BYOD时代凸显IP管理的重要

TCP/IP建构的网路环境中,最重要却最容易被企业忽略的组成元件莫过于DNSDHCP服务。其实网路实体线路属于物理面,还有更多逻辑面需要仰赖服务来执行,只是以往在电信业才会比较重视,且视之为核心网路服务(Core Network Service),并导入IPAMIP Address Management)机制妥善管理IP配发相关资讯。

但对于一般企业端而言,关注的核心网路焦点大多在于Core SwitchCore Router这类骨干元件,至于DNSDHCP,长久以来皆是仰赖Windows Server内建功能,或开放源码的BIND来提供服务,只要简单可用就好,对于IP管理则大多只是填张Excel表格人工维护。而如此的方式随着移动设备普及后,正逐渐地发生变化。

IT运维

BYOD突显IP管理重要

据业内人士观察,近十年来多数企业的状况,是IP的使用量大致等于公司员工人数,因此采用Excel或一般表格纪录来进行追查与管理还算可行。如今随着BYOD的模式逐渐为企业所接受,公司员工携带的移动设备皆必须提供可连网服务,如此之下,一名员工可能同时在使用IP语音(VoIP)电话、智慧型手机、笔记型电脑等设备,每一个连网设备都需要配置一个IP位址。假设仍沿用以往管理IP模式,每当有新位址和新网路被分配或修改时,IT管理者以手动维护,实务上就已经常发生资料无法及时更新,或人工输入错误等状况,更何况是IP配置数量超过以往23倍的BYOD时代,这种效率低与容易出错的管理模式,便显得左支右绌。

现在几乎所有的设备都是透过DHCP动态取得IP位址,由此产生的动态定址需求,会使得Excel表格,或是自行开发可用于记录IP使用状况的软体失去效益。主要是因为其无法与DHCP直接整合,动态地追查记录IP位址与相关资讯(例如MAC位址、设备名称等),IT管理者不仅需要对照试算表软体来追查IP网路配置,同时必须在DHCP伺服器上再次查找动态IP资讯与其MAC位址等资讯。这种缺乏统一管理的机制,将进一步增加管理者的负担,并且无法提供管理者整个网路IP分配状况的全貌。

IP为核心方案浮现

对此现象其实市场上早有发展以IP为核心的管理方案,也就是结合DNSDHCPIPAMDDI解决方案。DDI市场是Gartner2008年所定义,但其实早已有不少厂商提供解决方案,像是Alcatel-Lucent VitalQIPBlueCat NetworksInfoblox等等。达友科技负责Infoblox产品线的产品经理Jim Huang回想六年前刚代理Infoblox进台湾时,正是黑莓机为主流的年代,虽已有许多移动工作者,但毕竟还没有如今移动设备的盛况。由于企业多数的观念认为DNSDHCP服务不过是基础架构中的小元件,可以用就好,并没有投入关注,因此对DDI始终兴趣缺缺。直到近年来受到智慧型手机、iPad移动设备影响,才开始有客户主动询问DDI解决方案。

其实多数智慧型手机或iPad上运行的App,不管是NativeHTML5技术开发而成,皆须透过网路传递资讯,网路连线数量短期内迅速增加,甚至超过原本核心网路服务预期可承载的用量。然而当网路连线品质出现问题时,IT管理者多数会透过网管工具观察网路设备,以确认其根本原因,而核心网路服务往往不在其诊断范畴,因此当出现瓶颈或问题时,多半是最后才被发现,也才会开始寻求市场上可行的解决方案。

IPv6过渡期不可或缺

Alcatel-Lucent Enterprise副总经理李明丰表示,VitalQIP主要区隔的市场是针对大型企业与电信业者,产品技术已经过多年市场验证。随着BYOD带来IP位址快速消耗,突显出DNSDHCP服务,以及IPAM统一控管的重要性,恐怕还会因此提早迈向IPv6时代。对此他认为,其实市场上可协助因应的解决方案已届成熟,只是投资报酬率(Return on InvestmentROI)的思考概念仍需加强。

对于IPv6的应用和实施IPv6的时间表已经在进行当中,因此在政府带头的引领下,的确可能促使IPv6环境更快来临。然而,由于IPv6是一个全新的技术与规格,位址长达128bit,已经是人力所无法记忆及手动管理,因此未来企业无法避免必须使用IPAM工具来管理这一连串复杂且容易出错的IP位址,甚至切割及管理注记企业环境内的IPv6网段。

此外,目前实施IPv4IPv6过渡的策略,最常用的是双协定(Dual Stack)的方式。于子欣说明,也就是一部电脑的网路介面,同时可设定IPv4IPv6位址,这是在不改动网路架构下,最容易实施的方式,但相对的,管理者需要面对管理双倍IP位址数量的挑战。因此在IPv4IPv6过渡期间,IPAM也将是不可或缺的工具。

核心网路服务牵涉安全议题

既然IPv6成了核心网路服务转型的推手之一,规画的同时还必须考量可能的安全性机制,例如确保DNS主机之间传递资料可信的DNSSECDNS Security Extensions)协议。Jim Huang说明,其实在DDI领域中,众家产品共同遇到的问题并非技术功能发展,而是在DNS方面的Domain Know-how,因为以往网管人员大多只需要学习DNSDHCP设定为可正常运作即可,不需过多深入探究,除非电信业才会关注DNS安全问题。

但如今随着骇客攻击DNS事件增加,才发现DNS可能带来的资安风险相当多。Jim Huang举例如2010年大陆知名搜寻引擎百度在美国的DNS服务被窜改事件,就是利用BIND系统漏洞进行入侵,取得管理者权限后,进而窜改DNS Record,将百度搜寻引擎的IP位址导引到伊朗网军的首页。而百度可说是大陆最多人使用的搜寻引擎,假设同一时间有一千万人连结到百度,将会造成被窜改后指向的标的瞬间涌入大量连线,来达到瘫痪式攻击。

移动设备普及后正逐渐改变使用者的日常工作习惯,首当其冲的IT基础架构,也迟早必须因应随之转型,甚至包括IP位址管理、DNSDHCP,这类虽基本、却是网路连线不可或缺的服务。

移动信息化交流QQ群:一号群:211029692 二号群:344692795 CIO交流群:316076815(需认证)

移动化问答社区:wenda.yidonghua.com



1 星2 星3 星4 星5 星 (还没有打分,快来打分吧!)
Loading...
 
已有 0 条评论
返回顶部

无觅相关文章插件,快速提升流量