IP地址管理原理与实践.pdf

资源描述

《IP地址管理原理与实践.pdf》由会员分享，可在线阅读，更多相关《IP地址管理原理与实践.pdf（364页珍藏版）》请在三一文库上搜索。

1、国际信息工程先进技术译丛 IP 地址管理原理与实践（美） Timothy Rooney 编著陈海英袁开银王玲芳等译机械工业出版社本书介绍了将网络管理科学应用到互联网协议地址空间及相关联的网络服务等内容。本书分为四个部分，第部分给出 IPv4、 IPv6 以及 IP 地址分配和子网划分技术综述；第部分描述用于 IPv4 和 IPv6 的 DHCP，并解释依赖于 DHCP 的各项应用、 DHCP 服务器部署策略以及 DHCP 和相关的网络接入安全；第部分描述 DNS 协议、 DNS 应用、部署策略和相关联的配置以及安全性；第部分描述以聚合方式管理

2、IP 地址空间的各项技术和日常 IP 地址管理功能。本书可作为 IP 网络规划人员、工程师和管理人员的实践用书，同时可供部署 IPv6 网络的技术人员参考。 Copyright 2011 by the Institute of Electrical and Electronics Engineers， Inc. All Rights Reserved. This translation published under license. Authorized translation from the English language edition， IP Address Man- age

3、ment： Principles and Practices， ISBN 978-0-470-58587-0， Timothy Rooney， Published by John Wiley & Sons. No part of this book may be re- produced in any form without the written permission of the original copy- rights holder. 本书原版由 Wiley 公司出版，并经授权翻译出版，版权所有，侵权必究。本书中文简体翻译出版授权机械工业出版社独家出版，并限定在中国大陆

4、地区销售，未经出版者书面许可，不得以任何方式复制或发行本书的任何部分。本书封面贴有 Wiley 公司的防伪标签，无标签者不得销售。本书版权登记号：图字 01-2011-7142。译者序 TCP/ IP 协议族是因特网的核心组件，对于这个发展到成熟阶段的全球网络而言，能够发展到今天，其起到了功不可没且至关重要的作用。有人说，从体系架构方面而言，因特网已经开始出现制约其发展的瓶颈，这主要是针对 IP 这个细腰来说的，认为它太细了，不能承载太多的来自网络层以上的多样化需求。但无论如何说，我们在目前还看不到任何技术可在短期内能够替代 IP 成为下一代全球

5、网络的支撑性关键技术。因特网的一个核心理念是端到端，这从 IP 报文格式中的源地址和目的地得以体现。 IP 地址是因特网的核心战略资源，无论是 IPv4，还是 IPv6，即使可用的地址池再大，面临日益复杂的巨型网络，其前景都是令人不容乐观的，所以 IP 地址的管理是维护网络正常运行、发展和演化的基础。本书分为四个部分。本书前三部分的焦点分别是三项核心 IPAM 功能： IP 寻址和管理、 DHCP 以及 DNS。第部分集成这三部分，描述管理技术和实践。第部分给出 IPv4、 IPv6 以及 IP 地址分配和子网划分技术的详细综述；第部分给出 IPv4

6、DHCP 和 IPv6 DHCP 的概述，并讲解依赖于 DHCP 的各项应用、 DHCP 服务器部署策略以及 DHCP 和相关的网络访问安全；第部分描述 DNS 协议、 DNS 应用、部署策略和相关联的配置以及安全性（包括 DNS 服务器和配置的安全以及 DNS- SEC）；第部分整合前三部分，讨论逻辑严密、协调一致地管理 IP 地址空间的各项技术，其中论及对 DHCP 和 DNS 的影响。本书由王玲芳负责第 1 和 2 章翻译以及全书译稿的统稿、校对等，袁开银负责第 3 10 章的翻译工作，陈海英负责第 11 15 章、词汇表、 RFC 索引的翻译工作。本

7、书在翻译过程中，吴秋义、李冬梅、潘东升、吴璟、王弟英、李虹、游庆珍、李传经、吴昊、李睿、刘学录、马安华、陈忠原、赵妍、费岚、李志刚、李岩、张瑞等同志参加了部分的翻译工作，在此表示感谢。另外，感谢互联网领域的先驱者、实践者和研究人员。不过，需要指出的是，本书的内容仅代表作者个人的观点和见解，并不代表译者及其所在单位的观点。另外，由于翻译时间比较仓促，疏漏错误之处在所难免，敬请读者原谅和指正。译者原书前言 IP 地址管理（IPAM）实践内容包括将网络管理学科知识应用到因特网协议（IP）地址空间和相关联的网络服

8、务（即动态主机配置协议（DHCP）和域名系统（DNS）。 IP 地址规划和 DHCP 服务器、 DNS 服务器配置之间的联系是不可分的。一个 IP 地址的改变会影响 DNS 信息，也许还会影响 DHCP。这些服务提供了如今融合服务 IP 网络的基础，该网络可提供独特的在任何时间、任何地点的通信能力。如果如笔记本计算机（膝上机）或 IP 语音（VoIP）电话等端用户设备不能通过 DHCP 得到一个 IP 地址，那么这些设备将是不可用的，此时用户将会给服务台打电话。类似地，如果没有正确配置 DNS，则依据名字、电话号码或网页地址导航的应用将同样地受到

9、影响，并导致服务台接到大量呼叫电话。在一个企业或服务提供商的 IP 网络管理策略中，有效的 IPAM 实践是一项核心构成。如此， IPAM 地址配置、变更控制、审计、报告、监视、故障解决和有关功能，都适用于以下三项基础 IPAM 技术。（1） IP 地址子网划分和记录跟踪（IPv4/ IPv6 寻址）：一项周密的 IP 地址规划的维护，这可提升路由汇总、维护准确的 IP 地址清单，并提供一项自动的各 IP 地址指派和记录跟踪机制。在每个子网上各 IP 地址指派的这项记录跟踪措施，包括由硬编码指派的那些地址（例如路由器或服务器）以及其他动态指派的那

10、些地址（例如笔记本计算机和 VoIP 电话）。（2） DHCP：与位置和设备类型有关的自动 IP 地址和参数指派。这要求对配置于设备上的地址指派记录跟踪，以及预留动态分配的地址池。为了支持设备请求一个 IP 地址，并相应地接收到一个位置相关的地址，可将这些地址配置于 DHCP 服务器上。（3） DNS：主机名的查找或解析，例如将 www 表项映射到 IP 地址。 IP 地址管理的这第三项关键功能处理的是，通过使用名字而不是 IP 地址建立 IP 通信，简化了 IP 通信的复杂度。毕竟，被映射的 IP 地址必须与 IP 地址规划保持一致。在本书前三部分中，

11、讨论了组成这三项核心功能的各项技术。在第部分的 IPAM 实践中，解释了它们的相互关系以及紧密一致地管理它们的各项实践。多数 IP 网络在不断地发生着变化，原因是日常的商务需求，如开新店、办公场所关闭或搬迁、注册公司以及新的设备和设备类型都需要 IP 地址。影响 IP 网络的这些变化以及其他变化对现有 IP 地址规划具有重大影响。随着用户数和 IP 地址数的增加，以及子网（或站点）数量增加， IP 地址分配、各项指派以及相关 DNS 服务器和 DHCP 服务器配置等的跟踪记录以及管理任务的复杂度也增加了。实际上，在相应技术章节中，讨论了组成 IPAM 实

12、践的几项措施，而且将这几项措施汇总于第部分的整体实践中。如今执行 IPAM 功能的最常见方法包括使用电子表格跟踪记录 IP 地址，使用文本编辑器或微软 Windows 配置 DHCP 和 DNS 服务器。如此，将使用样例电子表格数据和配置文件范例，将其应用到名为 IPAM 全球公司的一个虚构组织机构，由此在整部书通篇展示 IPAM 概念。这样做的意图是将技术和配置细节与一个真实世界范例联系起来。本书结构本书分成为四部分。本书前三部分的焦点分别是三项核心 IPAM 功能： IP 寻址和管理、 DHCP 和 DNS。第部分集成这三部分，描述管理技术和实践。第

13、部分： IP 寻址。本部分给出 IPv4、 IPv6 以及 IP 分配和子网划分技术的详细综述。第 1 章：因特网协议。本章从回顾 IP 首部开始，到分类的、无类的和专用 IP 寻址，全面讲解 IP （IPv4），讨论因特网协议的演化过程以及作为保留全球 IP 地址空间关键技术的网络地址转换和私有寻址技术的发展过程。第 2 章： IPv6 （因特网协议版本 6）。本章描述 IPv6 首部和 IPv6 寻址，包括地址表示、结构和当前因特网编号管理局（IANA）分配。本章包括依据类型而分的各种地址（即保留地址、全局单播地址、唯一本地单播地址、链路本地

14、地址和组播地址）分配的详细讨论，也描述了特殊用途的地址，包括请求（solicited）节点地址和节点信息查询地址。本章接下来讨论修改的 EUI-64 算法和地址自动配置，最后以保留的子网任意播地址和 IPv6 主机所必需的地址讨论结束本章。第 3 章： IP 地址分配。本章讨论 IPv4 和 IPv6 地址空间 IP 地址块分配的各项技术，包括最佳拟合层次结构地址分配逻辑和范例，以及 IPv6 稀疏的和随机的分配方法。本章也讨论独特的本地地址空间和因特网注册机构的作用。地址块分配是 IP 地址管理的一项重要功能，它为 DHCP 和 DNS 服务的配置奠定了

15、基础。第部分：动态主机配置协议（DHCP）。本部分给出 IPv4 DHCP 和 IPv6 DHCP 的概述，并讲解依赖于 DHCPv6 的各项应用、 DHCP 服务器部署策略以及 DHCP 和相关的网络访问安全。第 4 章： DHCP。本章描述 DHCP，包括协议状态、消息格式、选项和范例的讨论。给出标准选项参数及其描述的一览表。第 5 章：用于 IPv6 的 DHCP （DHCPv6）。本章讲解 DHCPv6，包括与 DHCPv4 的比较、消息格式、选项和范例。并给出 DHCPv6 选项参数的一览表。第 6 章： DHCPv6 的各项应用。在前面

16、两章的技术性讨论之后，本章重点突出了 DHCP 的终端用户工具，描述依赖于 DHCP 的各项关键应用，包括 VoIP 设备准备工作、宽带接入准备工作、 PXE （Preboot execute Environment，预启动执行环境）客户端初始化和租期限制。第 7 章： DHCP 服务器部署策略。本章从服务器尺寸确定、数量和位置等方面讲解 DHCP 服务器部署的折中考虑因素。将讨论涉及分布式方法和中心式方法的 DHCP 部署选项，也将讨论冗余的 DHCP 配置。第 8 章： DHCP 和网络接入安全。本章讲解 DHCP 安全考虑因素，并讨论 DHCP 原书

17、前言作为一个组件的网络接入安全问题。描述一个 DHCP 受控的门户配置范例，作为有关网络接入控制（NAC）方法的一个总结，其中包括基于 DHCP 的方法，基于交换机的、 Cisco NAC 和微软 NAP 方法。第部分：域名系统（DNS）。本部分描述 DNS 协议、 DNS 应用、部署策略和相关联的配置以及安全（包括 DNS 服务器和配置的安全以及 DNSSEC）。第 9 章： DNS 协议。本章给出 DNS 的综述，包括 DNS 概念、消息细节以及协议扩展的讨论。讲解的 DNS 概念包括基本解析过程，前向域和反向域、根信息、本地- 主机域等

18、的域树，以及解析器配置。消息细节包括 DNS 的编码（包括 DNS 头部、标签格式）以及国际域名的综述。 DNS 更新消息格式化过程也作为 EDNS0 加以讨论。第 10 章： DNS 应用和资源记录。在第 9 章的基础上，本章描述依赖于 DNS 的关键应用，包括域名解析、服务定位、 ENUM （Telephone Number Mapping，电话号码映射）、采用黑/ 白名单列表的反垃圾技术、 SPF （Sender Policy Framework，发送者策略框架）、 Sender （发送者 ID） ID 和 DKIM （Domain Keys Ident

19、ified Mail，域名密钥可识别的邮件）。在相关联资源记录的上下文中给出应用支持的讨论内容。第 11 章： DNS 服务器部署策略。在本章中，讲解 DNS 部署策略和所做出的折中。 DNS 服务器部署场景包括外部 DNS、因特网缓存、隐藏的主控/ 从属（masters/ slaves）、多主控、视图、转发、内部根和任意播。第 12 章：保障 DNS 安全（第部分）。本章是有关 DNS 安全的两章中的第部分。本章讲解与 DNS 安全有关的各种话题，不包括 DNSSEC （DNS 安全扩展）（在有关 DNSSEC 的一章中讲述）。首先给出已知的

20、DNS 弱点，接下来给出每个弱点的缓解方法。第 13 章：保障 DNS 安全（第部分）： DNSSEC。本章详细讲解 DNSSEC，讨论产生密钥、区域（zone）签名、安全地解析名字和轮换（rolling）密钥的过程，还讨论一个范例配置。第部分： IP 地址管理（IPAM）集成。本部分整合前三部分，讨论了紧密一致管理 IP 地址空间的各项技术，包括对 DHCP 和 DNS 的影响。第 14 章： IPAM 实践。本章描述日常 IP 管理功能，包括 IP 地址分配和指派、重新编号、移动、分割、合并、 DHCP 和 DNS 服务器配置、

21、地址清单管理、故障管理、性能监测和灾难恢复。本章是围绕 FCAPS 网络管理模型组织的，强调了将一种科学性的 “网络管理” 方法应用到 IPAM 的必要性。第 15 章： IPv6 部署和 IPv4 共存。在一个 IPv4 网络中实现 IPv6，将促进 IPv4 和 IPv6 协议的长期共存。本章给出共存策略的细节，将其分组为有关双栈、隧道方法和转换技术等节。涵盖内容包括 6to4、 ISATAP、 6over4、 Teredo、 DSTM，及隧道代理打隧道方法，和 NAPT-PT、 SOCKS、 TRT、 ALG 以及栈中打楔子或 API 转换方法。本章

22、以一些基本迁移场景结束。 Timothy Rooney 宾夕法尼亚州， Norristown IP 地址管理原理与实践目录译者序原书前言第部分 IP 寻址第 1 章因特网协议1 1. 1 因特网协议历史的精彩部分1 1. 1. 1 IP 首部3 1. 2 IP 寻址4 1. 2. 1 基于类别的寻址5 1. 2. 2 因特网增长带来的痛苦6 1. 2. 3 私有地址空间8 1. 3 无类别寻址10 1. 4 特殊用途地址11 第 2 章 IPv6 （因特网协议版本 6）12 2. 1 引言12 2. 1. 1 IPv6 关键功能特征13 2. 1. 2 IPv6 首部13 2.

23、1. 3 IPv6 寻址14 2. 1. 4 地址表示法15 2. 1. 5 地址结构16 2. 2 IPv6 地址分配17 2. 2. 1 ： /3 保留地址18 2. 2. 2 2000： /3 全局单播地址空间18 2. 2. 3 FC00： /7 唯一本地地址空间18 2. 2. 4 FE80： /10 链路本地地址空间19 2. 2. 5 FF00： /8 组播地址空间19 2. 2. 6 特殊情形的组播地址22 2. 2. 7 带有内嵌 IPv4 地址的 IPv6 地址24 2. 3 IPv6 地址自动配置24 2. 4 邻居发现25 2. 4. 1 改进的 EUI-64 接口标识

24、符25 2. 4. 2 重复地址检测26 2. 5 保留的子网任意播地址27 2. 6 必备的主机 IPv6 地址28 第 3 章 IP 地址分配29 3. 1 地址分配逻辑31 3. 1. 1 顶层分配逻辑32 3. 1. 2 第二层分配逻辑33 3. 1. 3 地址分配第 3 部分37 3. 1. 4 分配均衡和跟踪38 3. 1. 5 IPAM 全球公司的公开地址空间40 3. 2 IPv6 地址分配41 3. 2. 1 最佳拟合分配41 3. 2. 2 稀疏分配方法42 3. 2. 3 随机分配43 3. 2. 4 唯一的本地地址空间44 3. 3 IPAM 全球公司的 IPv6 地址

25、分配44 3. 4 因特网注册机构48 3. 4. 1 RIR 地址分配50 3. 4. 2 地址分配效率52 3. 5 多穴接入法和 IP 地址空间52 3. 6 地址块分配和 IP 地址管理54 第部分动态主机配置协议（DHCP）第 4 章 DHCP55 4. 1 引言55 4. 2 DHCP 综述55 4. 2. 1 DHCP 消息类型58 4. 2. 2 DHCP 报文格式60 4. 3 DHCP 服务器和地址指派62 4. 3. 1 依据类的设备识别63 4. 4 DHCP 选项65 4. 5 动态地址指派的其他方式75 第 5 章用于 IPv6 的 DHCP （DHCPv6

26、）76 5. 1 DHCP 比较： DHCPv4 和 DHCPv676 5. 2 DHCPv6 地址指派77 5. 3 DHCPv6 前缀委派79 5. 4 DHCPv6 对地址自动配置的支持79 5. 4. 1 DHCPv6 消息类型79 IP 地址管理原理与实践 5. 4. 2 DHCPv6 报文格式81 5. 5 设备唯一标识符82 5. 5. 1 DUID-LLT82 5. 5. 2 DUID-EN83 5. 5. 3 DUID-LL83 5. 6 身份关联83 5. 7 DHCPv6 选项84 第 6 章 DHCPv6 的各项应用91 6. 1 多媒体设备类型特定配置91 6. 2

27、宽带订户配置信息准备92 6. 3 有关租期指派或限制的各项应用96 6. 4 预启动执行环境客户端96 6. 4. 1 PPP/ RADIUS 环境97 6. 4. 2 移动 IP98 第 7 章 DHCP 服务器部署策略99 7. 1 DHCP 服务器平台99 7. 1. 1 DHCP 软件99 7. 1. 2 虚拟机 DHCP 部署99 7. 1. 3 DHCP 仪器设备99 7. 2 中心式 DHCP 服务器部署100 7. 3 分布式 DHCP 服务器部署101 7. 4 服务器部署设计考虑102 7. 5 在边缘设备上部署 DHCP105 第 8 章 DHCP 和网络接入安全107

28、 8. 1 网络接入控制107 8. 1. 1 采用 DHCP 的区分性地址指派107 8. 2 其他接入控制方法112 8. 2. 1 DHCP LeaseQuery112 8. 2. 2 层 2 交换机提醒112 8. 2. 3 802. 1X113 8. 2. 4 Cisco 网络接纳控制114 8. 2. 5 微软网络接入保护114 8. 3 使 DHCP 安全116 8. 3. 1 DHCP 威胁116 8. 3. 2 DHCP 威胁缓解措施117 8. 3. 3 DHCP 认证117 目录第部分域名系统（DNS）第 9 章 DNS 协议119 9. 1 DNS 综述域和

29、解析119 9. 1. 1 域层次结构119 9. 2 名字解析120 9. 3 区域和域123 9. 3. 1 区域信息的传播125 9. 3. 2 反向域126 9. 3. 3 IPv6 反向域129 9. 3. 4 其他区域132 9. 4 解析器配置132 9. 5 DNS 消息格式134 9. 5. 1 域名的编码134 9. 5. 2 名字压缩135 9. 5. 3 国际域名136 9. 5. 4 DNS 消息格式137 9. 5. 5 DNS 更新消息143 9. 5. 6 DNS 扩展（EDNS0）145 9. 5. 7 资源记录146 第 10 章 DNS 应用和资源记录1

30、47 10. 1 引言147 10. 1. 1 资源记录格式147 10. 2 名字-地址查询应用149 10. 2. 1 主机名和 IP 地址解析149 10. 2. 2 别名主机和域名解析150 10. 2. 3 网络服务定位151 10. 2. 4 主机和文本信息查找152 10. 2. 5 DNS 协议运营性的记录类型154 10. 2. 6 动态 DNS 更新唯一性验证155 10. 2. 7 电话号码解析156 10. 3 EMAIL 和反垃圾邮件管理159 10. 3. 1 电子邮件和 DNS159 10. 3. 2 白名单或黑名单方法163 10. 3. 3 发送者策略框架16

31、3 10. 3. 4 发送者 ID167 10. 3. 5 域名密钥可识别的邮件168 IP 地址管理原理与实践 10. 3. 6 历史上出现过的电子邮件资源记录类型170 10. 4 安全应用171 10. 4. 1 保障名字解析的安全 DNSSEC 资源记录类型171 10. 4. 2 其他面向安全的 DNS 资源记录类型176 10. 4. 3 地理定位查找179 10. 4. 4 非 IP 主机地址查找180 10. 4. 5 Null 记录类型181 10. 5 试验型的名字-地址查找记录181 10. 5. 1 IPv6 地址链 A6 记录（试验型的）181 10. 5. 2 A

32、PL 地址前缀列表记录（试验型的）182 10. 6 资源记录小结183 第 11 章 DNS 服务器部署策略187 11. 1 通用的部署指导原则187 11. 2 通用的部署构造块188 11. 3 外部-外部分类189 11. 3. 1 外部 DNS 服务器190 11. 4 外部-内部分类193 11. 4. 1 外部网 DNS 服务器部署193 11. 5 内部-内部分类194 11. 5. 1 内部解析 DNS 服务器194 11. 5. 2 内部委派 DNS 主/ 从服务器195 11. 5. 3 内部根服务器196 11. 5. 4 隐秘的从属 DNS 服务器198 11.

33、5. 5 多层服务器配置198 11. 6 内部-外部分类199 11. 6. 1 混合权威/ 缓存 DNS 服务器199 11. 6. 2 专用的缓存服务器200 11. 6. 3 外网解析服务器203 11. 7 交叉角色分类204 11. 7. 1 分割视图 DNS 服务器204 11. 7. 2 采用任意播地址部署 DNS 服务器209 11. 8 将所有情况整合起来212 第 12 章保障 DNS 安全（上）213 12. 1 DNS 弱点213 12. 1. 1 解析攻击214 12. 1. 2 配置攻击和服务器攻击215 12. 1. 3 拒绝服务攻击216 目录 12.

34、2 缓解方法216 12. 3 非 DNSSEC 安全记录217 12. 3. 1 TSIG 事务签名记录217 12. 3. 2 SIG （0）涵盖空类型的签名记录218 12. 3. 3 KEY 密钥记录219 12. 3. 4 TKEY 事务密钥记录219 第 13 章保障 DNS 安全（下）： DNSSEC221 13. 1 数字签名221 13. 2 DNSSEC 综述222 13. 3 配置 DNSSEC224 13. 3. 1 产生密钥224 13. 3. 2 将密钥添加到区域文件230 13. 3. 3 对区域签名230 13. 3. 4 链接信任链242 13. 4 DNSSEC 解析过程245 13. 4. 1 验证签名245 13. 4. 2 经过认证的存在性拒绝247 13. 4. 3 在一个信任链中的父区域委派248 13. 5 密钥轮换250 13. 5. 1 自动的信任锚点轮换252 13. 5. 2 DNSSE

展开阅读全文