CNS系列產品(簡稱CNS-APP)是一款集DNS解析服務、高性能DHCP服務及IP地址管理控制與一體的DNS/DHCP/IP地址管理的綜合網絡核心服務設備。面向客戶提供動態IP地址環境下的IP地址管理及審計、DNS解析、并通過DHCP+技術實現IP授權接入控制管理、無線BYOD接入控制、同時全面兼容IPv6地址協議的平滑遷移。
隨著Internet的迅速發展和現有IP網絡的不斷擴展,使得基于IP協議的通信量巨大增長,這種增長主要體現在用戶數量,IP地址數量和通信量上,隨之而來的問題就是IP地址管理的問題,怎樣有效地管理整個網絡系統的中IP地址,地址過多和怎么有效的分配這些IP地址,成為困擾在信息化建設中的問題。如果沒有有效的管理,可能導致網絡可用性和服務質量的下降,甚至網絡的崩潰。還可能造成大量商業損失。
一直以來,DNS給人的印象就是域名解析,簡單到不能再簡單了,也因此忽略了它的重要性,也忽略了域名解析的重要性。DNS是十分重要的網絡基礎設施,是網絡的基石?;贗P網絡的各種Web服務、Email服務、路由服務都依賴或者間接依賴DNS。
同時,在“十二五”期間(詳見國家發改委《關于下一代互聯網“十二五”發展建設的意見》(發改辦高技[2012]705號)),中國互聯網普及率將達到45%以上,推動實現三網融合,IPv6寬帶接入用戶數超過2500萬,實現IPv4和IPv6主流業務互通,發展路線時間表如下:2013年底前,小規模商用試點IPv6;2014-2015年大規模商用,逐步停止向新用戶和應用分配IPv4地址。
IP地址和DNS域名解析是網絡和應用之間的“粘合劑”,對于所有網絡和應用而言都是很重要的,沒有網絡核心服務,基于IP的網絡及其應用將會陷于停頓。以下是網絡核心服務(Core Network Service)所涵蓋的范圍:
IPAM(IP地址管理系統) | IPv4/IPv6地址管理審計 |
DNS(域名解析服務協議) | DNS域名解析 |
DHCPv4(動態主機配置協議) | IPv4地址分配 |
DHCPv6(動態主機配置協議) | IPv6地址分配 |
IPNAC(IP/MAC地址授權控制) | IP/MAC邊界準入與訪客授權控制 |
IPREC(IP/MAC地址調和技術) | IP/MAC/PORT變更跟蹤 |
NTP(網絡時間同步協議) | 網絡時間同步機制 |
同時,IP地址管理審計平臺還能滿足國家相關安全部門對IP網絡要有完善的系統運行及用戶使用網絡IP/MAC地址日志和網絡用戶的定位等措施的要求。
新一代網絡核心服務自動化開通平臺(CNS-APP)具有高性能、高可靠性、高安全性、高可擴展性、標準化和易管理的特點,能夠提供中央集中的IPv4/IPv6/MAC地址分配、管理和審計,實現二層/三層物理和虛擬網絡的變更跟蹤,同時可以根據IP/MAC地址進行靈活的授權操作,以及高性能DNS域名解析服務。
IP地址管理功能可以進行IP/MAC地址的分配和自動化開通,實現集中式、有效的IP地址管理,同時支持IPv4/IPv6地址協議。通過IP開通自動化來控制操作成本;提供實時、準確的交換機端口和IP/MAC的對應信息,協助IT維護人員對故障IP地址進行快速定位;實時跟蹤IP/MAC地址的變更,及時對廢棄的IP地址進行回收和再利用,優化網絡資源的使用率。
IP地址審計功能詳細記錄每個MAC地址使用不同IP地址的時間段,可以根據事件關聯的IP地址及其發生的時段,反推出該IP地址在那個相應時段所對應的MAC地址。MAC地址的審計詳細記錄每一MAC地址在不同時間段的網絡接入點,即每一MAC地址在不同時段接入的交換設備端口。這樣就可以根據IP地址關聯的MAC地址結合時間段,反推出該MAC地址的接入交換機端口,即定位到事件關聯IP的物理終端上。即使發生IP冒用,MAC地址的篡改,甚至有人“克隆”, IP地址審計仍可進行追蹤定位。
IP地址調和功能支持對IP-MAC-PORT進行三重綁定,并可以查看三者之間綁定的關系,如IP地址和MAC的關系,MAC地址與交換機端口的關系。通過基準表,將實時獲取的實時IP-MAC-PORT信息用來與基準表進行對比,對比分析的差異會觸發差異處理方案。對網絡環境中出現的IP變更、IP回收、新增終端及終端IP/MAC變更等異常進行告警。不僅幫助網絡管理員正常管理網絡環境,還從一定程度上保護了內部網絡資源,保障IP地址有效利用,極大地提高了網絡管理的工作效率。
動態主機配置協議(DHCPv4)是一種使網絡管理員能夠集中管理和自動分配 IP 網絡地址的通信協議。在 IP 網絡中,每個連接 Internet 的設備都需要分配唯一的 IP 地址。DHCP 使網絡管理員能從中心結點監控和分配 IP 地址。當某臺計算機移到網絡中的其它位置時,能自動收到新的 IP 地址。
動態主機配置協議(DHCPv6)向 IPv6 主機提供有狀態的地址配置或無狀態的配置設置。IPv6 主機可以使用多種方法來配置地址:無狀態地址自動配置 用于對鏈接本地地址和其他非鏈接本地地址兩者進行配置,方法是與相鄰路由器交換路由器請求和路由器公告消息;有狀態地址自動配置 通過使用如 DHCP 的配置協議,用來配置非鏈接本地地址。
域名解析協議(DNS),IP地址是網絡上標識您站點的數字地址,為了方便記憶,采用域名來代替IP地址標識地址。DNS域名解析就是域名到IP地址的轉換過程。域名的解析工作由DNS服務器完成。域名解析也叫域名指向、域名配置及方向IP地址登記等,DNS解析服務可以實現權威或遞歸等類型的解析。
邊界準入和訪客授權接入可以提供對未授權IP/MAC地址提供二次訪問的授權機制,解決非授權IP接入,私設路由交換等的安全隱患。同時可以將接入客戶,按安全級別分為以下幾類;永久授權客戶(分配固定IP地址)、永久授權客戶(分配動態IP地址)、臨時授權客戶、未授權客戶。
CNS網絡核心服務自動化開通平臺系統規格型號:
指標/型號 |
CNS-APP 200系列 |
CNS-APP 500系列 |
CNS-APP 1000系列 |
CNS-APP 1500系列 |
IP地址數量 DHCP LPS指標 |
不低于1500 UP 100 |
不低于8000 UP 500 |
不低于5萬 UP 1000 |
無限制 UP 2000 |
DNS QPS指標 | UP 12,000 | UP 50,000 | UP 120,000 | UP 800,000 |
內存容量 | >=2G | >=4G | >=4G |
>=8G |
存儲容量 | 1TB | 1TB | 1TB | 1TB |
電口 | 4個千兆電口 | 4或6個千兆電口 | 6個千兆電口 | 6個千兆電口 |
光口 | 無 | 無 | 可選 | 可選 |
1、架構
采用專用硬件平臺,不采用傳統的服務器+通用操作系統+DHCP/DNS軟件的形式
采用專用的內置的、不需維護的數據庫,保證數據存儲的有效性
采用專用的、經過加固的嵌入式操作系統
支持雙機HA,實現雙設備中單一設備故障時的高可用性
采用企業級硬盤存儲介質,容量1TB,擴展支持RAID
設備集成DNS、DHCP、NTP、TFTP、無線BYOD指紋識別控制、IP地址管理審計、IP地址接入控制、IP地址調和、智能DNS解析、應用服務器宕機檢測、DNS流量調度、終端服務端口掃描審計、全面支持IPv6
聯動交換機的DHCP SNOOPING和DAI功能,可以預防IP地址沖突、ARP病毒、偽DHCP
接口要求:提供四或六個100 /1000Mbps電口,擴展支持光口
2、管理功能
用戶界面支持中文,并具有糾錯功能
支持分權分域的管理模式,實現多層次管理,不同用戶分配不同權限,包括管理DNS和DHCP的權限等
支持系統的軟件升級功能
支持將內部數據方便的導出
支持將數據庫內容方便的備份
支持將設備的日志文件方便的導出
設備必須支持SNMPv1、v2c、v3
設備必須支持Web遠程管理
設備支持Telnet或ssh
設備支持Syslog日志重定向
設備支持多維度DNS和DHCP報表分析
3、提供NTP服務
支持NTP協議,RFC1119、RFC1305等
兼容同步多種接入設備的時鐘,包括網絡設備、服務器、PC、小型機等各類型設備
支持作為一級時間同步服務器,同步接入設備的時鐘
支持作為二級時間服務器同步于外部NTP網絡時間服務器
支持配置多個外部NTP網絡時間服務器,可以靈活排序
4、提供DNS服務
支持的DNS RFC標準:
RFC1034和1035,支持擴展DNS協議RFC2672、RFC2782、RFC3596
增量區域數據傳輸,RFC 1995
區域變化通知,RFC 1996
無類別的 IN-ADDR.ARPA指派,RFC 2317; RFC 2373,RFC 2374 ,RFC 2375
支持定義DNS View(視圖)、DNS Zone(區域)
支持定義A/AAAA/PTR/TXT/CNAME/DNAME/MX/NS/SRV/NAPTR/等資源記錄
支持DNS Zone(區域)委派授權,支持DNS轉發和條件轉發
支持多重DNS主/備冗余模式;支持DNS集中管理,統一下發控制
支持權威/遞歸DNS域名解析,支持DNS正向/反向域名解析
支持DNS輪詢、支持DNS篩選、服務狀態篩選;線路繁忙篩選等多種服務均衡算法
支持大規模VOIP部署,支持ENUM DNS,支持DNS黑名單管理,支持DNS域名過濾,URL重定向等
微軟AD域支持,要求支持共享記錄,支持和微軟AD域結合,支持DDNS
支持DNS智能解析,支持設定網通、電信、移動等IP地址段,針對不同的地址段解析不同的IP,便于外部訪問主頁提高訪問速度
支持DNS業務健康檢測,支持Ping,TCP/端口,Http URL,Https URL等檢測方式
支持定義DNS HOST記錄的使用到期時間,通知人郵箱。域名到期自動提醒及到期自動清除記錄
支持DNS流量調度,根據不同用戶的訪問源,實現對客戶端訪問的多中心、多線路的智能流量調度,保證訪問到最優的服務端點,提升用戶的訪問體驗
支持發現惡意域名,同時阻止惡意域名解析,重定向到告警頁面
支持DNS防火墻,支持禁止DNS ANY類型請求,支持防止DDOS攻擊和放大攻擊,支持限制惡意DNS請求的瞬時速率,支持自定義防火墻規則
支持DNS TSIG加密,支持定義TSIG,確保Zone轉換、Notify、動態升級更新等DNS消息的安全,預防DNS欺騙;支持基于數據特征和DNSSec技術,防止域名劫持
支持DNS防火墻,支持禁止DNS ANY類型請求,支持防止DDOS攻擊和放大攻擊,支持限制惡意DNS請求的瞬時速率,支持自定義防火墻規則
支持豐富DNS解析日志及統計報告,支持多維度報表分析,DNS解析實時展示和統計,解析日志可以記錄每個響應的解析延遲。幫助管理員跟蹤和快速解決與DNS配置有關的問題,包括QPS、Top域名、Top IP,網絡流量監控、解析成功率
5、提供DHCP服務
RFCs支持: RFC2131、RFC2132、RFC2241、RFC2242、RFC2485、RFC2610、RFC2937、RFC3361、RFC3397、RFC3442、RFC958、RFC1157、RFC3942、RFC3315、RFC3319、RFC3646、RFC3898、RFC4075、RFC4242、RFC4280、RFC4291、RFC4704
CIDR(無類域間路由)支持
基于IP/MAC地址的靜態綁定(IP保留地址分配)
實現地址的動態分配和回收
支持業界標準的DHCP Failover
支持IP地址動態分配、靜態綁定、空閑地址分配等
支持DHCP Option 60/Option 82
支持DHCP系統指紋(Fingerprints)
高級DHCP選項編輯器,支持廠商自定義Option
支持所有ISC預定義的 DHCP option 空間(如Option 1 到Option 125)和客戶化的DHCP Option空間(如Option 126 到Option 254)
支持DHCP系統指紋技術,支持BYOD,自動識別智能手機、平板電腦等系統指紋
支持DHCP指紋識別率98%以上,支持快速對DHCP未知指紋進行識別和添加
6、IPv6支持
支持創建/64到/128網絡
支持創建DHCPv6地址分配池
支持允許啟用前綴授權功能
支持DHCPv6保留地址分配,支持DUID綁定
支持DHCPv6客戶端參數設定
支持無狀態地址信息刷新時間設定
支持DHCPv6有狀態地址分配
7、IP地址管理審計功能
支持IPv4、IPv6雙棧地址管理
中央數據集中的IP管理控制臺
實時顯示分配地址的狀態和續租信息
實名制地址分配、回收和歷史數據的審計分析
確保數據完整性(沒有數據丟失、損毀或延遲)
專有的DHCP指紋(FingerPrint)識別技術,支持BYOD,自動識別智能手機、平板電腦等的系統指紋
系統必須記錄DHCP地址分配的記錄數據,并能夠方便地查找定位
支持數據完整性檢查,數據核查機制可以在系統部署前進行數據檢查,提前發現系統配置的問題
生成DHCP的IP地址時不占用存儲空間,只有確認分配時才占用數據庫存儲
支持MAC地址黑白名單,可以只對已授權MAC的設備分配IP地址。向MAC動態授權列表內臨時添加新的記錄,不需要重啟DHCPv4服務進程
支持動態解除已臨時授權的MAC地址
8、網絡邊界準入和訪客授權控制
訪客臨時分配IP地址
訪客使用期限設定
以MAC基準為基準限定分配IP
手動解除已授權地址
定期解除已授權地址
訪客Portal信息的錄入和審批
與LDAP帳戶驗證授權
與Radius帳戶驗證授權
實名制訪客地址審計
9、IP地址調和功能
系統允許定義地址核查策略,用于定期比較物理網絡和本系統內的地址變更
支持待清除核查狀態,此狀態表明此IP地址長時間沒有被使用
支持未知IP核查狀態,此狀態表明此IP由于各種原因沒有被記錄在系統中,如非法接入、手動私設地址等
支持不匹配IP地址核查狀態,此狀態表明此IP地址所對應的MAC地址信息修改或隨意更換了連接端口,如地址欺騙、移動辦公等
支持設備端口/MAC掃描,自動發現IP設備和交換機端口的對應關系,自動發現和顯示VLAN信息,顯示交換機端口的詳細信息,包括端口速率,端口狀態,端口信息描述等信息
支持物理子網建模功能,支持顯示路由設備的物理子網信息。同時也允許導入物理子網信息和本子網內的IP/MAC地址
10、第三方聯動控制
支持和LDAP/RADIUS/AD域/本地數據庫/泛微OA/用友OA/通達OA等第三方賬戶服務器進行驗證
支持和主流上網行為廠商(深信服/網康/銳捷SMP等)進行接口聯動,實現IP/MAC全程審計
支持和主流計費系統(城市熱點/深瀾/銳捷)進行DHCP上下線消息互動,實現無感知認證
支持提供WEB Services接口,提供二次接口開發,實現DDI系統與其他系統的整合
No IP, No Network, No Business, IP通信是保證業務穩定運行的關鍵。新一代網絡核心服務自動化管理支撐平臺提供面向業務服務的IPv4/IPv6地址管理、分配和安全接入, 提供可擴展的技術框架,從而保證網絡更穩定的運行。
通過網絡核心服務的自動化和統一化管理來控制網絡運營成本,體現在以下幾個方面:
? 統一化管理,減少運營操作成本
? 提高效率和生產力,減少技術支援成本
? 簡化和自動化現有基于手工管理的流程
? 實時監視地址分配、審計和統計分析
? 嚴格、周密的IP/MAC地址安全審計跟蹤
? 簡化故障的診斷、定位和排除
? 避免IP沖突和用戶私自安裝DHCP導致IP地址混亂
? MAC地址授權接入,防止未知設備接入網絡造成安全威脅
? 集中高效DNS域名解析,支持智能DNS,DNS宕機檢測
? 實現DNS全局負載均衡,提高DNS系統的安全性和可靠性
? 實現DNS遞歸智能調度,均衡多條鏈路的訪問比例
硬件平臺 |
標準1U或2U上架尺寸專用硬件設備 |
處理器 | 雙核處理器/四核處理器/八核處理器/其他 |
內存容量 | 2GB/4GB/8G/16GB/32GB以上 |
接口速率 | 4或6 * 10/100/1000M 電口,擴展支持光口 |
存儲介質 | 企業級存儲介質1TB,擴展支持RAID |
電源配置 | 單電源或冗余電源 |
USB接口 | 2*USB, 2*Pin Header |
管理接口 | 1×RJ45,1×Pin Header |
溫度(℃) | 0℃~45℃(工作)-40℃~70℃(存儲) |
濕度 | 5~95% RH,不凝結 |
軟件認證 |
軟件著作權登記證書 軟件產品登記證書 |
產品認證 |
中國強制性產品3C認證 工信部電信設備進網許可證書 計算機系統安全專用產品銷售許可證書 IPv6 Ready第二極核心協議金牌認證證書 中國國家信息安全(ISCCC)產品認證證書 |
等保評測 | 公安部等保三級測評認證 |
KPI指標 |
DNS并發訪問能力:12,000 - 800,000 QPS DHCP并發處理能力:75 - 3000/秒 |
協議棧 | IPv4協議,IPv6協議 |
網絡管理 | 支持SNMPv1,v2c,v3 |
功能集成 |
設備集成DNS、DHCP、NTP、TFTP、無線BYOD指紋識別控制、IP地址管理審計、 IP地址接入控制、IP地址調和、智能DNS解析、應用服務器宕機檢測、 終端服務端口掃描審計、DNS流量調度、全面支持IPv6 設備支持HA(high-availability)自動切換功能和 active-standby模式 |
RFC支持 |
RFC2131、RFC2132、RFC2241、RFC2242、RFC2485、RFC2610、 RFC2937、RFC3361、RFC3397、RFC3442、RFC958、RFC1157、 RFC3942、RFC3315、RFC3319、RFC3646、RFC3898、RFC4075、 RFC4242、RFC4280、RFC4291、RFC4704 RFC1034、RFC1035、RFC2672、RFC2782、RFC3596 |
新一代網絡核心服務自動化開通平臺(CNS-APP)具有高性能、高可靠性、高安全性、高可擴展性、標準化和易管理的特點,能夠提供中央集中的IP/MAC地址分配和管理,實現二層/三層物理和虛擬網絡的變更跟蹤,同時可以根據IP/MAC地址進行靈活的授權操作。
根據現有IP地址管理需求及IPv6網絡技術發展的趨勢,設計新一代網絡核心服務自動化開通平臺(CNS-APP)解決方案將遵循以下原則:
高可靠性:具有很高的容錯能力,支持雙機負載均衡功能,保證單點故障不影響整個網絡的正常運行。
高性能:具有較高的并發處理能力,并在高負荷情況下仍然具有較高的吞吐能力和效率,延遲低。
支持IPv6:雙協議棧IPv4/IPv6支持,包括有狀態地址分配和無狀態地址管理,支持DHCPv6動態地址分配協議。
安全性:系統采用專用網絡硬件保障系統10萬小時無故障運行,可靠性高達99.99%;采用固化的操作系統可以保證系統安全。
擴展性:隨著基于IP的新業務(ENUM、VOIP、3G等)的增長和IPv6的應用普及,跨多業務的需求越來越多,系統提供可擴展的系統架構快速支持IP新業務的自動開通配置。
開放性:符合開放性規范,方便與其他不同廠商的網絡設備進行聯動。
標準化:各種協議和接口符合國際標準(IEEE、IETF等)。
實用性:具有良好的性能價格比,經濟實用,設計方案和設備選型應符合IP網絡的發展迅速、信息集中等特點
上一個:迪訊智能DNS系統
下一個:沒有了