一��、方案背景
(一)發(fā)展歷程
(二)業(yè)務痛點
您當前的IP地址管理是否由多人維護��,并且數據人手一份且不統(tǒng)一?
通過依賴客戶端統(tǒng)計的數據����,是否面臨IP地址不全面的問題?
DHCP環(huán)境,IP地址時刻變化���,是否感覺難以溯源及查找歷史使用對應關系?
是否面臨IP地址實際充足,但登記表格顯示不多的問題?
是否面臨IP地址沖突缺乏技術監(jiān)控手段?
是否需要到現場設置終端的IP地址?
外來人員入網���,是否有IP地址申請審批流程?
將來的IPv6如何規(guī)劃?多個IPv6如何關聯(lián)到終端進行管理? IPv6如何分配?
二、方案思路
基于IP地址規(guī)劃����、申請���、分配�����、使用、回收五個過程進行管理�,形成完整的流程閉環(huán)���。解決IP管理混亂���,定位跟蹤困難��,信息無法追溯等問題,確保IP地址最優(yōu)化科學利用�。
(一)IPv4/IPv6地址規(guī)劃
基于子網自動劃分組織架構�����;
可自動劃分�、聚合子網;
線上子網申請、審批業(yè)務流程管理;
自動獲取網絡設備中配置的VLAN�����、子網信息����。
(二)lPv4/IPv6地址管理
IP地址定位,快速鎖定接入交換機及端口;
自動生成IP/MAC��、MAC/端口綁定策略��;
自動發(fā)現IP地址沖突�����、IPv4 ARP攻擊、IPv6 ND攻擊等違規(guī)行為���;
IP/MAC地址仿冒檢測�����;
自動配置IP地址自動回收策略。
(三)IPv4/IPv6地址發(fā)現識別
自動發(fā)現IPv4/IPv6地址對應終端設備����,并智能識別設備類型���、操作系統(tǒng)等�;
自動發(fā)現IP地址提供的TCP網絡服務�、對應軟件以及軟件版本等。
(四)IPv4/IPv6地址分配
DHCPv4�、DHCPv6服務�;
IPv4/IPv6地址申請���、審批線上業(yè)務流程管理����;
IPv4/IPv6地址注冊�、審核線上業(yè)務流程管理。
(五)審計/溯源/應急處置
全程記錄終端從上線、變更��、離線日志�����;
查詢任意時間IP地址對應的終端設備�����,為其它安全系統(tǒng)提供設備定位功能;
查詢任意時間IP地址對應設備的使用人����,為其它安全系統(tǒng)提供責任人定位功能�;
阻斷未知����、違規(guī)終端入網,為其它安全系統(tǒng)應急響應提供對外阻斷接口。
三、核心功能
(一)IPv4地址沖突管理
1.IP地址沖突將引起網絡癱瘓、業(yè)務中斷�����、設備斷網等隱患��。
2.自動探測lP沖突事件�,告警并定位沖突雙方���。
3.重要系統(tǒng)保護:服務器����、生產系統(tǒng)�����、網絡設備�、VIP電腦�����、IP電話(啞終端)任何使用靜態(tài)IP-MAC綁定地址�。
4.靜態(tài)lP地址環(huán)境用戶的理想選擇:構建動態(tài)下發(fā)�、靜態(tài)管理;自動執(zhí)行IP保護(IP/MAC綁定)�����,對未盜用綁定IP的終端隔離處置���。
(二)IPv4/lPv6靜態(tài)IP管理
1.IP/MAC地址實時詳細目錄��。
2.對網內所有IP/MAC狀態(tài)實時更新:IP使用情況��,IP變更�,新接入lP�,MAC,IP沖突等�����;IP使用歷史記錄�����。
3.IP有效管理:可用IP地址控制;長時間未使用的IP阻止�;IP變更控制�;NetBios名稱變更控制�;IP空間保留。
4.IP地址周邊資源智能識別:主機名��、操作系統(tǒng)���、對外開放服務���、設備類型�����、所在交換機端口�。
(三)lPv4/lPv6動態(tài)IP管理
1.自動切斷未知未授權的DHCP客戶端�。
2.內嵌安全DHCP服務:DHCP地址池(授權用戶池/非授權用戶池)非授權用戶池—用戶訪問者;可以基于設備類型/操作系統(tǒng)/部門/角色分配指定IP地址起始范圍���;臨時訪客控制;
訪客的網絡接入時間控制���;未注冊的DHCP服務探測;DHCP指紋仿冒鑒別����;主機名修改管控����。
3.違規(guī)靜態(tài)IP地址處置�����。
(四)基于MAC/IP的NAC
1.提供簡單的基于MAC/IP地址的網絡接入控制
2.容易和簡單的NAC:手動/自動策略;單選指定IP-MAC阻止;自動阻止違規(guī)設置靜態(tài)IP接入�����;自動阻止IP沖突的設備接入��。
3.IP-MAC綁定功能可替代手動交換機MAC-端口綁定功能���;使用IP-MAC綁定�,IT管理員不需要在交換機上手動綁定MAC-端口:簡單&便捷�����。
(五)IP定位管理&IP消息服務
1.交換機端口可視化管理(SNMP):基于網絡拓撲�����、端口與IP互聯(lián)視圖、交換機真實面板形式可視呈現;
2.IP快速定位&接入位置變更記錄:(1)可快速查詢IP所在交換機端口(2)可追溯IP接入位置的變更記錄�����。
3.IP消息服務:當系統(tǒng)阻止違規(guī)手設IP���、IP/MAC綁定不符的設備時��,可以通過瀏覽器彈出警示頁面��。
四、部署方式
(一)集中部署
1.部署介紹
(1)采用集中部署模式����,僅在總部部署設備構建三層采集與控制技術���;
(2)需要與各級分支的交換機聯(lián)動�����;
(3)ACL放行分支單位設備到所有IP的權限。
2.技術方案
(1)SNMP:IP發(fā)現與定位�����;
(2)DHCP:IP地址分配與精細化規(guī)劃���。
(二)分級部署
1.部署介紹
采用分級部署模式���,總部單位部署畫方IPv6地址管理系統(tǒng)����,各級分支機構分別部署二級系統(tǒng);
構建二層采集與控制技術無需與分支機構交換機聯(lián)動;
無需修改現有網絡ACL/防火墻規(guī)則��。
2.技術方案
SNMP: IP發(fā)現與定位���;
SNIFFER:違規(guī)靜態(tài)IP地址管理�;
DHCP: IP地址分配與精細化規(guī)劃。
五��、產品優(yōu)勢
(一)發(fā)現方式多樣
具備多種發(fā)現方式�,規(guī)避傳統(tǒng)ICMP方式發(fā)現的不全面問題、規(guī)避僅與設備聯(lián)動方式帶來的局限性���。
(二)全面IP地址管理
具備全方面IP地址管理功能,可IP定位�����、IP自動回收���、IP地址規(guī)劃網段自動統(tǒng)計�����、IP地址下發(fā)依據、IP責任人備注等管理功能��。
(三)高擴展性
具備極強的擴展性��,可增加VLAN網段的形式擴展管控范圍�,可增加二級IPAM管理系統(tǒng)的方式擴展異地管控/跨路由管控���。
(四)可視化呈現
可通過視圖方式呈現全網IP地址使用情況�,一目了然掌握管控網段的IP地址分布、IP地址在線/離線/可用/綁定等狀態(tài)�����。
(五)功能拓展性
可提供TCP開放端口的掃描探測管理����,智能統(tǒng)計服務器端口細粒度管控。
(六)操作便捷
便捷的操作性����,可自定義備注IP地址相關屬性�。
(七)流程化管理
流程化管控管理�,可實現IP地址線上申請,預分配管理��。
