На решение проблем, которые возникают в связи с этим, нацелены две службы — Domain Name System (DNS) и Dynamic Host Configuration Protocol (DHCP).
Ключ к администрированию IP-адресов — дружная работа служб DNS и DHCP
Преобразование удобных для запоминания доменных имен в понятные компьютерам IP-адреса — задача сервера DNS, а выдачей IP-адресов во временное пользование занимается сервер DHCP. Максимальной эффективности работы IP-сети удается достичь в том случае, когда эти два механизма применяются совместно, что предполагает, в частности, оперативное включение адресов, выдаваемых сервером DHCP, в базу данных сервера DNS. Технология объединения карт доменов DNS с пулами адресов DHCP (банками IP-адресов, доступными для выделения клиентам) носит название Dynamic DNS (DDNS).
Мы провели сравнительное тестирование пяти серверов DNS/DHCP на платформе Windows NT. «Голубую ленту» победителя получил продукт Shadow IPserver 3.023 фирмы Network Telesystems (NTS). Однако он ненамного обошел конкурентов, завоевав наибольшие симпатии в основном благодаря простоте инсталляции, эффективной поддержке DDNS и надежной реализации всех функций. С некоторым отрывом за ним последовал сервер NetID 4.0 от Nortel Networks, отличающийся несколько более трудоемкой процедурой инсталляции и менее эффективной интеграцией DNS и DHCP. Третье место занял сервер Meta IP 4.1 Standard Edition компании Check Point Software Technologies, который даже проще NetID в инсталляции и конфигурировании, зато уступает продукту Nortel в наборе функциональных возможностей.
Программное обеспечение QIP Enterprise 5.0 корпорации Lucent Technologies предоставляет пользователю широкие функциональные возможности, в том числе обеспечиваемые лучшими среди всех тестировавшихся продуктов средствами обеспечения безопасности. Однако набранная QIP сумма баллов пострадала из-за продолжительности и утомительности процедуры инсталляции.
Завершили «процессию» менеджеры DNS и DHCP, включенные Microsoft в комплект Windows NT Server 4.0. Достоинство этих продуктов состоит в том, что, подобно другим дополнительным средствам в составе NT, пользователям они предлагаются бесплатно, а кроме того, активизировать их проще простого. В то же время названные программы-менеджеры не интегрированы друг с другом и обладают весьма ограниченными функциональными возможностями.
Настройка конфигурации и администрирование
Поскольку автоматизация администрирования IP-сетей является основным назначением рассматриваемых продуктов, качество интерфейсов и набор функциональных возможностей входят в число важнейших оцениваемых показателей. Настройка конфигурации Shadow IPserver с использованием Web-браузера или с помощью ПО IPmanager (специальной утилиты производства NTS, включенной в комплект поставки) осуществляется очень легко. Интеграция доменов DNS и пулов адресов DHCP практически не требует вмешательства человека. Как только мы завершили процедуру конфигурирования, Shadow IPserver немедленно приступил к выделению DHCP-адресов. Прежде чем назначить IP-адрес, сервер генерирует по нему ping-запрос чтобы удостовериться, что адрес еще не занят.
Администрирование Shadow IPserver не вызывает затруднений, однако разработчики NTS используют нестандартный подход к реализации технологии DDNS, грозящий серьезными осложнениями в том случае, если вы решите дополнить свою систему DHCP-службами других производителей. Shadow IPserver не поддерживает стандартного формата Berkley Internet Name Daemon (BIND) для связи DHCP-адреса с одним из доступных IP-адресов. Вместо этого используется разработанный в NTS фирменный механизм администрирования. Shadow IPserver поддерживает протокол SNMP и службу имен NetBIOS Naming Service (NBNS), которая позволяет установить соответствие между именами и адресами для приложений, основанных на протоколе NetBIOS.
Если говорить о качестве исполнения, то система Shadow IPserver переходит от одного вида работы к другому не так гладко, как пакет NetID, оснащенный очень удачным интерфейсом на базе Web-браузера. С помощью Web-утилиты конфигурирования NetID мы быстро и легко обновляли базу данных DNS. В документацию к этому продукту за все время тестирования мы не заглянули практически ни разу. В дополнение к DDNS сервер NetID поддерживает протокол SNMP и формат BIND 8.
Конфигурация Meta IP настраивалась при помощи внешнего браузера. Процедура настройки довольно проста, независимо от того, пользуетесь вы услугами удобных встроенных «мастеров» конфигурирования или нет. Особое впечатление произвели на нас средства мониторинга Meta IP. Эта программа ведет статистику доступности пула адресов DHCP и имеет средство контроля производительности Windows NT. Подобно Shadow IPserver, прежде чем назначить клиенту адрес, Meta IP проверяет, свободен ли он. Данный сервер также поддерживает DDNS, SNMP и BIND 8.
Первоначальная настройка конфигурации QIP — медленный и трудоемкий процесс. Нам приходилось постоянно обращаться к справочным руководствам: сначала с целью определить, а затем сконфигурировать серверы DNS и DHCP. Однако когда эти трудности остались позади, продукт Lucent превратился в настоящее сокровище. Мощные инструментальные средства этого пакета способны справиться, по-видимому, с любыми задачами, возникающими при управлении IP-сетями предприятий. QIP полностью поддерживает DDNS, SNMP, BIND 8 и NBNS, а кроме того, имеет развитый механизм маршрутизации по протоколу OSPF.
Конфигурирование DNS- и DHCP-менеджеров от Microsoft на первых порах тоже может вызвать определенные затруднения. Самый большой недостаток этих продуктов — отсутствие интеграции между механизмами DNS и DHCP. Компания Microsoft не поддерживает DDNS, так что ее DHCP-сервер не способен динамически обновлять БД локального сервера DNS при назначении нового IP-адреса очередному DHCP-клиенту. Вместо этого пользователю приходится вручную с консоли вводить в базу данных все адреса из пула DHCP.
В защиту разработчиков Microsoft можно сказать, однако, что, встретив неизвестное имя, DNS-сервер обращается к серверу WINS (NetBIOS). И все-таки поддержка DDNS, которую планируется реализовать в Windows 2000, сделала бы подобные маневры попросту ненужными. Отметим также, что DNS- и DHCP-менеджерам производства Microsoft явно недостает поддержки дистанционного администрирования, протокола SNMP и формата BIND.
Возможности роста
Обладателю развивающейся сети необходимо знать, насколько каждый из продуктов допускает масштабирование по числу имен доменов и пользователей. Разработчики NTS решают вопрос масштабирования Shadow IPserver на основе использования распределенной БД подобно тому, как это сделано в Novell Directory Services. Каждая часть сети обслуживается сразу двумя серверами; при этом не существует единой БД, содержащей всю иерархию DNS целиком. С одной рабочей станции администратора можно управлять любым из серверов Shadow IPserver или всеми сразу.
Сервер NetID фирмы Nortel спроектирован иначе: один его экземпляр должен обслуживать всю сеть целиком, независимо от ее масштабов. Утилита-менеджер позволяет задать DNS-зоны серверам DNS и пулы адресов серверам DHCP. Такой способ администрирования применим к достаточно большому числу серверов.
Компания Check Point предлагает две редакции своего продукта, ориентированные на работу с сетями различных масштабов: Meta IP Standard Edition, которая и была предоставлена нам для тестирования, и Meta IP Enterprise Edition. По функциональным возможностям эти разновидности очень схожи.
Как и NetID, вариант Enterprise Edition обеспечивает автоматическую интеграцию между несколькими DHCP-доменами, что делает возможным масштабирование небольших одиночных доменов и глобальных сетей. Начав с редакции Standard Edition, поддерживающей от 100 до 1000 клиентов, организация по мере увеличения их числа может перейти на Enterprise Edition.
Lucent Technologies разрабатывала свой продукт для больших сетей, поэтому процесс обратного масштабирования проходит не вполне гладко. В частности, QIP требует использования не менее двух серверов — первичного и вторичного, служащего для целей резервирования. Это решение, вполне оправданное для крупной сети, в случае системы средних масштабов может оказаться излишеством. Если принять во внимание ресурсы, необходимые для установки и эксплуатации QIP, разработку Lucent имеет смысл применять для обслуживания только глобальных доменов.
На другом полюсе оказались DNS- и DHCP-менеджеры фирмы Microsoft, совершенно не рассчитанные на масштабирование (что следует уже из отсутствия поддержки DDNS). Компания не предусмотрела возможность администрирования нескольких серверов как единой группы; в результате конфигурацию каждого сервера приходится обновлять с отдельной консоли. Таким образом, администрирование сети, содержащей десяток серверов DNS, для пользователей продуктов Microsoft превратится в настоящую проблему.
Безопасность и надежность
Безопасность и устойчивость к сбоям — два качества, гарантирующие получение станцией-клиентом IP-адреса при первой необходимости. Из пяти протестированных нами серверов DNS/DHCP самую надежную защиту обеспечивает QIP. Этот продукт позволяет построить несколько эшелонов обороны как в каждом DHCP-домене, так и в глобальном масштабе, а синхронизированные основной и резервный серверы гарантируют очень высокий уровень отказоустойчивости. В случае сбоя первичного сервера QIP немедленно переключается на вторичный.
Shadow IPserver и NetID также предлагают вполне достойные средства обеспечения безопасности. Оба продукта позволяют зарегистрировать несколько администраторов с различными уровнями полномочий. В частности, полномочия можно распространить сразу на несколько DHCP-доменов. Для повышения отказоустойчивости NTS рекомендует инсталлировать серверы парами (основной/«горячий» резерв), а не ограничиваться использованием находящеюся в «холодном» резерве сервера, на который лишь изредка копируется содержимое основного. NetID позволяет настроить конфигурацию системы таким образом, чтобы при сбое основного сервера рабочая нагрузка сразу переносилась на резервный.
Пакет Meta IP обладает блестящими средствами администрирования, а вот в плане обеспечения безопасности дело обстоит на удивление плохо. По умолчанию любой обладатель пароля администратора может получить доступ к консоли сервера и глобально установить новый пароль администратора. Эта «лазейка» открывает поистине безграничные возможности для злоумышленников, так что, зная о ее наличии, трудно оставаться безмятежным. А вот средства отказоустойчивости заслуживают всяческих похвал. Систему Meta IP можно запрограммировать таким образом, что при обнаружении проблем уведомляющие сообщения будут передаваться по электронной почте; предусмотрено также создание конфигураций с резервными серверами и формирование перекрывающихся зон. В случае сбоя основного сервера переключение на резервный будет выполнено автоматически.
Компания Microsoft в области защиты данных целиком полагается на функциональные возможности своей операционной системы. В частности, разработчики DNS- и DHCP-менеджеров не предусмотрели для этих продуктов отдельных процедур регистрации пользователей; вместо них применяется процедура регистрации Windows NT. Отсутствуют также самостоятельные операции резервного копирования содержимого баз данных серверов DNS и DHCP.
Первые шаги
Рассмотренные нами DNS/DHCP-серверы значительно разнятся с точки зрения простоты инсталляции. Установка Shadow IPserver заняла всего 10 мин. После ввода адресов серверов «холодного» и «горячего» резерва программа инсталляции автоматически обнаружила предварительно сконфигурированный адрес сервера Windows NT, маску подсети и шлюз. Затем она попросила нас настроить конфигурацию пула DHCP-адресов, для чего понадобилось ввести диапазон адресов, координаты используемого по умолчанию шлюза и маску подсети. Shadow IPserver не требует обращения к внешней СУБД, в отличие от продукта фирмы Check Point, который мы, кстати, без труда скопировали по Internet.
Разработчики Nortel будто намеренно усложнили процедуру инсталляции NetID, скомплектовав свой продукт с СУБД Oracle 8. Хотя для эксплуатации NetID вовсе не обязательно быть большим специалистом в области баз данных, в процессе инсталляции вам придется проявить завидную сообразительность, выясняя, как добраться до установленного по умолчанию размера БД и затем изменить его. Сделав это, мы были вынужденны перезагрузить систему и начать инсталляцию NetID заново. Только тогда все пошло гладко.
«Приз» за самую трудоемкую инсталляцию достался QIP. Этот сервер, работа которого полностью зависит от внешней СУБД, мы устанавливали два часа, четыре раза перезагружая систему. После инсталляции исполняемой версии СУБД Sybase 11.1, которая поставляется вместе с основным продуктом, пришлось устанавливать драйверы и с помощью утилиты Regedit вручную вносить изменения в системный регистр Windows NT. Чтобы задействовать систему администрирования на основе Web, потребовалось инсталлировать Web-сервер (этот компонент в стандартный комплект поставки не входит). Все перечисленные шаги тщательно описаны в пространном руководстве по установке, которое к окончанию процедуры было изучено нами от корки до корки.
В противоположность этому, инсталляция DNS- и DHCP-менеджеров производства Microsoft выполняется проще простого. Достаточно открыть раздел «Сеть» на Панели управления и активизировать требуемые службы.
Подводя черту
К вышеизложенному остается лишь добавить, что «спартанские» по своей функциональности DNS- и DHCP-менеджеры корпорации Microsoft вряд ли смогут удовлетворить потребности большинства компаний. Последним придется раскошелиться на более развитые средства управления IP-адресами. Из числа возможных кандидатов на эту роль нам больше всего понравилась система Shadow IPserver фирмы NTS, которая представляет собой ПО с полным набором функций, отлично проявившее себя как в плане средств администрирования и масштабируемости, так и с точки зрения поддержки протоколов и отказоустойчивости.
Однако если говорить об информационной безопасности, пакету Shadow IPserver еще есть куда развиваться: достаточно обратиться к наиболее продвинутому в этом отношении продукту —QIP корпорации Lucent. Те, кого не пугает перспектива от души потрудиться над его инсталляцией, будут по достоинству вознаграждены внушительным набором функциональных возможностей, который представляет особый интерес для крупных предприятий. Пакеты MetaIP фирмы Check Point и NetID корпорации Nortel также заслуживают всяческих похвал, но их общим слабым местом остается обеспечение защиты данных.
ОБ АВТОРАХ
Гейл Р. Джеймс (Gail R. James) — вице-президент по лабораторным услугам, а Пол Андерсон (Paul Anderson) — менеджер LANQuest Labs, независимой компании, специализирующейся на тестировании сетей с точки зрения гарантированного обеспечения качества сервиса, сертификации и измерения производительности. С ними можно связаться по электронной почте: gjames@lanquest.com и panderson@lanquest.com.Таблицы | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Результаты испытаний
Итоговые результаты
|
Процедура тестирования |
Средства администрирования IP-адресов пяти различных производителей оценивались по категориям: простота инсталляции и настройки конфигурации, функции текущего администрирования и мониторинга, интеграция служб DNS и DHCP, архитектура и масштабируемость, поддержка протоколов, отказоустойчивость и обеспечение информационной безопасности. Мы инсталлировали серверы в сети класса C, через маршрутизатор подсоединенной к более крупной сети класса B. Для каждой из сетей использовался отдельный домен DNS, и к каждой было подключено по несколько DHCP-клиентов в целях получения требуемой конфигурации. Во всех случаях, когда это было возможно, настройка конфигурации серверов выполнялась с удаленной консоли. Использовались компьютеры с процессором Pentium II и ОС Windows NT 4.0 с установленным программным комплектом Service Pack 3. |
«Голубая лента» |
Продукт: Shadow IPserver 3.023 Производитель: Network Telesystems (NTS) Простота инсталляции в сочетании с масштабируемостью, поддержкой широкого спектра протоколов и высокой отказоустойчивостью побудили нас присудить «Голубую ленту» пакету ПО Shadow IPserver 3.023 производства Network Telesystems. |