Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК: ПОДПИСКА НА НОВОСТИ: НОМЕР:
    ДОМОЙ • Архив: Новостей | Конференций | НомеровПодписка
 
   
 
   
    
РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Отдел рекламы
График выхода журнала
Адреса в Интернет

РУБРИКАТОР
   
• Инфраструктура
• Информационные
   системы

• Сети связи
• Защита данных
• Кабельные системы
• Бизнес
• Колонка редактора
• Электронная
   коммерция

• Только на сервере
• Системы
   учрежденческой
   связи

• Новые продукты


Rambler's Top100

  

Совместное использование служб справочника и DHCP

Джонатан Фельдман

Похоже, что служба справочника начинает все активнее использоваться разнообразными сетевыми приложениями и службами. Самыми первыми сферами ее применения стали обмен сообщениями и управление конфигурациями пользовательских настроек рабочих станций. Не настало ли время ее активного использования для управления IP-адресами? На первый взгляд эта идея кажется несколько надуманной, ведь обычный DHCP-сервер пока и так успешно справляется с этой задачей.

Фактически, если вы подробнее рассмотрите любое из предлагаемых на рынке решений по управлению IP-адресами, осуществляемого с помощью службы справочника, то обнаружите обычный DHCP-сервер в связке с сервером службы справочника. Когда речь заходит о применении справочника в современных средствах управления IP-адресацией, по крайней мере в настоящее время, это означает, что ваш DHCP-сервер использует службу справочника в роли хранилища информации о своем состоянии и настройках.

Поскольку управление IP-адресами очень важная корпоративная функция в контексте корпоративной сети, мы протестировали несколько серверов, использующих службы справочника, для того, чтобы определить, представляют ли они реальную практическую ценность, или же применение их просто новомодная тенденция. Мы протестировали последние версии DHCP-серверов фирм Microsoft и Novell, сравнив их с сервером dhcpd фирмы Internet Software Consortium, который традиционно является образцом управления IP-адресацией.

Сильная сторона с точки зрения продажи

Несмотря на некоторый изначальный скептицизм по отношению к серверам DHCP, использующим справочник, нас впечатлила одна очень важная черта, а именно: настоящее применение службы справочника в управлении IP-адресацией означает отказоустойчивость системы. Чрезвычайно нужная информация о сроках аренды, хранящаяся на DHCP-сервере, остается целой даже в случае замены сервера или запуска службы DHCP на другом сервере.

Так как справочники выполняют синхронизацию копий своих баз данных, нет необходимости в том, чтобы каждый сервер являлся отказоустойчивым, и это значительно снижает расходы на эксплуатацию. Другое огромное преимущество использования подобных решений заключается в предоставлении приложениям возможности доступа к информации о выделении адресов на DHCP-сервере. Приложения могут соотносить IP-адреса с пользователями и получать другую информацию, нужную для обеспечения безопасности.

К сожалению, мы не смогли найти общедоступные приложения третьих фирм, предлагающие подобные возможности. Дефицит подобных продуктов странен, если принять во внимание, что некоторые средства обеспечения безопасности, например FireWall-1 фирмы Check Point Software Technologies и BorderManager от Novell, могут соотносить IP-адрес с именем пользователя. Но последующие испытания показали, что FireWall-1 использует отдельное хранилище информации, а BorderManager, хотя и использует службу справочника для хранения данных, но требует приобретения отдельного ПО для машины клиента.

Несмотря на то что служба справочника и является прекрасным дополнением к вашей сети, это просто довесок к DHCP, а не совершенно новое решение. Те, кто удовлетворен работой своих DHCP-серверов, могут не спешить переходить на новую технологию; те же, кто нуждается в настоящей отказоустойчивости, могут присмотреться к продуктам, тесно интегрированным со справочником, а следовательно, по-настоящему отказоустойчивым.

Обеспечение отказоустойчивости

Протокол динамической конфигурации хоста (RFC 2131) не обновлялся с 1997 г. С точки зрения развития сети его уже можно назвать древним; поэтому уместен вопрос: почему DHCP не сделали более отказоустойчивым? Ответ: он не нуждался ни в каких изменениях. Самый большой проблемой при использовании протокола является информация о выделении адресов: способ хранения этой информации не зависит от протокола -- ею распоряжаются серверы, и именно в этой сфере требуются улучшения.

1. Рабочая станция С пытается обновить адрес, но не опознается сервером, потерявшим информацию о ее предыдущем состоянии
2. Не зная то, что рабочая станция А уже использует адрес .10, сервер выделяет его рабочей станции С
3. Возникает конфликт IP-адресов

Как видно из рис.1, информация о состоянии назначения адресов по протоколу DHCP очень важна. Именно благодаря ей можно определить, имеем ли мы дело с четко функционирующей сетью или с сетью, пользователи которой звонят администратору сразу после загрузки компьютеров.

Если сервер DHCP теряет информацию состояния, клиентские машины продолжают использовать выделенные им IP-адреса, которые сервер уже не в состоянии опознать. В результате может получиться, например, что рабочие станции A и B будут продолжать использовать выделенные им IP-адреса, в то время как сервер остается "в неведении". Рабочие станции не посылают ему DHCP-пакеты, а следовательно, они не "будут знать" о случившейся аварии. Сервер же, в свою очередь, "не будет знать", как они используют адреса из общего пула.

На участке сети, в котором произошла потеря информации DHCP, конфликты адресов неизбежны. Когда клиентская машина обращается с запросом о выделении адреса сервер находит первый из доступных адресов, который, возможно, уже используется другой машиной. В таких случаях обычно происходят широкомасштабные конфликты IP-адресов, что сулит большие неприятности. Верный способ обеспечить отказоустойчивость DHCP -- следовать правилу 80--20 (два сервера в подсети: один обслуживает 80% клиентов, другой -- 20%) и применять сеть устройств памяти (Storage Area Network -- SAN) или дискового массива RAID. Хотя эти решения и обеспечивают необходимую отказоустойчивость, их использование можно сравнить с установкой ядерного реактора в легковом автомобиле -- дорого и неэкономично.

Нет необходимости в дополнительном оборудовании

DHCP-серверы, использующие службу справочника, обеспечивают отказоустойчивость даже без применения аппаратных решений. Если один сервер выходит из строя, другой может быстро заменить его, воспользовавшись хранящейся в справочнике информацией.

Например, во время нашего эксперимента мы просто отключили питание на одном из серверов DNS-DHCP фирмы Novell в надежде увидеть, как второй DHCP-сервер заменит вышедший из строя. Однако сделать это самостоятельно он не смог. Работа сервера DNS-DHCP восстановилась после запуска аплета, обеспечившего переназначение области адресов другому серверу всего лишь за 5 с. Информация службы справочника Novell осталась нетронутой.

Мы повторили тот же тест на DHCP-серверах Microsoft Windows 2000, и они не выдержали испытания. Мы решили, что, поскольку Microsoft Windows 2000 использует Active Directory, DHCP-информация будет храниться именно в нем. Как выяснилось, мы ошибались: только продукт компании Novell способен хранить DHCP-информацию в службе справочника.

Несмотря на то что DHCP-серверы Windows 2000 используют Active Directory, информацию об аренде они хранят в формате базы данных Microsoft Jet, что ненамного безопаснее, чем хранение информации в простом ASCII-файле. Да, компания Microsoft снабдила свои продукты возможностью передачи области адресов одного сервера другому, но данная операция требует внесения изменений в реестр и ручного копирования файла базы данных с одного жесткого диска на другой. Согласитесь, такой способ нельзя назвать быстрым и простым. Конечно, если потеря DHCP-информации произойдет посреди рабочего дня, а у вас нет копии файла базы данных, вам можно только посочувствовать. В этом случае ваши надежды о "нирване", которую даст отказоустойчивая система, основанная на использовании службы справочника, разобьются о жестокую действительность.

Удрученные осознанием этого факта, мы нашли утешение в простоте dhcpd. Он не претендует на использование в каком-либо виде службы справочника. Но, судя по тому, как вел себя сервис DHCP в ОС Windows 2000, даже несмотря на то, что в ней используется служба Active Directory, применение dhcpd обеспечит вам уровень отказоустойчивости не меньший, чем в Windows 2000. Сервер фирмы Internet Software Consortium хранит информацию в простом ASCII-файле, называемом dhcpd.leases, но с точки зрения практического использования мы не нашли никакой разницы в уровне безопасности ASCII-файла и файла формата базы данных Jet.

Надежное и устойчивое место хранения информации

В документации от Microsoft говорится, что тот, кто заинтересован в отказоустойчивости DHCP, должен использовать отказоустойчивое оборудование. Поэтому давайте предположим, что вы обеспечиваете аппаратную отказоустойчивость одного из серверов. В этом случае, даже если сервер выйдет из строя, информация все же будет сохранена.

Для обеспечения отказоустойчивости сервера DHCP на базе Windows 2000 или Unix необходимо снабдить его или дорогостоящим адаптером SAN или еще более дорогим RAID-массивом.

В случае применения RAID, при выходе из строя сервера вам все равно придется переносить информацию на другой сервер. Это служит лишним доказательством тому, что аппаратные решения не идут ни в какое сравнение с теми программами, которые тесно интегрированы со службой справочника.

Исправление ошибок

Еще одним недостатком аппаратных средств обеспечения отказоустойчивости является тот факт, что к потере информации могут привести также и программные проблемы. Это вполне может произойти от ошибочных действий администратора или в результате работы каких-либо программ. На первый взгляд от подобного сбоя в работе не застрахована и служба справочника, но это не совсем так. Даже, несмотря на то что база данных службы справочника может быть подвержена ошибкам в результате сбоя на отдельном диске, правильно сконфигурированная служба справочника всегда дублируется на нескольких томах сервера и обладает достаточно надежным механизмом восстановления в случае возникновения программных проблем.

Каковы же недостатки применения службы справочника с точки зрения ее отказоустойчивости? Их не так уж и много. Любой справочник, хранящий информацию о состоянии DHCP, подвержен задержкам в синхронизации, зависящим от конфигурации службы справочника. Если ваш сервер выйдет из строя неожиданно, возможно, что самые последние изменения будут утеряны. Однако это лучше, чем лишиться информации за целый день, да и процесс восстановления займет гораздо меньше времени.

Дополнительные преимущества

В спецификации RFC протокола DHCP нет речи ни о каких функциях для соотнесения IP-клиента с другой информацией из сети, например такой, как аутентификационные данные пользователя, -- эта задача выходит за рамки RFC. Тем не менее такая необходимость становится все более насущной как в отношении серверов приложений, так и в отношении инфраструктуры сети.

Рассмотрим это на примере: SMTP-серверу нужно убедиться в том, что на рабочей станции, посылающей сообщение с исходящим адресом user@company.com, действительно зарегистрирован такой пользователь. DHCP-сервер, хранящий информацию в службе справочника, делает эту процедуру очень простой, но при условии, что ваше сетевое устройство способно "общаться" со службой справочника (рис.2).

1. Клиент получает IP-адрес
2. Клиент роходит аутентификацию в службе справочника
3. Службам сети сообщаются как IP-адреса, так и информация о пользователе

Устройства в данной сети, использующие службу справочника, теперь могут использовать аутентификационную информацию для соотнесения адресов и имен пользователей

Достоинство такой интеграции заключается в том, что маршрутизаторы и другие устройства сетевой инфраструктуры могут использовать информацию о пользователе для маршрутизации и повышения качества услуг, основываясь на знании политик. Недостаток же заключается в том, что лишь немногие устройства обеспечивают такой тип интеграции. Мы сумели найти решения различных производителей, согласующие работу, например, DHCP-серверов и межсетевых экранов, но, в общем-то, таких продуктов не очень много.





  
14 '2000
СОДЕРЖАНИЕ

колонка редактора

• Когда в товарищах согласья нет

локальные сети

• Пусть ваши кабели никогда не пересекаются!

• Тестируем серверы NAS среднего уровня

• Анатомия беспроводных сетей стандарта IEEE 802.11b

• Решения на базе миниатюрных оптических разъемов - готовность № 1

услуги сетей связи

• Магистрали света: основные идеи

только на сервере

• Совместное использование служб справочника и DHCP

• Переход на Active Directory: средства миграции

новые продукты

• LinkProof: один ISP хорошо, а два лучше; Debian - это 100% свободы; Новый NetServer для малого и среднего бизнеса

корпоративные сети

• Десятикратно увеличенная мощь

• Согласье меж стандартами управления

• Анализаторы и зонды для WAN-сетей

защита данных

• Как защитить вашу территорию изнутри

• Proxy/NAT-решения для небольших офисов

электронная коммерция

• Выбирая электронную биржу, поинтересуйтесь ее владельцами

• Электронные биржи в момент кризиса

• Кому можно доверить корпоративный Web-узел?

бизнес

• OpenView Communication - шаг навстречу конвергенции

• Как дотянуться до регионов

системы учрежденческой связи

• Тестируем IP-УАТС



 Copyright © 1997-2007 ООО "Сети и Системы Связи". Тел. (495) 234-53-21. Факс (495) 974-7110. вверх