青島啤酒cns解決方案-無(wú)線byod

1、目錄第一章 引言3無(wú)線/有線網(wǎng)絡(luò)的融合3BYOD 實(shí)施提高效率減低成本4第二章 現(xiàn)狀需求分析62.1 BYOD 時(shí)代無(wú)線用戶(hù)的識(shí)別問(wèn)題62.2 手工管理IP 和復(fù)雜度高6現(xiàn)象62.3 IP 地址和2.4 IP 地址回收問(wèn)題72.5 缺乏全面的IP 地址審計(jì)分析72.6 無(wú)線訪客IP控制72.7 故障終端節(jié)點(diǎn)的快速排查和定位82.8 預(yù)防私設(shè)DHCP 和 ARP. 8交換機(jī)配置巡檢與備份8IPV6 地址分配技術(shù)遷移8第三章 系統(tǒng)簡(jiǎn)介103.1 BYOD 與IP 地址管理自動(dòng)化103.2 網(wǎng)絡(luò)服務(wù)自動(dòng)化的建設(shè)內(nèi)容11第四章 系統(tǒng)功能12產(chǎn)品架構(gòu)12管理功能12提供DHCP 服務(wù)13IPV6 支持1

2、3IP 地址管理審計(jì)功能13自動(dòng)化配置開(kāi)通功能14IP 地址調(diào)和功能144.8 網(wǎng)絡(luò)邊界準(zhǔn)入和訪客控制15第五章 系統(tǒng)部署準(zhǔn)備工作16系統(tǒng)部署準(zhǔn)備工作16系統(tǒng)割接配置17系統(tǒng)割接步驟18第一章引言1.1 無(wú)線/有線網(wǎng)絡(luò)的融合隨著經(jīng)濟(jì)的發(fā)展和科技的進(jìn)步，筆記本、平板電腦以及智能等大量新形態(tài)的網(wǎng)絡(luò)終端普及加速，在用戶(hù)上網(wǎng)體驗(yàn)的同時(shí)，也產(chǎn)生了企業(yè)網(wǎng)絡(luò)設(shè)備種類(lèi)繁多，且難以管控。企業(yè)網(wǎng)絡(luò)也逐漸從原有的有線為主轉(zhuǎn)向了有線和無(wú)線并重的格局。這樣不僅使得網(wǎng)絡(luò)管理員工作量激增，同時(shí)也為企業(yè)網(wǎng)絡(luò)帶來(lái)了安全隱患。雙網(wǎng)并行使得網(wǎng)絡(luò)管理難度陡增由于有線網(wǎng)絡(luò)和無(wú)線網(wǎng)絡(luò)的屬性所限，企業(yè)一般對(duì)于兩種網(wǎng)絡(luò)都是采用分別部署，區(qū)別

3、管理的方式。但這樣的傳統(tǒng)方式對(duì)于網(wǎng)絡(luò)運(yùn)營(yíng)管理來(lái)說(shuō)，往往意味著巨大的資源浪費(fèi)。所以現(xiàn)在的企業(yè)管理者，無(wú)論是新建無(wú)線網(wǎng)絡(luò)覆蓋還是對(duì)舊有網(wǎng)絡(luò)環(huán)境的升級(jí)改造，在頂層規(guī)劃之初，都已經(jīng)開(kāi)始考慮雙網(wǎng)融合，以便增加部署的便捷性以及后期的管理效率。隨著平板電腦，智能等移動(dòng)互聯(lián)網(wǎng)終端的快速普及，對(duì)企業(yè)網(wǎng)絡(luò)覆蓋的要求越來(lái)越高。企業(yè)必須部署的 IP 地址才能滿足這種日益增長(zhǎng)的需求。但是 IP 地址的增加，帶來(lái)的最直接問(wèn)題就是管理復(fù)雜程度的上升。除了網(wǎng)絡(luò)設(shè)計(jì)以絡(luò)互通配置也需要占用大量的資源，而這些對(duì)于員來(lái)說(shuō)，壓力之大可見(jiàn)一斑。實(shí)際上，傳統(tǒng)的有線網(wǎng)絡(luò)管理的方法和技術(shù)只要通過(guò)使用無(wú)線網(wǎng)絡(luò)特殊工具和技術(shù)，轉(zhuǎn)移實(shí)施到無(wú)線網(wǎng)絡(luò)上

4、也并非不可能，而網(wǎng)絡(luò)的平滑性、可靠性和安全性也并不會(huì)受到影響。粗放式管理難以應(yīng)對(duì)新需求在移動(dòng)互聯(lián)網(wǎng)興起之前，網(wǎng)絡(luò)用戶(hù)和上網(wǎng)設(shè)備的數(shù)量相對(duì)固定。比如公司，員工上網(wǎng)多以臺(tái)式機(jī)為主，即便在外使用公司內(nèi)網(wǎng)，也是通過(guò)等有跡可循的方式登陸。在那時(shí)，粗放式管理尚可應(yīng)付。但在移動(dòng)互聯(lián)網(wǎng)設(shè)備大行其道的當(dāng)下，無(wú)線網(wǎng)絡(luò)覆蓋日益廣泛。莫說(shuō)公司員工，甚至訪客都有可能通過(guò)接入公司網(wǎng)絡(luò)。傳統(tǒng)的粗放式管理的弊端也就顯露無(wú)遺。在這種情況下，網(wǎng)絡(luò)管理員如果不能對(duì)上網(wǎng)設(shè)備和用戶(hù)實(shí)現(xiàn)精細(xì)化管理的話，那么隱患必將如影隨形。除此之外，近些年來(lái)隨著 BYOD 理念的盛行，很多員工開(kāi)始拋棄笨重的臺(tái)式機(jī)，轉(zhuǎn)而采用自帶設(shè)備進(jìn)行辦公，企業(yè)也開(kāi)始支

5、持除 Windows 之外的 Android、iOS 等多使用。這一方面了員工的工作效率，但也使得企業(yè)網(wǎng)絡(luò)不得不進(jìn)一步向無(wú)線化方向邁進(jìn)。針對(duì)上述趨勢(shì)，有些企業(yè)則陷入了兩難的尷尬境地。因?yàn)槎嘣O(shè)備，多的接入會(huì)使企業(yè)無(wú)法對(duì)接入權(quán)限進(jìn)行無(wú)盲區(qū)控制。不能控制就不能隨意接入網(wǎng)絡(luò)，而這又造成了無(wú)法實(shí)現(xiàn) BYOD 管理。自然由此帶來(lái)的工作效率也就無(wú)從談起了。實(shí)際上，在最初 IP 地址剛剛發(fā)展起來(lái)的時(shí)候，就曾經(jīng)有人提出過(guò)其存在。由于其不能進(jìn)行全景式預(yù)覽，也不能對(duì)問(wèn)題進(jìn)行預(yù)知，再加上缺乏快速定位等問(wèn)題。網(wǎng)絡(luò)管理員只能逐一進(jìn)行排查，這樣的方法費(fèi)時(shí)費(fèi)力，運(yùn)營(yíng)效率無(wú)法尚在其次。在分秒必爭(zhēng)的網(wǎng)絡(luò)時(shí)代，由于延誤時(shí)間造成損失

6、的例子屢見(jiàn)不鮮，企業(yè)管理者不得不引以為鑒。1.2 BYOD 實(shí)施提高效率減低成本聯(lián)網(wǎng)設(shè)備的快速增長(zhǎng)對(duì)全球各地的企業(yè)均產(chǎn)生了重要影響。然而，要充分利用這一趨勢(shì)的價(jià)值，關(guān)鍵在于擺脫聯(lián)網(wǎng)設(shè)備數(shù)量的困擾，深入發(fā)掘聯(lián)接本身的價(jià)值。聯(lián)接定義為、流程、數(shù)據(jù)和事物的交互，他們?nèi)诤显谝黄穑纬闪恕叭f(wàn)物互聯(lián)”（IoE）。要充分利用“萬(wàn)物互聯(lián)”的潛在價(jià)值，企業(yè)需要建立包容性的商業(yè)環(huán)境，以促進(jìn)創(chuàng)新、提高效率。支持員工自帶設(shè)備辦公，建立靈活的工作環(huán)境，是這一解決方案的一個(gè)重要組成部分。，隨著員工越來(lái)越多地要求使用他們偏好的設(shè)備、應(yīng)用程序和云服務(wù)，“自帶設(shè)備”（BYOD）已成為一個(gè)快速增長(zhǎng)的全球性現(xiàn)象。BYOD 可帶來(lái)出

7、色的優(yōu)勢(shì)，如更好地平衡工作與生活、更出色的創(chuàng)新、以及更高的效率等。然而，一些人擔(dān)心管理如此多的不同個(gè)人設(shè)備會(huì)帶來(lái)安全風(fēng)險(xiǎn)和復(fù)雜性，結(jié)果可能得不償失。企業(yè)如今都通過(guò) BYOD 獲得了可觀的收益：1、BYOD 員工全球每周平均增加 37 分鐘的有效辦公時(shí)間。然而，實(shí)施實(shí)踐因國(guó)家而異，所獲得的優(yōu)勢(shì)也不盡相同。2、節(jié)省的時(shí)間在最高，為每周 81 分鐘，而在德國(guó)最低，每周僅 4 分鐘，德國(guó)對(duì) BYOD 的質(zhì)疑也更強(qiáng)烈。3、平均而言，當(dāng)前各企業(yè)的 BYOD 實(shí)施均處于中等水平（稱(chēng)為“基礎(chǔ) BYOD”）。在這一水平下，每年每名移動(dòng)員工可創(chuàng)造 350的價(jià)值。4、BYOD 員工平均擁有 1.7公設(shè)備，所支出的費(fèi)

8、用達(dá) 965，其中智能是首要選擇。不僅衡量了當(dāng)前BYOD 實(shí)踐的有效性和成熟度，同時(shí)也關(guān)注了理想的 BYOD 實(shí)施可帶來(lái)的價(jià)值（我們將其稱(chēng)為“全面 BYOD”），以評(píng)估更具性的方 法能否帶來(lái)更出色的優(yōu)勢(shì)。發(fā)現(xiàn)，很少有公司能夠達(dá)到所說(shuō)的全面水平。資料來(lái)源：思科IBSG，2013 年無(wú)論起始水平如何，發(fā)現(xiàn)通過(guò)從基礎(chǔ) BYOD 向全面 BYOD 邁進(jìn)，企業(yè)均可收獲更出色的價(jià)值：1、在基礎(chǔ) BYOD 環(huán)境中，BYOD 收益快速攀升，每名移動(dòng)員工每年可創(chuàng)造 1,650的價(jià)值。2、的公司已經(jīng)獲得了很多優(yōu)勢(shì)。在處于基礎(chǔ) BYOD 時(shí)，每名移動(dòng)員工每年可創(chuàng)造 950的價(jià)值；當(dāng)發(fā)展到全面 BYOD 時(shí)，每年將能

9、夠創(chuàng)造 3,150的價(jià)值。3、除了能夠促進(jìn)員工主導(dǎo)的創(chuàng)新之外，全面BYOD 還能夠增進(jìn)移動(dòng)員工的協(xié)作，由此推動(dòng)實(shí)現(xiàn) 17%的效率。4、除了效率之外，全面 BYOD 在硬成本節(jié)省方面也同樣成績(jī)斐然，僅此一項(xiàng)便可抵消實(shí)施成本，這主要體現(xiàn)在硬件、支持方面。要充分發(fā)揮BYOD 的全部潛力，公司需要建立出色的 BYOD 能力，并制定強(qiáng)大的移動(dòng)政策，為員工提供廣泛選擇和全力支持。如果處理得當(dāng)，BYOD 將可使企業(yè)和員工實(shí)現(xiàn)雙贏。第二章現(xiàn)狀需求分析無(wú)線網(wǎng)用戶(hù)的不斷增長(zhǎng)以及移動(dòng)辦公需求的增加，如果仍然采用靜態(tài)地址分配的方法進(jìn)行 IP 管理，不僅使網(wǎng)絡(luò)管理的工作量極大地增加，同時(shí)由于一些用戶(hù)記不清自己的 IP

10、地址，在重新安裝系統(tǒng)后亂用IP 地址，造成 IP 地址或無(wú)法正常上網(wǎng)，影響無(wú)線網(wǎng)用戶(hù)的正常使用。2.1 BYOD 時(shí)代無(wú)線用戶(hù)的識(shí)別問(wèn)題最近的一項(xiàng)行業(yè)表明，將近 75%的員工已經(jīng)使用自有設(shè)備（BYOD：自攜帶設(shè)備）與工作相關(guān)的數(shù)據(jù)。加上無(wú)線網(wǎng)絡(luò)的蓬勃發(fā)展， 企業(yè)不得不用戶(hù)如何細(xì)分，訪客如何管理的具體問(wèn)題，保證公司網(wǎng)絡(luò)帶寬的高效使用、員工生產(chǎn)效率的提高與減小數(shù)據(jù)泄漏的風(fēng)險(xiǎn)。用戶(hù)管理的終極目標(biāo)就是做到對(duì)用戶(hù)進(jìn)行“Who r U（你是誰(shuí)）”的查看與確定，由此而達(dá)到管理的透明與可視化。可視化意味著可靈活配置實(shí)施安全策略、應(yīng)用控制；實(shí)現(xiàn)安全暢游的無(wú)線網(wǎng)絡(luò)。2.2 手工管理 IP 和復(fù)雜度高手動(dòng)要對(duì)每臺(tái)計(jì)

11、算機(jī)進(jìn)行唯一的 IP 地址、網(wǎng)關(guān)、子網(wǎng)掩碼、DNS等參數(shù)進(jìn)行設(shè)置。在這種方式下，不僅要求計(jì)算機(jī)使用者要有一定的網(wǎng)絡(luò)知識(shí)，而且要求上述這些網(wǎng)絡(luò)參數(shù)不能被錯(cuò)誤配置。如果參數(shù)配置錯(cuò)誤，那么就有可能使此計(jì)算機(jī)無(wú)法接入網(wǎng)絡(luò)。2.3 IP 地址和現(xiàn)象在靜態(tài) IP 分配方式下，部分員工亂改 IP 地址或盜用 IP 地址，從而很容易導(dǎo)致多臺(tái)計(jì)算機(jī)使用相同 IP地址，使得互相的幾臺(tái)計(jì)算機(jī)都無(wú)法正常地使用網(wǎng)絡(luò)。再者，網(wǎng)絡(luò)通過(guò)IP 地址和 MAC 地址實(shí)現(xiàn) ARP進(jìn)行 ARP，造成網(wǎng)絡(luò)。雖然可以通過(guò)MAC 與 IP 綁定來(lái)解決 IP 地址問(wèn)題同時(shí)也能一定程度上解決計(jì)算機(jī)定位問(wèn)題，但這將極大地增加網(wǎng)絡(luò)管理和的工作量。

12、通過(guò)目前的管理方式，網(wǎng)絡(luò)中會(huì)經(jīng)常有 IP 地址盜用和的情況，給用戶(hù)正常使用網(wǎng)絡(luò)帶來(lái)很大影響，而將 IP 地址與 MAC 地址對(duì)應(yīng)綁定到相應(yīng)交換與路由設(shè)備上可以在一定程度上解決這個(gè)問(wèn)題，目前普遍的做法是要求用戶(hù)申報(bào)計(jì)算機(jī)的MAC 地址，然后手工將這些 IP 與MAC 地址綁定到設(shè)備上去，這種方式帶來(lái)了幾個(gè)問(wèn)題：（a）當(dāng)需綁定的 IP 地址數(shù)目較大時(shí)，工作量非常巨大，同時(shí)也影響接入設(shè)備的性能（b）當(dāng) IP 與 MAC 的對(duì)應(yīng)信息發(fā)生變化時(shí)，必須再次手工更新原來(lái)的綁定信息，操作上很不靈活（c）綁定操作需要專(zhuān)業(yè)的技術(shù)完成，導(dǎo)致工作量集中在個(gè)別身上2.4 IP 地址回收問(wèn)題顯而易見(jiàn)，全手工管理 IP 地

13、址的方式，會(huì)出現(xiàn) IP 地址的回收問(wèn)題。外部頻繁，如果不及時(shí)通知相關(guān)進(jìn)行地址回收，必然會(huì)出現(xiàn) IP 地址不回收而新增節(jié)點(diǎn)無(wú) IP 可用的尷尬境況，使得有限的網(wǎng)絡(luò)資源不能得到合理配置利用。2.5 缺乏全面的 IP 地址審計(jì)分析如果網(wǎng)絡(luò)的檢測(cè)系統(tǒng)（NIDS）、SOC 或上網(wǎng)行為審計(jì)系統(tǒng)在過(guò)去的某段時(shí)間，有主機(jī)蠕蟲(chóng)、或在網(wǎng)上違法、或有泄密嫌疑，是否能夠根據(jù)信息中所關(guān)聯(lián)的 IP 地址或（IP+MAC）地址及時(shí)追蹤及定位到涉案主機(jī)？如果信息中關(guān)聯(lián)的 IP 地址是臨時(shí)修改，是否能夠還原事發(fā)時(shí)段該 IP 地址所對(duì)應(yīng)真實(shí)的 MAC 地址？如果有人“克隆”（即同時(shí)冒用 IP 和MAC 地址）別人進(jìn)行蓄意“栽贓”

14、，是否能夠區(qū)分及最終定位到背后的“克隆”者？事件追溯的一個(gè)主要特點(diǎn)就是時(shí)間性，過(guò)去某時(shí)間點(diǎn)的某 IP 地址的使用者跟現(xiàn)在的 IP 地址的使用者，可能是同一終端也可能不是，即使是同一臺(tái)終端由于缺乏相應(yīng)的審計(jì)依據(jù)也難進(jìn)行確認(rèn)，再加上 IP 地址和MAC 地址的易修改性，因此沒(méi)有其他輔助如認(rèn)證，是很難進(jìn)行準(zhǔn)確有效定位的，這里所說(shuō)的準(zhǔn)確和有效主要是指在抗抵賴(lài)方面。事實(shí)上，除采用認(rèn)證外，還有一種簡(jiǎn)單有效的方法，可讓事件關(guān)聯(lián)的 IP 和 MAC 能夠發(fā)揮追蹤定位作用，那就是對(duì) IP 進(jìn)行全程的審計(jì)。2.6 無(wú)線訪客 IP控制要保證無(wú)線訪客接入的安全性以及完整性，就必須實(shí)現(xiàn)網(wǎng)絡(luò)的訪客接入控制，對(duì)接入網(wǎng)絡(luò)的訪

15、客進(jìn)行認(rèn)證，防止非用戶(hù)接入辦公網(wǎng)。目前網(wǎng)絡(luò)內(nèi)通過(guò)在交換機(jī)上綁定 IP-MAC 地址的對(duì)應(yīng)來(lái)進(jìn)行控制，采用表格的方式，無(wú)法實(shí)時(shí)的同步信息，IP接入管理繁瑣。2.7 故障終端節(jié)點(diǎn)的快速排查和定位現(xiàn)在內(nèi)網(wǎng)交換機(jī)與網(wǎng)絡(luò)設(shè)備繁多，手工登記交換機(jī)端口信息報(bào)表的工作繁瑣，一旦網(wǎng)絡(luò)設(shè)備位置變更無(wú)法實(shí)時(shí)獲取信息，詳細(xì)、實(shí)時(shí)的交換機(jī)端口信息報(bào)表可幫助員快速排除網(wǎng)絡(luò)故障。2.8 預(yù)防私設(shè)DHCP 和 ARP企業(yè)網(wǎng)經(jīng)常有/私接路由器的現(xiàn)象發(fā)生，如果私接設(shè)備沒(méi)有停掉 DHCP 服務(wù)，將會(huì)引起 IP 地址分配不正常，導(dǎo)致地址，甚至?xí)鹁W(wǎng)絡(luò)癱瘓。ARP的原理就在于不斷廣播lP 和 MAC 地址，以達(dá)到網(wǎng)絡(luò)阻塞或竊密的目的

16、。2.9 交換機(jī)配置巡檢與備份交換機(jī)配置的備份是交換機(jī)日常工作的一項(xiàng)重要內(nèi)容，當(dāng)交換機(jī)停止正常運(yùn)行時(shí)，能夠利用這些備份文件迅速恢復(fù)交換機(jī)配置。如果沒(méi)有做好交換機(jī)配置的備份，一旦交換機(jī)出了故障導(dǎo)致配置文件丟失的情況出現(xiàn)，恢復(fù)工作將很繁重, 而且容易出錯(cuò)。目前，對(duì)于交換機(jī)/路由器的巡檢和配置備份均采用手動(dòng)備份的方式，工作非常繁瑣，多個(gè)管理在不同時(shí)間備份的配置文件很難做到同步和管理。2.10 IPv6 地址分配技術(shù)遷移為了徹底解決 IPv4 存在，國(guó)際互聯(lián)網(wǎng)工程任務(wù)組從 1995 年開(kāi)始，著手研究開(kāi)發(fā)下一代 IP 協(xié)議，即 IPv6?？蓮氐捉鉀Q IPv4 地址，除此之外，IPv6 還采用分級(jí)地址模式

17、、高效 IP 包頭、主機(jī)地址自動(dòng)配置、服務(wù)質(zhì)量、內(nèi)置認(rèn)證和加密等許多新技術(shù)。具有單一網(wǎng)絡(luò)適配器的 IPv4 主機(jī)通只分配一個(gè) IPv4地址。在 IPv6 網(wǎng)絡(luò)中，一個(gè)接口可以有多個(gè) IPv6 單播地址。全局單播地址（Globaique IPv6 Addresses，GUA）單播局部地址（Unique Local IPv6 Addresses，ULA）IPv4 地址全部長(zhǎng)度 32 位(bit)，每 8 位為一個(gè)字節(jié)，用十進(jìn)制表示值從 0 到 255，共四段IPv6 地址FE80:85A4:D1B1:D1B8:DCB1:4545:3326:3134IPv4 地址88IPv6 地址全部長(zhǎng)度 128

18、位(bit)，每 16 位為一個(gè)雙字節(jié)，用四位 16 進(jìn)制數(shù)字組成，共八段因此，如何分配和管理 IPv6 地址就成為一個(gè)重要問(wèn)題。使用 IPv6 時(shí)，網(wǎng)絡(luò)管理員可以在無(wú)狀態(tài)地址自動(dòng)配置機(jī)制和有狀態(tài)地址分配 DHCPv6 之間進(jìn)行選擇。無(wú)狀態(tài)地址自動(dòng)配置方式，網(wǎng)絡(luò)接口接收路由器的全局地址前綴，再結(jié)合接口 ID 得到一個(gè)可全局單播地址，這種模式可以實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備的即插即用連接性，但是在可管理性、安全方面存在一定問(wèn)題。有狀態(tài)地址自動(dòng)配置的方式，采用動(dòng)態(tài)主機(jī)配置協(xié)議（DHCPv6），網(wǎng)絡(luò)接口通過(guò)客戶(hù)機(jī)/服務(wù)器模式從DHCPv6 服務(wù)器處得到地址配置信息。DHCPv6 可以讓網(wǎng)絡(luò)管理員知道哪些設(shè)備連接到網(wǎng)

19、絡(luò)上，以及它們的IP 地址等相關(guān)信息，便于 IPv6 地址的審計(jì)和開(kāi)通配置。第三章系統(tǒng)簡(jiǎn)介No IP、No Network、No Business。IP 地址是計(jì)算機(jī)網(wǎng)絡(luò)能夠保持高效運(yùn)行的關(guān)鍵。如果 IP 地管理不當(dāng)，網(wǎng)絡(luò)很容易出現(xiàn) IP 地址，影響網(wǎng)絡(luò)正常業(yè)務(wù)的開(kāi)展。即使網(wǎng)絡(luò)管理員知道有人設(shè)置了錯(cuò)誤的 IP 地址，也無(wú)法定位使用IP 的終端設(shè)備；同時(shí)網(wǎng)絡(luò)管理員通過(guò)對(duì) IP 地址的確認(rèn)，保證接入網(wǎng)絡(luò)系統(tǒng)的設(shè)備都是合法，防止因?yàn)樵O(shè)備的接入而造成企業(yè)運(yùn)營(yíng)的損耗。為防止類(lèi)似的事情發(fā)生，在無(wú)線網(wǎng)的 IP 地址分配上采用了動(dòng)態(tài)主機(jī)配置協(xié)議（Dynamic HostConfiguration Protoc

20、ol，DHCP），DHCP 可自動(dòng)將 IP 地址、掩碼、網(wǎng)關(guān)、DNS 分配給用戶(hù)。隨著無(wú)線網(wǎng)的擴(kuò)大以及移動(dòng)辦公的要求逐步增加，無(wú)線網(wǎng)若純粹采取靜態(tài) IP 地址，將會(huì)加重的負(fù)擔(dān)，的網(wǎng)絡(luò)故障也多。DHCP 服務(wù)作為一項(xiàng)簡(jiǎn)化網(wǎng)絡(luò)配置的有效措施，在信息化網(wǎng)絡(luò)、寬帶網(wǎng)、無(wú)線網(wǎng)中都有廣泛的應(yīng)用。通過(guò)應(yīng)用 DHCP 動(dòng)態(tài)分配 IP 地址，為對(duì)網(wǎng)絡(luò)進(jìn)行管理以及故障排查等提供方便，有效地促進(jìn)了網(wǎng)絡(luò)環(huán)境的穩(wěn)定和網(wǎng)絡(luò)狀況健康發(fā)展。3.1 BYOD 與 IP 地址管理自動(dòng)化據(jù)業(yè)內(nèi)觀察，近十年來(lái)多數(shù)企業(yè)的狀況，是 IP 的使用量大致等于公司員工人數(shù)，因此采用 Excel或一般表格來(lái)進(jìn)行追查與管理還算可行。如今隨著 BY

21、OD 的模式逐漸為企業(yè)所接受，公司員工攜帶的移動(dòng)設(shè)備皆必須提供可連網(wǎng)服務(wù)，如此之下，一名員工可能同時(shí)在使用 IP 語(yǔ)音（VoIP）、智慧型、筆記型電腦等設(shè)備，每網(wǎng)設(shè)備都需要配置一個(gè) IP 地址。假設(shè)仍沿用以往管理 IP 模式，每當(dāng)有新地址和新網(wǎng)絡(luò)被分配或修改時(shí)，IT 管理者以手動(dòng)，實(shí)務(wù)上就已經(jīng)常發(fā)生資料無(wú)法及時(shí)更新，或人工輸入錯(cuò)誤等狀況，更何況是 IP 配置數(shù)量超過(guò)以往 2 至 3 倍的 BYOD 時(shí)代，這種效率低與容易出錯(cuò)的管理模式，便顯得左支右絀?，F(xiàn)在幾乎所有的設(shè)備都是透過(guò) DHCP 動(dòng)態(tài)取得 IP 地址，由此產(chǎn)生的動(dòng)態(tài)定址需求，會(huì)使得 Excel 表格，或是自行開(kāi)發(fā)可用于IP 使用狀況的

22、軟體失去效益。主要是因?yàn)槠錈o(wú)法與 DHCP 直接整合，動(dòng)態(tài)地追查IP 地址與相關(guān)資訊（例如 MAC 地址、設(shè)備名稱(chēng)等），IT 管理者不僅需要對(duì)照試算表軟體來(lái)追查 IP 網(wǎng)絡(luò)配置，同時(shí)必須在 DHCP 伺服器上再次查找動(dòng)態(tài) IP 資訊與其 MAC 地址等信息。這種缺乏管理的機(jī)制，將進(jìn)一步增加管理者的負(fù)擔(dān)，并且無(wú)法提供管理者整個(gè)網(wǎng)絡(luò) IP 分配狀況的全貌。3.2 網(wǎng)絡(luò)服務(wù)自動(dòng)化的建設(shè)內(nèi)容新一代網(wǎng)絡(luò)服務(wù)自動(dòng)化開(kāi)通（簡(jiǎn)稱(chēng) CNS-APP）能自動(dòng)、有效地管理網(wǎng)絡(luò)的 IP/MAC 資源，實(shí)時(shí)提供更新數(shù)據(jù)，控制未IP/MAC 地址網(wǎng)絡(luò)，從而提高網(wǎng)絡(luò)的安全性。IP 地址管理審計(jì)系統(tǒng)可以進(jìn)行 IP/MAC 地址

23、的分配和自動(dòng)化開(kāi)通，實(shí)現(xiàn)集中式、有效的 IP 地址管理審計(jì)，同時(shí)支持 IPv4/IPv6 地址協(xié)議。通過(guò) IP 開(kāi)通自動(dòng)化來(lái)控制操作成本；提供實(shí)時(shí)、準(zhǔn)確的交換機(jī)端口和IP/MAC 的對(duì)應(yīng)信息，協(xié)助 IT對(duì)故障 IP 地址進(jìn)行快速定位；實(shí)時(shí)IP/MAC 地址的變更，及時(shí)對(duì)廢棄的 IP 地址進(jìn)行回收和再利用，優(yōu)化網(wǎng)絡(luò)資源的使用率。動(dòng)態(tài)主機(jī)配置協(xié)議（DHCPv4）是一種使網(wǎng)絡(luò)管理員能夠集中管理和自動(dòng)分配 IP 網(wǎng)絡(luò)地址的通信協(xié)議。在 IP 網(wǎng)絡(luò)中，每個(gè)連接ernet 的設(shè)備都需要分配唯一的 IP 地址。DHCPv4 使網(wǎng)絡(luò)管理員能從中心結(jié)點(diǎn)監(jiān)控和分配 IP 地址。當(dāng)某臺(tái)計(jì)算機(jī)移到網(wǎng)絡(luò)中的其它位置時(shí)，

24、能自動(dòng)收到新的 IP 地址。動(dòng)態(tài)主機(jī)配置協(xié)議（DHCPv6）向 IPv6 主機(jī)提供有狀態(tài)的地址配置或無(wú)狀態(tài)的配置設(shè)置。IPv6 主機(jī)可以使用多種方法來(lái)配址：無(wú)狀態(tài)地址自動(dòng)配置，用于對(duì)本地地址和其他非本地地址兩者進(jìn)行配置，方法是與相鄰路由器交換路由器請(qǐng)求和路由器公告消息。有狀態(tài)地址自動(dòng)配置，通過(guò)使用 DHCPv6的配置協(xié)議，用來(lái)配置非本地地址。IP 地址調(diào)和功能支持對(duì) IP-MAC-PORT 進(jìn)行三重綁定核查，并可以查看三者之間綁定的關(guān) 系，如 IP 地址和 MAC 的關(guān)系，MAC 地址與交換機(jī)端口的關(guān)系。通過(guò)基準(zhǔn)表，將實(shí)時(shí)獲取的實(shí)時(shí) IP-MAC-PORT 信息用來(lái)與基準(zhǔn)表進(jìn)行對(duì)比，對(duì)比分析

25、的差異會(huì)觸發(fā)差異處理方案。對(duì)網(wǎng)絡(luò)環(huán)境中出現(xiàn)的 IP 變更、IP 回收、新增終端及終端 IP/MAC 變更等異常進(jìn)行告警。不僅幫助網(wǎng)絡(luò)管理員正常管理網(wǎng)絡(luò)環(huán) 境，還從一定程度上保護(hù)了網(wǎng)絡(luò)資源，保障 IP 地址有效利用，極大地提高了網(wǎng)絡(luò)管理的工作效率。DHCP識(shí)別功能為公司網(wǎng)絡(luò)建立設(shè)備政策是成功實(shí)施并確保 BYOD 項(xiàng)目安全的重要元素。憑借DHCP技術(shù)，網(wǎng)絡(luò)管理員可以查看他們網(wǎng)絡(luò)中所有的 DHCP 互聯(lián)設(shè)備的類(lèi)型信息例如 iOS 或 Android設(shè)備、Xbox，或 Linksys 路由器，然后他們可以基于這些設(shè)備類(lèi)型采取措施或制定政策。例如，可以通過(guò)某些類(lèi)型的設(shè)備獲取 DHCP 租約來(lái)安全性-有效

26、防止這些設(shè)備接入網(wǎng)絡(luò)。無(wú)線訪客 IP控制可以提供對(duì)未IP/MAC 地址提供二次的機(jī)制，解決非IP 接入，私設(shè)路由交換等的安全隱患。同時(shí)可以將接入客戶(hù)，按安全級(jí)別分為以下幾類(lèi)；客戶(hù)（分配固定IP 地址）、客戶(hù)（分配動(dòng)態(tài) IP 地址）、臨時(shí)客戶(hù)、未客戶(hù)。第四章 系統(tǒng)功能新一代網(wǎng)絡(luò)服務(wù)自動(dòng)化開(kāi)通（簡(jiǎn)稱(chēng) CNS-APP）采用旁路部署模式，不需要改變用戶(hù)的網(wǎng)絡(luò)結(jié)構(gòu)。它適用所有的交換機(jī)環(huán)境（可管理/普通交換機(jī)），可在不安裝任何客戶(hù)端前提下完成如下功能：4.1 產(chǎn)品架構(gòu)采用硬件，不能采用傳統(tǒng)的服務(wù)器+通用操作系統(tǒng)+DHCP的形式采用的內(nèi)置的、不需的數(shù)據(jù)庫(kù)，保證數(shù)據(jù)的有效性采用的、經(jīng)過(guò)加固的操作系統(tǒng)設(shè)備要集成

27、DHCP、IP地址管理功能、IP地址調(diào)和功能，支持雙棧管理聯(lián)動(dòng)交換機(jī)的DHCP SNOO和DAI功能，可以預(yù)防IP地址、ARP接口要求：提供四或五個(gè)100 /1000Mbps電口4.2 管理功能用戶(hù)界面支持中文，并具有糾錯(cuò)功能支持系統(tǒng)的升級(jí)功能支持將數(shù)據(jù)方便的導(dǎo)出支持將數(shù)據(jù)庫(kù)內(nèi)容方便的備份支持將設(shè)備的日志文件方便的導(dǎo)出設(shè)備必須支持SNMPv1、v2c、v3設(shè)備必須支持Web管理設(shè)備支持 net或ssh4.3 提供 DHCP 服務(wù)RFCs支持： RFC2131、RFC2132、RFC2241、RFC2242、RFC2485、RFC2610、RFC2937、RFC3361、RFC3397、RFC3

28、442、RFC958、RFC1157、RFC3942、RFC3315、RFC3319、RFC3646、RFC3898、RFC4075、RFC4242、RFC4280、RFC4291、RFC4704CIDR（無(wú)類(lèi)域間路由）支持基于IP/MAC地址的靜態(tài)綁定（IP保留地址分配）實(shí)現(xiàn)地址的動(dòng)態(tài)分配和回收支持業(yè)界標(biāo)準(zhǔn)的DHCP Failover支持DHCP Option 60/Option 82支持DHCP系統(tǒng)（Fingrs）高級(jí)DHCP選項(xiàng)編輯器，支持廠商自定義Option支持所有ISC預(yù)定義的 DHCP option 空間（如Option 1 到Option 125）和客戶(hù)化的DHCP Optio

29、n空間（如Option 126 到Option 254）4.4 IPv6 支持支持創(chuàng)建/64到/128網(wǎng)絡(luò)支持創(chuàng)建DHCPv6地址分配池支持允許啟用前綴功能支持DHCPv6保留地址分配，支持DUID綁定支持DHCPv6客戶(hù)端參數(shù)設(shè)定支持無(wú)狀態(tài)地址信息刷新時(shí)間設(shè)定支持DHCPv6有狀態(tài)地址分配4.5 IP 地址管理審計(jì)功能支持IPv4、IPv6雙棧地址管理數(shù)據(jù)集中的IP管理控制臺(tái)支持交換機(jī)自定義配置功能，實(shí)現(xiàn)與交換機(jī)之間自動(dòng)和交互式任務(wù)進(jìn)行通信，提供快速開(kāi)通配置交換機(jī)等功能支持對(duì)IP地址進(jìn)行邏輯分組管理實(shí)時(shí)顯示分配地址的狀態(tài)和續(xù)租信息實(shí)名制地址分配、回收和歷史數(shù)據(jù)的審計(jì)分析確保數(shù)據(jù)完整性（沒(méi)有數(shù)

30、據(jù)丟失、損毀或延遲）系統(tǒng)必須DHCP地址分配的數(shù)據(jù)，并能夠方便地查找定位支持?jǐn)?shù)據(jù)完整性檢查，數(shù)據(jù)核查機(jī)制可以在系統(tǒng)部署前進(jìn)行數(shù)據(jù)檢查，提前發(fā)現(xiàn)系統(tǒng)配置的問(wèn)題生成DHCP的IP地址時(shí)不占用空間，只有確認(rèn)分配時(shí)才占用數(shù)據(jù)庫(kù)支持MAC地址黑白，可以只對(duì)已MAC的設(shè)備分配IP地址。向MAC動(dòng)態(tài)列表內(nèi)臨時(shí)添加新的，不需要重啟DHCPv4服務(wù)進(jìn)程支持動(dòng)態(tài)解除已臨時(shí)的MAC地址4.6 自動(dòng)化配置開(kāi)通功能支持創(chuàng)建網(wǎng)絡(luò)接入設(shè)備支持創(chuàng)建Expect自動(dòng)化配置支持計(jì)劃任務(wù)定制支持顯示運(yùn)行結(jié)果支持運(yùn)行結(jié)果4.7 IP 地址調(diào)和功能系統(tǒng)允許定義地址核查策略，用于定期比較物理網(wǎng)絡(luò)和本系統(tǒng)內(nèi)的地址變更支持待清除核查狀態(tài)，此

31、狀態(tài)表明此IP地址長(zhǎng)時(shí)間沒(méi)有被使用支持未知IP核查狀態(tài)，此狀態(tài)表明此IP由于沒(méi)有被在系統(tǒng)中，如接入、手動(dòng)私設(shè)地址等支持不匹配IP地址核查狀態(tài)，此狀態(tài)表明此IP地址所對(duì)應(yīng)的MAC地址信息修改或隨意更換了連接端口，如地址、移動(dòng)辦公等支持設(shè)備端口/MAC掃描，自動(dòng)發(fā)現(xiàn)IP設(shè)備和交換機(jī)端口的對(duì)應(yīng)關(guān)系，自動(dòng)發(fā)現(xiàn)和顯示VLAN信息，顯示交換機(jī)端口的詳細(xì)信息，包括端口速率，端口狀態(tài)，端口信息描述等信息支持物理子網(wǎng)建模功能，支持顯示路由設(shè)備的物理子網(wǎng)信息。同時(shí)也允許導(dǎo)入物理子網(wǎng)信息和本子網(wǎng)內(nèi)的IP/MAC地址4.8 網(wǎng)絡(luò)邊界準(zhǔn)入和訪客控制訪客臨時(shí)分配IP地址訪客使用期限設(shè)定以MAC基準(zhǔn)為基準(zhǔn)限定分配IP手動(dòng)解

32、除已地址定期解除已地址實(shí)名制訪客地址審計(jì)第五章系統(tǒng)部署準(zhǔn)備工作為了確保系統(tǒng)部署切換過(guò)程順利并達(dá)到平滑切換的目的，需要做好充分的準(zhǔn)備工作。經(jīng)過(guò)反復(fù)、確認(rèn)，最終確定在系統(tǒng)切換前完成以下準(zhǔn)備工作：5.1 系統(tǒng)部署準(zhǔn)備工作1）備份設(shè)備配置對(duì)設(shè)備進(jìn)行三種形式的配置備份，一是通過(guò)命令行抓取當(dāng)前的配置、vlan、接口、版本、文件等信息；二是通過(guò)ftp 或tftp 方式將設(shè)備配置文件保存到文件服務(wù)器上；三是將設(shè)備的 flash 存儲(chǔ)中的配置文件重命名后，并再次保存當(dāng)前配置。這樣，通過(guò)三種方式備份好設(shè)備配置后，可以在出現(xiàn)意外情況時(shí)盡快恢復(fù)設(shè)備至最近的正常狀態(tài)。2）備份設(shè)備操作系統(tǒng)文件將設(shè)備 flash中的文件備份到ftp 或 tftp 服務(wù)器上，萬(wàn)一出現(xiàn)由于 flash 損壞造成操作系統(tǒng)文件丟失的情況，可以重新引導(dǎo)啟動(dòng)設(shè)備。3）確定 CNS-APP 部署方式及業(yè)務(wù)地址本次CNS-APP 產(chǎn)品以旁路掛接的方式接入網(wǎng)絡(luò)，但應(yīng)與普通用戶(hù)網(wǎng)段，如新建本地 vlan或在管理vlan。4）CNS-APP 預(yù)配置在系統(tǒng)切換前，根據(jù)規(guī)劃設(shè)計(jì)對(duì)CNS-APP 進(jìn)行初始化配置，包括網(wǎng)絡(luò)信息、業(yè)務(wù)地址、路由設(shè)置等；根據(jù)用戶(hù)當(dāng)前的、IP 地址、MAC 地址的關(guān)聯(lián)信息對(duì) CNS-APP 配址池以及分配規(guī)則。這樣可以大大縮短切換過(guò)程所需的時(shí)間。5）交換機(jī)配置根據(jù)前期的調(diào)研信息，綜合設(shè)備屬性、用戶(hù)需求、C