解决方案关注什么？解决方案关注什么？ IPIP管理管理 IPIP自动化自动化 集中化管集中化管 理理/ /降低管降低管 理负担及理负担及 人为错误人

7、为错误 BYODBYOD 通过指纹通过指纹 识别技术识别技术 自动检测自动检测 未授权设未授权设 备接入备接入 虚拟化虚拟化/ /云云 自动配置自动配置 IPIP及审计及审计/ / 节省虚拟节省虚拟 化服务部化服务部 署周期署周期 IPIP接入安全接入安全 非法非法IPIP接接 入隔离入隔离 /MAC/MAC地地 址动态授址动态授 权控制权控制 CNSCNS网络核心服务解决方案网络核心服务解决方案 8 CNS网网络络核心服核心服务务研究内容研究内容 IPAM（IP地址管理系统）IPv4/IPv6地址管理审计 DNS（域名解析服务协议）DNS域名解析 DHCPv4（动态主机配置协议）IPv4地址

8、分配 DHCPv6（动态主机配置协议）IPv6地址分配 IPNAC（IP/MAC地址授权控制）IP/MAC边界准入与访客授权控制 IPREC（IP/MAC地址调和技术）IP/MAC/PORT变更跟踪 NTP（网络时间同步协议）网络时间同步机制 9 所有用户所有用户都都在使用在使用IPIP地址或地址或DHCP/DHCP/DNSDNS服务！服务！ 潜在客户特征： o使用Excel表格或手工管理IP地址空间 o自己管理DHCP/DNS服务，使用路由器/交换机自带或者微软平台 o对IP地址授权管理和非法IP接入有需求 o对IP地址规划和IP地址审计有需求 o要求核心网络服务高度安全，可靠，易于管理 o

9、关注网络核心服务冗余备份、对业务网络稳定运行重视 o已有或在建的VOIP、IPTV、BYOD项目 o存在新技术升级问题，如IPv6应用 o考虑/或已经使用云计算、虚拟化服务 目标客户：目标客户： 无行业限制无行业限制 o金融服务电信医疗政府教育连锁企业能源制造业 CNS解决方案的目解决方案的目标标客客户户 10 CNS解决方案与政策文件解决方案与政策文件 动态实名制动态实名制IPIP分配管理审计及网络边界控制分配管理审计及网络边界控制 信息安全等级保护GB/T 22239-2008标准 ISO27001信息安全管理体系 萨班斯SOX法案 IT内控体系 IPv6IPv6地址分配技术迁移地址分配技

10、术迁移 o 现网商用试点阶段（现网商用试点阶段（2013 2013 年底前）年底前）。开展IPv6 网络小规模商用试点，向 用户和应用优先分配IPv6 地址。 o 全面商用部署阶段（全面商用部署阶段（20142014- -2015 2015 年）年）。开展IPv6 网络大规模部署和商用 ，逐步停止向新用户和应用分配IPv4 地址。 国家发改委关于下一代互联网“十二五”发展建设的意见( 发改办高技2012705号) 11 IP地址管理（地址管理（DDI） ）现现状状 1) 1)人工方式管理人工方式管理IPIP地址地址 2) 2)内置式内置式DHCPDHCP（交换机（交换机/ /防防 火墙）火墙）

11、 3) 3)免费免费DHCPDHCP， DNSDNS（微软、（微软、 开源，开源，BIND.BIND.） 4) 4)专用化专用化IPAMIPAM（DNSDNS、 DHCPDHCP）系统）系统 12 客客户户需求特点分析需求特点分析1/3 还在使用固定IP的政府、企业，大学、金融、政府等 鉴于安全方面的考虑鉴于安全方面的考虑，还在使用固定还在使用固定IPIP 使用固定IP，人工通过IP地址薄进行管理 手工管理IP地址，无法回收地址 无法跟踪IP地址变更审计 防止私设路由/交换设备 无法预防、防止IP冲突 无法防止MAC地址欺骗、ARP病毒 希望使用DHCP环境，但是需要避免非法IP接入 任何人分

12、配的IP都需要实名审计 13 客客户户需求特点分析需求特点分析2/3 服务器PC/交换机运行DHCP/DNS。信息孤岛、数据分散、没有 地址审计记录。并发/性能处理能力差。 在在WindowsWindows 服务器上运行服务器上运行DHCPDHCP/ /DNSDNS的情况下的情况下 通常需要： 执行Windows Update，安装Service Pack 新增分支机构，所有分支机构都需要配置时： 需要购买服务器，安装OS，打补丁，安装/设置DNS，安装/设置DHCP 在在 UNIXUNIX服务器上运行服务器上运行DHCPDHCP/ /DNSDNS的情况下的情况下 在上述Windows服务器上

13、的必须要做的以外，还需要查找，下载和安装最新的BIND， DHCPD。package不存在的情况下，还需要自己编译后才能安装。 14 是的，而且我们已经拥有了可靠的连接、交换机、路由器、服务器 但是，一旦IP/DNS/DHCP 服务失效，你只能停在那里 那不是我的错，谁也没法解决IP地址管理系统的高可用性问题 Network Core I have a HA network 无法收发Email 无法访问任何Web站点 ERP和其他关键应用停止响应 几乎所有网络活动都会停顿 客客户户需求特点分析需求特点分析3/3 一旦IP地址失效， 所有服务都将受 到影响! 15 IPv4地址已耗尽！ 未雨绸缪

14、，从现在做起 中国国务院召开常务会议 决定2013年年底前，开展 国际互联网协议第6版网络 （即IPv6）商用试点 美国总统办公室宣布，美 国政府机构必须在2012年9 月30日前，所有向公众开 放的服务，如网站，电子 邮件和动态主机配置协议 服务必须支持IPv6 澳大利亚政府信息管理办 公室规定所有澳大利亚政 府机构在2012年年底前实 现对IPv6的支持 区域性互联网注册机构非路由地址 Source: IPv6迁移是迁移是IP地址自地址自动动化管理的挑化管理的挑战战 16 IPv4: 32 bits 42(IPv4地址) 202.12.29/24(IPv4网络) 23

15、2= 4,294,967,296 addresses = 4 billion addresses IPv6: 128 bits 2001:0400:3c00:af92:1c88:331e:b775:89ce (IPv6地址) 2001:0400:3c00:af92:/64(IPv6网络) 2128= 340,282,366,920,938,463,463,374,607,431,770,000,000 = 340 billion billion billion billion addresses ? IPv6与IPv4相比，IPv6的主要改变就是地址的长度为128位，也 就是说可以有2的128

16、次方的IP地址。这么庞大的地址空间，手工 管理、跟踪审计IPv6地址存在很大的难度 IPv4地址地址 vs. IPv6地址地址 17 IPv6 Internet 200920112020+ Preserve IPv4 IPv4/IPv6 Coexistence Infrastructure Services & Applications running over IPv6 Start IPv4 耗尽 IPv4 IPv6 IPv4延续 双栈共存 IPv6占优 IPv4向向IPv6过过渡的三个渡的三个阶阶段段 18 CNS解决方案解决方案 - IPv6地址迁移地址迁移 19 CNS解决方案概述解决

17、方案概述1/5 专注于DHCP/DNS/IPAM功能的硬件设备 高稳定性，高耐久性的工控硬件平台 嵌入式Linux操作系统，定制系统内核 内置零维护的数据库，数据优化存储 中文Web管理界面 通过直观易懂的中文Web界面进行操作，对DHCP、DNS不是很 熟悉的人员也可以放心使用 15分钟左右即可完成设置，立即可以开始使用！ 通过Web界面集中实时监测IP地址的分配管理 支持IPv4、IPv6双栈地址管理规划 20 CNS解决方案概述解决方案概述2/5 实名IP地址数据的变更审计 实名IP/MAC地址分配历史记录审计 实时显示分配地址的状态和续租信息 实名制地址分配、回收和历史数据的审计分析

18、支持IP地址调和策略，核查IP/MAC/端口的变更审计 支持设备端口/MAC扫描，自动发现IP和交换机端口的对应关系 冗余备份 可实现多重冗余，采用Active - Standby方式 支持DHCP Failover（ RFC 2131 ）备份 支持DNS Master/Slave主备方式 同步DHCP租赁信息，实现网络数据无间断 21 CNS解决方案概述解决方案概述3/5 通过MAC地址实现DHCP地址分配的控制 通过预注册MAC地址来限制从未注册的客户端的DHCP请求 只分配IP给已注册的MAC地址 给特定的MAC地址分配特定的IP（IP地址推送） 不分配IP给特定的MAC地址（动态地址分

19、配） 支持动态解除已临时授权的MAC地址 专有的DHCP指纹（FingerPrint）识别技术 支持BYOD（BringYourOwnDevice） 自动识别智能手机、平板电脑等的系统指纹 可以针对于不同的设备终端分配不同的IP地址 入网终端设备操作系统汇总统计分析 22 CNS解决方案概述解决方案概述4/5 IPv6地址分配管理审计 支持DHCPv6有状态地址分配 支持创建/64到/128网络 支持创建DHCPv6地址分配池 支持允许启用前缀授权功能 支持DHCPv6保留地址分配，支持DUID绑定 DNS域名解析服务 支持定义DNS View（视图）、DNS Zone（区域） 支持定义A/P

20、TR/CNAME/MX/NS/SRV等资源记录 支持DNS Zone（区域）委派授权 支持智能DNS，支持双线解析 23 CNS解决方案概述解决方案概述5/5 自动化设备配置开通脚本下发 集成Expect 编程工具语言，自动实现交互式任务。通过用户名和 密码实现模拟登录过程，实现指令交互 支持预设不同设备的脚本，没有设备类型的限制 支持定制计划任务，如脚本的执行时间、周期等 支持交换机配置自动备份和恢复 支持IP地址/MAC地址绑定配置命令的下发 数据批量导入和定制导出 支持Excel 2003、Excel 2007格式文件 支持IP/MAC/备注信息、DNS记录的批量导入 支持表单数据的导出

21、，可以定制数据列 网络发现引擎，自动发现调和子网/IP数据 24 CNS系列系列产产品硬件技品硬件技术术参数参数 产品型号产品型号CNS网络核心服务自动化开通系统 机箱尺寸机箱尺寸标准1U或2U 处理器处理器双核Core 2处理器 内存容量内存容量=2GB 接口速率接口速率4 * 10/100/1000M 电口 USBUSB接口接口2*USB, 2*Pin Header 管理接口管理接口1RJ45，1Pin Header 温度（温度（）045（工作）-4070（存储） 湿度湿度595% RH，不凝结 认证认证CE/FCC/ROHS/CCC KPIKPI指标指标DHCP并发处理能力：25-300

22、/秒 DNS请求并发处理能力：10000-36000/秒 管理管理接口接口支持SNMPv1，v2c，v3 协议支持协议支持支持IPv4和IPv6协议 RFCRFC支持支持RFC2131、RFC2132、RFC2241、RFC2242、RFC2485、RFC2610、 RFC2937、RFC3361、RFC3397、RFC3442、RFC958、RFC1157、 RFC3942、RFC3315、RFC3319、RFC3646、RFC3898、RFC4075、 RFC4242、RFC4280、RFC4291、RFC4704 25 CNS部署方案（集中式）部署方案（集中式）1/2 多网段分配IP地址

23、（DHCP中继） 主干网 互联网 HUB 客户端PC、IP电话等 无线AP 管理PC CNS-APP(冗余) /24 网关：54 DNS服务器：53 HUB /24 网关 ：54 DNS服务器 ：53 服务器群 管理VLAN L3 交换机 L3 交换机 客户端PC、IP电话等 26 分部B 集团总部 CNS-APP(冗余) CNS-APP(冗余) CNS-APP(冗余) CNS-APP(冗余) 管理VLAN WLAN 在总部集中管理！ 办事处A 办事处C CNS

24、部署方案（分布式）部署方案（分布式）2/2 总部的IT管理员可以远程设置，管理！ 27 市市场场上上经经常常谈谈起的起的产产品？品？ 终端准入终端准入 思科NAC、赛门铁克SNAC、华三EAD 桌面管理桌面管理 北信源、联软、Landesk、Atiris 网络管理产品（网络管理产品（ITILITIL） 北塔、游龙、网强、IBM、HP、CA 上网行为管理产品上网行为管理产品 深信服、网康 DHCPDHCP 交换机、防火墙、微软 28 与与终终端准入端准入产产品的区品的区别别 终端准入类产品实现了对接入终端的安全性检查和基于802.1x的认证。 CNS解决方案和终端接入产品是很好的结合。CNS实现

25、了IP地址的安全 分配和集中管理，以及对单一IP/MAC地址的授权操作，充分保证了企 业IP地址分配管理和安全接入的需求。 IP地址的动态分配：支持IPv4和IPv6协议，实时地址分配和回收 IP/MAC地址集中管理：集中的MAC地址库对接入设备的MAC地址进行集中 管理 MAC地址与IP绑定：可以进行MAC地址和IP地址绑定 MAC认证授权机制：经过MAC认证的设备可以在全局范围内进行接入 IP地址核查策略：支持IP-MAC-PORT的规则核查，周期检测非法IP接入， 手动变更IP地址及随意变更移动终端设备的交换机连接端口 29 与网与网络络管理管理类产类产品的区品的区别别 CNS解决方案的

26、管理重点： 管理范围 IPv4/MAC地址 IPv6/DUID地址 IP接入安全 DNS域名记录 管理功能 IP地址的分配和管理 IP地址自动配置开通 IP地址集中管理规划 实名地IP址审计分析 IP地址调和技术 用户/IP/MAC/端口定位 DNS域名解析服务 ITIL网管的管理重点： 管理范围 网络设备、服务器 数据库、中间件 业务应用 管理功能 网络拓扑呈现 网络设备故障监测 设备性能检测 网络设备资产管理 网络流量分析 网络业务分析 应用服务性能监测 ITIL流程管理 30 CNS解决方案与解决方案与DHCP比比较较 功能描述功能描述CNSCNS解决方案解决方案DHCPDHCP 中心集

27、中分配IP支持支持 按人固定分配IP支持不支持 访客Portal认证，再分配IP支持不支持 员工/IP/MAC/端口变更跟踪支持不支持 兼容老旧网络，防范ARP病毒支持不支持 IP/MAC 改动侦听支持不支持 无线AP、二层交换机和Hub的接入认证支持不支持 内置零维护存储数据库支持不支持 按部门、按角色分配IP网段支持不支持 IPv4/IPv6双栈地址管理支持不支持 交换机配置脚本自动化开通支持不支持 31 上网行上网行为为与与IP地址地址实实名名审计审计 网络行为管理的应用要求企业网络具有透明性，管理节点要求 落实到网络终端设备，与使用管理人员相对应。 1. 在企业网络中，要通过网络终端设备的IP地址和MAC地址相绑定或 者动态地址审计等技术手段来实现管理节点与使用管理人员相对应 ，以防降低网络行为管理的可追溯性，尽量不要使用路由器等网络 转发设备，防止非法接入 2. 针对具体部门尽量划分在一个逻辑IP地址段内，以有效阻断网络风 暴及ARP病毒等在全网传播 3. 建立健全IP地址与使用管理人