Без системы отслеживания, проверки и восстановления адресов в масштабе предприятия серьезные осложнения практически неминуемы.
Если бы сеть оставалась без изменений, то и проблемы бы не было. Однако вследствие роста подразделений, перемещения рабочих групп или просто увольнения того или иного сотрудника управление IP-адресами может стать весьма и весьма неприятной задачей.
"Однажды обжегшись, я могу по своему опыту сказать, что если вы утратите контроль за адресной схемой, то проблем вам не миновать, - говорит Винсент Миллер, главный специалист по системам связи в Washington Mutual Bank из Сиэтла. - Двойные адреса трудно обнаружить. Теперь представьте, что происходит, когда удаленный офис меняет местоположение? Вам приходится судорожно рыться в кипах бумаги, чтобы восстановить эти адреса".
Впрочем, эту и другие дилеммы можно разрешить при помощи любого из постоянно растущего числа продуктов и инструментов управления IP-адресами. Серверы протокола динамической конфигурации хоста (Dynamic Host Configuration Protocol), интеллектуальные инструменты для IP-адресации и виртуальные IP-сети могут облегчить эту тяжесть.
НЕЖДАННЫЕ ПРОБЛЕМЫ. Полтора года назад IP-адресация мало кого беспокоила. Но вдруг компании, большие и малые, начали устремляться в Internet.
"Нежданно-негаданно выяснилось, что без TCP/IP никуда не деться. IP-адресация теперь исключительно важна, - утверждает аналитик Тим Вилсон, старший консультант из компании Decisis Inc. - Проблема управления IP-адресами отчасти связана с общими проблемами управления. Средства управления и защиты... трудны для реализации и понимания".
Администраторы сетей согласны с этим.
"Одно дело развернуть устройства с адресами, совсем другое - управлять ими", - говорит Миллер.
Вообще, многие считают управление IP-адресами малоприятным занятием, так как протокол не предназначался для использования в частном секторе.
"Администратору сети предприятия все время приходится возвращаться назад и отлаживать сеть, - говорит Дэвид Браун, директор сетевых служб в The New York Times. - В статичном мире вы раз присваиваете адрес и больше его не меняете. Однако мир бизнеса далеко не статичен. Сеть все время меняется. Вопрос, следовательно, звучит так: как при помощи управления свести к минимуму влияние административного вмешательства?"
К сожалению, большинство администраторов сетей до сих пор не нашло ответа на этот вопрос. Простейшим и наиболее распространенным подходом является отслеживание адресов и имен доменов при помощи обычных электронных таблиц. В этом случае вы подвергаете свою сеть опасности, так как нет системы, которая бы гарантировала, что вновь присвоенный адрес никем не используется. Хуже то, что регистрация вручную множества адресов может оказаться чрезвычайно трудоемкой. "По мере того, как все большее и большее число людей попадает в базы данных протокола IP, традиционные электронные таблицы становятся все меньше пригодными", - говорит Миллер. Он использует NetID, инструмент управления IP-адресами компании Isotro Network Management.
"После приобретения инструмента управления [IP-адресами] мы наконец-то смогли вздохнуть свободно, так как угроза двойных адресов над нами больше не висела", - добавляет Миллер.
Многие клиентские стеки TCP/IP предусматривают защитные меры против дублирования адресов. Однако, как правило, они не обеспечивают решения вопроса управления адресам и в целом, например, сопровождение базы данных со списком всех используемых адресов.
СИТУАЦИЯ В БЛИЖАЙШЕМ БУДУЩЕМ УХУДШИТСЯ. Трудность управления IP-адресами отчасти связана с пресловутой "нехваткой" адресов. По правде говоря, адресов в Internet предостаточно. Однако запас адресов наиболее популярного типа быстро подходит к концу, чему мы обязаны теперешней схеме адресации IP Version 4.
Адреса выдаются блоками. Эти блоки бывают трех типов: астрономических размеров класс А, класс B, подходящий для большинства организаций, и класс С, который для многих чересчур мал (см. Врезку). Адреса класса B пользуются самой большой популярностью. Однако около двух третей адресов класса B уже присвоено, поэтому информационный центр сети Internet (Internet Network Information Center, InterNIC) бережет их как зеницу ока. Группа InterNIC отвечает за выделение и регистрацию адресов в Internet.
"Мы испытываем нехватку адресов, поэтому должны быть уверены, что они будут использоваться самым эффективным образом, - заявляет Ким Хаббард, ведущий инженер InterNIC. - Простоту администрации мы уже больше не рассматриваем в качестве аргумента для выделения адресов класса B. Основным критерием является число устройств, которые могут иметь IP-адрес".
Даже если организация имеет достаточно устройств для того, чтобы претендовать на получение блока адресов класса B, InterNIC с гораздо большей степенью вероятности выдаст лицензию на несколько блоков адресов класса C. Здесь и возникает проблема: имея блок адресов класса B, администратор может спроектировать сеть предприятия так, что маршрутизация между подсетями не составит проблемы. Однако каждый блок адресов класса C требует наличия отдельной таблицы маршрутов. Проектировать, а затем управлять сетью, состоящей из нескольких подсетей класса C, гораздо сложнее. С этим согласны все.
"Два года назад я поняла, что без доступа к Internet не обойтись", - говорит Маргарет Макдональд, старший системный аналитик в газете Seattle Times.
Макдональд реализовала маршрутизацию в своей достаточно крупной сети, но тут выяснилось, что InterNIC отказал в ее просьбе выделить блок адресов группы B.
"Вместо этого они выделили мне несколько блоков адресов группы C, - говорит Макдональд. - Пришлось потратить несколько месяцев на планирование и реализацию".
Сейчас InterNIC работает над долгосрочным решением - новой схемой адресации под названием IP Version 6 или IPv6. Однако переход всей сети Internet на IPv6 займет несколько лет и, кроме того, повлечет за собой увеличение объема работ по управлению адресами.
"IPv6 - долгосрочное решение. Я думаю, что потребуется по крайней мере 5 лет, а что еще более вероятно, все десять, прежде чем новая версия будет реализована на 100 процентов", - говорит Уилсон.
В соответствии со спецификацией будет два Internet: IPv4 и IPv6. "Теоретически, две версии будут сосуществовать, пока со временем IPv4 не исчезнет окончательно", - продолжает развивать мысль Уилсон.
Короче говоря, ситуация может сложиться так, что администраторам сетей придется иметь дело с двумя зарегистрированными адресами для каждого IP-устройства, причем один из них будет принадлежать блоку адресов класса A.
КРАТКОСРОЧНОЕ РЕШЕНИЕ. Положение дел, даже в краткосрочной перспективе, не столь уж мрачно. Поставщики программного обеспечения и группа инженерной поддержки Internet (Internet Engineering Task Force, IETF) разработали несколько краткосрочных решений, которые подразделяются на две основные категории: повышение эффективности использования адресов и отказ от регистрации. В первую категорию попадают такие продукты, как DHCP-серверы и интеллектуальные продукты по выделению адресов. Ко второй категории относятся виртуальные частные сети и маршрутизация между доменами без подразделения на классы (Classless Inter-Domain Routing, CIDR).
Протокол DHCP разработан IETF как расширение протокола самозагрузки BootP. BootP позволяет удаленно конфигурировать IP-адреса, что исключает необходимость присутствия на месте администратора информационных систем для установки адреса на устройстве.
DHCP усовершенствует BootP: вместо присвоения каждому устройству своего адреса, как это имеет место в BootP, нескольким устройствам назначается пул адресов. Он позволяет, однако, отдать адрес в аренду устройству "на вечные времена".
При использовании DHCP небольшого количества адресов оказывается вполне достаточно для обслуживания большого числа устройств при условии, что адрес не потребуется всем им в один и тот же момент времени. Такая тактика особенно хороша для подразделений с большим количеством мобильных пользователей.
Некоторые TCP/IP-совместимые операционные системы, как, например, Solaris компании SunSoft или Windows NT компании Microsoft, включают DHCP-сервер. Сервер можно приобрести и у таких поставщиков продуктов для TCP/IP, как FTP Software или Competitive Automation. Реализацию DHCP в версии Competitive Automation можно найти в DHCP-серверах от SunSoft, Digital Equimpent, Wollongong Group и других. Novell в настоящее время DHCP не предлагает, но поддержка протокола планируется уже в ближайших выпусках продуктов для TCP/IP в течение текущего года, что подтвердил ответственный по связям с прессой из отдела операционных систем компании.
Поддержка DHCP на клиентах осуществляется практически любым программным обеспечением TCP/IP, однако организации вряд ли смогут обойтись без сервера.
Так как DHCP является надмножеством BootP, большинство DHCP-серверов могут работать по протоколу BootP в случае, если старое клиентское программное обеспечение TCP/IP еще остается в сети.
"Если вы используете BootP, то вам не придется опрометью бежать к клиентской рабочей станции", - отмечает Браун из The New York Times. Браун недавно сменил централизованный сервер BootP, включенный в SunOS, на Join от Competitive Automation.
"Зная оборудование, которое мы развернули для обслуживания данного сегмента сети, мы можем сказать, что, например, концентрация 200 адресов достаточна для обслуживания данного сегмента", - продолжает он.
В качестве примера Браун упоминает отдел распространения Times.
"У нас есть 450 компьютеров IBM ThinkPad и далеко не все из них одновременно находятся в офисе. Отдел распространения разделяет, кроме того, несколько сегментов. Пулы адресов можно привести в соответствие с действительными потребностями отдела. Время от времени просматривая журнал (его ведет Join), мы можем сказать, надо ли нам увеличить пул или его можно даже уменьшить".
АДРЕСНЫЙ ИНТЕЛЛЕКТ. Как правило, DHCP-серверы позволяют расширять или сужать пул посредством нескольких щелчков кнопки мыши при условии, что адреса составляют один сплошной блок. В такой ситуации полезно спроектировать сеть таким образом, чтобы маски подсети имели переменную длину, но тогда пограничные маршрутизаторы компании должны поддерживать эту возможность. Маски подсети позволяют разделить хост на несколько меньших сегментов, например, в зависимости от специализации подразделений. Маски подсети переменной длины дают возможность варьировать число адресов в блоке от подсети к подсети в пределах хоста вместо того, чтобы назначать одну длину для всех подсетей. В результате адреса используются более эффективно - крупные блоки могут быть отведены крупным подразделениям. С другой стороны, такие сети TCP/IP более сложны в проектировании и управлении.
Используйте интеллектуальные инструменты, такие как NetID от Isotro и QIP Quadritek IP Management System от Quadritek Systems для надзора за созданием и присвоением IP-адресов и выбором имен доменов, тем самым вы исключите риск дублирования IP-адресов.
"NetID позволяет директору сети централизованно управлять назначением IP-адресов как для хостов, так и для подсетей, - говорит Род Андерсон, президент Isotro. - Администраторы локальной сети контролируют каждый свой участок сети, при этом возможность дублирования адресов полностью исключена. Администратор может по своему усмотрению распоряжаться адресами из пула, если тот зарегистрирован в центральной базе данных".
Такие продукты осуществляют мониторинг наличных адресов с целью их максимально полного использования. Кроме того, они проводят ревизии и составляют отчеты об использовании. При закрытии удаленного офиса интеллектуальные продукты позволяют администратору информационной системы получить в свое распоряжение освободившиеся адреса при помощи простого графического интерфейса.
Isotro имеет компонент для создания схемы IP-адресации, и он способен отождествлять адреса электронной почты с шестнадцатеричными IP-адресами. QIP содержит интерфейсы прикладного программирования для связывания инструментов с OpenView компании Hewlett-Packard и с SunNet Manager.
"Мы используем NetID для отслеживания IP-адресов. Это важно для нас, так как число узлов превосходит 2000, - заявляет Терри Мездаг, технический советник в SHL System House Ltd. - Он позволяет конфигурировать DNS [сервер имен доменов] с использованием Unix в объеме не большем, чем это действительно нужно, так что нет необходимости быть специалистом по Unix".
Сеть крупнейшего клиента SHL состоит из 512 сетей с адресами класса C и одной сети с адресами класса B. С помощью NetID компания SHL смогла реорганизовать адресную схему таким образом, что использование наличных адресов значительно улучшилось.
ВИРТУАЛЬНОЕ ПИРАТСТВО. Другие пользователи ответили на проблему управления IP-адресами отказом от регистрации адресов. Действительно, InterNIC рекомендует использовать маршрутизацию между доменами без подразделения на классы. На практике это означает, что такая маршрутизация дает возможность провайдеру доступа к Internet "сдавать в аренду" конечному пользователю блок адресов, часто целую подсеть класса C. Это позволяет сделать управление адресами обязанностью провайдера и тем самым избавляет от необходимости обращаться в InterNIC за адресом. (Некоторые провайдеры Internet предлагают также услуги по получению адресов: по поручению конечного пользователя они обращаются с просьбой о выделении адреса.)
Недостатком маршрутизации между доменами без подразделения на классы является ее временный характер - классический недостаток аренды в сравнении с владением.
"Если клиенту нужен адрес класса C, то у него есть две возможности, - говорит Билл Ньюманн, администратор сети в Internet Express, провайдер Internet из Колорадо-Спрингс. - Компания может обратиться за номером сама, или мы можем продать ей один из наших. Однако во втором случае компания при отказе от наших услуг должна вернуть адрес".
Другой метод упрощения управления адресами - отказ от регистрации. Компания может создать свою собственную сеть TCP/IP с необходимыми ей адресами - класса B или даже A. Однако в этом случае компания и ее сотрудники не будут иметь прямого выхода в Internet.
Для доступа в Internet компания должна обзавестись устройством для перевода адресов (например, Private Internet Exchange компании Translation) и одним зарегистрированным блоком адресов класса C или блоком CIDR.
"При использовании TCP/IP одного блока адресов класса C не хватит. Однако адреса класса B получить вряд ли удастся. Одно из решений - зарезервированные адреса (Reserved Addresses) для частной Internet (Private Internet)", - утверждает Джон Майес, президент и исполнительный директор компании Network Translation. Он ссылается на Internet RFC (Request for Comment) 1597. Данный запрос определяет схему построения сети, которая никогда не будет иметь пересечения с Internet. Такая незарегистрированная сеть состоит из 1 блока адресов класса A, 16 блоков класса B и 256 блоков класса C.
В теории подход Internet RFC мало чем отличается от DHCP. Блок перевода адресов располагается между зарегистрированными адресами и частной сетью. Он (блок) захватывает динамически зарегистрированный адрес из пула адресов в момент обращения устройства за доступом к Internet.
Перевод адреса - один из видов брандмауэра. По этой причине перевод адреса будет включен в Firewall-1 2.0, который собирается выпустить компания Check-Point Software Technologies.
По всей вероятности, производители маршрутизаторов также не оставят перевод адресов без внимания.
"Наши заказчики проявляют все больший интерес к переводу адресов, и мы стараемся реагировать на их запросы", - говорит Петер Лонг, менеджер по продуктам в компании Cisco Systems.
По словам Макдональд из Seatle Times, перевод адресов может также помочь решить проблему перехода от старого стандарта Internet к новому. Times имеет TCP/IP сеть, состоящую из более чем 20 подсетей класса C. Около двух лет назад они обратились за блоком адресов класса B в InterNIC, однако им выделили несколько блоков класса C.
"Переадресация? Это грандиозное предприятие. Загрузка новых адресов - прекрасная возможность устроить для всех сотрудников, не имеющих к ней непосредственного отношения, перерыв на несколько дней, - замечает Макдональд, пользующаяся PIX от Network Translation. - С практической точки зрения это неоправданно. Вместо этого мы решили перевести Times от незарегистрированной сети с адресами класса C к незарегистрированной системе с адресами класса B".
"Когда получили распространение программы просмотра Web, возникла необходимость в переводе адресов. Мы получили определенный результат. В ближайшее время переадресацию (переход на зарегистрированные адреса) мы не планируем", - говорит Макдональд.
Реальность такова, что TCP/IP становится необходима в любой сети. Штормы IP-адресации не будут страшны администраторам сетей, если они вооружатся инструментами управления. В противном случае их ждет печальная участь.
Джули Борт - независимый публицист (Диллон, окр. Колумбия).
ГДЕ НАЙТИ ИНСТРУМЕНТЫ УПРАВЛЕНИЯ IP
Network Translation Inc.
(415) 424-9110
Isotro Network Management Inc.
(613) 722-1921
Quadritek Systems Inc.
(215) 822-8463
Microsoft Corp.
(206) 882-8080
FTP Software Inc.
(508) 685-4000
НА ПУТИ К БЕСКЛАССОВОМУ ОБЩЕСТВУ АДРЕСОВ INTERNET
Необходимость управления адресами - это побочный продукт принятой в Internet схемы адресации, Internet Protocol Version 4, c 4 миллионами адресов. IPv4-адрес состоит из 32 бит, разбитых на четыре 4-байтных октета. Класс определяется делением октета на фиксированную и присваиваемую части.
В сети класса A первый октет фиксирован, а оставшиеся три октета распределяются между хостами. Сеть класса A поддерживает 16 миллионов адресов, которые могут присваиваться таким устройствам, как маршрутизаторы и рабочие станции.
В сети класса B первые два октета представляют собой фиксированный адрес сети, а оставшиеся два распределяются между хостами. Сеть класса B может поддерживать до 64000 адресов.
В сети класса C первые три октета фиксированы, а оставшийся используется в качестве адреса устройств. Сеть класса C поддерживает 245 адресов.
Принятая в Internet схема адресации имеет только ограниченное число адресов сети класса A и сравнительно много адресов класса C. Сегодня адреса класса A получить практически невозможно. Это огромные блоки адресов, пригодные разве что для крупных многонациональных корпораций, из которых мало кто обзавеся зарегистрированными адресами.
По словам Кима Хаббарда, ведущего инженера из Internet Network Information Center (InterNIC), отвечающей за присвоение зарегистрированных адресов Internet, на сегодня 65 процентов адресов класса B уже присвоено. С другой стороны, присвоено только 20-25 процентов доступных адресов класса C.
Имея про запас менее 7000 блоков адресов класса B, InterNIC требует от каждой организации подробной информации о технической инфраструктуре. Иными словами, если вам необходим блок адресов класса B, вы должны доказать, что это действительно так.
"Мы предлагаем заполнить анкету, - говорит Хаббард, - и требуем предоставить поэтапный план развертывания, маскировки подсетей, копии проекта сети, сведения об общем числе хостов и числе хостов для каждой подсети", - говорит Хаббард.
Если схема подсетей недостаточно эффективна, InterNIC может вернуть ваши предложения для доработки. Однако если даже схема будет признана эффективной, блок адресов класса B все равно вряд ли будет выделен, разве что вы сможете доказать, что маршрутизаторы вашей сети не в силах управлять несколькими сетями класса C.