IP地址管理产品-DDI v2.pdf

IP 地址管理 （DDI ） 市场分析 IP 地址管理产品 （DDI） 一、简要介绍 起初大家在规划信息化建设与网络安全的时候，内网桌面管理、行为审计与网络边界安全 都会做的非常的完善，而恰恰在IP 地址层面的管理是微乎其微的，直至现在依然没有摆脱手 动管理的传统方式，地址冲突、ARP 欺骗、非法接入等事件层出不穷。在近几年与用户的交流 过程中，大家逐渐的都有了基于IP 地址做细化管理的想法，尤其在做网络改造与安全加固的 时候，大部分用户把IP 层面的管理纳入了建设计划。 随着云时代与IPv6 时代的到来，对于海量增长的IP 地址，系统管理员急需一种简捷有效 的管理手段，需求显得尤为迫切。 二、何谓DDI DDI ，即DNS,DHCP IP Address Management (IPAM) 的缩写。它最初来自Gartner2009 年 的一次报告，当时，Gartner 开始重新强调 “核心网络服务”的重要性。更在这份报告中首次 提出DDI 这个名词，以及DDI 市场的概念。 正是IPv6 时代的到来，才让DDI 的从名不见经传的无名小辈登上了风云变幻的IPv6 时 代大舞台。 在这个时代，曾经可有可无的 DDI 服务，已经华丽变身为不可或缺的关键网络部署选项。 尤其IPv6 时代的到来，在网络中部署DDI 管理系统已经成为企业用户的标准选项。 DDI ：网络核心服务 DNS 和DHCP 能被称为核心网络服务，其重要性不言而喻。当DNS 不能连接，就没法访 问网站了；若DHCP 发生故障，那么连网络都无法介入，更谈不上上网了。由此可见，DNS 与DHCP 都是非常关键的，而这两者的结合点就是IP ，因此，业内通常将DNS 、DHCP 及 2 IP 地址管理产品 （DDI） IPAM （IP 地址管理）统筹考虑。于是，旨在为IPv6 时代企业提供专业核心网络服务的DDI 解决方案应运而生。 三、产品基本特点 1. IP 地址自动分配； 2. IP 地址变更审计； 3. 地址分配可追溯； 4. 有效防止APR 欺骗及地址冲突； 5. IPv4、IPv6 双栈管理； 6. 访客、非法IP 授权控制； 7. DNS 域名解析服务 四、当下管理现状 手工管理和维护复杂度高 手动要对每台计算机进行唯一的IP 地址、网关、子网掩码、DNS 域名等参数进行设臵。 在这种方式下，不仅要求计算机使用者要有一定的网络知识，而且要求上述这些网络参数不能 被错误配臵。如果参数配臵错误，那么就有可能使此计算机无法接入网络。 IP 地址冲突和欺骗现象 在静态IP 分配方式下，部分员工乱改IP 地址或盗用IP 地址，从而很容易导致多台计算 机使用相同IP 地址，使得互相冲突的几台计算机都无法正常地使用网络。再者，网络病毒通 过伪造IP 地址和MAC 地址实现ARP 欺骗进行ARP 攻击，造成网络崩溃。虽然我们可以通过 MAC 与IP 绑定来解决IP 地址冲突问题同时也能一定程度上解决计算机定位问题，但这将极 大地增加网络管理和维护的工作量。 3 IP 地址管理产品 （DDI） 通过目前的管理方式，网络中会经常有IP 地址盗用和冲突的情况，给用户正常使用网络 带来很大影响，而将IP 地址与MAC 地址对应绑定到相应交换与路由设备上可以在一定程度上 解决这个问题，目前普遍的做法是要求用户申报计算机的MAC 地址，然后手工将这些IP 与 MAC 地址绑定到设备上去，这种方式带来了几个问题： （a）当需绑定的IP 地址数目较大时，工作量非常巨大，同时也影响接入设备的性能 （b）当IP 与MAC 的对应信息发生变化时，必须再次手工更新原来的绑定信息，操作上 很不灵活 （c）绑定操作需要专业的技术人员完成，导致工作量集中在个别人员身上 IP 地址回收问题 显而易见，全手工管理IP 地址的方式，会出现IP 地址的回收问题。外部人员流动频繁， 如果不及时通知相关人员进行地址回收，必然会出现IP 地址不能及时回收而新增节点无IP 可 用的尴尬境况，使得有限的网络资源不能得到合理配臵利用。 缺乏统一全面的IP 地址跟踪审计分析