《中网(knet)企业核心网络解决方案—zddi技术白皮书v1.1》由会员分享,可在线阅读,更多相关《中网(knet)企业核心网络解决方案—zddi技术白皮书v1.1(14页珍藏版)》请在金锄头文库上搜索。
1、 ZDDI产品技术白皮书产品技术白皮书 ZDDI产品技术白皮书 版权所有 北龙中网(北京)科技有限责任公司 1 版权所有版权所有 北龙中网(北京)科技有限责任公司北龙中网(北京)科技有限责任公司 20201212。 保留一切权利。保留一切权利。 非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式 传播。 商标声明商标声明 和其它商标均为北龙中网(北京)科技有限责任公司的商标。 本文档提及的其它所有商标或注册商标,由各自的所有人拥有。 注意注意 您购买的产品、服务或特性等应受北龙中网(北京)科技有限责任公司商业合同和条款的约束,本文档中 描述的全部或部分
2、产品、 服务或特性可能不在您的购买或使用范围之内。 除非合同另有约定, 北龙中网 (北 京)科技有限责任公司对本文档内容不做任何明示或默示的声明或保证。 由于产品版本升级或其它原因,本文档内容会不定期进行更新。除非另有约定,本文档仅作为使用指导, 本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。 北龙中网(北京)科技有限责任公司 地址:北京中关村南四街四号中国科学院软件园1号楼二层 网址:www.ZDNS.cn 客户服务邮箱:ZDNS 客户服务电话:86-10-58813333 客户服务传真:86-10-58812666转126 ZDDI产品技术白皮书 版权所有 北龙中网(北京)科技
3、有限责任公司 2 目目 录录 1 1 概述概述 . 1 2 2 网络核心基础服务的统一管理网络核心基础服务的统一管理 . 3 3 3 IP V6IP V6 支持支持 . 6 4 4 安全解决方案安全解决方案 . 8 5 5 大规模集群部署大规模集群部署 . 9 6 6 平台技术介绍平台技术介绍 . 10 ZDDI 技术白皮书 1 1 1 概述概述 域名服务(DNS) 、动态IP地址分配(DHCP)和IP地址自动化管理(IPAM)是企业IT 系统的网络核心基础服务,在企业信息系统中,承担着非常重要的角色。在企业核心网络基 础服务管理方面,存在一些比较严重的问题: 【图1 核心网络管理需求】 -
4、管理方式落后:Gartner统计,75%的企业在用电子表格或自制工具进行IP地址管 理,费时费力而且操作过程容易出错;部分企业借助于公开的、免费的的工具实现 对核心网络服务中DNS、DHCP等服务的管理,界面不友好,配置困难、结果难理 解,保障能力差。 - 分散管理:核心网络基础服务中的三个方面(DNS、DHCP、IPAM)他们之间是 一个整体,存在统一管理、协调配合的需求, 根据目前的调查结果,绝大多数公 司对三者分散管理,效率低下,且无法做到统一的管控。 - 单点部署:核心网络基础服务的特点,决定了其服务、数据的重要程度,离散的部 署, 稳定性差, 缺乏容灾处理能力, 单点故障、 数据分散
5、管理带来的风险无法避免。 - 面向新技术带来的管理挑战,束手无策:新技术(如虚拟化/云计算、VOIP、IP v6 和DNSSEC等)所带来了新的管理需求,而业务趋势(如全球化、虚拟工作区的涌 现以及移动性) 正导致互连设备的扩散和地址空间的激增。 这些变化使得网络服务 的管理对于网络运行、效率和稳定性越来越至关重要,并且更加难以实现,旧有的 网络基础服务已经满足不了需求。 中网公司ZDDI产品,融合DNS,DHCP, IPAM三项企业核心网络服务功能,弥补了我 国在ZDDI设备和企业核心网络服务解决方案方面的空白。在实现DNS、DHCP和IP地址管理 等多种网络基础服务的统一管理基础上,通过可
6、视化运维管理手段,提升IT网络运维效率, 降低网络运维难度,为企业提供“简化的IT体验” ,做到让网络服务简单易用,实现可控、 可靠、可管理。 ZDDI 技术白皮书 2 【图2:ZDDI应用场景举例】 中网公司ZDDI产品,立足于满足目前的企业网络核心服务管理需求,同时,对满足未 来的新技术、新需求挑战,进行了前瞻性的设计和技术创新。具体包括: - 安全方面:中网ZDDI网络核心设备中采用加固的操作系统阻止根权限访问,为企 业构建安全的DNS架构,并全面支持DNSSEC(DNS安全扩展) ,可自动执行并简 化 DNSSEC 部署和管理, 可以有效减少运营成本并消除配置错误和关联停机时间 等管理
7、风险。 - 大规模集群部署的能力:中网ZDDI通过一两台设备,可以满足中小型企业单位的 需求;面对大型企业,可以通过独有的集群部署方案,满足跨地域、复杂网络环境 下的统一部署、集中管理需求。 - 对IP v6支持:中网ZDDI产品全面兼容IP v4和IP v6的网络管理,提出IP v4 向IP v6 过渡管理的方案,实现对双栈环境的DNS、DHCP、IPAM管理支持,既能满足纯IP v6的管理需求,也满足了IP v4向v6过渡期间的管理、实施需求。 - 面向云计算和虚拟化的支持: 人们在享受云计算和虚拟化带来的巨大便利的同时, 也为网络核心技术服务带来的新的挑战。中网ZDDI在云计算和虚拟化的
8、管理方面, 设计了独特地产品方案。 ZDDI 技术白皮书 3 2 2 网络核心基础服务的统一管理网络核心基础服务的统一管理 网络核心服务的三个部分:DNS、DHCP和IPAM,因为其业务特点,存在着先天性的 不可分割的联系, 从业务需求和管理需求两个方面, 需要对三者进行统一的管理。 中网ZDDI 产品, 从系统架构、 功能设计、 界面设计等多个方面, 有效融合核心网络服务的DNS、 DHCP 和IPAM三方面的关键业务,有机的结合成为一套完整的系统,并在一定程度上实现自动化 的统一管理。 【ZDDI产品框架图】 核心网络基础服务的统一管理核心网络基础服务的统一管理 ZDDI设备提供全面的网络
9、核心服务,具体表现在: - 在单一设备或者多个设备组成的系统中,提供统一的核心网络基础服务。 - 管理员通过统一的GUI界面,完成DNS、DHCP、IPAM的配置管理操作。 - 对网络对象的管理,包含对IP信息、主机信息、DNS配置信息的一体化管理。 - 动态域名服务(DDNS)的管理。 - 对网络环境、业务系统紧密配合,提供按需、便捷的DNS、IP网络服务。 DNSDNS、DHCPDHCP、IPAMIPAM三个模块之间的关系三个模块之间的关系 ZDDI设备中,DNS、DHCP、IPAM三个模块,相互配合,互为支撑,如下图所示: 服务器硬件(CPU/MEM/DISK/Network) 网管员
10、工具 API 账户 角色 管理 统计 监控 DNS HTTP FTP NTP 一键升级 搬家工具 故障切换 覆盖 Windows IP 设备 IPAM DHCP Radius ZDDI 技术白皮书 4 【模块关系图】 - IPAM和DHCP IPAM提供IP地址资源供DHCP分配,DHCP为IP地址设定属性和分配规则,供客户 端主机获取使用;IPAM模块需要从DHCP模块中获取IP地址的分配情况,与扫描 结果进行比较,以进行IP的审计和冲突检测。 - IPAM与DNS IPAM提供IP地址资源供DNS创建正反向地址解析记录;IPAM模块可以从DNS模块 对IP地址进行反向解析。 - DHCP与
11、DNS DHCP和DNS协调一起实现动态DNS功能 (DDNS) , 使DHCP能够在分配IP地址时, 自动维护DNS中对应的正反向地址记录, 方便用户使用简单易记的域名而非IP地址 来访问设备和服务,整个过程无需人工干预。 IPAMIPAM模块模块 IPAM(IP地址管理)模块用于管理所有的网络,最主要的作用提供IP地址资源供供其 它模块使用。 网络是IP地址的容器,它同时可以包含子网络,包含子网络的网络被称为网路容器,不 包含任何子网络的网络被称为叶子网络。 所有的网络将构成网络树形结构。 只有叶子网络的 IP被用于真正操作。一些连续的拥有相同用途的IP地址被称为一个IP Resource
12、,每一个叶 子网络均包含0到多个IP Resource。 - 网络管理网络管理 作为网络容器的IPAM支持网络管理的特性,除了基本的添加、删除、查找网络、 查找父/子网络操作,还支持合并、缩放和拆分这些高级操作特性,用于支持网络 设置上的弹性,确保系统能够很容易地进行调整,以适应现实中网络的动态变化。 合并IP网络:将多个网络合并至一个大网络,或者将一个网络拓展成更大的网 络, 拓展后所有相邻的且包含在拓展后网络中的网络, 都成为这个网络的子网 络。 缩放IP网络:更改一个叶子网络的大小以及网络中IP地址的数目。缩放的范围 有一定的限制, 扩大时不允许与已有网络产生重合, 缩小时必须仍包含原网
13、络 中所有的IP Resource,不允许影响网络中已有的对象。 拆分IP网络:将一个叶子网络等分为相同大小的叶子网络。等分操作不允许影 响网络中已有的IP Resource。 - 网络扫描网络扫描 ZDDI统一使用DHCP进行IP地址的分配,所有的IP地址分配规则均在DHCP配置中 进行设置。因为用户可能手动修改IP地址的配置,管理网络中的主机也会经常发生 变化, 通过网络扫描, 用户可以实时地检测特定网络的实际使用情况, 通过与DHCP 中管理员设定的分配规则进行比较, 得出扫描报告, 供管理员参考以解决网络配置 中的冲突。 支持通过多种扫描技术: Ping、Netbios以及两者的结合。
14、 通过任务的方式,扫描网路:一个扫描任务可以扫描一个到多个网络,扫描完 成后可以查看每个IP的使用情况,包括是否可到达,使用该IP的主机信息等。 多线程并发扫描技术:系统扫描功能使用了多进程,可以并发扫描多个IP,效 率非常高。 扫描过程可控:在扫描的时候中用户可以执行暂停、恢复和停止等操作。 DHCPDHCP模块模块 ZDDI 技术白皮书 5 DHCP模块负责管理网络中IP地址的分配,同时提供对IP地址实时分配状态的查询。通 过配置IP的分配规则,DHCP可以自动完成IP地址的分配,用户无需再手动地配置IP地址、 子网掩码、默认网关等配置参数。 目前支持的用于分配的IP Resource分为四种类型,分别为Dynamic Range,Fixed Address,Reservation和Host Record。除了Dynamic Range可以与其它三种类型的IP Resource重合外,任意两个IP Resource都不允许重合发生。 - IP Resour
