一、引言
隨著Internet的迅速發(fā)展和企業(yè)網(wǎng)絡(luò)系統(tǒng)的不斷擴展，推動了基于IP協(xié)議的通信量的巨大增長，這種增長主要體現(xiàn)在用戶數(shù)量，IP地址數(shù)量和通信量上，隨之而來的問題就是IP地址管理的問題，怎樣有效地管理整個網(wǎng)絡(luò)系統(tǒng)的中IP地址，地址過多和怎么有效的分配這些IP地址，成為困擾一些企業(yè)的問題。如果沒有有效的管理，可能導(dǎo)致網(wǎng)絡(luò)可用性和服務(wù)質(zhì)量的下降，甚至網(wǎng)絡(luò)的崩潰。還可能造成大量商業(yè)損失。

在一個具有成千上萬個IP地址的動態(tài)變化的網(wǎng)絡(luò)中，最經(jīng)常引起網(wǎng)絡(luò)故障的原因之一是出現(xiàn)重復(fù)的IP地址，這看起來像是一個小問題，但它能帶來巨大的影響以致一些重要的業(yè)務(wù)功能被喪失，不僅僅使人們在出問題時不能訪問網(wǎng)絡(luò)從而無法工作，還可能造成大量商機的丟失，例如在一段時間內(nèi)無法接收在線訂單。

許多組織平時認(rèn)識不到它們存在IP地址的管理問題，直到出現(xiàn)災(zāi)難為止。一旦其網(wǎng)絡(luò)癱瘓則即刻成為頭號問題，然而在沒有恰當(dāng)工具的條件下要解決IP地址問題將是非常困難的和耗時的。如果沒有一種機制可以知道在某個時刻誰擁有哪個地址，那么要在一個具有成千上萬個IP地址的池內(nèi)找出一個重復(fù)的IP地址或指出問題所在將是一件非常困難的事。

非授權(quán)的IP地址的使用也成為不少企業(yè)大為頭痛的事情。許多公司要求其雇員在公司里不要花費大量時間去瀏覽因特網(wǎng)，或者對如何使用因特網(wǎng)進(jìn)行控制。但即使這樣，只要稍有一點技術(shù)知識和足夠耐心的人有時仍能獲取到一個意外的IP地址并進(jìn)行免費瀏覽。多數(shù)的IP地址管理系統(tǒng)不具備發(fā)現(xiàn)這一情況的機制，或者即使能知道也無法進(jìn)行追蹤。更壞的是，這樣一種未被發(fā)覺的活動可能會產(chǎn)生一個重復(fù)的IP地址，它將可能帶來整個網(wǎng)絡(luò)的癱瘓。

這就要求有一種自動的解決方案，這就是動態(tài)IP管理。動態(tài)IP管理系統(tǒng)使你能對你的整個網(wǎng)絡(luò)的IP地址與IP名字空間進(jìn)行集中管理。動態(tài)IP解決方案可將、DNS與其他的IP服務(wù)集成在一起使你能通過單一的界面來對它們進(jìn)行管理，你將可進(jìn)行完全的審核、方便的管理與可安全地防故障的地址分配。

銳訊計算機科技公司研發(fā)的NextIP管理系統(tǒng)便是針對提高IP地址使用率、對網(wǎng)絡(luò)的IP地址使用管理以及應(yīng)對各種IP地址故障處理而提出的解決方案。

二、傳統(tǒng)IP地址管理方法和問題
IP管理中最常見的就是地址盜用的問題。在TCP/IP的環(huán)境下，每臺主機都有其IP地址，但I(xiàn)P只是在路由時標(biāo)示主機的一種邏輯方法。在局域網(wǎng)中使用的是48位的MAC地址（物理地址），主機間互相通訊必須知道各自的MAC地址。在設(shè)計網(wǎng)絡(luò)接口卡時，每塊網(wǎng)絡(luò)接口卡都有其各獨一無二的MAC地址。常見的IP地址管理方法是，管理員通過MAC來識別網(wǎng)絡(luò)設(shè)備甚至網(wǎng)絡(luò)用戶。但在實際使用網(wǎng)絡(luò)的過程中，用戶可能會私自加裝設(shè)備，更改網(wǎng)卡，更換IP地址。方法其實很簡單，只需在主機上做些簡單的配置即可。對于上述修改IP或MAC地址的情況，管理員基本上就束手無策了。這些非法用戶更改IP地址或MAC地址的用意也很顯而易見，就是為了享有這個IP的“特權(quán)”或是對某事物不滿而心存報復(fù)或是為了達(dá)到某種不可告人的目的等原因。

對于中國現(xiàn)今的網(wǎng)絡(luò)而言，大多數(shù)還是采用靜態(tài)地址分配方式，那就一定存在著私設(shè)IP碰到的種種問題。私設(shè)的IP如果恰巧是你公司的某臺關(guān)鍵應(yīng)用服務(wù)器，會導(dǎo)致你企業(yè)的業(yè)務(wù)不能運轉(zhuǎn)，給企業(yè)造成巨大損失；私設(shè)的IP地址如果和網(wǎng)關(guān)地址重疊，會導(dǎo)致此網(wǎng)關(guān)下的用戶不能訪問網(wǎng)絡(luò)，造成網(wǎng)絡(luò)癱瘓；私設(shè)的地址和你的同事或者上司的相同，會導(dǎo)致他不能訪問網(wǎng)絡(luò)。由私設(shè)IP所帶來的后果還遠(yuǎn)遠(yuǎn)不止這些。

對于很多網(wǎng)絡(luò)管理員而言，您可能還經(jīng)常碰到私設(shè)DHCP服務(wù)器的情況。大家都知道，DHCP是為TCP/IP網(wǎng)絡(luò)上的主機提供配置參數(shù)的一個工具�？蛻魴C在廣播DHCPDISCOVER報文后，每個收到客戶機DHCPDISCOVER報文的DHCP服務(wù)器都會發(fā)送一個DHCPOFFER報文回應(yīng)客戶機，而客戶機采用的是先收到哪臺DHCP服務(wù)器的回應(yīng)，就采用它提供的配置的方式。如果一個局域網(wǎng)內(nèi)私設(shè)了一臺DHCP服務(wù)器，它所管理的地址池中的地址可能會與原DHCP服務(wù)器的重疊。就會存在下列情況，當(dāng)A主機申請IP地址時，私設(shè)的DHCP服務(wù)器先響應(yīng)了A的請求，并給了它一個IP地址，而恰恰這個地址已由另一臺DHCP服務(wù)器分配給了局域網(wǎng)中別的主機，這就造成了地址沖突。還有一種可能性，就是該非法DHCP服務(wù)器給你的地址根本是個不可使用的地址。

遺憾的是，按照常規(guī)的方式進(jìn)行IP地址管理，是難以杜絕這些問題的，因為即使網(wǎng)絡(luò)管理員知道有人設(shè)置了錯誤的IP地址，也無法定位使用非法IP的終端設(shè)備，大部分情況下網(wǎng)管員只能束手無策的等待有人主動的報告誰正在使用這個IP地址。作為網(wǎng)管，可能正因為上述的某一情況的發(fā)生，使得您被上司斥責(zé)，被同事嘮叨。

三、NextIP－全面的IP地址管理解決方案
NextIP是一個完整的企業(yè)網(wǎng)絡(luò)IP地址解決方案。系統(tǒng)可以通過DHCP服務(wù)與用戶注冊服務(wù)協(xié)同工作的方式，自動化地址分配；能夠提供基于WEB的一體化系統(tǒng)管理界面；提供統(tǒng)一的數(shù)據(jù)庫，確保數(shù)據(jù)的一致性；多種注冊方式，方便企業(yè)為多種用戶群服務(wù)；能夠?qū)崟r探測IP地址的使用狀態(tài)。當(dāng)監(jiān)測到非法的IP地址使用時，會自動發(fā)送告警信息；系統(tǒng)還自動的監(jiān)測到該使用者的位置（具體到他通過哪臺設(shè)備的哪個端口接入網(wǎng)絡(luò)），并通過與交換機、路由器或防火墻的交互對非法用戶進(jìn)行阻斷。

NextIP針對地址盜用問題有其獨特的處理方式。由于NextIP采用的是DHCP服務(wù)器與用戶注冊服務(wù)協(xié)同工作的方式，也就是用戶ID與地址捆綁的方式。這就有效地防止了地址盜用的問題。設(shè)想一種可能的情況，用戶A在主機A上將其IP地址和MAC地址都改為主機B的IP地址和MAC地址。在通常沒有認(rèn)證的情況下，A用戶已經(jīng)獲得了和B用戶相同的訪問權(quán)限。但由于NextIP用戶和地址的綁定作用，A用戶不知道B用戶的用戶名和密碼，就無法通過認(rèn)證，自然也就得不到B用戶的服務(wù)。

NextIP采用動態(tài)DHCP分配地址的方式，有效的杜絕了靜態(tài)地址分配所帶來的地址沖突問題。除了個別設(shè)備和人員允許采用靜態(tài)地址外，其他人員必須由NextIP中的DHCP服務(wù)器分配配置信息。如果有某個未經(jīng)允許的用戶私設(shè)了靜態(tài)IP地址,NextIP會通過告警并阻斷其訪問網(wǎng)絡(luò)的方式，防止地址沖突的發(fā)生。
NextIP對私設(shè)DHCP服務(wù)器作了嚴(yán)格地防范。它對局域網(wǎng)內(nèi)存在的DHCP服務(wù)器進(jìn)行檢測，一旦檢測到NextIP未授權(quán)使用的DHCP服務(wù)器，會通過阻斷的方式阻止其在網(wǎng)絡(luò)中生效，并可通過實時的檢測信息捕獲該非法DHCP服務(wù)器的地理位置，便于管理員管理。

NextIP對已經(jīng)下線用戶的地址進(jìn)行及時的回收，以防止地址資源的匱乏。當(dāng)用戶下線時，NextIP會判斷出該用戶已處于離線狀態(tài)，并將其地址收回。當(dāng)有用戶申請地址時，該地址可再利用。這就克服了靜態(tài)分配IP地址所帶來的地址數(shù)量不足問題，使得地址池的利用率達(dá)到最高。

NextIP系統(tǒng)結(jié)構(gòu)圖如下：

NextIP功能模塊簡介：

各模塊主要功能如下：

* 核心服務(wù)器：NEXTIP系統(tǒng)的核心模塊，負(fù)責(zé)直接與數(shù)據(jù)庫打交道，更新數(shù)據(jù)庫。
* 數(shù)據(jù)庫：包含了所有關(guān)于域、IP網(wǎng)及用戶等相關(guān)數(shù)據(jù)。
* 地區(qū)服務(wù)器：收集該地區(qū)的DHCP動態(tài)更新信息，并將信息匯總到核心服務(wù)器。
* ：支持BIND9，因而支持基于標(biāo)準(zhǔn)的動態(tài)DNS更新。
* 主DHCP服務(wù)器：負(fù)責(zé)向注冊服務(wù)器查詢用戶信息、提供動態(tài)IP地址分配及管理服務(wù)。
* 備份DHCP服務(wù)器：確保主DHCP服務(wù)器的高可用性，并提供負(fù)載均衡。
* 收集服務(wù)器：負(fù)責(zé)收集檢測服務(wù)器的檢測結(jié)果。
* 檢測服務(wù)器：對所管理的子網(wǎng)進(jìn)行用戶數(shù)據(jù)收集
* 主注冊服務(wù)器：提供用戶認(rèn)證與注冊服務(wù)。
* 備份注冊服務(wù)器：確保主注冊服務(wù)器的高可用性，并提供負(fù)載均衡。
* 注冊客戶端：負(fù)責(zé)與注冊服務(wù)器交互，提交用戶信息。

* 服務(wù)代理：實現(xiàn)與NetScreen、Ipchains 防火墻的集成并實時更新信息。一旦檢測到非法的IP地址，自動生成防火墻策略進(jìn)行阻斷。也可實現(xiàn)與交換機或路由器的集成。當(dāng)發(fā)現(xiàn)有非法IP時，通過SNMP通知交換機關(guān)斷其相應(yīng)的端口，或者通知路由器更改相應(yīng)的訪問控制列表。它還為第三方應(yīng)用程序提供了接口，從而實現(xiàn)計費、QOS等應(yīng)用。

四、總結(jié)
使用NextIP地址管理系統(tǒng)可以有效的解決企業(yè)中各種地址管理的問題，它能使你能對你的整個網(wǎng)絡(luò)的IP地址與IP名字空間進(jìn)行集中管理。它使管理員可將DHCP、DNS與其他的IP服務(wù)集成在一起使你能通過單一的界面來對它們進(jìn)行管理，從而你可以進(jìn)行完全的審核、方便的自動化管理和方便的故障處理。采用銳訊的NextIP管理軟件，您可以對您的網(wǎng)絡(luò)情況了如指掌，對于異常情況的處理也可以游刃有余。工作輕松之際，還能得到老板的賞識，使用NextIP何樂而不為�。�

【相關(guān)文章】

• 用防火墻管理IP地址
  

• 活用IP地址輕松管理電腦網(wǎng)絡(luò)
  

• IP網(wǎng)絡(luò)設(shè)計系列之－－IP地址管理