О сомнительной ценности динамического назначения IP-адресов.
Компания Microsoft благодаря применению DHCP (Dynamic Host Configuration Protocol) в операционных системах Windows NT и Windows 95 вывела этот протокол на широкую арену для динамического назначения IP-адреса клиентам сети.
При этом практически в любой статье, посвященной сетевым возможностям указанных операционных систем, считается обязательным подчеркнуть исключительную важность такого решения для корпоративных пользователей. Более того, и другие ведущие фирмы, в том числе Sun Microsystems, IBM и Banyan Systems, включают поддержку DHCP в свои продукты.
Действительно, перед администратором IP-сетей (особенно корпоративного уровня) стоят серьезные проблемы по конфигурации клиентов.
· Во-первых, присваивать каждому клиенту сети IP-адрес через BOOTP-сервер приходится вручную либо на месте при настройке клиента.
· Во-вторых, количество IP-адресов, выделенных для конкретной организации, чаще всего ограничено, и вместе с тем практически никогда не бывает так, чтобы все хосты корпоративной IP-сети работали одновременно.
Динамическое назначение IP-адресов, на первый взгляд, решает вышеперечисленные проблемы. Но это только на первый взгляд. На пути серьезного использования динамического назначения IP-адресов существуют несколько принципиальных препятствий.
DNS (DOMAIN NAME SYSTEM) - ДОМЕННАЯ СИСТЕМА ИМЕН
До последнего времени вообще не существовало серверов DNS, поддерживающих динамическое назначение IP-адресов. Сегодня такое программное обеспечение только-только начинает появляться на рынке (примером может служить программа DDNS фирмы IBM). Администрирование таких серверов DNS значительно усложнилось, к тому же для замены старых серверов DNS на новые нужны немалые средства, да и сама природа DNS, этого краеугольного камня Internet, препятствует внедрению динамического назначения IP-адресов из-за кэширования последних в серверах DNS.
Суть этого утверждения в следующем. Когда, например, кто-либо обращается к хосту joeboy.micro.un.edu для определения его IP-адреса, происходит обращение сначала к локальному серверу DNS, а затем, если там он не найден, по цепочкам (иногда довольно длинным и долгим) к другим серверам DNS. В дальнейшем для ускорения поиска IP-адресов хостов уже найденные IP-адреса кэшируются на серверах DNS, причем время кэширования составляет обычно от нескольких десятков минут до нескольких дней.
При использовании динамического назначения IP-адресов необходимо будет либо резко сократить время кэширования, либо вообще от него отказаться, что приведет к серьезному увеличению трафика и времени реакции сети, особенно в глобальных сетях типа Internet. Серверы DNS корневых доменов в настоящее время и так довольно перегружены. Вдобавок кэширование при динамическом назначении IP-адресов снижает степень защиты TCP/IP-сетей, в частности при использовании служб NIS, NFS, rlogin, rcp, анонимного ftp, smtp и т.д.
УПРАВЛЕНИЕ СЕТЯМИ
В подавляющем большинстве корпоративных сетей (да и не только корпоративных) задействованы системы управления IP-сетями, в частности HP OpenView или IBM NetView для мониторинга и управления различными элементами сети, а они обычно используют протокол SNMP. Поскольку функционирование систем управления сетями должно обеспечиваться независимо от работы вспомогательных служб (даже DNS), все они работают непосредственно с IP-адресами. Конечно, для удобства IP-адресам присваивают имена через сервис DNS, но эти назначения статические, т.е. устанавливаемые обычно при создании или обновлении базы IP-адресов, и не синхронизируются с серверами DNS при динамическом изменении IP-адреса хоста.
Таким образом, теряется однозначность соответствия IP-адресов хостов и их реального представления. Например, на консоль HP OpenView пришел сигнал о том, что на хосте с сетевым адресом 194.134.19.7 перегрелся процессор. Оператор системы вряд ли определит, что это за хост, где он расположен и т.д. (он может только сказать, какой хост имел такой IP-адрес при последнем обновлении базы данных IP-адресов), не обращаясь к программам, синхронно запрашивающим сервер DNS. А сервер DNS, кстати, сам может в этот момент не работать, или к нему может отсутствовать доступ. Система же управления должна функционировать всегда (или почти всегда)!
СЕТЕВЫЕ СЛУЖБЫ, РАБОТАЮЩИЕ НЕПОСРЕДСТВЕННО С IP-АДРЕСАМИ
Аналогичные проблемы стоят и перед сетевыми службами, ориентирующимися исключительно на IP-адреса и не задействующими сервис DNS. Брандмауэры (firewall) и программы коммутирующих концентраторов и маршрутизаторов, ответственных за создание виртуальных рабочих групп, чаще всего работают по такому принципу.
ЗАКЛЮЧЕНИЕ
Динамическое назначение IP-адресов в настоящее время можно использовать безопасно и безболезненно:a) в локальной IP-сети, не входящей в состав глобальной (Internet);b) в сети, где хосты, к которым будет открыт доступ вне локальной сети, имеют статически назначенные IP-адреса.
Кроме того, в сети с динамическим назначением IP-адресов невозможно задействовать систему управления сетью на основе SNMP, в противном случае область управления такой системы должна быть ограничена только элементами сети, имеющими статически назначенные IP-адреса. Лучшим же решением для корпоративных сетей до сих пор остается использование BOOTP-сервиса или DHCP-сервиса со статическим назначением IP-адресов.
Константин Пьянзин - системный и сетевой администратор корпоративной сети АО ЗиО. С ним можно связаться через Internet по адресу: koka@aozio.msk.ru.