Proteus: IPAM richtig aufgebaut White Paper · Proteus kann insbesondere in Netzwerkumgebungen...
Transcript of Proteus: IPAM richtig aufgebaut White Paper · Proteus kann insbesondere in Netzwerkumgebungen...
InhaltGegenstand dieses White Paper ist die Entwicklung der IPAM-Technologie bis zum heutigen Status-quo einer zielgerichteten Appliance-Lösung. Vor diesem Hintergrund werden gegenwärtige IPAM-Lösungen beleuchtet und im Hinblick auf zukünftige Netzwerkherausforderungen diskutiert. Die neuen technologischen Ansätze der Proteus-Lösung werden im Hinblick auf ihre Rolle für geschäftskritische Prozesse in Unternehmen untersucht und erläutert.
Proteus: IPAM richtig aufgebautWhite Paper
2 © 2006 BlueCat Networks (USA), Inc. Alle Recht vorbehalten. Alle aufgeführten Markennamen und Warenzeichen sind Eigentum der rechtmäßigen Besitzer. Die tatsächliche Form der Implementation und
Konfiguration kann Abweichungen unterliegen. Fehler und Auslassungen sind zu erwarten.
Nutzungsrechte dieses Dokuments
CopyrightDieses Dokument und die darin enthaltenen Informationen (in Form von Text, grafischen Benutzeroberflächen ("GUI"), Video und Audio, Bildern, Symbolen, Software, Entwürfen, Applikationen, Berechnungen, Modellen, Vorhersagen oder anderen Elementen, mittels dieses Dokuments zur Verfügung gestellt werden, sind Eigentum von BlueCat Networks oder Zulieferern, und sind durch kanadische und internationale Urheberrechte, Warenzeichen und Gesetze geschützt. Durch die Nutzung dieses Dokuments werden keinerlei Besitz- oder weitere Rechte oder Inhalte an Sie übertragen. BlueCat Networks behält sich alle Rechte vor, die nicht ausdrücklich gewährt wurden.
Dieses Dokument und die darin enthaltenen Informationen sind das ausschließliche geistige Eigentum von BlueCat Networks. Es ist untersagt, dieses Material in jeglicher Form zu reproduzieren, nachzubilden oder auf andere Weise zu verwenden, ohne die vorherige schriftliche Genehmigung von BlueCat Networks.
Copyright © October 23, 2006 5:31 PM BlueCat Networks (USA), Inc. Alle Rechte vorbehalten.
Information des HerausgebersVeröffentlicht in Kanada - Kein Teil dieses Dokumentes darf in irgendeiner Form reproduziert, übertragen, kopiert oder in einem Retrieval-System gespeichert, oder in irgendeiner Form oder mit irgendeiner Methode in eine andere menschliche Sprache oder eine Computersprache übersetzt werden, ohne die zuvorige ausdrückliche Genehmigung von:
Diese Publikation schließt Haftungsansprüche jeglicher Art aus, sowohl ausdrücklich als auch stillschweigend, einschließlich - aber nicht beschränkt auf - Gewährleistung, Tauglichkeit für einen bestimmten Zweck oder Rechtsverletzungen.
Alle in dieser Publikation aufgeführten Warenzeichen oder Handelsmarken sind als solche gekennzeichnet. BlueCat Networks übernimmt keinerlei Haftung für die Richtigkeit der hierin enthalten Informationen. Die Nutzung eines Warenzeichens in dieser Publikation deutet nicht darauf hin, dass die Gültigkeit dieses Warenzeichens oder Handelsnamens dadurch beeinträchtigt ist. Alle aufgeführten Warenzeichen, Handelsnamen und Logos (die "Warenzeichen") sind registrierte und nicht registrierte Warenzeichen der BlueCat Networks, Inc. und Anderer. Jegliche Nutzung dieser Warenzeichen ist untersagt, ohne die zuvorige schriftliche Genehmigung von BlueCat Networks oder des Dritten, der rechtmäßiger Eigentümer des Warenzeichens ist.
Keine fachmännische EmpfehlungDieses Dokument dient ausschließlich zu Nachschlage- und Informationszwecken. Dieses Dokument erhebt nicht den Anspruch, eine umfassende oder vollständige Exploration des angegebenen Themas zu sein, noch einen Ratschlag oder eine Empfehlung hinsichtlich wissenschaftlicher, technischer oder jeglicher anderer Natur darzustellen; noch ein Angebot für den Verkauf oder Kauf eines bestimmten Produktes oder einer Dienstleistung zu sein. BlueCat Networks übernimmt keine Haftung oder Veranwortung hinsichtlich der Nutzung, der Gültigkeit, Richtigkeit oder Zuverlässigkeit, oder die sich aus der Nutzung der Internetseite oder der Materialien dieses Dokuments oder für jegliche Internetseite, auf die verwiesen wird, ergibt. Dieses Dokument ist ausschließlich für die Nutzung durch den Empfänger bestimmt. Es stellt kein vollständiges Angebot dar und darf durch keine weitere Person reproduziert oder weitergegeben werden.
BlueCat Networks, Inc.4101 Yonge Street, Suite 502Toronto, OntarioKanada M2P 2C9
Zu Händen von: ProduktmanagerTelefon: 416-646-8400Fax: 416-225-4728E-mail: [email protected]: www.bluecatnetworks.com
Proteus: IPAM richtig aufgebaut
Kurzfassung
Als das Internet Protokoll (IP) sich zum Medium der Wahl für moderne Netzwerke entwickelte, traten durch
die damit verbundene zunehmende Komplexität immer mehr Sicherheitsfragen auf. IP Version 4, oder IPv4
hat den Vorrat an verfügbaren Adressen nahezu verbraucht. Abgesehen von der Network Address
Translation (NAT), muss die neue Version des Internet Protokolls IPv6 jetzt umgesetzt werden, um den
fehlenden Adressbereich aufzustocken und weitere IPv4 Probleme zu bereinigen. Vergleichsweise neue
Geräte, wie beispielsweise VoIP-Telefone benötigen mehr Konfigurationsmöglichkeiten seitens des DHCP-
Servers. DHCP-Dienste werden in Zukunft also noch komplexer werden, als sie es jetzt schon sind.
Eine erste Reaktion auf diese Entwicklung war der Einsatz von Tabellenkalkulationen, um die
entsprechenden Daten besser nachverfolgen zu können. Dieser Ansatz wurde sehr schnell von großen
Anbietern durch IP-Adressen-Managementlösungen (IPAM / Address Management) ersetzt. Diese frühen
Ansätze waren sehr IP bezogen und im Allgemeinen nicht für die DNS-Verwaltung zuständig. Zudem waren
diese Lösungen ausgesprochen teuer. Die zweite Generation von IPAM-Systemen war immer noch von
technologischen Einschränkungen gekennzeichnet, statt sich an der Struktur eines Unternehmens und
seiner Geschäftsziele zu orientieren. In großen Netzwerken können solche Systeme ein großes
Integrationsproblem darstellen, gleichzeitig sind sie nicht in der Lage, IPAM-Komplexität zu eliminieren oder
das Netzwerk sicherer zu machen.
Proteus ist die dritte und nächste Generation von IPAM-Systemen. Proteus basiert auf den Eigenschaften
der Adonis DNS/DHCP-Appliances und bietet Sicherheit auf Firewall-Niveau. Proteus kann insbesondere in
Netzwerkumgebungen betrieben werden, für die andere IPAM-Lösungen erst gar nicht in Betracht kommen.
Proteus verwendet eine Multi-Core Architektur, die die IP-Verwaltung, DNS und Verteilung voneinander
trennt und die Interaktion der Systeme im Hintergrund verwaltet. Durch das native XML-Design von Proteus
können unternehmensspezifische Anforderungen ohne technische Einschränkungen bei der
Implementierung berücksichtigt werden.
Contents
Ein Protokoll für "alles Mögliche" und wie es dazu wurde ......................... 4IP-Layer-Services ...................................................................................... 5Zunehmende Komplexität .......................................................................... 6Rationierung der IP-Adressen ................................................................... 6Die Entwicklung von IPv6 .......................................................................... 7Die erste Generation - ein Ansatz zur IP-Adressenverwaltung .................. 8Software-basierendes IPAM ...................................................................... 9Die zweite Generation - Annäherung an eine IPAM-Lösung ....................... 9
3© 2006 BlueCat Networks (USA), Inc. Alle Recht vorbehalten. Alle aufgeführten Markennamen und Warenzeichen sind Eigentum der rechtmäßigen Besitzer. Die tatsächliche Form der Implementation und
Konfiguration kann Abweichungen unterliegen. Fehler und Auslassungen sind zu erwarten.
Proteus: IPAM richtig aufgebaut
Die nächste Generation: Proteus Enterprise IPAM-Appliance ................... 11Proteus: IP-Adressenverwaltung richtig gemacht ................................... 15
Ein Protokoll für "alles Mögliche" und wie es dazu wurde
Die Entwicklung der TCP/IP-Protokoll-Suite vom Internet-Protokoll zu einem Protokoll, das für alle möglichen
Anwendungen eingesetzt wurde, verlief rasant. Aufgrund der Anforderungen unterstützt der Großteil der
Netzwerke heutzutage TCP/IP. Unternehmen, die in Bezug auf ihre Kommunikationsinfrastruktur weiter
denken, wollen die Nutzungsmöglichkeiten der bestehenden Internet- und Netzwerkressourcen drastisch
erhöhen können. Dazu sind neue Verwaltungssysteme erforderlich, um die Netzwerkkonfiguration und
Verteilungsänderungen zu vereinfachen. Bereits vorhandene, lokal basierte Systeme sind nicht in der Lage
Skalierbarkeit, Nutzungsmöglichkeiten, Sicherheit und Netzwerkverfügbarkeit auf IP-Ebene ausreichend zu
unterstützen.
IPAM (IP Adressen-Management) -Software der zweiten Generation ist jetzt in der Lage, diese
Anforderungsprofile umzusetzen. Sie wird in der Regel in Großkonzernen und von ISPs (Internet Service
Provider) genutzt, mittlere bis große Unternehmen fordern bereits eine dritte Generation von IPAM-
Lösungen.
IPAM-Software verwaltet insbesondere: DNS (Domain Name Service), IP-Adressen-Bestandskontrolle und -
Bereitstellung sowie DHCP (Dynamic Host Control Protocol). Diese Services sind auch unter dem Namen IP-
Layer-Services bekannt und verbinden auf diesem Layer Clients und Server mit Servern, Firewalls,
Switches, Routern, Mediengateways und Session-Border-Controllern.
IP-Layer-Services
Das IP-Protokoll ist der Teil des TCP/IP-Protokollstapels, der den Weg eines Pakets durch ein TCP/IP-
Netzwerk, wie beispielsweise das Internet, steuert. Jedes Gerät in einem IP-Netzwerk benötigt eine IP-
Adresse. Diese werden entweder statisch zugewiesen, beispielsweise für Server, oder dynamisch über den
DHCP-Dienst. Der verfügbare IP-Adressenbereich in einem Netzwerk wird in unterschiedliche hierarchische
Sub-Netzwerke unterteilt, jedes davon mit einem dazugehörigen Adressbereich. Adressen, die dynamisch
zugewiesen werden, sind in sogenannten 'Pools' organisiert, um von dort aus auf die Netzwerkgeräte verteilt
zu werden. Um nun ein Gerät lokalisieren zu können, kann ein Benutzer dieses Gerät über seine IP-Adresse
4 © 2006 BlueCat Networks (USA), Inc. Alle Recht vorbehalten. Alle aufgeführten Markennamen und Warenzeichen sind Eigentum der rechtmäßigen Besitzer. Die tatsächliche Form der Implementation und
Konfiguration kann Abweichungen unterliegen. Fehler und Auslassungen sind zu erwarten.
Proteus: IPAM richtig aufgebaut
ansprechen. Dies ist zwar etwas unpraktisch, aber das durchschnittliche Erinnerungsvermögen eines
Menschen reicht nicht aus, sich an mehrere solcher Adressen zu erinnern. Stattdessen werden Universal
Resource Locator (URL) Namen verwendet, wie z. B. www.example.com. Das DNS-System wandelt diese,
vom Menschen lesbare Namen, in die dazugehörigen IP-Adressen um und ungekehrt.
Wird eine Umwandlung durchgeführt, müssen Pakete umgeschaltet und durch die Netzwerke und Sub-
Netzwerke geleitet werden, um ihren Bestimmungsort zu erreichen. Das ist immer ein anderes Gerät mit
einer IP-Adresse. Diese Services laufen auf der IP- oder Netzwerkebene ab. Firewalls überwachen den
Zugriff der Pakete auf die jeweiligen Netzwerke und Medien-Gateways, die Session-Border-Controller,
wandeln die Informationen in den Paketen in andere Formen auf diesem Layer um. Das können andere
Kommunikationsprotokolle, wie beispielsweise ATM, weitere Medienprotokolle oder sogar das normale
PSTN-Telefonsystem sein. Paketgesteuerte IP-Netzwerke können sich heute bereits mit einer Vielzahl von
Diensten 'verbinden', ein Tatbestand, an den die Erfinder des Protokolls nicht im Traum dachten. Durch
diese komplexe Struktur wächst der Aufwand für die Netzwerkadministratoren, die stets damit konfrontiert
sind, diesen konkurrierenden Technologien IP-Ressourcen zuzuweisen. Technologien, die diese Komplexität
vorantreiben, sind VoIP und eine "Mixed-Mode-Kommunikation". So wird beispielsweise ein
paketbetriebenes Netzwerk dazu genutzt, Telefondaten zu übertragen. Die VoIP-Technologie ist aber auch
mit dem Telefonnetz verbunden, das heißt, es muss eine Umwandlung der Medien an der Schnittstelle des
IP-Netzwerkes stattfinden. Diese Technologien werden sich in naher Zukunft trennen und die Grundlage der
Multimediaanwendungen über das Internet sein
Zunehmende Komplexität
Die Einführung neuer Anwendungen, wie beispielsweise VoIP, steigt sprunghaft an und damit auch die
Menge an benötigten IP-Adressen und Kern-Netzwerken. Das gilt auch für die Funkerkennung-Technologie
(RFID), wobei ein Funk-Tag einem Produkt zur Überwachung zugewiesen wird. Damit werden die
Anforderungen an die Netzwerkkonfiguration und -verwaltung ebenfalls immer komplexer. Punkte wie hohe
Verfügbarkeit werden zunehmend ernster genommen und nehmen mit der Entwicklung der IP-Netzwerke
zum zentralen System überhand.
Wie müsste ein IP-Protokoll der Zukunft aussehen? IP war das Medium für viele technische Neuerungen in
den letzten 15-20 Jahren. Soll dies weiterhin der Fall sein, muss sich die IP-Struktur verändern. Das Internet
befindet sich noch immer in der Anfangsphase seines Wachstums, vergleichbar mit dem Stand der
Automobilindustrie in den frühen 20er Jahren, als neue Modelle auf den Markt kamen und nicht länger nur
die üblichen Schwarzen. Neue Technologien machen Netzwerke komplexer, und das Internetprotokoll wird
noch weiter in Bereichen eingesetzt werden, für die es ursprünglich nicht konzipiert war.
5© 2006 BlueCat Networks (USA), Inc. Alle Recht vorbehalten. Alle aufgeführten Markennamen und Warenzeichen sind Eigentum der rechtmäßigen Besitzer. Die tatsächliche Form der Implementation und
Konfiguration kann Abweichungen unterliegen. Fehler und Auslassungen sind zu erwarten.
Proteus: IPAM richtig aufgebaut
Rationierung der IP-Adressen
Das Problem, das letzten Endes eine Änderung erzwingen wird, ist die knappe Zahl von IP-Adressen in IPv4,
dem aktuellen Internetprotokoll. Dieses Protokoll stellt über 4 Mrd. nutzbare Adressen bereit. Aufgrund des
hierarchischen Aufbaus und der wenig effizienten Bereitstellung von Adressen zu Beginn der
Internetnutzung zeichnet sich momentan schon eine Ressourcenknappheit ab. Eine der Antworten auf diese
Krise war das CIDR (Classless Inter-domain Routing). Dabei handelt es sich um eine wesentlich effizientere
Methode der Adressbereitstellung als bei der klassenbasierenden Methode. Dennoch werden nicht
genügend Adressen zur Verfügung gestellt. Dennoch werden nicht genügend Adressen zur Verfügung
gestellt. Ein weiterer Ansatzpunkt ist die Nutzung von NAT (Network Address Translation) Gateways. Diese
Systeme nutzen eine einzige externe IP-Adresse, die einen Verbindungspunkt für mehrere hundert Benutzer
darstellt. Intern würde solch ein Netzwerk einen reservierten Adressbereich verwenden, wie beispielsweise
den Netzwerkbereich 10.0.0.0/8, der nie nach außen hin sichtbar ist. Das NAT-Gateway würde dann alle
Anfragen übersetzen. Das erweckt Anschein, dass alle Anfragen vom Gateway der externen IP-Adresse
kommen und die Clients nur eingeschränkten Zugriff auf das Internet haben. Der Zugang ist dabei dadurch
eingeschränkt, dass der Betrieb vieler aktueller Dienstleistungen, wie beispielsweise der paketgesteuerter
Multimedia- und Telefondienste, in einer Netzwerkumgebung mit einem NAT-Gateway problematisch ist.
Zugleich mindert die NAT-Übersetzung dauerhaft die Anzahl der verfügbaren Router, da diese alle Pakete für
immer größer werdende Netzwerke verwalten müssen. Für dieses Dilemma gibt es nun einen
Lösungsvorschlag, IPv6, das Internetprotokoll der nächsten Generation.
Die Entwicklung von IPv6
IPv6 ist ein modernes Protokoll, das über eine nahezu unbegrenzte Anzahl freier Adressen in seinem
System verfügt. Dieses Protokoll thematisiert jetzt auch Fragen, die durch die Nutzung von mobilen Geräten
aufkamen sowie Fragen der Sicherheit, die bei der Entwicklung des IPv4 noch nicht beachtet wurden. IPv6
soll nun baldmöglichst umgesetzt werden. Und genau damit wird die Sache problematisch. Die Umstellung
auf IPv6 würde bedeuten, dass viele momentan verwendete Netzwerkgeräte nutzlos wären. Nach den
immensen Kosten für die Umstellung der Netzwerkinfrastruktur zum Jahr-2000 zeigen Unternehmen nur
wenig Bereitschaft für eine weitere Umstellung. Zudem ist das Adressierungsschema von IPv6 noch
schwerer vom Menschen lesbar, als das IPv4. Das führt uns zum Kern dieser Ausführungen. Viele
Administratoren können die Umstellung auf IPv6 erst gar nicht in Betracht ziehen, da laufende Prozesse die
Umstellung nicht verarbeiten könnten. Die meisten heute betriebenen Netzwerke sind nur unzureichend
dokumentiert. Andere wiederum verwalten ihren gesamten IP-Adressbereich über Excel-Tabellen. Diese
Methode verfügt zwar nicht über IP-Verwaltungsmöglichkeiten, ist aber die älteste Form zur Nachverfolgung
der IP-Adressen, und wird in den meisten Netzwerken weltweit verwendet.
6 © 2006 BlueCat Networks (USA), Inc. Alle Recht vorbehalten. Alle aufgeführten Markennamen und Warenzeichen sind Eigentum der rechtmäßigen Besitzer. Die tatsächliche Form der Implementation und
Konfiguration kann Abweichungen unterliegen. Fehler und Auslassungen sind zu erwarten.
Proteus: IPAM richtig aufgebaut
Obwohl die Umsetzung von IPv6 sehr langsam geschieht, wird letztendlich der Markt über dessen Akzeptanz
bestimmen. Bedürfnisse nach der Überwachung von QOS (Quality of Service) und unterschiedlichste
Möglichkeiten Datenströme zu transportieren, die mit der Bereitstellung von Telefon- und
Multimediaanwendungen in IP-basierenden Netzwerken einhergehen, und das zusammen mit den
herkömmlichen Datenpaketen, treiben die Umsetzung weiter voran. In manchen Gebieten in Asien, wie
beispielsweise in Japan, ist dies bereits der Fall. Bei der Markteinführung von IP-fähigen Geräten, wie
Telefonen und Spielekonsolen, wurde bereits IPv6 verwendet. Der explosionsartige Anstieg der
Anforderungen dort, wie die Abwicklung des Datenverkehrs und ausgeklügelte Konfigurationen auf IP-
Ebene, haben bereits zu einer weiten Verbreitung von IPv6 geführt. Daher werden in einigen Netzwerken
IPv4 und IPv6 parallel betrieben. Viele Organisationen, unter anderem das US-Militär, fordern für neue
netzwerkfähige Ausrüstungsgegenstände bereits IPv6. Es geht bei der Einführung lediglich noch um das
"Wann".
Tabellenkalkulation kann nicht die Antwort sein
Bei einem relativ kleinen Unternehmen, mit einem überschaubaren Netzwerk, kann die Nachverfolgung der
IP-Adressen mittels Tabellenkalkulation durchaus eine Alternative sein. Hier gibt es nur wenige Domains und
somit sind die DNS-Einträge nachvollziehbar, ebenso sind nur wenige Sub-Netze vorhanden, die weniger
Adressblöcke belegen. Selbst wenn ein CIDR-Sub-Netzschema vorhanden ist, ist die Anzahl der
verfügbaren Adressen überschaubar, und die Verwaltung und die Bereitstellung ist eine relativ einfache
Aufgabe. Üblicherweise entsteht das Netzwerk im Kopf der verantwortlichen Person. Dann passiert
Folgendes: Der DNS-Bereich wird durch neue Datensatztypen und komplexe, weiträumig verzweigte
Beziehungen immer komplizierter. Der IP-Adressbereich stößt an die Grenzen der verfügbaren Adressen
und muss umstrukturiert und gegebenenfalls für zukünftige Anwendungen neu geplant werden. Viele
Netzwerksysteme dieser Art werden noch über Kommandozeileninterpreter und Texteditoren konfiguriert.
Das war die normale Vorgehensweise für DHCP- und BIND-DNS-Server von ISC, den weltweit am
verbreitetesten DHCP- und DNS-Servern. Diese Form des Netzwerkbetriebs beschränkt sich aber nicht nur
auf kleine Netzwerke. Auch in zahlreichen großen Netzwerken kommt diese Methode zum Einsatz, weil es
meist an tauglichen Alternativen fehlt.
Diese Vorgehensweise kann nicht als erste IPAM-Generation betrachtet werden, obwohl sie über einen
langen Zeitraum sehr verbreitet war. Tabellenkalkulation kann zwar den IP-Adressbereich für nicht-
dynamische Systeme verfolgen, jedoch fehlt die Verwaltung der DNS- oder IP-Adressbereiche, die sie
angeben. Da die Tabellenkalkulation als Werkzeug zur Nachverfolgung der Adressen genutzt wird, geschieht
die eigentliche Verwaltung des Netzwerks im Kopf des Administrators. Es gibt nur noch wenige andere
geschäftskritische Bereiche in einem Unternehmen, in der man eine solche Vorgehensweise als
'verantwortlich' betrachten würde. Unternehmensspezifische Policies und Strategien fordern insbesondere
7© 2006 BlueCat Networks (USA), Inc. Alle Recht vorbehalten. Alle aufgeführten Markennamen und Warenzeichen sind Eigentum der rechtmäßigen Besitzer. Die tatsächliche Form der Implementation und
Konfiguration kann Abweichungen unterliegen. Fehler und Auslassungen sind zu erwarten.
Proteus: IPAM richtig aufgebaut
Nachvollziehbarkeit und klare Zuschreibung Verantwortung. In der Vergangenheit waren es vor allem die
großen Serviceprovider, die Ähnliches forderten. Heute erkennen Unternehmen, dass eine systematische
Kontrolle, Steuerung und Überwachung der IP-Ebene für ein verfügbares und sicheres Netzwerk
unverzichtbar ist. Regularien wie beispielsweise Sarbanes-Oxley, machen eine richtlinienkonforme IP zur
Regel statt zur Ausnahme. Bisher gab es für Administratoren allerdings wenig Alternativen.
Die erste Generation - ein Ansatz zur IP-Adressenverwaltung
Anbieter haben bis zum Jahr 2000 bereits zahlreiche Versuche unternommen, eine IPAM-Lösung auf den
Markt zu bringen. Diese erste Generation war allerdings mehr auf die Bereitstellung von IP-Adressen
ausgelegt, denn auf die DNS-Verwaltung. Daher sind diese Methoden nicht für dynamische Konfigurationen
vorgesehen, wie wir sie aber heute in aller Regel vorfinden. Durch die zentrale Auslegung konnten diese
IPAM-Systeme nur eingeschränkt auf dynamische Änderungen reagieren. Sie waren zudem an die
Verwendung einer Routing-Hardware gebunden. Diese großen, teuren und schwierig zu implementierenden
Systeme entsprachen nicht den Unternehmensanforderungen in großen Netzwerken. So mussten Netzwerke
neu konzipiert werden, um den technologischen Belangen zu genügen, statt sich bei der Planung an den
Unternehmenszielen auszurichten. Ein niedriger Return on Invest (ROI) und hohe, teils permanente
Lizenzkosten, machten IPAM der ersten Generation zunehmend unattraktiv. Dabei handelte es sich oft um
externe Dienstleistungen und nicht um Softwarepakte. Das ließ zusätzliche Fragen im Bereich Sicherheit
aufkommen.
Software-basierendes IPAM
Diese IPAM-Systeme bestehen meist aus Softwarepaketen, die auf einem oder mehreren generischen
Betriebssystem/en der jeweiligen Server ausgeführt wurden. Um die Betriebssysteme der Server
einigermaßen sicher zu gestalten, durfte der Server nur zu einem einzigen Zweck genutzt werden. Für die
Optimierung des Servers im Hinblick auf die jeweilige Aufgabe und das entsprechende Sicherheitsprofil war
ein hoher Zeitaufwand erforderlich. Die Teile des Betriebssystems, die nicht verwendet wurden, mussten
entfernt und jeder unnötige Zugriff blockiert werden. Ebenso musste die Hardware auf Schwachstellen hin
überprüft werden. Für diese Aufgaben kamen nur die am besten geschulten und damit zugleich die teuersten
Mitarbeiter des Netzwerk-Teams in Frage. Die Antwort auf die Probleme der Serverkonfiguration für viele
geschäftskritische Technologien, wie beispielsweise Routing, Firewalls, DNS und DHCP waren
8 © 2006 BlueCat Networks (USA), Inc. Alle Recht vorbehalten. Alle aufgeführten Markennamen und Warenzeichen sind Eigentum der rechtmäßigen Besitzer. Die tatsächliche Form der Implementation und
Konfiguration kann Abweichungen unterliegen. Fehler und Auslassungen sind zu erwarten.
Proteus: IPAM richtig aufgebaut
anwendungsbasierende Systeme. Diese sind in der Lage die Plattformsicherheit, die Verwaltung von
Updates und eine intuitive Konfiguration und Verwaltung eines generischen Servers zu gewährleisten. Das
bedeutet zugleich mehr Wirtschaftlichkeit hinsichtlich gesparter Arbeitszeit und verminderter Ausfallzeiten.
Die Vorteile liegen auf der Hand.
Die zweite Generation - Annäherung an eine IPAM-Lösung
Die zweite Generation der IPAM-Lösungen unterstützte Dynamische DNS und Microsoft Active Directory,
und war zugleich eine Lösung, die bereits auf einer grafischen Benutzeroberfläche aufbaut und weniger
kompliziert war. Da es sich aber auch hier meist um Software-Lösungen handelte, sah man sich zum Teil mit
den gleichen Problemen konfrontiert wie beim IPAM der ersten Generation: Die Lösungen benötigten einen
Server, der auf die Bedürfnisse der Software hin optimiert war. Der für DNS- und DHCP-Server
übernommene Ansatz auf Applikationslevel zu arbeiten, kam gleichzeitig mit IPAM der zweiten Generation
auf den Markt, nutzte aber nur wenige der Funktionen. Einige dieser Ansätze betrachteten IPAM nur als
Lösung, um mehrere Server zu verwalten. Eine große Anzahl von Servern zu verwalten, bedeutet aber nicht
einfach nur ein entsprechendes "Mehr" an Arbeitsaufwand. Vielmehr muss man quasi die Vogelperspektive
einnehmen und ein kompliziertes Netzwerk zunächst auf logischer Ebene planen, bevor die Implementierung
überhaupt stattfinden kann. Moderne IPAM-Systeme benötigen eine ausgeklügelte
Nachverfolgungstechnologie, die mit Berichts- und Reportingfunktionen sowie Alarm-Engines verknüpft
sind. Zudem benötigen sie für Aufgaben wie Reallokierung, Bearbeitung komplizierter Zonen und der
Zusammenführung ganzer Netzwerke eine umfassende Planungs- und Entwurfsumgebung. Den aktuellen
Anforderungen im Hinblick auf Datensicherheit, Datentransfer- und kollaboration ist dieser Ansatz nicht
gewachsen.
Einige der Systeme der zweiten Generation litten auch unter der Beschränkung auf IP-Bereitstellung und
Verwaltung, wobei die DNS-Verwaltung nur eine zusätzliche Funktion war. Zwar waren diese Systeme oft für
die Unterstützung großer Netzwerke ausgelegt, jedoch bauten sie auf standardisierten und fixen Strukturen
auf. Um diese Art von Systemen wirklich nutzen zu können, mussten Unternehmen zunächst die Technologie
als solche verstehen, bevor sie diese auf die im Unternehmen bestehenden Strukturen hin anpassen
konnten. Das Unternehmensziel musste somit an die Technologie angepasst werden und nicht umgekehrt.
Sowohl die Benutzerverwaltung als auch das Datenmodelling waren nicht sehr flexibel. Einige Systeme
verfügten nicht über ausreichende Planungs- und Entwurfswerkzeuge, andere wiederum hatten Schwächen
bei der Überwachung und Berichtserstattung. Viele dieser Systeme unterstützen IPv6 und VoIP, dennoch
bleiben gemischte Netzwerke eine Herausforderung.
9© 2006 BlueCat Networks (USA), Inc. Alle Recht vorbehalten. Alle aufgeführten Markennamen und Warenzeichen sind Eigentum der rechtmäßigen Besitzer. Die tatsächliche Form der Implementation und
Konfiguration kann Abweichungen unterliegen. Fehler und Auslassungen sind zu erwarten.
Proteus: IPAM richtig aufgebaut
Figure 1: Die zweite Generation von IPAM-Lösungen
Alle Systeme der zweiten Generation waren sehr technisch ausgerichtete Lösungen, die für eine technische
Zielgruppe gedacht waren. Jeder, der ein IPAM-System der zweiten Generation verwendet, ist ein DNS- oder
DHCP-Experte, der mit der zugehörigen Terminologie vertraut ist und verantwortlich zumindest für einen Teil
des IP-Netzwerks. In kleineren Unternehmen müssen jedoch Verwaltungsaufgaben an Manager oder an die
Eigentümer selbst delegiert werden; diese haben aber nicht ausreichend Zeit, um sich mit DNS
auseinanderzusetzen. Ein gutes Managementsystem muss in der Lage sein, einen "Benutzer vor sich selbst
zu schützen", indem es genügend Hilfestellungen gibt und eine entsprechende Benutzerführung bereithält.
Die Anforderungen komplexer und moderner Netzwerke, wie sie gerade entwickelt werden, können nicht
mehr ausschließlich durch die technische Zielgruppe abgedeckt werden.
Moderne Netzwerkinfrastrukturen beinhalten parallele Netzwerke, die unterschieden werden über IPv4 vs.
IPv6 und Daten vs. VoIP und SIP-fähiges Multimedia, und das in einem gemeinsamen Netzwerk. Die
Systeme der zweiten Generation sind zwar in der Lage diese Technologien unter einen Hut zu bringen, sie
können aber die erforderliche komplexe Modellierung für den Entwurf der Netzwerke nicht bieten. Auch die
zweite Generation der IPAM-Systeme hat das Problem der Interoperabilität von Netzwerken nicht erfolgreich
gelöst. Das Problem hat zwei Seiten, wobei eines der Hauptproblem die Interoperabilität mit den aus IPAM
generierten Daten ist. Das andere Hauptproblem liegt in der Unterstützung von Diensten wie SNMP und
SOAP. Jedes IPAM-System der zweiten Generation weist in einem der angesprochenen Bereiche Defizite
auf.
10 © 2006 BlueCat Networks (USA), Inc. Alle Recht vorbehalten. Alle aufgeführten Markennamen und Warenzeichen sind Eigentum der rechtmäßigen Besitzer. Die tatsächliche Form der Implementation und
Konfiguration kann Abweichungen unterliegen. Fehler und Auslassungen sind zu erwarten.
Proteus: IPAM richtig aufgebaut
Die nächste Generation: Proteus Enterprise IPAM-Appliance
Proteus von BlueCat Networks steht für die dritte Generation von IPAM-Systemen. Die DNS-, DHCP- und
DNS-Caching-Appliances von BlueCat Networks repräsentieren die Entwicklung der DNS- und DHCP-
Server: von anfangs selbst erstellten Servern mit Kommandozeileneingabe bis hin zu den leistungsfähigen,
zielgerichteten DNS- und DHCP-Appliances die einfache Handhabung und Sicherheit zusammenbringen.
Sie verfügen über Funktionen wie BIND-Views, intuitiv bedienbare Benutzeroberflächen und ausgeklügelte
Kontrolle über Zonen, Datensätze, Allokationen, Zugangskontrolle und Authentifizierung, Berichtserstattung/
Reporting und Alarme in Echtzeit, TSIGs, MAC-Filter, DHCP-Ausfallsicherung, hohe DNS-Verfügbarkeit,
Interoperabilität und weitere. Diese Entwicklung am DNS- und DHCP-Servermarkt wurde gut angenommen
und repräsentiert einen neuen Status quo. Da IPAM nur einen größeren und ausgeklügelteren Kontext für die
Verwaltung von DNS, DHCP und IP-Adresszuweisungen und deren Zusammenspiel mit dem Rest der IP-
Ebene bereitstellt, war es nur eine Frage der Zeit, bis ein umfassender Lösungsansatz in einer IPAM-
Appliance umgesetzt wurde.
Proteus wurde als sicherer Appliance-Server entwickelt. Damit hat er die erforderliche Hardware-
Redundanz, um in geschäftskritischen Umgebungen betrieben zu werden. Er unterstützt den vollen
Funktionsumfang von Adonis und weitere wichtige Funktionen, wie beispielsweise IPv4, CIDR und NAT, die
ja alle noch verwendet werden. Parallel dazu unterstützt Proteus Technologien wie IPv6, ENUM für VoIP,
dynamische QOS Überwachung sowie Traffic Shape für Anwendungen wie VoIP und SIP-fähiges Multimedia
und weitere zukünftige Anforderungen.
Figure 2: Multi-Core Funktionalität gewährleistet Konsistenz zwischen DNS und DHCP
11© 2006 BlueCat Networks (USA), Inc. Alle Recht vorbehalten. Alle aufgeführten Markennamen und Warenzeichen sind Eigentum der rechtmäßigen Besitzer. Die tatsächliche Form der Implementation und
Konfiguration kann Abweichungen unterliegen. Fehler und Auslassungen sind zu erwarten.
Proteus: IPAM richtig aufgebaut
Die Berichts- und Reportingfunktion in Proteus ermöglichen eine komplexe Netzwerkverwaltung und
Prognosenerstellung sowie die Einhaltung der Unternehmensrichtlinien. Das Policy-Modeling vom Proteus
kann nahezu allen Unternehmensanforderungen angepasst werden.
Die Alarme, die Proteus erstellt, basieren auf Informationen aus SNMP-Fallen und Datenbank-Triggern.
Diese setzen den Administrator beispielsweise in Kenntnis, dass ein Server abgestürzt ist oder, dass die im
Pool verfügbaren IP-Adressen zur Neige gehen.
Die Benutzerverwaltung in Proteus implementiert ein Layer-7-Modell, das Objekt und Typen-basierende
Berechtigungen besitzt, die für jedes Objekt im System benutzerspezifisch angepasst werden können.
Benutzer können sich gegenüber Proteus authentifizieren, oder gegenüber externen Ressourcen wie
Radius, Kerberos, LDAP und RSA. Die Transaktionsprotokollierung ermöglicht eine vollständige
Aufzeichnung der Systemnutzung. Dadurch kann jede Transaktion, unabhängig von anderen Transaktionen
rückgängig gemacht werden, solange diese nicht voneinander abhängig sind.
Die Datenmodellierung in Proteus erlaubt die Vermischung von globalen Objekten mit vielfältigen
Netzwerkkonfigurationen, die voneinander abhängige IP, DNS, Multi-Core Einstellungen und Informationen
für die Bereitstellung enthalten. Somit stehen genügend Abstraktionsmöglichkeiten zur Verfügung, um ein
Modell für nahezu jede Topologie korrekt darstellen zu können.
Figure 3: Die IP, DNS und Bereitstellungs-Cores trennen Logik und Implementierung voneinander.
12 © 2006 BlueCat Networks (USA), Inc. Alle Recht vorbehalten. Alle aufgeführten Markennamen und Warenzeichen sind Eigentum der rechtmäßigen Besitzer. Die tatsächliche Form der Implementation und
Konfiguration kann Abweichungen unterliegen. Fehler und Auslassungen sind zu erwarten.
Proteus: IPAM richtig aufgebaut
Die Multi-Core-Funktionalität setzt den Entwicklungsprozess erfolgreich um, da sie komplexe Strukturen und
die Entscheidungsfindung unterstützt. Ebenso werden die Daten auf Logik, Syntax und in einer
Bereitstellungssimulation überprüft, bevor sie implementiert werden.
Unternehmen können XML-Strukturen erstellen, sogenannte laterale Tags, die dann auf
Konfigurationsobjekte angewendet werden können. Somit ist eine Interaktion mit Proteus möglich, die auf
Unternehmensstrukturen basiert, anstatt bestimmte Technologien oder Implementierungen vorzuschreiben.
Figure 4: Durch das laterale Tagging bleiben die Schnittstellen auf das Unternehmen selbst fokussiert.
Proteus integriert die dynamische Kontrolle von Funktionalitäten wie IPv6 und ENUM für VoIP, in IPAM.
Proteus kann auch in großen Netzwerkumgebungen mittels SNMP- und XML-Dateninteroperabilität über
benutzerdefinierte Felder integriert werden. Diese Felder können mit Proteus zu jedem Objekttyp
hinzugefügt werden und gewährleisten, dass externe Datenschemata unterstützt werden.
13© 2006 BlueCat Networks (USA), Inc. Alle Recht vorbehalten. Alle aufgeführten Markennamen und Warenzeichen sind Eigentum der rechtmäßigen Besitzer. Die tatsächliche Form der Implementation und
Konfiguration kann Abweichungen unterliegen. Fehler und Auslassungen sind zu erwarten.
Proteus: IPAM richtig aufgebaut
Figure 5: Benutzerdefinierte Felder ermöglichen Datenintegration
Durch die Implementierung der aktuellsten Funktionen auf IP-Ebene bietet Proteus die Möglichkeit der
Verbindung mit anderen Internet-basierten Diensten mittels SOAP-Protokoll. Viele Router und noch mehr
Firewalls sowie Session-Border-Controller nutzen diese Technologie, um Daten auszutauschen. Proteus
verwendet als einzige IPAM-Lösung auf dem Markt SOAP als primäre Kommunikations-methode.
Dass Proteus die nächste IPAM-Generation ist, lässt sich am besten am Beispiel eines typischen IPAM-
Workflows in einem großen Unternehmen darstellen.
Proteus: IP-Adressenverwaltung richtig gemacht
Ein ordnungsgemäß konfiguriertes IPAM-System funktioniert erheblich effizienter, wie beispielsweise bei der
Re-Allokation eines IP-Blocks. In einem großen Unternehmen erfordert dieser Vorgang die Zusammenarbeit
mehrerer Mitarbeiter aus unterschiedlichen Abteilungen, was viel Zeit in Anspruch nimmt. In der Regel sieht
der Ablauf dann so aus: Das Call Center nimmt eine Beschwerde hinsichtlich eines IP-Adressen Problems
entgegen, oder die periodische DHCP-Überwachung des Server-Teams stößt auf ein Problem, oder das
Netzwerk-Team wird durch Netzwerkausfälle darauf aufmerksam. Dies führt dazu, dass das IP-Adressen-
Team den verfügbaren IP-Adressenbereich überprüft und diesen Bereich auf dem jeweiligen DHCP-Server
14 © 2006 BlueCat Networks (USA), Inc. Alle Recht vorbehalten. Alle aufgeführten Markennamen und Warenzeichen sind Eigentum der rechtmäßigen Besitzer. Die tatsächliche Form der Implementation und
Konfiguration kann Abweichungen unterliegen. Fehler und Auslassungen sind zu erwarten.
Proteus: IPAM richtig aufgebaut
freigibt. Das Server-Team fügt dann den Adressbereich dem DHCP-Server zu und reserviert die Zonen für
den Bereich auf dem DNS-Server. Das Router-Team fügt dann das neue Subnetz der Routerschnittstelle zu
und das Netzwerk-Team bestätigt dann den Abschluss dieses Vorgangs. Dieser Ablauf ist aufgrund der
Koordination der erforderlichen Ressourcen äußerst komplex.
Mit einem Proteus-IPAM-System, kann der Vorgang durch eine API in der Anrufverfolgungssoftware des Call
Centers aufgerufen werden oder über einen IP-Kapazitätsalarm der Überwachung des DHCP-Servers sowie
über einen API-Aufruf der DNS-Applikation. Das IPAM-System kann dann den IP-Adressbereich allokieren
oder dieser kann von einem Administrator festgelegt werden. Das IPAM-System fügt dann den
Adressbereich dem DHCP-Server hinzu und reserviert die DNS-Zonen auf dem DNS-Server. Zugleich wird
die Information über das neu hinzugefügte Subnetz über die Routerschnittstelle an das Konfigurations-
Managementsystem des Routers mittels SOAP weitergeleitet und das Router-Team per E-Mail davon in
Kenntnis gesetzt. Das IPAM-System überprüft abschließend alle durchgeführten Transaktionen. Alle Schritte
dieses Vorgangs werden protokolliert und sämtliche Transaktionen sind für ein Rollback
(Rückgängigmachung) verfügbar, falls erforderlich.
15© 2006 BlueCat Networks (USA), Inc. Alle Recht vorbehalten. Alle aufgeführten Markennamen und Warenzeichen sind Eigentum der rechtmäßigen Besitzer. Die tatsächliche Form der Implementation und
Konfiguration kann Abweichungen unterliegen. Fehler und Auslassungen sind zu erwarten.
Proteus: IPAM richtig aufgebaut
Proteus kombiniert die Vorteile der DNS- und DHCP-Server, von denen er abstammt, ohne dabei einer
‘Appliance-Mentalität’ anheim zu fallen. Proteus ist keine geschlossene, proprietäre Anwendungsarchitektur,
sondern so ausgelegt, dass die Appliance in bestehende Netzwerkstrukturen implementiert und mit allen
erforderlichen Devices Verbindung aufnehmen kann. Da Proteus auf Standardtechnologien wie XML, SOAP
und relationalen Datenbanken basiert, gewährleistet BlueCat Networks, dass Proteus auch auf zukünftige
Anforderungsprofile vorbereitet ist, die sich heute vielleicht nicht einmal ahnen lassen. Die
Planungswerkzeuge, mit denen ein Netzwerk entworfen wird, sollten sowohl neue Möglichkeiten aufzeigen
als auch den bestmöglichen Kompromiss für die jeweilige Netzwerk-Topologie finden. Proteus ist in der
Lage, das Netzwerk zu steuern und zu überwachen, ohne dabei übermäßig in den laufenden Betrieb
einzugreifen. Das gewährleistet ein Gleichgewicht zwischen Kontrolle und Delegation.
Proteus: Es geht um's Detail
16 © 2006 BlueCat Networks (USA), Inc. Alle Recht vorbehalten. Alle aufgeführten Markennamen und Warenzeichen sind Eigentum der rechtmäßigen Besitzer. Die tatsächliche Form der Implementation und
Konfiguration kann Abweichungen unterliegen. Fehler und Auslassungen sind zu erwarten.