Zarządzanie adresami IP w dużych sieciach

Jeśli lista adresów IP przedsiębiorstwa zaczyna konkurować objętością z książką telefoniczną małego miasta to znak, że przekroczyła masę krytyczną i należy na serio pomyśleć o odpowiednich narzędziach do zarządzania.

Jeśli lista adresów IP przedsiębiorstwa zaczyna konkurować objętością z książką telefoniczną małego miasta to znak, że przekroczyła masę krytyczną i należy na serio pomyśleć o odpowiednich narzędziach do zarządzania.

Zarządzenie przestrzenią adresową zmieniło się znacznie na przestrzeni ostatnich lat. W przeszłości opierało się na relatywnie płaskich strukturach sieci i podsieci. Wykorzystywana była głównie monolityczna przestrzeń adresowa IPv4. Nie istniała potrzeba powiązań adresów z topologią, a możliwości DNS i DHCP były wykorzystywane w niewielkim stopniu. W zupełności wystarczały także proste mechanizmy bezpieczeństwa.

Obecnie sieci adresowane są wielowarstwowo. Tworzone są przestrzenie adresów IP dla różnych usług. Zaistniała także potrzeba powiązania adresacji z topologią sieciową. Zwiększyła się rola usługi DNS, która przy współpracy z DHCP podnosi poziom bezpieczeństwa. W sieciach IP ciągle wykorzystywany jest protokół IPv4, ale do drzwi już puka kolejna wersja protokołu, czyli . Wszystkie te wyzwania zaspokajane są przez inteligentną i spójną politykę zarządzania adresami IP.

Zarządzanie adresami IP może zostać zdefiniowane przez trzy ważne funkcje: inwentaryzację adresów, dynamiczny przydział adresów oraz zarządzanie usługami odwzorowania nazw na adresy IP. Całość zagadnień można określić skrótem utworzonym z wykorzystanych w tym procesie protokołów - IP/DHCP/DNS.

Zacznijmy od podstaw

Przebieg procesu zarządzania adresacją IP

Przebieg procesu zarządzania adresacją IP

W tradycyjnej sieci IPv4 każde urządzenie posiada przypisany adres IP. Adres IP jest 32-bitowym binarnym numerem, podzielnym na cztery oktety (oktet - 8 bitów). Adres IP może zostać przypisany do urządzenia statycznie - poprzez wpisanie odpowiedniej konfiguracji, lub dynamicznie. Dynamiczny przydział adresów realizuje protokół DHCP (Dynamic Host Configuration Protocol). Większość usług nie potrafi działać poprawnie bez prawidłowego odwzorowania nazwy domenowej na adres IP i odwrotnie. Realizacją tego zadania zajmuje się protokół DNS (Domain Name System). Wszystkie wymienione protokoły są wymagane do prawidłowego działania sieci.

Zmiana przydziału adresacji w konfiguracji serwera DHCP powoduje zmianę adresu IP na komputerze użytkownika. Do poprawnej pracy większości aplikacji jest wymagane dokładne odwzorowanie nazwy. Zmiana adresu IP na urządzeniu końcowym powoduje więc konieczność rekonfiguracji serwera DNS.

Inwentaryzacja adresacji IP

Podział adresów IP powinien zawierać publiczne i prywatne przestrzenie adresowe IP oraz ich przydział do podsieci, urządzeń, pul adresowych, użytkowników. Adresacja publiczna IP jest przydzielana przeważnie przez ISP lub organizacje typu RIPE (zależnie od regionu geograficznego). Blok publicznych adresów może zostać rozdzielony na poszczególne sieci adresowe. Istnieje także możliwość wykorzystania prywatnej adresacji IP, zdefiniowanej w RFC1918. Planowanie przydziału przestrzeni adresowej jest rzeczą skomplikowaną i wymaga dokładnej znajomości potrzeb użytkowników. Brak umiejętności przewidywania potrzeb w zakresie dostępności pul adresowych zazwyczaj źle świadczy o administratorze.

Zasada działania protokołu DHCP

Zasada działania protokołu DHCP

Przydział adresacji powinien zostać tak skonstruowany, aby maksymalnie wykorzystać dostępne sieci. Ważnym zadaniem jest utworzenie modelu adresacji w zgodzie z istniejącą topologią trasowania i optymalizacji tras routingu. Konieczne okazuje się utrzymywanie informacji o przydzielonych adresach oraz wykorzystującym je sprzęcie. Informacje tego typu powinny być archiwizowane w centralnej bazie danych. Codziennością staje się także monitorowanie użycia adresów w celu wydajniejszego zarządzania całą przestrzenią adresową.

Adresacja IP jest dobrem światowym, które niestety nie jest źródłem nieograniczonym. Liczba dostępnych publicznych klas adresowych IPv4 zmniejsza się i należy bardzo rozsądnie tym dobrem gospodarować. Najważniejszym narzędziem szukania oszczędności jest translacja adresów NAT (Network Address Translation). NAT daje możliwość maskowania całej sieci przez pojedynczy adres IP. Jest niezbędna, gdy liczba adresów IP jest mniejsza niż całkowita liczba maszyn w sieci. Translacja adresów jest standardem opisanym w RFC1631.

Nie należy jednak zapominać o protokole IPv6, nawet jeżeli obecnie jest poza horyzontem naszych planów. Zarządzanie przestrzenią adresową IPv6 różni się zdecydowanie od zarządzania IPv4. Olbrzymie rozmiary przydzielanych sieci IPv6, czy szesnastkowa reprezentacja adresu, mogą przysporzyć nieco kłopotów. Warto jednak przygotować środowisko na wprowadzenie IPv6 oraz integrację IPv4 z IPv6 już teraz.

Dynamiczny przydział adresów DHCP

Zasada działania dynamicznego DNS

Zasada działania dynamicznego DNS

Zarządzanie dynamicznym przydziałem adresów IP definiuje parametry przydziału każdego adresu IP z danej puli przez protokół DHCP (Dynamic Host Configuration Protocol). W tym pojęciu jest zawarte również efektywne zarządzanie pulami adresowymi. Dodatkowa konfiguracja umożliwia stworzenie reguł przydziału adresów IP dla każdej klasy zgodnie z adresami MAC (Media Access Control) urządzeń, czy przeprowadzoną autoryzacją użytkownika. W przypadku gdy w sieci pracuje więcej niż jeden serwer DHCP, ważne jest stworzenie pojedynczej, centralnej konfiguracji. Uprości to znacznie zadania administracyjne.

DHCP umożliwia wprowadzenie kontroli i ograniczeń dla każdej puli adresowej. Prostym filtrem może okazać się adres MAC urządzenia pobierającego adres IP z serwera DHCP. Konfigurując serwer w ten sposób, aby dla określonego adresu MAC przydzielał konkretny adres IP, sterujemy zabezpieczeniami. Przydział określonego adresu IP może zostać powiązany z ograniczeniem funkcjonalności na zaporze ogniowej. Podobną regułę można wykonać, stosując pole "vendor" pakietu DHCP. Odpowiednia konfiguracja serwera powoduje specyficzny przydział adresu z ograniczeniami dla określonego typu sprzętu.

Usługa DHCP powinna zostać zabezpieczona przez zastosowanie zapasowego serwera. Taki mechanizm nosi nazwę DHCP failover. W przypadku gdy jeden z serwerów DHCP nie będzie umożliwiał poprawnej realizacji przydziału adresacji IP, serwer zapasowy przejmie kontrolę nad usługą.

Zarządzanie odwzorowaniem nazw DNS

Architektura systemu zarządzania adresacją IP

Architektura systemu zarządzania adresacją IP

Zarządzanie usługami nazw IP opiera się na poprawnej konfiguracji odwzorowania nazwy na adres IP przy użyciu serwera DNS. Każdy przydzielony adres IP powinien zostać odwzorowany na nazwę hosta i odwrotnie - nazwa hosta powinna zostać odwzorowana na adres IP. Dotyczy to nie tylko statycznie skonfigurowanych adresów IP (routery, serwery), ale także adresów IP konfigurowanych dynamicznie.

Konfiguracja systemu DNS opiera się na definicjach stref poszczególnych domen, zawierających specyficzne rekordy. Szczególne znaczenie w procesie zarządzania adresacją IP mają dwa rekordy DNS:

  • rekord typu A, który mapuje nazwę kanoniczną na 32-bitowy adres IP.

    Przykład: host1.idg.pl A 192.168.0.2

  • rekord typu PTR, który mapuje 32-bitowy adres IP na nazwę kanoniczną.

    Przykład: 192.168.0.2 PTR host.idg.pl

Zmiana adresu IP danego urządzenia w sieci pociąga za sobą konieczność modyfikacji przedstawionych rekordów.

Poprawna konfiguracja DNS do zastosowań w sieci IP powinna opierać się na użyciu wielu serwerów DNS, umiejscowionych w różnych podsieciach. Należy okresowo sprawdzać konfiguracyjne pliki w poszukiwaniu błędów składni, błędnych delegacji i innych luk, powodujących niepoprawną pracę serwera. Konieczne okazuje się stworzenie mechanizmów zapory ogniowej oraz list dostępu chroniących usługę DNS.

Potrzeba narzędzi

Konfiguracja failover serwerów DHCP

Konfiguracja failover serwerów DHCP

Każda z przedstawionych wcześniej funkcji jest krytyczna dla prawidłowego działania sieci IP. Urządzenie lub użytkownik muszą otrzymać adres IP, aby rozpocząć pracę. Prawidłowy przydział adresów IP z pewnością zapewni poprawne działanie protokołu DHCP. DNS zapewnia odwzorowanie nazw na adresy IP, umożliwiając poprawną realizację usług sieciowych. Rozwój sieci opartych na protokole IP pociąga za sobą zwiększenie liczby zadań i pracy włożonej w kontrolowanie całej infrastruktury. Nadzorowanie i konfiguracja dużych sieci przy braku odpowiednich narzędzi może skutecznie zniechęcić każdego administratora. Obecnie już koniecznością jest wykorzystanie narzędzi wspomagających zarządzanie siecią, a zwłaszcza dokonujących powiązania protokołów IP/DHCP/DNS.

Zarządzanie adresami IP, czyli w praktyce utrzymywanie aktualnego repozytorium wszystkich adresów IP w danej organizacji, oznacza zazwyczaj ręczną inwentaryzację, wykonywaną przeważnie na arkuszach kalkulacyjnych, które są uaktualniane w miarę dokładania nowych urządzeń do sieci.

Sporo dużych firm przechodzi jednak z tych prostych metod na aplikacje projektowane we własnym zakresie. Niemało też używa narzędzi ułatwiających zarządzanie adresami IP, pochodzących od różnych dostawców.

Kilka czynników powoduje, że zarządzanie adresami IP stało się jedną z ważniejszych pozycji na liście zadań działów IT:

  • Konsolidacja centrów danych spowodowała zwiększenie liczby aplikacji LAN udostępnianych przez Internet, co wymaga lepszego zarządzania adresami IP w ramach IT;

  • VoIP potencjalnie podwaja liczbę adresów IP;

  • Względy bezpieczeństwa w zakresie dostępu do sieci i potencjalne infekcje wirusowe z nieznanych urządzeń wymuszają na organizacjach lepsze zarządzanie dostępem do sieci;

  • Wymagania związane z zapewnieniem QoS i dostarczaniem aplikacji do użytkownika końcowego zmuszają zarządców IT do ściślejszego monitorowania adresów IP.
Wykorzystując oprogramowanie zainstalowane na serwerach lub umieszczone w specjalnych urządzeniach (appliance), produkty zarządzania adresami IP pozwalają na utrzymywanie ciągłej inwentaryzacji adresów sieciowych będących w użytkowaniu. Niektóre produkty są prostymi repozytoriami danych, które muszą być uaktualniane ręcznie, podczas gdy inne pozwalają na dynamiczne wykrywanie urządzeń, gromadzenie informacji o używanych adresach IP i zapobieganie dublowaniu adresów.


TOP 200