Få styr på IP-adressene

I sin iver etter å kople seg mot Internettet har mange systemansvarlige skapt en sovende tiger som fort kan komme til å bite seg i halen: IP-adressestyring. Uten et system som oppsporer, verifiserer og tar tilbake adresser på virksomhetsnivå, er man nesten garantert rot.

INFOWORLD USA, OVERSATT AV MORTEN SOLLI

Dersom nettverket ditt aldri endrer seg, er ikke IP-adressering noe problem. Men når avdelingene vokser, arbeidsgruppene flytter eller ansatte i selskapet rett og slett slutter, kan det være noe virkelig herk å styre Internet Protocol (IP)-adresser for et selskap, om vi skal tro systemsjefene vi har snakket med.

- Ut fra erfaring kan jeg si at man får problemer idet man mister oversikten over adresseringskjemaet, sier Vincent Miller, ansvarlig kommunikasjonsanalytiker hos Washington Mutual Bank, i Seattle. - Dupliserte adresser er vanskelige å oppspore. Eller hva skjer når et distriktskontor flytter? Da må man rote gjennom masse papirer for å rette opp adressene.

Imidlertid er det stadig flere produkter og verktøyer for styring av IP-adresser i emning som kan løse ovennevnte og andre problemer. Dynamic Host Configuration Protocol (DHCP) -servere, intelligente IP-adresseringsverktøy og virtuelle IP-nettverk kan bidra til å lette byrden.

Internett-vekst

For bare 18 måneder siden var det ganske få som bekymret seg om IP-adressering. Store som små selskaper var i full gang med å kople seg opp mot Internettet.

- Plutselig er alt avhengig av TCP/IP. Og det gjør at IP-adressering blir stadig viktigere, mener analytiker Tim Wilson, sjefkonsulent ved Decisis Inc., i Sterling, Virginia. - Noe av problemet med styringen av IP-adresser, er at den er knyttet til den generelle styringen. Man vil ønske seg kontrollfunksjoner [og] sikkerhet... noe det kan bli vanskelig å forstå og implementere.

Flere nettverkssjefer sier seg enige i dette.

- En ting er å tildele tjenester med adresser, noe annet er det å styre dem, sier Miller.

Andre framholder at styring av IP-adresser er kronglete fordi protokollen slett ikke var tiltenkt rollen som privatsektorens hovedpulsåre:

-Fra den nettverksansvarliges synspunkt er det alltid nødvendig å gå tilbake og gjøre justeringer på nettverket, forteller David Brown, ansvarlig for nettverkstjenester i storavisen The New York Times. - I en statisk verden ville man tildelt en adresse, og vært ferdig med det. Men forretningsverdenen er alt annet enn statisk, og nettverket er i konstant endring. Spørsmålet blir derfor, hvordan kan styring bidra til å slanke administrasjonsbyrden på vårt område?

Dessverre er det mange nettsjefer som ikke har funnet noe svar på dette. Et system som er vanlig går ut på oppspore adresser og domene-navn via et enkelt regneark. Men dette gir et nettverk som er svært utsatt for rot, ettersom man da mangler et sikkerhetssystem som automatisk verifiserer hvilke adresser som alt er i bruk. Enda verre, manuell oppsporing av rotete adressering kan være en tung, i blant umulig arbeidsoppgave. - Ettersom flere og flere tar i bruk IP-baserte databaser, holder det ikke med konvensjonelle regneark, mener Miller, som bruker NetID, et styringsverktøy for IP-adresser fra Isotro Network Management Inc., i Ottawa, Canada.

- Ved å bruke et styringsverktøy [for IP-adresser] er vi tryggere, ettersom vi da ikke risikerer dupliserte adresser, tilføyer Miller.

Mange TCP/IP-klientstakker inneholder enkelte sikkerhetsmekanismer i forhold til adresseduplisering, men er til liten nytte når det gjelder generelle adressestyringsoppgaver, som f.eks. å opprettholde en database med fortegnelse over alle adresser i bruk, når adresser forblir ubenyttet, og der problemer oppstår fordi det trengs fler.

Verre

Delvis skyldes vanskelighetene med å styre IP-adresser det kjente og ukjære problemet "knapphet" på adresser. I virkeligheten er det ikke slik at Internett ikke har tilgjengelige adresser. Men designet til det nåværende adresseringssystemet, IP Version 4, gjør at beholdningen av den mest populære adressetypen fort blir oppbrukt.

I hovedsak er adresser tilgjengelige i form av blokker. Disse blokkene forefinnes i tre størrelser; klasse A, som er astronomisk i størrelse, klasse B, som er tilstrekkelig for organisasjoner flest, og klasse C, som i realiteten er for liten for mange organisasjoner. Klasse B er den mest etterspurte adressekategorien. Men ettersom to tredjedeler av klasse B-adressene alt er tildelt, holder de ved Internet Network Information Center (InterNIC) tett til brystet det som er igjen av slike adresser. InterNIC er gruppen (basert i Herndon, Virginia) som har ansvar for tildeling og registrering av Internet-adresser.

- Vi er i ferd med å slippe opp for adresser, så vi er nødt til å passe på at de blir utnyttet mest mulig effektivt, informerer Kim Hubbard, teknologiansvarlig ved InterNIC. - Hensynet til en enklere administrasjon alene er ikke lenger avgjørende for om vi kan tildele en klasse B-adresse. Det viktigste kriteriet er hvor mange IP-adresserbare enheter man sitter på.

Selv om en organisasjon har nok enheter til å kvalifisere til en klasse B-adresse, vil InterNIC trolig likevel tildele flere klasse C-lisenser isteden. Og her ligger problemet: med en adresseblokk for klasse B kan en administrator uten store vanskeligheter tilrettelegge nettverket for virksomhetsruting mellom flere undernettverk. Hver adresseblokk for klasse C krever derimot en separat rutingstabell. Det er mer komplisert både å designe og styre et nettverk bestående av flere undernettverk for klasse C, mener brukerne.

- For rundt to år siden ble jeg bevisst at Internett-tilgang ville bli viktig etter hvert, forteller Margaret McDonald, ansvarlig nettsystem-analytiker hos avisen Seattle Times.

Da McDonald implementerte ruting på sitt nokså omfattende nettverk, fikk hun negativt svar fra InterNIC på sin forespørsel om en klasse B-adresse: - Isteden fikk jeg flere klasse C-adresser. Det tok flere måneders planlegging og implementering å få dette til fungere tilfredsstillende.

InterNIC arbeider nå mot en langsiktig løsning, et nytt adresseringsskjema kalt IP versjon 6, eller IPv6. men en fullstendig migrering over hele Internettet til IPv6 forventes å ta flere år. Og overgangen vil antakelig gjøre adressestyringsbyrden enda tyngre.

- IPv6 er en løsning på svært lang sikt. Jeg tror det vil ta fem år, kanskje ti, før den er hundre prosent implementert, mener Wilson.

Ifølge spesifikasjonen vil det da foreligge to Internett: IPv4 og IPv6. - I teorien får vi to versjoner av Internett inntil IPv4 etter hvert blir helt borte, sier Wilson.

Konsekvensen kan bli at nettsjefene må holde seg med to registerte adresser for hver eneste IP-enhet, der den ene er basert på et skjema for flere klasse C-adresser.

Kortsiktige

Men helt håpløs er ikke situasjonen på kort sikt heller. Programvareleverandører har i samarbeid med Internet Engineering Task Force (IETF) utviklet en rekke kortsiktige arbeidsmetoder. De fleste av disse faller innenfor to kategorier: mer effektiv adressebruk eller opphør av registrering. Førstnevnte kategori omfatter produkter som DHCP-servere og intelligente «adresse-tildelere», den andre virtuelle private nettverk og såkalt «klasseløs ruting mellom domener» (Classless Inter-Domain Routing -CIDR).

DHCP er en protokoll utviklet av IETF som en forlengelse til dets bootstrap-protokoll, kjent som BootP. BootP gjør det mulig å konfigurere IP-adresser fjernt, slik at systemsjefen ikke trenger å labbe ut til hver enkelt enhet for å installere en adresse. Isteden vil et sentralt filarkiv legge ut adresser til de forskjellige enhetene.

DHCP er knepent bedre enn BootP, ved at det tillater en pool av adresser å være tilstrekkelig for flere enheter, istedenfor å få en enkelt adresse tildelt alene og for seg. Imidlertid kan systemet "lease" en adresse til en enhet, noe som er bra for kontinuiteten.

Med DHCP kan imidlertid et mindre antall adresser betjene et større antall enheter, ut fra antakelsen om at ikke alle enheter bruker en adresse samtidig. Dette ser ut til å være en spesielt god taktisk løsning for avdelinger med mange mobile brukere.

Noen TCP/IP-kompatible operativsystemer, bl.a. SunSoft Inc.s Solaris og Microsoft Corp.s Windows NT, inneholder en DHCP-server. Den er også tilgjengelig fra TCP/IP-leverandører som FTP Software og Competitive Automation. Competitive Automations implementering av DHCP finnes faktisk også i DHCP-server-produkter som er tilgjengelige fra bl.a. SunSoft, Digital Equipment Corp., Wollongong Group Inc., samt i dets eget produkt, Join. Novell Inc. tilbyr for tiden ikke DHCP. Støtte for protokollen er likevel planlagt for en senere versjon av Novells TCP/IP-produkter, innen de neste tolv månedene, bekrefter en talskvinne for operativsystem-avdelingen.

På klientsiden er støtte for DHCP nå nærmest allestedsnærværende i TCP/IP-programmer. Men organisasjoner trenger også en server.

Fordi DHCP er et supersett av BootP kan dessuten de fleste DHCP-servere støtte BootP, for eksempel om man har eldre klientprogramvare for TCP/IP liggende rundt omkring i bedriften.

- Med BootP slipper du å løpe ut til klientarbeidsstasjonene, forteller New York Times' Brown, som nylig oppgraderte fra et sentralisert BootP-server innebygd i SunOS til Competitive Automations Join. - Ut fra maskinvaren vi har satt til å betjene et gitt nettverkssegment, vet vi at en konsentrasjon på rundt 200 adresser kan betjene dette segmentet, sier han.

Til å illustrere dette bruker Brown Times' salgsavdeling.

- Vi har 450 IBM ThinkPad-maskiner, og de er slett ikke på kontoret samtidig alle sammen. Salgsavdelingen deler også på et antall segmenter. Vi kan skalere poolene ned for avdelingen. Ved å se på loggene [som kjøres av Join], skal vi kunne se om vi bør øke eller minske poolen.

Intelligent

Vanligvis tillater DHCP-serverne at poolen av adresser kan utvides eller krympes med noen få museklikk, så lenge adressene befinner seg i en kontinuerlig blokk. Det er da det er hendig å ha utviklet et nettverk med delnettverksmasker av VLSM-variabel lengde, under forutsetning av at selskapets grenserutere kan støtte denne funksjonen. Delnettsmasker gjør det mulig å dele inn en vert i mindre segmenter, for eksempel etter hvordan avdelingene er inndelt. VLSM gjør det mulig å variere antallet adresser i en blokk fra undernettverk til undernettverk innenfor en og samme vert, istedenfor å utpeke en enkelt, felles lengde for alle undernettverk. Resultatet er en mer effektiv bruk av adresser, hvor større blokker kan tildeles større avdelinger osv. På den annen side fordrer et TCP/IP-nettverk som bruker VLSM en mer kompleks kontroll og design.

Intelligente adresseverktøyene som NetID, fra Isotro, og QIP Quadritek IP Management System, fra Quadritek Systems Inc., følger med når IP-adressene lages og fordeles og domenenavnene velges. Slik elimineres risikoen for å duplisere IP-adresser.

- Med NetID kan nettsjefen kontrollere tildelingen av IP-adresser for både verter og undernettverk sentralt, forteller Rod Anderson, president i Isotro. - Verktøyet gjør at flere LAN-administratorer kan kontrollere sin del av nettverket, og samtidig forsikre seg om at ingen adresser blir duplisert. En LAN-administrator kan tildele en datamaskin en adresse fra sin pool, som så registreres i en sentral database.

Disse produktene kan også overvåke eksisterende adresser for å verifisere at de er i bruk. I tillegg kan de tilrettelegge revisjoner og bruksrapporter. Om et distriktskontor skulle legges ned, kan systemsjefen ved hjelp av intelligente adresseringsprodukter hente tilbake de aktuelle adressene gjennom et enkelt grafisk brukergrensesnitt.

Isotro har tatt med en design-komponent for laging av IP-adresseringsskjemaer, og den kan knytte E-post-adresser til de heksadesimale

IP-adressene. QIP har tatt med API-er til å knytte verktøyet til Hewlett-Packards Openview og til SunNet Manager.

- Vi bruker NetID til oppspore IP-adresser over det hele. Dette er vesentlig, fordi vi har over 2000 noder, sier Terry Mesdag, teknisk rådgiver ved SHL System House Ltd. Ottawa Sourcing Center, et konsulentfirma som arbeider med å sette ut tjenester.

- Dette gjør oss i stand til å konfigurere DNS [domenenavn-servere] med mindre Unix, men likevel støtte det. Du slipper dermed å være Unix-guru.

Nettverket til SHLs største klient er satt sammen av 512 nettverk med klasse C-adresser og ett med klasse B. Takket være NetID, var SHL i stand til å reorganisere adresseringsskjemaet for å gjøre best mulig bruk av de adressene organisasjonen allerede hadde.

Privatsfære

Andre brukere har reagert på problemene med IP-adressestyring ved å motsette seg registrerte adresser. InterNIC anbefaler faktisk at man i organisasjoner benytter CIDR-tilnærmingen. I praksis betyr det at CIDR lar en Internett-tilbyder "leie" en sluttbruker en blokk av adresser, gjerne et helt klasse C-undernett. Med denne ordningen faller byrden med adressestyring på tilbyderen, samtidig som man slipper bryet med å søke InterNIC om en adresse. (enkelte Internettilbydere tilbyr også som en tjeneste å søke om en adresse på sluttbrukerens vegne.)

Ulempen med CIDR er det klassiske dilemmaet: skal vi eie eller skal vi leie?

- Når en ny kunde trenger en klasse C-adresse, finnes det to muligheter, forteller Bill Newman, nettdriftsansvarlig hos Internet Express, en Internettilbyder i Colorado Springs, Colorado: - Selskapet kan søke om en selv, eller vi kan selge en av våre egne - men haken er at da må selskapet levere adressen tilbake dersom det slutter å benytte våre tjenester.

En annen metode for å forenkle adressestyringen er ganske enkelt å la være å registrere. Et selskap kan lage sitt eget TCP/IP-nettverk med alle de adresser det ønsker, i konfigurasjoner med klasse B, selv klasse A, så lenge selskapet og dets ansatte ikke forsøker å kople seg opp mot Internettet.

For å få tilgang til Internettet må man benytte nettverksoversettelse, f.eks. Network Translations Inc.s Private Internet Exchange, og en enkelt, registrert klasse C- eller CIDR-blokk.

- Med TCP/IP får man ikke 500 maskiner til å passe inn på ett klasse C-nettverk. Man trenger en klasse B-adresse, og det er stort sett umulig å få tak i. En mulighet er Reserved Addresses for Private Internet, mener John Mayes, president og adm.dir. i Network Translation, i Palo Alto, California. Det han snakker om er Internet RFC (Request For Comment) 1597, som spesifiserer et skjema for bygging av nettverk som aldri bør brukes til oppkopling mot Internett. Dette uregistrerte nettverket er sammensatt av én klasse A-, 16 klasse B- og 256 klasse C-blokker av adresser.

Internet RFC-tilnærmingen likner i teorien på DHCP. En overføringsboks for adresser befinner seg mellom de registerte adressene og det private nettverket, og griper tak i en registrert adresse dynamisk - fra en pool av adresser - når en enhet aksesserer Internett.

Adresseoversettelse er også en slags brannmur. Av denne grunn er adresse-oversettelse også tilføyd til Firewall-1 2.0, som San Francisco-baserte Checkpoint Software Technologies Inc slipper snarlig.

Etter all sannsynlighet vil adresseoversettelse også bli tatt i bruk av ruter-leverandører.

- Vi merker en økende interesse for adresseoversettelse blant våre kunder, noe vi undersøkt aktivt for tiden, sier Peter Long, produktsjef hos Cisco Systems Inc.

Adresseoversettelse kan også komme til å løse problemet med IPv4/IPv6 eller konvertering mellom to Internett, antyder Seattle Times' McDonald. Times har et TCP/IP-nettverk satt sammen av over 20 klasse C-undernettverk. For rundt to år siden søkte avisen om en klasse B-adresse fra InterNIC, men fikk isteden flere klasse C-nett. - Omadressering? Det er en kjempejobb. Bare et gløtt av muligheten til å få ned alt, slik at vi kunne laste ned nye adresser, ville bety en tung arbeidsmengde, sier McDonald, som bruker Network Translations PIX. - Ut fra et ledelsessynspunkt besluttet vi at det ikke var tingen å gjøre. Da gikk vi heller for å konvertere Times fra et uregistrert klasse C-nettverk til et uregistrert klasse B-system.

- Da Web-leserne begynte å bli populære, var vi umiddelbart nødt til å gjøre noe med overføringen. Det fungerte, og nå har vi ikke tenkt til å omadressere [med registrerte adresser] på en stund, sier McDonald.

Faktum er at TCP/IP raskt er i ferd med å bli en nødvendighet i alle nettverk. Systemansvarlige som bevæpner seg med styringsverktøy nå, vil kunne ri av denne stormen ganske greit. Resten står nok i fare for å bli tatt av bølgene.


                    Snart fullt

Mange av dilemmaene tilknyttet adressestyring er bivirkninger av det gjeldende adresseringsskjemaet for Internett, Internet Protocol versjon 4, som har opprettet rundt fire millioner adresser. Teknisk sett er en IPv4-adresse en 32-bits heksadesimal-notasjon delt opp i fire 4-bytes oktetter. Klassen bestemmes ved at man deler opp oktettene i faste deler og deler som kan tildeles.

I et klasse A-nettverk er den første oktetten fast, mens de gjenværende tre er tilgjengelige for verter. Klasse A-nettverk støtter 16 millioner adresser, som kan brukes i enheter som rutere og arbeidsstasjoner.

I et klasse B-nettverk er de første to oktettene faste, mens de gjenværende to er beregnet på verter. Et klasse B-nettverk kan støtte rundt 64 000 adresser.

I klasse C er de første tre oktettene faste, mens den siste er tilgjengelig for enheter, hvilket gir mulighet for 245 adresser.

Det gjeldende adresseringsskjemaet for Internett skaper et begrenset antall klasse A-nettverk og forholdsvis mange i klasse C. Klasse A-netterk er det i dag nær sagt umulig å få opprettet. Disse enorme adresseblokkene passer kun for de største multinasjonale selskapene, og få av disse har fortsatt behov for registrerte adresser.

Til dags dato er 65 prosent av klasse B-adressene alt tildelt, ifølge Kim Hubbard, teknologisjef ved Internet Network Information Center (InterNIC), gruppen som tildeler registrerte Internett-adresser. Derimot er bare 25 til 30 prosent av de tilgjengelige klasse C-adressene tildelt.

Ettersom det er under 7000 klasse B-designasjoner igjen, vil InterNIC måtte be hver organisasjon om å røpe ganske mye om sin tekniske infrastruktur. Kort sagt, skal du ha en klasse B-nettverksadresse, må du bevise at du virkelig trenger en.

- Man må fylle ut en IP-mal, sier Hubbard. - Vi trenger den foreløpige bruksplanen, maskeringsplaner for undernettverk og kopier av nettverksdesignene, dessuten må vi vite antall verter og antall verter per undernett.

Dersom undernettsskjemaet ikke er så effektivt som det burde være, skal du ikke se bort fra at InterNIC sender forslaget ditt tilbake til kladdeboka. Og selv om alt skulle gå bra, vil det uansett være vanskelig å få en klasse B-designasjon, med mindre du kan bevise at selskapets rutere ikke kan takle flere klasse C-nettverk.