一、方案背景
(一)发展历程
(二)业务痛点
您当前的IP地址管理是否由多人维护,并且数据人手一份且不统一?
通过依赖客户端统计的数据,是否面临IP地址不全面的问题?
DHCP环境,IP地址时刻变化,是否感觉难以溯源及查找历史使用对应关系?
是否面临IP地址实际充足,但登记表格显示不多的问题?
是否面临IP地址冲突缺乏技术监控手段?
是否需要到现场设置终端的IP地址?
外来人员入网,是否有IP地址申请审批流程?
将来的IPv6如何规划?多个IPv6如何关联到终端进行管理? IPv6如何分配?
二、方案思路
基于IP地址规划、申请、分配、使用、回收五个过程进行管理,形成完整的流程闭环。解决IP管理混乱,定位跟踪困难,信息无法追溯等问题,确保IP地址最优化科学利用。
(一)IPv4/IPv6地址规划
基于子网自动划分组织架构;
可自动划分、聚合子网;
线上子网申请、审批业务流程管理;
自动获取网络设备中配置的VLAN、子网信息。
(二)lPv4/IPv6地址管理
IP地址定位,快速锁定接入交换机及端口;
自动生成IP/MAC、MAC/端口绑定策略;
自动发现IP地址冲突、IPv4 ARP攻击、IPv6 ND攻击等违规行为;
IP/MAC地址仿冒检测;
自动配置IP地址自动回收策略。
(三)IPv4/IPv6地址发现识别
自动发现IPv4/IPv6地址对应终端设备,并智能识别设备类型、操作系统等;
自动发现IP地址提供的TCP网络服务、对应软件以及软件版本等。
(四)IPv4/IPv6地址分配
DHCPv4、DHCPv6服务;
IPv4/IPv6地址申请、审批线上业务流程管理;
IPv4/IPv6地址注册、审核线上业务流程管理。
(五)审计/溯源/应急处置
全程记录终端从上线、变更、离线日志;
查询任意时间IP地址对应的终端设备,为其它安全系统提供设备定位功能;
查询任意时间IP地址对应设备的使用人,为其它安全系统提供责任人定位功能;
阻断未知、违规终端入网,为其它安全系统应急响应提供对外阻断接口。
三、核心功能
(一)IPv4地址冲突管理
1.IP地址冲突将引起网络瘫痪、业务中断、设备断网等隐患。
2.自动探测lP冲突事件,告警并定位冲突双方。
3.重要系统保护:服务器、生产系统、网络设备、VIP电脑、IP电话(哑终端)任何使用静态IP-MAC绑定地址。
4.静态lP地址环境用户的理想选择:构建动态下发、静态管理;自动执行IP保护(IP/MAC绑定),对未盗用绑定IP的终端隔离处置。
(二)IPv4/lPv6静态IP管理
1.IP/MAC地址实时详细目录。
2.对网内所有IP/MAC状态实时更新:IP使用情况,IP变更,新接入lP,MAC,IP冲突等;IP使用历史记录。
3.IP有效管理:可用IP地址控制;长时间未使用的IP阻止;IP变更控制;NetBios名称变更控制;IP空间保留。
4.IP地址周边资源智能识别:主机名、操作系统、对外开放服务、设备类型、所在交换机端口。
(三)lPv4/lPv6动态IP管理
1.自动切断未知未授权的DHCP客户端。
2.内嵌安全DHCP服务:DHCP地址池(授权用户池/非授权用户池)非授权用户池—用户访问者;可以基于设备类型/操作系统/部门/角色分配指定IP地址起始范围;临时访客控制;
访客的网络接入时间控制;未注册的DHCP服务探测;DHCP指纹仿冒鉴别;主机名修改管控。
3.违规静态IP地址处置。
(四)基于MAC/IP的NAC
1.提供简单的基于MAC/IP地址的网络接入控制
2.容易和简单的NAC:手动/自动策略;单选指定IP-MAC阻止;自动阻止违规设置静态IP接入;自动阻止IP冲突的设备接入。
3.IP-MAC绑定功能可替代手动交换机MAC-端口绑定功能;使用IP-MAC绑定,IT管理员不需要在交换机上手动绑定MAC-端口:简单&便捷。
(五)IP定位管理&IP消息服务
1.交换机端口可视化管理(SNMP):基于网络拓扑、端口与IP互联视图、交换机真实面板形式可视呈现;
2.IP快速定位&接入位置变更记录:(1)可快速查询IP所在交换机端口(2)可追溯IP接入位置的变更记录。
3.IP消息服务:当系统阻止违规手设IP、IP/MAC绑定不符的设备时,可以通过浏览器弹出警示页面。
四、部署方式
(一)集中部署
1.部署介绍
(1)采用集中部署模式,仅在总部部署设备构建三层采集与控制技术;
(2)需要与各级分支的交换机联动;
(3)ACL放行分支单位设备到所有IP的权限。
2.技术方案
(1)SNMP:IP发现与定位;
(2)DHCP:IP地址分配与精细化规划。
(二)分级部署
1.部署介绍
采用分级部署模式,总部单位部署画方IPv6地址管理系统,各级分支机构分别部署二级系统;
构建二层采集与控制技术无需与分支机构交换机联动;
无需修改现有网络ACL/防火墙规则。
2.技术方案
SNMP: IP发现与定位;
SNIFFER:违规静态IP地址管理;
DHCP: IP地址分配与精细化规划。
五、产品优势
(一)发现方式多样
具备多种发现方式,规避传统ICMP方式发现的不全面问题、规避仅与设备联动方式带来的局限性。
(二)全面IP地址管理
具备全方面IP地址管理功能,可IP定位、IP自动回收、IP地址规划网段自动统计、IP地址下发依据、IP责任人备注等管理功能。
(三)高扩展性
具备极强的扩展性,可增加VLAN网段的形式扩展管控范围,可增加二级IPAM管理系统的方式扩展异地管控/跨路由管控。
(四)可视化呈现
可通过视图方式呈现全网IP地址使用情况,一目了然掌握管控网段的IP地址分布、IP地址在线/离线/可用/绑定等状态。
(五)功能拓展性
可提供TCP开放端口的扫描探测管理,智能统计服务器端口细粒度管控。
(六)操作便捷
便捷的操作性,可自定义备注IP地址相关属性。
(七)流程化管理
流程化管控管理,可实现IP地址线上申请,预分配管理。