要維持網路應用的順暢、穩定、安全並不容易,因為永遠都會發生一些潛藏或難以辨別的網路問題。但是你可能不知道,其實在這些常見的網路問題中,有70%是因為核心網路服務(Core Network Services)的運作或管理不良所造成。
解決傳統網路服務缺點
舉例來說,DNS回應速度太慢就會導致應用程式效能低落甚至停擺,DHCP或RADIUS故障會造成網路存取遭拒絕,網路電話不通常是由於TFTP服務異常,傳統手工的IP位址管理出錯則老是造成IP衝突,無法識別身份的DHCP很難防範機密外洩,而缺少核心網路服務的災害備援機制更是威脅業務永續性的元兇。
所謂的核心網路服務是介於網路基礎設備與應用系統間的銜接層,包括DNS(網域名稱解析)、DHCP(動態位址派發)、IPAM(IP位址管理)、RADIUS(身份認證)、TFTP(組態檔案派送)、NTP(網路時間)等,如果缺少這些核心網路服務或發生異常,任何網路通訊、企業應用、電子商務的應用都將無法透過網路基礎設施順利運作。
每個企業的網路環境都需要提供DNS、DHCP等核心網路服務。以往在資訊人員的認知中,這些功能都是免費或隨附於作業系統取得,在分別安裝於伺服器並完成簡單設定後,也很少繼續給予關注或妥善管理,甚至還有許多IT部門是手動填表記錄分配IP位址(所謂的Spreadsheet-IPAM),因此各種網路問題便潛藏在內部隨時伺機發作,每天讓網管人員疲於奔命。
|
▲Infoblox亞太區銷售總監羅啟明指出,核心網路服務攸關網路運作的穩定與安全,應採用完善的硬體化整合平台。 |
「傳統的核心網路服務運作方式有許多問題,」Infoblox亞太區銷售總監羅啟明指出,將這些核心服務軟體系統搭載於伺服器上,不僅安全性不足,服務之間也無法整合。此外,分佈於各種不同的軟硬體系統,則造成管理複雜、稽核困難的問題,也提高了軟體授權的成本。在管理人員方面,重複的權責以及手工管理不僅效率低,更增加了人事成本與無謂的工作負擔。
為了解決這些問題,Infoblox開發出單一硬體設備的核心網路服務平台,也是全球第一台同時提供DNS、DHCP、IPAM與RADIUS等重要服務的專用裝置,以達到企業等級所需的高可用性、可延展性、管理性與高安全性。羅啟明表示,目前Infoblox已售出2萬多台設備,超過2,500家客戶分佈於全球30多國,財富雜誌500大企業中有超過100家採用Infoblox產品,接受度相當高。
專屬設備 整合完善功能
「隨著網路的重要性與關鍵應用不斷增加,企業組織需要更可靠、安全、有效率的核心網路服務,而免費取得的DNS、DHCP等功能又缺乏售後支援。」羅啟明指出,由於企業、學校、政府機關及ISP╱電信業者等對於核心網路服務需要更高的管理性,以及充分可靠的支援,因此有愈來愈多的客戶選擇採購Infoblox,投資於優質的核心網路服務,有效節省了維護管理的成本,並大幅降低網路運作不良導致的風險損失。
羅啟明表示,Infoblox採取專屬硬體架構與HA高可用性設計,擁有安全保護的NIOS系統核心,可提供DNS、DHCP、IPAM、RADIUS、RADIUS Proxy、TFTP及NTP等服務功能,內建專屬資料庫無資料遺失或重複的風險,並具有方便操作的圖形管理介面,可提供長期的完整資料記錄與稽核。由於隨時下載更新服務,同時在升級韌體時也無須停機,因此面對近期侵襲網路的DNS漏洞威脅,也可扮演有效的DNS Firewall功能。
Infoblox在台灣由達友科技代理,市場反應不錯,目前客戶主要集中在政府機關、高科技產業、大學院校、大型醫院等,此外也獲得多家知名連鎖書店、電信、壽險等企業的採用。
由於Infoblox可以保障核心網路服務穩定不中斷,因此近來在許多DR(災害備援)與VoIP的專案建置規劃中,也被視為不可或缺的採購項目。
IP管理結合認證式DHCP
羅啟明表示,傳統的核心網路服務安裝於伺服器,系統本身有太多開放的port會引來攻擊,而手動軟體更新不僅麻煩也容易遺漏,同時多裝置的環境很難集中管理,使用者擁有帳號權限也容易發生誤設定的狀況。
相較之下,Infoblox專用設備內建專屬的NIOS作業系統,不開放port、不允許存在user帳號、透過HTTP SSL遠端管理,在新漏洞發現時還可以輕鬆單鍵更新升級,安全性大幅強化。
他指出,Infoblox內建簡單易用的圖形化網頁管理介面,全程SSL連線,無須事先安裝即可完整管理設定各種功能。此外支援分散據點部署,可進行集中管理,DNS及DHCP的設定都可以自動同步到所有據點的裝置,同時Log記錄也可以集中處理。
在需要各地分權管理時,Infoblox也提供了細緻彈性的角色化管理權限機制,每個帳號都可以指定不同範圍或深度的權限,並留下可供事後稽核的所有操作記錄。
整合了位址配發、身份辨識與IP管理的「認證式DHCP」更是Infoblox的重要特色。羅啟明解釋,當任何使用者嘗試連入網路時,會先指派隔離區的IP並將用戶導向身份認證網頁,透過Active Directory、LDAP、FTP或郵件伺服器進行身份驗證後,才配發正確合適的IP與DNS位址並記錄用戶的MAC位址。
透過Infoblox的管理介面,可以將MAC位址與AD帳號相對應,完全地掌握任何時段每個IP的真實使用者,並提供完整的歷史稽核與統計報表。
對於重要的核心網路服務而言,必須將可能中斷的時間降到最低。羅啟明強調,Infoblox可對所有設定值單鍵進行備份及還原,更換新機時只須載入設定即可恢復服務,並具有完整的HA與雙機備援能力,甚至可設定跨網段備援。對於大量分散用戶,Infoblox更支援網格平行處理,允許多台裝置平行服務、集中管理,即使DHCP failover啟動作用時,也會維持lease state不中斷,不會造成終端大量換IP的狀況,達成真正網路即時容錯備援。