Proteus: IPAM richtig aufgebaut White Paper · Proteus kann insbesondere in Netzwerkumgebungen...

InhaltGegenstand dieses White Paper ist die Entwicklung der IPAM-Technologie bis zum heutigen Status-quo einer zielgerichteten Appliance-Lösung. Vor diesem Hintergrund werden gegenwärtige IPAM-Lösungen beleuchtet und im Hinblick auf zukünftige Netzwerkherausforderungen diskutiert. Die neuen technologischen Ansätze der Proteus-Lösung werden im Hinblick auf ihre Rolle für geschäftskritische Prozesse in Unternehmen untersucht und erläutert.

Proteus: IPAM richtig aufgebautWhite Paper

2 © 2006 BlueCat Networks (USA), Inc. Alle Recht vorbehalten. Alle aufgeführten Markennamen und Warenzeichen sind Eigentum der rechtmäßigen Besitzer. Die tatsächliche Form der Implementation und

Konfiguration kann Abweichungen unterliegen. Fehler und Auslassungen sind zu erwarten.

Nutzungsrechte dieses Dokuments

CopyrightDieses Dokument und die darin enthaltenen Informationen (in Form von Text, grafischen Benutzeroberflächen ("GUI"), Video und Audio, Bildern, Symbolen, Software, Entwürfen, Applikationen, Berechnungen, Modellen, Vorhersagen oder anderen Elementen, mittels dieses Dokuments zur Verfügung gestellt werden, sind Eigentum von BlueCat Networks oder Zulieferern, und sind durch kanadische und internationale Urheberrechte, Warenzeichen und Gesetze geschützt. Durch die Nutzung dieses Dokuments werden keinerlei Besitz- oder weitere Rechte oder Inhalte an Sie übertragen. BlueCat Networks behält sich alle Rechte vor, die nicht ausdrücklich gewährt wurden.

Dieses Dokument und die darin enthaltenen Informationen sind das ausschließliche geistige Eigentum von BlueCat Networks. Es ist untersagt, dieses Material in jeglicher Form zu reproduzieren, nachzubilden oder auf andere Weise zu verwenden, ohne die vorherige schriftliche Genehmigung von BlueCat Networks.

Copyright © October 23, 2006 5:31 PM BlueCat Networks (USA), Inc. Alle Rechte vorbehalten.

Information des HerausgebersVeröffentlicht in Kanada - Kein Teil dieses Dokumentes darf in irgendeiner Form reproduziert, übertragen, kopiert oder in einem Retrieval-System gespeichert, oder in irgendeiner Form oder mit irgendeiner Methode in eine andere menschliche Sprache oder eine Computersprache übersetzt werden, ohne die zuvorige ausdrückliche Genehmigung von:

Diese Publikation schließt Haftungsansprüche jeglicher Art aus, sowohl ausdrücklich als auch stillschweigend, einschließlich - aber nicht beschränkt auf - Gewährleistung, Tauglichkeit für einen bestimmten Zweck oder Rechtsverletzungen.

Alle in dieser Publikation aufgeführten Warenzeichen oder Handelsmarken sind als solche gekennzeichnet. BlueCat Networks übernimmt keinerlei Haftung für die Richtigkeit der hierin enthalten Informationen. Die Nutzung eines Warenzeichens in dieser Publikation deutet nicht darauf hin, dass die Gültigkeit dieses Warenzeichens oder Handelsnamens dadurch beeinträchtigt ist. Alle aufgeführten Warenzeichen, Handelsnamen und Logos (die "Warenzeichen") sind registrierte und nicht registrierte Warenzeichen der BlueCat Networks, Inc. und Anderer. Jegliche Nutzung dieser Warenzeichen ist untersagt, ohne die zuvorige schriftliche Genehmigung von BlueCat Networks oder des Dritten, der rechtmäßiger Eigentümer des Warenzeichens ist.

Keine fachmännische EmpfehlungDieses Dokument dient ausschließlich zu Nachschlage- und Informationszwecken. Dieses Dokument erhebt nicht den Anspruch, eine umfassende oder vollständige Exploration des angegebenen Themas zu sein, noch einen Ratschlag oder eine Empfehlung hinsichtlich wissenschaftlicher, technischer oder jeglicher anderer Natur darzustellen; noch ein Angebot für den Verkauf oder Kauf eines bestimmten Produktes oder einer Dienstleistung zu sein. BlueCat Networks übernimmt keine Haftung oder Veranwortung hinsichtlich der Nutzung, der Gültigkeit, Richtigkeit oder Zuverlässigkeit, oder die sich aus der Nutzung der Internetseite oder der Materialien dieses Dokuments oder für jegliche Internetseite, auf die verwiesen wird, ergibt. Dieses Dokument ist ausschließlich für die Nutzung durch den Empfänger bestimmt. Es stellt kein vollständiges Angebot dar und darf durch keine weitere Person reproduziert oder weitergegeben werden.

BlueCat Networks, Inc.4101 Yonge Street, Suite 502Toronto, OntarioKanada M2P 2C9

Zu Händen von: ProduktmanagerTelefon: 416-646-8400Fax: 416-225-4728E-mail: [email protected]: www.bluecatnetworks.com

mailto:[email protected]

http://www.bluecatnetworks.com/

mailto:[email protected]

http://www.bluecatnetworks.com/

Proteus: IPAM richtig aufgebaut

Kurzfassung

Als das Internet Protokoll (IP) sich zum Medium der Wahl für moderne Netzwerke entwickelte, traten durch

die damit verbundene zunehmende Komplexität immer mehr Sicherheitsfragen auf. IP Version 4, oder IPv4

hat den Vorrat an verfügbaren Adressen nahezu verbraucht. Abgesehen von der Network Address

Translation (NAT), muss die neue Version des Internet Protokolls IPv6 jetzt umgesetzt werden, um den

fehlenden Adressbereich aufzustocken und weitere IPv4 Probleme zu bereinigen. Vergleichsweise neue

Geräte, wie beispielsweise VoIP-Telefone benötigen mehr Konfigurationsmöglichkeiten seitens des DHCP-

Servers. DHCP-Dienste werden in Zukunft also noch komplexer werden, als sie es jetzt schon sind.

Eine erste Reaktion auf diese Entwicklung war der Einsatz von Tabellenkalkulationen, um die

entsprechenden Daten besser nachverfolgen zu können. Dieser Ansatz wurde sehr schnell von großen

Anbietern durch IP-Adressen-Managementlösungen (IPAM / Address Management) ersetzt. Diese frühen

Ansätze waren sehr IP bezogen und im Allgemeinen nicht für die DNS-Verwaltung zuständig. Zudem waren

diese Lösungen ausgesprochen teuer. Die zweite Generation von IPAM-Systemen war immer noch von

technologischen Einschränkungen gekennzeichnet, statt sich an der Struktur eines Unternehmens und

seiner Geschäftsziele zu orientieren. In großen Netzwerken können solche Systeme ein großes

Integrationsproblem darstellen, gleichzeitig sind sie nicht in der Lage, IPAM-Komplexität zu eliminieren oder

das Netzwerk sicherer zu machen.

Proteus ist die dritte und nächste Generation von IPAM-Systemen. Proteus basiert auf den Eigenschaften

der Adonis DNS/DHCP-Appliances und bietet Sicherheit auf Firewall-Niveau. Proteus kann insbesondere in

Netzwerkumgebungen betrieben werden, für die andere IPAM-Lösungen erst gar nicht in Betracht kommen.

Proteus verwendet eine Multi-Core Architektur, die die IP-Verwaltung, DNS und Verteilung voneinander

trennt und die Interaktion der Systeme im Hintergrund verwaltet. Durch das native XML-Design von Proteus

können unternehmensspezifische Anforderungen ohne technische Einschränkungen bei der

Implementierung berücksichtigt werden.

Contents

Ein Protokoll für "alles Mögliche" und wie es dazu wurde ......................... 4IP-Layer-Services ...................................................................................... 5Zunehmende Komplexität .......................................................................... 6Rationierung der IP-Adressen ................................................................... 6Die Entwicklung von IPv6 .......................................................................... 7Die erste Generation - ein Ansatz zur IP-Adressenverwaltung .................. 8Software-basierendes IPAM ...................................................................... 9Die zweite Generation - Annäherung an eine IPAM-Lösung ....................... 9

3© 2006 BlueCat Networks (USA), Inc. Alle Recht vorbehalten. Alle aufgeführten Markennamen und Warenzeichen sind Eigentum der rechtmäßigen Besitzer. Die tatsächliche Form der Implementation und



Die nächste Generation: Proteus Enterprise IPAM-Appliance ................... 11Proteus: IP-Adressenverwaltung richtig gemacht ................................... 15

Ein Protokoll für "alles Mögliche" und wie es dazu wurde

Die Entwicklung der TCP/IP-Protokoll-Suite vom Internet-Protokoll zu einem Protokoll, das für alle möglichen

Anwendungen eingesetzt wurde, verlief rasant. Aufgrund der Anforderungen unterstützt der Großteil der

Netzwerke heutzutage TCP/IP. Unternehmen, die in Bezug auf ihre Kommunikationsinfrastruktur weiter

denken, wollen die Nutzungsmöglichkeiten der bestehenden Internet- und Netzwerkressourcen drastisch

erhöhen können. Dazu sind neue Verwaltungssysteme erforderlich, um die Netzwerkkonfiguration und

Verteilungsänderungen zu vereinfachen. Bereits vorhandene, lokal basierte Systeme sind nicht in der Lage

Skalierbarkeit, Nutzungsmöglichkeiten, Sicherheit und Netzwerkverfügbarkeit auf IP-Ebene ausreichend zu

unterstützen.

IPAM (IP Adressen-Management) -Software der zweiten Generation ist jetzt in der Lage, diese

Anforderungsprofile umzusetzen. Sie wird in der Regel in Großkonzernen und von ISPs (Internet Service

Provider) genutzt, mittlere bis große Unternehmen fordern bereits eine dritte Generation von IPAM-

Lösungen.

IPAM-Software verwaltet insbesondere: DNS (Domain Name Service), IP-Adressen-Bestandskontrolle und -

Bereitstellung sowie DHCP (Dynamic Host Control Protocol). Diese Services sind auch unter dem Namen IP-

Layer-Services bekannt und verbinden auf diesem Layer Clients und Server mit Servern, Firewalls,

Switches, Routern, Mediengateways und Session-Border-Controllern.

IP-Layer-Services

Das IP-Protokoll ist der Teil des TCP/IP-Protokollstapels, der den Weg eines Pakets durch ein TCP/IP-

Netzwerk, wie beispielsweise das Internet, steuert. Jedes Gerät in einem IP-Netzwerk benötigt eine IP-

Adresse. Diese werden entweder statisch zugewiesen, beispielsweise für Server, oder dynamisch über den

DHCP-Dienst. Der verfügbare IP-Adressenbereich in einem Netzwerk wird in unterschiedliche hierarchische

Sub-Netzwerke unterteilt, jedes davon mit einem dazugehörigen Adressbereich. Adressen, die dynamisch

zugewiesen werden, sind in sogenannten 'Pools' organisiert, um von dort aus auf die Netzwerkgeräte verteilt

zu werden. Um nun ein Gerät lokalisieren zu können, kann ein Benutzer dieses Gerät über seine IP-Adresse




ansprechen. Dies ist zwar etwas unpraktisch, aber das durchschnittliche Erinnerungsvermögen eines

Menschen reicht nicht aus, sich an mehrere solcher Adressen zu erinnern. Stattdessen werden Universal

Resource Locator (URL) Namen verwendet, wie z. B. www.example.com. Das DNS-System wandelt diese,

vom Menschen lesbare Namen, in die dazugehörigen IP-Adressen um und ungekehrt.

Wird eine Umwandlung durchgeführt, müssen Pakete umgeschaltet und durch die Netzwerke und Sub-

Netzwerke geleitet werden, um ihren Bestimmungsort zu erreichen. Das ist immer ein anderes Gerät mit

einer IP-Adresse. Diese Services laufen auf der IP- oder Netzwerkebene ab. Firewalls überwachen den

Zugriff der Pakete auf die jeweiligen Netzwerke und Medien-Gateways, die Session-Border-Controller,

wandeln die Informationen in den Paketen in andere Formen auf diesem Layer um. Das können andere

Kommunikationsprotokolle, wie beispielsweise ATM, weitere Medienprotokolle oder sogar das normale

PSTN-Telefonsystem sein. Paketgesteuerte IP-Netzwerke können sich heute bereits mit einer Vielzahl von

Diensten 'verbinden', ein Tatbestand, an den die Erfinder des Protokolls nicht im Traum dachten. Durch

diese komplexe Struktur wächst der Aufwand für die Netzwerkadministratoren, die stets damit konfrontiert

sind, diesen konkurrierenden Technologien IP-Ressourcen zuzuweisen. Technologien, die diese Komplexität

vorantreiben, sind VoIP und eine "Mixed-Mode-Kommunikation". So wird beispielsweise ein

paketbetriebenes Netzwerk dazu genutzt, Telefondaten zu übertragen. Die VoIP-Technologie ist aber auch

mit dem Telefonnetz verbunden, das heißt, es muss eine Umwandlung der Medien an der Schnittstelle des

IP-Netzwerkes stattfinden. Diese Technologien werden sich in naher Zukunft trennen und die Grundlage der

Multimediaanwendungen über das Internet sein

Zunehmende Komplexität

Die Einführung neuer Anwendungen, wie beispielsweise VoIP, steigt sprunghaft an und damit auch die

Menge an benötigten IP-Adressen und Kern-Netzwerken. Das gilt auch für die Funkerkennung-Technologie

(RFID), wobei ein Funk-Tag einem Produkt zur Überwachung zugewiesen wird. Damit werden die

Anforderungen an die Netzwerkkonfiguration und -verwaltung ebenfalls immer komplexer. Punkte wie hohe

Verfügbarkeit werden zunehmend ernster genommen und nehmen mit der Entwicklung der IP-Netzwerke

zum zentralen System überhand.

Wie müsste ein IP-Protokoll der Zukunft aussehen? IP war das Medium für viele technische Neuerungen in

den letzten 15-20 Jahren. Soll dies weiterhin der Fall sein, muss sich die IP-Struktur verändern. Das Internet

befindet sich noch immer in der Anfangsphase seines Wachstums, vergleichbar mit dem Stand der

Automobilindustrie in den frühen 20er Jahren, als neue Modelle auf den Markt kamen und nicht länger nur

die üblichen Schwarzen. Neue Technologien machen Netzwerke komplexer, und das Internetprotokoll wird

noch weiter in Bereichen eingesetzt werden, für die es ursprünglich nicht konzipiert war.




Rationierung der IP-Adressen

Das Problem, das letzten Endes eine Änderung erzwingen wird, ist die knappe Zahl von IP-Adressen in IPv4,

dem aktuellen Internetprotokoll. Dieses Protokoll stellt über 4 Mrd. nutzbare Adressen bereit. Aufgrund des

hierarchischen Aufbaus und der wenig effizienten Bereitstellung von Adressen zu Beginn der

Internetnutzung zeichnet sich momentan schon eine Ressourcenknappheit ab. Eine der Antworten auf diese

Krise war das CIDR (Classless Inter-domain Routing). Dabei handelt es sich um eine wesentlich effizientere

Methode der Adressbereitstellung als bei der klassenbasierenden Methode. Dennoch werden nicht

genügend Adressen zur Verfügung gestellt. Dennoch werden nicht genügend Adressen zur Verfügung

gestellt. Ein weiterer Ansatzpunkt ist die Nutzung von NAT (Network Address Translation) Gateways. Diese

Systeme nutzen eine einzige externe IP-Adresse, die einen Verbindungspunkt für mehrere hundert Benutzer

darstellt. Intern würde solch ein Netzwerk einen reservierten Adressbereich verwenden, wie beispielsweise

den Netzwerkbereich 10.0.0.0/8, der nie nach außen hin sichtbar ist. Das NAT-Gateway würde dann alle

Anfragen übersetzen. Das erweckt Anschein, dass alle Anfragen vom Gateway der externen IP-Adresse

kommen und die Clients nur eingeschränkten Zugriff auf das Internet haben. Der Zugang ist dabei dadurch

eingeschränkt, dass der Betrieb vieler aktueller Dienstleistungen, wie beispielsweise der paketgesteuerter

Multimedia- und Telefondienste, in einer Netzwerkumgebung mit einem NAT-Gateway problematisch ist.

Zugleich mindert die NAT-Übersetzung dauerhaft die Anzahl der verfügbaren Router, da diese alle Pakete für

immer größer werdende Netzwerke verwalten müssen. Für dieses Dilemma gibt es nun einen

Lösungsvorschlag, IPv6, das Internetprotokoll der nächsten Generation.

Die Entwicklung von IPv6

IPv6 ist ein modernes Protokoll, das über eine nahezu unbegrenzte Anzahl freier Adressen in seinem

System verfügt. Dieses Protokoll thematisiert jetzt auch Fragen, die durch die Nutzung von mobilen Geräten

aufkamen sowie Fragen der Sicherheit, die bei der Entwicklung des IPv4 noch nicht beachtet wurden. IPv6

soll nun baldmöglichst umgesetzt werden. Und genau damit wird die Sache problematisch. Die Umstellung

auf IPv6 würde bedeuten, dass viele momentan verwendete Netzwerkgeräte nutzlos wären. Nach den

immensen Kosten für die Umstellung der Netzwerkinfrastruktur zum Jahr-2000 zeigen Unternehmen nur

wenig Bereitschaft für eine weitere Umstellung. Zudem ist das Adressierungsschema von IPv6 noch

schwerer vom Menschen lesbar, als das IPv4. Das führt uns zum Kern dieser Ausführungen. Viele

Administratoren können die Umstellung auf IPv6 erst gar nicht in Betracht ziehen, da laufende Prozesse die

Umstellung nicht verarbeiten könnten. Die meisten heute betriebenen Netzwerke sind nur unzureichend

dokumentiert. Andere wiederum verwalten ihren gesamten IP-Adressbereich über Excel-Tabellen. Diese

Methode verfügt zwar nicht über IP-Verwaltungsmöglichkeiten, ist aber die älteste Form zur Nachverfolgung

der IP-Adressen, und wird in den meisten Netzwerken weltweit verwendet.




Obwohl die Umsetzung von IPv6 sehr langsam geschieht, wird letztendlich der Markt über dessen Akzeptanz

bestimmen. Bedürfnisse nach der Überwachung von QOS (Quality of Service) und unterschiedlichste

Möglichkeiten Datenströme zu transportieren, die mit der Bereitstellung von Telefon- und

Multimediaanwendungen in IP-basierenden Netzwerken einhergehen, und das zusammen mit den

herkömmlichen Datenpaketen, treiben die Umsetzung weiter voran. In manchen Gebieten in Asien, wie

beispielsweise in Japan, ist dies bereits der Fall. Bei der Markteinführung von IP-fähigen Geräten, wie

Telefonen und Spielekonsolen, wurde bereits IPv6 verwendet. Der explosionsartige Anstieg der

Anforderungen dort, wie die Abwicklung des Datenverkehrs und ausgeklügelte Konfigurationen auf IP-

Ebene, haben bereits zu einer weiten Verbreitung von IPv6 geführt. Daher werden in einigen Netzwerken

IPv4 und IPv6 parallel betrieben. Viele Organisationen, unter anderem das US-Militär, fordern für neue

netzwerkfähige Ausrüstungsgegenstände bereits IPv6. Es geht bei der Einführung lediglich noch um das

"Wann".

Tabellenkalkulation kann nicht die Antwort sein

Bei einem relativ kleinen Unternehmen, mit einem überschaubaren Netzwerk, kann die Nachverfolgung der

IP-Adressen mittels Tabellenkalkulation durchaus eine Alternative sein. Hier gibt es nur wenige Domains und

somit sind die DNS-Einträge nachvollziehbar, ebenso sind nur wenige Sub-Netze vorhanden, die weniger

Adressblöcke belegen. Selbst wenn ein CIDR-Sub-Netzschema vorhanden ist, ist die Anzahl der

verfügbaren Adressen überschaubar, und die Verwaltung und die Bereitstellung ist eine relativ einfache

Aufgabe. Üblicherweise entsteht das Netzwerk im Kopf der verantwortlichen Person. Dann passiert

Folgendes: Der DNS-Bereich wird durch neue Datensatztypen und komplexe, weiträumig verzweigte

Beziehungen immer komplizierter. Der IP-Adressbereich stößt an die Grenzen der verfügbaren Adressen

und muss umstrukturiert und gegebenenfalls für zukünftige Anwendungen neu geplant werden. Viele

Netzwerksysteme dieser Art werden noch über Kommandozeileninterpreter und Texteditoren konfiguriert.

Das war die normale Vorgehensweise für DHCP- und BIND-DNS-Server von ISC, den weltweit am

verbreitetesten DHCP- und DNS-Servern. Diese Form des Netzwerkbetriebs beschränkt sich aber nicht nur

auf kleine Netzwerke. Auch in zahlreichen großen Netzwerken kommt diese Methode zum Einsatz, weil es

meist an tauglichen Alternativen fehlt.

Diese Vorgehensweise kann nicht als erste IPAM-Generation betrachtet werden, obwohl sie über einen

langen Zeitraum sehr verbreitet war. Tabellenkalkulation kann zwar den IP-Adressbereich für nicht-

dynamische Systeme verfolgen, jedoch fehlt die Verwaltung der DNS- oder IP-Adressbereiche, die sie

angeben. Da die Tabellenkalkulation als Werkzeug zur Nachverfolgung der Adressen genutzt wird, geschieht

die eigentliche Verwaltung des Netzwerks im Kopf des Administrators. Es gibt nur noch wenige andere

geschäftskritische Bereiche in einem Unternehmen, in der man eine solche Vorgehensweise als

'verantwortlich' betrachten würde. Unternehmensspezifische Policies und Strategien fordern insbesondere




Nachvollziehbarkeit und klare Zuschreibung Verantwortung. In der Vergangenheit waren es vor allem die

großen Serviceprovider, die Ähnliches forderten. Heute erkennen Unternehmen, dass eine systematische

Kontrolle, Steuerung und Überwachung der IP-Ebene für ein verfügbares und sicheres Netzwerk

unverzichtbar ist. Regularien wie beispielsweise Sarbanes-Oxley, machen eine richtlinienkonforme IP zur

Regel statt zur Ausnahme. Bisher gab es für Administratoren allerdings wenig Alternativen.

Die erste Generation - ein Ansatz zur IP-Adressenverwaltung

Anbieter haben bis zum Jahr 2000 bereits zahlreiche Versuche unternommen, eine IPAM-Lösung auf den

Markt zu bringen. Diese erste Generation war allerdings mehr auf die Bereitstellung von IP-Adressen

ausgelegt, denn auf die DNS-Verwaltung. Daher sind diese Methoden nicht für dynamische Konfigurationen

vorgesehen, wie wir sie aber heute in aller Regel vorfinden. Durch die zentrale Auslegung konnten diese

IPAM-Systeme nur eingeschränkt auf dynamische Änderungen reagieren. Sie waren zudem an die

Verwendung einer Routing-Hardware gebunden. Diese großen, teuren und schwierig zu implementierenden

Systeme entsprachen nicht den Unternehmensanforderungen in großen Netzwerken. So mussten Netzwerke

neu konzipiert werden, um den technologischen Belangen zu genügen, statt sich bei der Planung an den

Unternehmenszielen auszurichten. Ein niedriger Return on Invest (ROI) und hohe, teils permanente

Lizenzkosten, machten IPAM der ersten Generation zunehmend unattraktiv. Dabei handelte es sich oft um

externe Dienstleistungen und nicht um Softwarepakte. Das ließ zusätzliche Fragen im Bereich Sicherheit

aufkommen.

Software-basierendes IPAM

Diese IPAM-Systeme bestehen meist aus Softwarepaketen, die auf einem oder mehreren generischen

Betriebssystem/en der jeweiligen Server ausgeführt wurden. Um die Betriebssysteme der Server

einigermaßen sicher zu gestalten, durfte der Server nur zu einem einzigen Zweck genutzt werden. Für die

Optimierung des Servers im Hinblick auf die jeweilige Aufgabe und das entsprechende Sicherheitsprofil war

ein hoher Zeitaufwand erforderlich. Die Teile des Betriebssystems, die nicht verwendet wurden, mussten

entfernt und jeder unnötige Zugriff blockiert werden. Ebenso musste die Hardware auf Schwachstellen hin

überprüft werden. Für diese Aufgaben kamen nur die am besten geschulten und damit zugleich die teuersten

Mitarbeiter des Netzwerk-Teams in Frage. Die Antwort auf die Probleme der Serverkonfiguration für viele

geschäftskritische Technologien, wie beispielsweise Routing, Firewalls, DNS und DHCP waren




anwendungsbasierende Systeme. Diese sind in der Lage die Plattformsicherheit, die Verwaltung von

Updates und eine intuitive Konfiguration und Verwaltung eines generischen Servers zu gewährleisten. Das

bedeutet zugleich mehr Wirtschaftlichkeit hinsichtlich gesparter Arbeitszeit und verminderter Ausfallzeiten.

Die Vorteile liegen auf der Hand.

Die zweite Generation - Annäherung an eine IPAM-Lösung

Die zweite Generation der IPAM-Lösungen unterstützte Dynamische DNS und Microsoft Active Directory,

und war zugleich eine Lösung, die bereits auf einer grafischen Benutzeroberfläche aufbaut und weniger

kompliziert war. Da es sich aber auch hier meist um Software-Lösungen handelte, sah man sich zum Teil mit

den gleichen Problemen konfrontiert wie beim IPAM der ersten Generation: Die Lösungen benötigten einen

Server, der auf die Bedürfnisse der Software hin optimiert war. Der für DNS- und DHCP-Server

übernommene Ansatz auf Applikationslevel zu arbeiten, kam gleichzeitig mit IPAM der zweiten Generation

auf den Markt, nutzte aber nur wenige der Funktionen. Einige dieser Ansätze betrachteten IPAM nur als

Lösung, um mehrere Server zu verwalten. Eine große Anzahl von Servern zu verwalten, bedeutet aber nicht

einfach nur ein entsprechendes "Mehr" an Arbeitsaufwand. Vielmehr muss man quasi die Vogelperspektive

einnehmen und ein kompliziertes Netzwerk zunächst auf logischer Ebene planen, bevor die Implementierung

überhaupt stattfinden kann. Moderne IPAM-Systeme benötigen eine ausgeklügelte

Nachverfolgungstechnologie, die mit Berichts- und Reportingfunktionen sowie Alarm-Engines verknüpft

sind. Zudem benötigen sie für Aufgaben wie Reallokierung, Bearbeitung komplizierter Zonen und der

Zusammenführung ganzer Netzwerke eine umfassende Planungs- und Entwurfsumgebung. Den aktuellen

Anforderungen im Hinblick auf Datensicherheit, Datentransfer- und kollaboration ist dieser Ansatz nicht

gewachsen.

Einige der Systeme der zweiten Generation litten auch unter der Beschränkung auf IP-Bereitstellung und

Verwaltung, wobei die DNS-Verwaltung nur eine zusätzliche Funktion war. Zwar waren diese Systeme oft für

die Unterstützung großer Netzwerke ausgelegt, jedoch bauten sie auf standardisierten und fixen Strukturen

auf. Um diese Art von Systemen wirklich nutzen zu können, mussten Unternehmen zunächst die Technologie

als solche verstehen, bevor sie diese auf die im Unternehmen bestehenden Strukturen hin anpassen

konnten. Das Unternehmensziel musste somit an die Technologie angepasst werden und nicht umgekehrt.

Sowohl die Benutzerverwaltung als auch das Datenmodelling waren nicht sehr flexibel. Einige Systeme

verfügten nicht über ausreichende Planungs- und Entwurfswerkzeuge, andere wiederum hatten Schwächen

bei der Überwachung und Berichtserstattung. Viele dieser Systeme unterstützen IPv6 und VoIP, dennoch

bleiben gemischte Netzwerke eine Herausforderung.




Figure 1: Die zweite Generation von IPAM-Lösungen

Alle Systeme der zweiten Generation waren sehr technisch ausgerichtete Lösungen, die für eine technische

Zielgruppe gedacht waren. Jeder, der ein IPAM-System der zweiten Generation verwendet, ist ein DNS- oder

DHCP-Experte, der mit der zugehörigen Terminologie vertraut ist und verantwortlich zumindest für einen Teil

des IP-Netzwerks. In kleineren Unternehmen müssen jedoch Verwaltungsaufgaben an Manager oder an die

Eigentümer selbst delegiert werden; diese haben aber nicht ausreichend Zeit, um sich mit DNS

auseinanderzusetzen. Ein gutes Managementsystem muss in der Lage sein, einen "Benutzer vor sich selbst

zu schützen", indem es genügend Hilfestellungen gibt und eine entsprechende Benutzerführung bereithält.

Die Anforderungen komplexer und moderner Netzwerke, wie sie gerade entwickelt werden, können nicht

mehr ausschließlich durch die technische Zielgruppe abgedeckt werden.

Moderne Netzwerkinfrastrukturen beinhalten parallele Netzwerke, die unterschieden werden über IPv4 vs.

IPv6 und Daten vs. VoIP und SIP-fähiges Multimedia, und das in einem gemeinsamen Netzwerk. Die

Systeme der zweiten Generation sind zwar in der Lage diese Technologien unter einen Hut zu bringen, sie

können aber die erforderliche komplexe Modellierung für den Entwurf der Netzwerke nicht bieten. Auch die

zweite Generation der IPAM-Systeme hat das Problem der Interoperabilität von Netzwerken nicht erfolgreich

gelöst. Das Problem hat zwei Seiten, wobei eines der Hauptproblem die Interoperabilität mit den aus IPAM

generierten Daten ist. Das andere Hauptproblem liegt in der Unterstützung von Diensten wie SNMP und

SOAP. Jedes IPAM-System der zweiten Generation weist in einem der angesprochenen Bereiche Defizite

auf.




Die nächste Generation: Proteus Enterprise IPAM-Appliance

Proteus von BlueCat Networks steht für die dritte Generation von IPAM-Systemen. Die DNS-, DHCP- und

DNS-Caching-Appliances von BlueCat Networks repräsentieren die Entwicklung der DNS- und DHCP-

Server: von anfangs selbst erstellten Servern mit Kommandozeileneingabe bis hin zu den leistungsfähigen,

zielgerichteten DNS- und DHCP-Appliances die einfache Handhabung und Sicherheit zusammenbringen.

Sie verfügen über Funktionen wie BIND-Views, intuitiv bedienbare Benutzeroberflächen und ausgeklügelte

Kontrolle über Zonen, Datensätze, Allokationen, Zugangskontrolle und Authentifizierung, Berichtserstattung/

Reporting und Alarme in Echtzeit, TSIGs, MAC-Filter, DHCP-Ausfallsicherung, hohe DNS-Verfügbarkeit,

Interoperabilität und weitere. Diese Entwicklung am DNS- und DHCP-Servermarkt wurde gut angenommen

und repräsentiert einen neuen Status quo. Da IPAM nur einen größeren und ausgeklügelteren Kontext für die

Verwaltung von DNS, DHCP und IP-Adresszuweisungen und deren Zusammenspiel mit dem Rest der IP-

Ebene bereitstellt, war es nur eine Frage der Zeit, bis ein umfassender Lösungsansatz in einer IPAM-

Appliance umgesetzt wurde.

Proteus wurde als sicherer Appliance-Server entwickelt. Damit hat er die erforderliche Hardware-

Redundanz, um in geschäftskritischen Umgebungen betrieben zu werden. Er unterstützt den vollen

Funktionsumfang von Adonis und weitere wichtige Funktionen, wie beispielsweise IPv4, CIDR und NAT, die

ja alle noch verwendet werden. Parallel dazu unterstützt Proteus Technologien wie IPv6, ENUM für VoIP,

dynamische QOS Überwachung sowie Traffic Shape für Anwendungen wie VoIP und SIP-fähiges Multimedia

und weitere zukünftige Anforderungen.

Figure 2: Multi-Core Funktionalität gewährleistet Konsistenz zwischen DNS und DHCP




Die Berichts- und Reportingfunktion in Proteus ermöglichen eine komplexe Netzwerkverwaltung und

Prognosenerstellung sowie die Einhaltung der Unternehmensrichtlinien. Das Policy-Modeling vom Proteus

kann nahezu allen Unternehmensanforderungen angepasst werden.

Die Alarme, die Proteus erstellt, basieren auf Informationen aus SNMP-Fallen und Datenbank-Triggern.

Diese setzen den Administrator beispielsweise in Kenntnis, dass ein Server abgestürzt ist oder, dass die im

Pool verfügbaren IP-Adressen zur Neige gehen.

Die Benutzerverwaltung in Proteus implementiert ein Layer-7-Modell, das Objekt und Typen-basierende

Berechtigungen besitzt, die für jedes Objekt im System benutzerspezifisch angepasst werden können.

Benutzer können sich gegenüber Proteus authentifizieren, oder gegenüber externen Ressourcen wie

Radius, Kerberos, LDAP und RSA. Die Transaktionsprotokollierung ermöglicht eine vollständige

Aufzeichnung der Systemnutzung. Dadurch kann jede Transaktion, unabhängig von anderen Transaktionen

rückgängig gemacht werden, solange diese nicht voneinander abhängig sind.

Die Datenmodellierung in Proteus erlaubt die Vermischung von globalen Objekten mit vielfältigen

Netzwerkkonfigurationen, die voneinander abhängige IP, DNS, Multi-Core Einstellungen und Informationen

für die Bereitstellung enthalten. Somit stehen genügend Abstraktionsmöglichkeiten zur Verfügung, um ein

Modell für nahezu jede Topologie korrekt darstellen zu können.

Figure 3: Die IP, DNS und Bereitstellungs-Cores trennen Logik und Implementierung voneinander.




Die Multi-Core-Funktionalität setzt den Entwicklungsprozess erfolgreich um, da sie komplexe Strukturen und

die Entscheidungsfindung unterstützt. Ebenso werden die Daten auf Logik, Syntax und in einer

Bereitstellungssimulation überprüft, bevor sie implementiert werden.

Unternehmen können XML-Strukturen erstellen, sogenannte laterale Tags, die dann auf

Konfigurationsobjekte angewendet werden können. Somit ist eine Interaktion mit Proteus möglich, die auf

Unternehmensstrukturen basiert, anstatt bestimmte Technologien oder Implementierungen vorzuschreiben.

Figure 4: Durch das laterale Tagging bleiben die Schnittstellen auf das Unternehmen selbst fokussiert.

Proteus integriert die dynamische Kontrolle von Funktionalitäten wie IPv6 und ENUM für VoIP, in IPAM.

Proteus kann auch in großen Netzwerkumgebungen mittels SNMP- und XML-Dateninteroperabilität über

benutzerdefinierte Felder integriert werden. Diese Felder können mit Proteus zu jedem Objekttyp

hinzugefügt werden und gewährleisten, dass externe Datenschemata unterstützt werden.




Figure 5: Benutzerdefinierte Felder ermöglichen Datenintegration

Durch die Implementierung der aktuellsten Funktionen auf IP-Ebene bietet Proteus die Möglichkeit der

Verbindung mit anderen Internet-basierten Diensten mittels SOAP-Protokoll. Viele Router und noch mehr

Firewalls sowie Session-Border-Controller nutzen diese Technologie, um Daten auszutauschen. Proteus

verwendet als einzige IPAM-Lösung auf dem Markt SOAP als primäre Kommunikations-methode.

Dass Proteus die nächste IPAM-Generation ist, lässt sich am besten am Beispiel eines typischen IPAM-

Workflows in einem großen Unternehmen darstellen.

Proteus: IP-Adressenverwaltung richtig gemacht

Ein ordnungsgemäß konfiguriertes IPAM-System funktioniert erheblich effizienter, wie beispielsweise bei der

Re-Allokation eines IP-Blocks. In einem großen Unternehmen erfordert dieser Vorgang die Zusammenarbeit

mehrerer Mitarbeiter aus unterschiedlichen Abteilungen, was viel Zeit in Anspruch nimmt. In der Regel sieht

der Ablauf dann so aus: Das Call Center nimmt eine Beschwerde hinsichtlich eines IP-Adressen Problems

entgegen, oder die periodische DHCP-Überwachung des Server-Teams stößt auf ein Problem, oder das

Netzwerk-Team wird durch Netzwerkausfälle darauf aufmerksam. Dies führt dazu, dass das IP-Adressen-

Team den verfügbaren IP-Adressenbereich überprüft und diesen Bereich auf dem jeweiligen DHCP-Server




freigibt. Das Server-Team fügt dann den Adressbereich dem DHCP-Server zu und reserviert die Zonen für

den Bereich auf dem DNS-Server. Das Router-Team fügt dann das neue Subnetz der Routerschnittstelle zu

und das Netzwerk-Team bestätigt dann den Abschluss dieses Vorgangs. Dieser Ablauf ist aufgrund der

Koordination der erforderlichen Ressourcen äußerst komplex.

Mit einem Proteus-IPAM-System, kann der Vorgang durch eine API in der Anrufverfolgungssoftware des Call

Centers aufgerufen werden oder über einen IP-Kapazitätsalarm der Überwachung des DHCP-Servers sowie

über einen API-Aufruf der DNS-Applikation. Das IPAM-System kann dann den IP-Adressbereich allokieren

oder dieser kann von einem Administrator festgelegt werden. Das IPAM-System fügt dann den

Adressbereich dem DHCP-Server hinzu und reserviert die DNS-Zonen auf dem DNS-Server. Zugleich wird

die Information über das neu hinzugefügte Subnetz über die Routerschnittstelle an das Konfigurations-

Managementsystem des Routers mittels SOAP weitergeleitet und das Router-Team per E-Mail davon in

Kenntnis gesetzt. Das IPAM-System überprüft abschließend alle durchgeführten Transaktionen. Alle Schritte

dieses Vorgangs werden protokolliert und sämtliche Transaktionen sind für ein Rollback

(Rückgängigmachung) verfügbar, falls erforderlich.




Proteus kombiniert die Vorteile der DNS- und DHCP-Server, von denen er abstammt, ohne dabei einer

‘Appliance-Mentalität’ anheim zu fallen. Proteus ist keine geschlossene, proprietäre Anwendungsarchitektur,

sondern so ausgelegt, dass die Appliance in bestehende Netzwerkstrukturen implementiert und mit allen

erforderlichen Devices Verbindung aufnehmen kann. Da Proteus auf Standardtechnologien wie XML, SOAP

und relationalen Datenbanken basiert, gewährleistet BlueCat Networks, dass Proteus auch auf zukünftige

Anforderungsprofile vorbereitet ist, die sich heute vielleicht nicht einmal ahnen lassen. Die

Planungswerkzeuge, mit denen ein Netzwerk entworfen wird, sollten sowohl neue Möglichkeiten aufzeigen

als auch den bestmöglichen Kompromiss für die jeweilige Netzwerk-Topologie finden. Proteus ist in der

Lage, das Netzwerk zu steuern und zu überwachen, ohne dabei übermäßig in den laufenden Betrieb

einzugreifen. Das gewährleistet ein Gleichgewicht zwischen Kontrolle und Delegation.

Proteus: Es geht um's Detail



Proteus: IPAM richtig aufgebaut White Paper · Proteus kann insbesondere in Netzwerkumgebungen...

Documents

Transcript of Proteus: IPAM richtig aufgebaut White Paper · Proteus kann insbesondere in Netzwerkumgebungen...