在TCP/IP建構的網路環境中,最重要卻最容易被企業忽略的組成元件莫過於DNS、DHCP服務。其實網路實體線路屬於物理面,還有更多邏輯面需要仰賴服務來執行,只是以往在電信業才會比較重視,且視之為核心網路服務(Core Network Service),並導入IPAM(IP Address Management)機制妥善管理IP配發相關資訊。
但對於一般企業端而言,關注的核心網路焦點大多在於Core Switch、Core Router這類骨幹元件,至於DNS、DHCP,長久以來皆是仰賴Windows Server內建功能,或開放源碼的BIND來提供服務,只要簡單可用就好,對於IP管理則大多只是填張Excel表格人工維護。而如此的方式隨著行動裝置普及後,正逐漸地發生變化。
BYOD突顯IP管理重要
精誠資訊企業產品應用部產品經理于子欣觀察,近十年來多數企業的狀況,是IP的使用量大致等於公司員工人數,因此採用Excel或一般表格紀錄來進行追查與管理還算可行。如今隨著BYOD的模式逐漸為企業所接受,公司員工攜帶的行動設備皆必須提供可連網服務,如此之下,一名員工可能同時在使用IP語音(VoIP)電話、智慧型手機、筆記型電腦等裝置,每一個連網設備都需要配置一個IP位址。假設仍沿用以往管理IP模式,每當有新位址和新網路被分配或修改時,IT管理者以手動維護,實務上就已經常發生資料無法及時更新,或人工輸入錯誤等狀況,更何況是IP配置數量超過以往2至3倍的BYOD時代,這種效率低與容易出錯的管理模式,便顯得左支右絀。
|
▲以IP管理為核心的DDI方案,可協助BYOD、虛擬化、物聯網等需耗用大量IP位址的應用模式,簡化其管理複雜度。(資料來源:精誠資訊) |
現在幾乎所有的設備都是透過DHCP動態取得IP位址,由此產生的動態定址需求,會使得Excel表格,或是自行開發可用於記錄IP使用狀況的軟體失去效益。于子欣解釋,主要是因為其無法與DHCP直接整合,動態地追查記錄IP位址與相關資訊(例如MAC位址、設備名稱等),IT管理者不僅需要對照試算表軟體來追查IP網路配置,同時必須在DHCP伺服器上再次查找動態IP資訊與其MAC位址等資訊。這種缺乏統一管理的機制,將進一步增加管理者的負擔,並且無法提供管理者整個網路IP分配狀況的全貌。
以IP為核心方案浮現
對此現象其實市場上早有發展以IP為核心的管理方案,也就是結合DNS、DHCP、IPAM的DDI解決方案。DDI市場是Gartner於2008年所定義,但其實早已有不少廠商提供解決方案,像是Alcatel-Lucent VitalQIP、BlueCat Networks、Infoblox等等。達友科技負責Infoblox產品線的產品經理Jim Huang回想六年前剛代理Infoblox進台灣時,正是黑莓機為主流的年代,雖已有許多行動工作者,但畢竟還沒有如今行動裝置的盛況。由於企業多數的觀念認為DNS、DHCP服務不過是基礎架構中的小元件,可以用就好,並沒有投入關注,因此對DDI始終興趣缺缺。直到近年來受到智慧型手機、iPad等行動裝置影響,才開始有客戶主動詢問DDI解決方案。
其實多數智慧型手機或iPad上運行的App,不管是Native或HTML5技術開發而成,皆須透過網路傳遞資訊,網路連線數量短期內迅速增加,甚至超過原本核心網路服務預期可承載的用量。然而當網路連線品質出現問題時,IT管理者多數會透過網管工具觀察網路設備,以確認其根本原因,而核心網路服務往往不在其診斷範疇,因此當出現瓶頸或問題時,多半是最後才被發現,也才會開始尋求市場上可行的解決方案。
IPv6過渡期不可或缺
Alcatel-Lucent Enterprise副總經理李明豐表示,VitalQIP主要區隔的市場是針對大型企業與電信業者,產品技術已經過多年市場驗證。隨著BYOD帶來IP位址快速消耗,突顯出DNS、DHCP服務,以及IPAM統一控管的重要性,恐怕還會因此提早邁向IPv6時代。對此他認為,其實市場上可協助因應的解決方案已屆成熟,只是投資報酬率(Return on Investment,ROI)的思考概念仍需加強。
對於IPv6的應用,于子欣表示目前台灣研考會已經頒布各政府機關實施IPv6的時間表,因此在政府帶頭的引領下,的確可能促使IPv6環境更快來臨。然而,由於IPv6是一個全新的技術與規格,位址長達128bit,已經是人力所無法記憶及手動管理,因此未來企業無法避免必須使用IPAM工具來管理這一連串複雜且容易出錯的IP位址,甚至切割及管理註記企業環境內的IPv6網段。
此外,目前實施IPv4到IPv6過渡的策略,最常用的是雙協定(Dual Stack)的方式。于子欣說明,也就是一部電腦的網路介面,同時可設定IPv4及IPv6位址,這是在不改動網路架構下,最容易實施的方式,但相對的,管理者需要面對管理雙倍IP位址數量的挑戰。因此在IPv4到IPv6過渡期間,IPAM也將是不可或缺的工具。
核心網路服務牽涉安全議題
既然IPv6成了核心網路服務轉型的推手之一,規畫的同時還必須考量可能的安全性機制,例如確保DNS主機之間傳遞資料可信的DNSSEC(DNS Security Extensions)協議。Jim Huang說明,其實在DDI領域中,眾家產品共同遇到的問題並非技術功能發展,而是在DNS方面的Domain Know-how,因為以往網管人員大多只需要學習DNS、DHCP設定為可正常運作即可,不需過多深入探究,除非電信業才會關注DNS安全問題。
但如今隨著駭客攻擊DNS事件增加,才發現DNS可能帶來的資安風險相當多。Jim Huang舉例如2010年大陸知名搜尋引擎百度在美國的DNS服務被竄改事件,就是利用BIND系統漏洞進行入侵,取得管理者權限後,進而竄改DNS Record,將百度搜尋引擎的IP位址導引到伊朗網軍的首頁。而百度可說是大陸最多人使用的搜尋引擎,假設同一時間有一千萬人連結到百度,將會造成被竄改後指向的標的瞬間湧入大量連線,來達到癱瘓式攻擊。
行動裝置普及後正逐漸改變使用者的日常工作習慣,首當其衝的IT基礎架構,也遲早必須因應隨之轉型,甚至包括IP位址管理、DNS、DHCP,這類雖基本、卻是網路連線不可或缺的服務。