По мере роста числа TCP/IP-хостов в сети компании проблема упорядочения работы с IP-адресами десятков тысяч узлов становится сопоставимой по важности с задачей управления каналами связи между этими узлами. Однако статические адреса и учетные записи - вещь не слишком удобная, поскольку работа в таком режиме требует большого количества ручного труда, допускается много ошибок, а в распределенных вычислительных средах этот путь вообще малоприменим. Поэтому одной из важнейших задач компаний является максимально возможная автоматизация данного процесса. Одновременно следует обеспечить гибкий механизм присвоения адресов пользователям. "Пользователи испытывают необходимость в более развитых средствах, чем электронные таблицы Excel и файлы зон Domain Naming System для отслеживания существующих имен и присвоения новых", - считает Тим Сильвестер, менеджер продуктов для управления сетями компании Cisco Systems.

Присвоение двум клиентским станциям одного и того же адреса может повлечь за собой их отключение от сети. Кроме того, каждому присвоенному адресу следует ставить в соответствие DNS-имя. Компания Cisco анонсировала программный продукт DNS/DHCP (Dynamic Host Configuration Protocol) Manager, который связывает динамически присваиваемые адреса с DNS-именами. Однако аналитики высказывают сомнения относительно будущего этой программы, поскольку недавно Cisco приобрела часть акций компании Software.com, имеющей аналогичную технологию.

В своих усилиях Cisco отнюдь не одинока; ее нельзя назвать и первопроходцем в области управления IP-адресами. Ряд компаний, в частности Accugraph, Isotro Network Management и Quadritek Systems, уже много лет предлагают продукты для управления адресами. Среди фирм, начинающих осваивать эту область, - Advanced Computer Communications, American Internet, FTP Software, MetaInfo. Большинство из них предлагают продукты, которые помогают автоматизировать отображение IP-адресов на DNS-имена и следить за тем, какие адреса уже присвоены, а какие свободны. Однако решать эти проблемы значительно более трудно, если используются серверы DHCP, коммутируемые и виртуальные локальные сети.

А на горизонте уже маячит IPv6, в котором будет заложен целый ряд усовершенствований, грозящих еще больше усложнить задачу управления, особенно в вычислительных средах, где одновременно используются IPv6 и IPv4. Пользователям IPv4 приходится иметь дело с DHCP, который обеспечивает динамическое присвоение IP-адресов рабочим станциям силами централизованного сервера; при этом администратор избавляется от обязанности вручную создавать и поддерживать адреса. "Администратор должен позаботиться об эффективной установке и поддержке сети, - говорит Джо Д'Андреа, президент компании Quadritek. - Если этого не добиться, возникнет анархия. Кто угодно сможет подключиться к серверу DHCP и начать раздавать IP-адреса".

Сеть нефтяного гиганта компании Chevron насчитывает 30 тыс. IP-хостов, расположенных в сотнях точек. Для новых узлов, находящихся в небольших филиалах, используется DHCP, а для узлов в больших филиалах - старые добрые статические адреса. Как ни удивительно, отслеживать статические адреса сложнее, чем динамические. "Раньше в больших сетях просто создавался пул доступных адресов, которые затем раздавались администраторам подсетей, входящих в состав этой сети, - говорит Майкл Льюис, старший инженер по сетям компании Chevron. - По мере смены сотрудников текущее состояние пула (какие адреса уже присвоены, какие свободны) забывалось. Поэтому попытка установить DHCP, для чего требуется достаточно четко знать состояние адресного пространства, приводит к массе разнообразных проблем". Для расчистки авгиевых конюшен адресного пространства в Chevron пользуются продуктом Network Registrar компании American Internet.

Picture 1

Использование TCP/IP на разных платформах.

Использование DHCP может также повлиять на функционирование систем защиты информации в сетях IP, особенно брандмауэров. Поскольку DHCP присваивает адреса динамическим образом, из пула доступных адресов, то пользователи просто "арендуют" адреса на время их использования, а потом возвращают в пул. Затем те же адреса могут быть арендованы другими пользователями. Между тем для работы брандмауэра необходимо, чтобы каждый пользователь имел определенный адрес. Когда брандмауэр не в состоянии связывать адреса, присваиваемые DHCP, с конкретными пользователями, это открывает лазейку для несанкционированного доступа в сеть - если адрес, с которого можно проходить через брандмауэр, попадет к пользователю, не имеющему такого права. "Применение DHCP лишает администратора возможности накрепко привязывать пользователя к IP-адресу, - говорит г-н Андерсон. - Этот факт накладывает отпечаток на целый ряд областей, одна из которых - использование брандмауэров". В компании Isotro пытаются обеспечить контроль за присвоением IP-адресов, чтобы администратор мог выяснить, кто работал в определенное время с конкретным IP-адресом, и сопоставить эту информацию с происходившими в сети событиями.

Некоторые сложности связаны с совместимостью клиентов и серверов DHCP. По признаниям фирм-производителей, клиенты DHCP одной компании могут быть не полностью совместимы с серверами другой. В настоящее время IETF работает над протоколом связи "сервер-сервер", который позволит серверам выполнять балансировку нагрузки и страховать (back up) друг друга.

В коммутируемых сетях - свои проблемы. Здесь к одному и тому же порту маршрутизатора подключается множество сегментов локальной сети, поэтому в одной и той же подсети содержится большее число устройств (а следовательно, и адресов). Администраторам сети IP непросто выявить все устройства в подсети при использовании масок подсети фиксированной длины.

В некоторых компаниях (например, в Eli Lilly and Co.) с этой проблемой пытаются бороться, используя VLSM (Variable Length Subnet Masks), т. е. добавляя к сетевому адресу еще одну маску подсети; сетевой префикс адреса при этом удлиняется. Lilly использует систему управления адресами QIP компании Quadritek; специалисты компании утверждают, что за счет удлинения сетевого префикса можно отследить все устройства в коммутируемых сегментах подсети. Однако, как утверждают представители фирм-производителей, использование VLSM приводит к усложнению математического аппарата управления адресами, что может повлечь за собой возникновение ошибок. При фиксированной длине масок подсети адреса становятся более симметричными, но адресное пространство быстро заполняется. "Проблема использования VLSM в сети конкретной топологии может оказаться сложной, а ее решение - громоздким", - говорит Арун Капур, старший инженер и один из основателей Quadritek.

Затрудняет управление адресами и использование динамических VLAN и подсетей. При одновременном использовании DHCP и VLAN на базе сетевых адресов может возникнуть следующая ситуация: пользователь пытается получить динамический IP-адрес, а коммутатор (в то же самое время) - "записать" его в одну из виртуальных сетей, для чего требуется IP-адрес. Но его-то как раз у пользователя и нет! "Проблема напоминает старый вопрос о курице и яйце, - говорит г-н Сильвестер. - Поскольку неизвестно, к какой VLAN относится пользователь, неизвестно и то, в какой он находится подсети. А без этого DHCP не может присвоить IP-адрес".

Picture 2

Доходы от продаж продуктов на основе TCP/IP.

Поделитесь материалом с коллегами и друзьями