【IT168 资讯】一、运营商行业基本现状和应用分析

　　动态主机配置协议(DHCP)用来自动分配用户IP地址。当新用户连接到网络时，DHCP服务器自动为用户分配IP地址、子网掩码、默认网关、DNS服务器IP地址等网络参数。

　　运营商网络服务着数百万的用户，这些用户包括宽带、移动、无线和拨号用户，为如此庞大的用户提供接入服务，IP地址管理是一个严峻的挑战。

　　有两种方式管理IP地址。对于服务器，使用静态IP地址分配，通过DNS服务为用户提供服务;对于用户，通过动态地址分配。

　　DHCP为动态地址分配提供比较好的解决方案，保证了地址的动态分配与回收，节省了管理时间，提高了效率。

　　典型的运营商网络环境下的DHCP处理方式是：许多接入网络拥有各自的DHCP中继服务器，然后连接到数据中心的DHCP服务器群。

　　问题:

　　可用性：DHCP服务器在网络中占据着极其关键的位置，它一但失效，会影响着数百万用户的接入访问，这直接影响到运营商的SLA和关系到运营商的信誉。所以一个弹性的、运营商级的DHCP服务需要在任何环境下能够分发任何接入服务。

　　DHCP地址管理：使用传统的服务器负载均衡方式来处理DHCP，会带来地址管理的复杂性。

　　通常这类服务器群被社区用户和企业网络所组成的许多网络使用。每一个连接设备需要与它所相连的网络相关的IP地址。这需要在所有的服务器中同步这些地址，这是个非常困难的处理过程，几乎不可能实现。另外，在不重叠的子网范围内分配地址，需要让用户被重定向到与接入网络相适应的IP地址的DHCP服务器中。

　　可扩展性：DHCP服务器性能受制于并发处理DHCP用户的数量，所以仅能管理有限的地址块。用户是不断在增加的，并且要求增加服务器性能时做到平滑和透明，不影响在线用户。

　　DHCP性能：DHCP响应必须是实时的，低延迟的。

　　安全性：DHCP服务器暴露在多种攻击之下。它们通常采用通用操作系统，UDP flood攻击就能使服务器瘫痪。攻击者在短时间内发送成千上万的特定的DHCP请求，产生泛洪DHCP flood攻击，在消耗带宽的同时占用大量可分配的地址资源，造成DHCP服务器无地址可分配。

　　为了保证DHCP服务在任何情况下能够工作，安全威胁是必须考虑的问题。

　　二、Radware 解决方案

　　2.1 运营商方案简述

　　AppDirector作为 Radware APSolute应用产品家族的一员，其解决方案保证了可信赖的、快速的和安全的DHCP服务。AppDirector使运营商通过消除性能瓶颈、保障应用可靠性、降低基础设施成本以及简化数据中心管理来发挥在DHCP应用的全部潜力。

　　AppDirector集成了Radware数Gbps性能的智能应用交换机硬件平台和APSolute OS网络智能来保证本地和全局DHCP服务器的可用性，加速DHCP的性能，集成的入侵防御功能、拒绝式服务攻击保护功能确保DHCP应用的快速、可靠、安全的分发。

　　2.2 Radware DHCP解决方案

　　AppDirector解决了运营商DHCP服务面临的挑战，提供了完全的、方便的管理和扩展DHCP管理功能。

　　DHCP地址管理

　　AppDirector提供了少有的的应用智能技术来支持DHCP服务器群。使用基于DHCP参数(Giaddr)的第七层决策功能，AppDirector可以管理DHCP服务器群，它们具有多重地址范围，并且在不重迭的方式下分布于多服务器中。使用七层策略，AppDirector可以识别DHCP请求属于哪些服务器的管辖范围，同时将服务器的健康状况(包括动态地址的可用性)和实时负载情况进行计算。另外，AppDirector还基于Transaction ID的服务器会话保持，直到用户和服务器4次握手处理完成，用户取得IP地址。这样，AppDirector保证了DHCP服务的平滑操作和轻松扩展。

　　高可用性

　　DHCP服务器方面：AppDirector使用集成的APsolute OS健康检查模块(HM)提供了多个监控DHCP实际分发给用户的内嵌式设计，保证了DHCP服务的可用性。

　　标准DHCP检测

　　模块同时检测服务器的硬件和DHCP软件的工作情况。

　　高级DHCP检测

　　一个特殊的健康检查模拟DHCP请求，不仅检测DHCP软件的工作状态，而且还检查每个DHCP服务器是否还有可用地址进行分配。当一个服务器的DHCP地址已经用完了，AppDirector能够通过高级健康检查来识别服务器的回应，确认这种情况的发生。AppDirector根据DHCP回应信息和Giaddr域的内容来识别服务器地址是否耗尽，一旦发生这种情况，AppDirector认为这台DHCP服务器不可用，通过使用上述的少有的技术，AppDirector将用户请求重定向到其他动态地址资源可用的服务器中。

　　AppDirector方面：AppDirector通常布署2台冗余的设备来确保消除单一故障点和主设备发生故障时无缝的服务接管。

　　全局DHCP布署

　　AppDirector可以管理多个数据中心的DHCP服务器群。AppDirector全局解决方案将DHCP服务器布署到多个地理位置不同的站点，提供异地容错备份保证全局DHCP服务可用。AppDirector拥有专利技术的全局解决方案可以基于站点实时可用性、负载、和网络就近性的信息重定向DHCP请求到最轻负载和响应最快速的的数据中心。通过实施全局解决方案，运营商可以实现完全容灾，保证服务的持续性以及优化DHCP响应时间。

　　可扩展性

　　扩展DHCP服务器群对运营商网络环境来说是一种挑战，通常有多个DHCP中继分别处理不同地址范围的DHCP请求。为了避免服务器群中多个DHCP服务器IP地址的动态同步的复杂性，IP地址范围可以拆分为无重叠的子网，然后分配到许多服务器中。AppDirector可以配置为识别哪些地址范围属于哪台服务器，然后基于L7的DHCP信息重定向DHCP请求到适当的服务器。

　　AppDirector使用其智能交换技术可以透明地扩展DHCP服务器的规模，只需要简单地增加服务器到配置的服务器群中，同时原有服务器可以正常服务，保护用户原有投资。

　　AppDirector产品家族具有丰富的产品线，可以满足从低端到高端的各种需求，最大可以支持6Gbits的吞吐率。

　　AppDirector的统计报表提供了DHCP服务器吞吐量和连接数，每个服务器群和每台服务器完全的可视化界面，为用户性能分析提供了依据。

　　性能

　　为了使DHCP服务器能够及时相应用户请求，AppDirector重定向每一个请求到负载最轻的服务器，保证快速响应。除此之外，AppDirector集成了带宽管理模块，定义带宽管理策略为DHCP保证分配带宽和优先级。

　　安全

　　Radware APSolute OS安全模块集成在AppDirector中消除对安全威胁：

　　使用APSolute OS集成DOS攻击保护模块可以阻止特定的DHCP攻击。DOS攻击保护模块通过跟踪DHCP信息中的请求设备MAC地址，检测出DHCP泛洪攻击。DOS攻击保护模块根据预先设置的请求阀值和频率，阻断所有来自相同MAC地址的请求。

　　DHCP服务器同样存在基于UDP泛洪攻击的漏洞。UDP泛洪攻击非常容易产生大量的无连接UDP数据包，攻击者冒充用户发出大量请求去到服务器。APSolute OS行为DOS攻击保护模块能够自动地识别和阻断UDP泛洪攻击。行为分析引擎自动创建攻击特征码，阻断泛洪攻击，并且让合法流量正常通过。从而保护服务器免受UDP泛洪攻击。

　　APSolute OS集成IPS模块可以保护操作系统级别的漏洞，避免受攻击。对于每个通用操作系统，IPS模块都预定义了一个组，包括了相应的攻击特征。Radware完全更新服务能够自动更新这些攻击特征，保护新出现的操作系统漏洞不受攻击。

　　另外，除上述攻击外，在运营商DHCP环境下，所有的DHCP请求都来自少数DHCP中继服务器。这样，就可以利用AppDirector内建的访问控制功能，只允许这部分DHCP中继服务器访问DHCP服务器。

　　三、Radware 解决方案的主要优势

　　使用AppDirector来实施DHCP解决方案，可以为运营商带来如下优点：

　　3.1 DHCP服务的完全可用性

　　提高服务质量，提高了用户连接的服务质量和SLA，提升了运营商的信誉，留住更多的用户。

　　3.2 保护了运营商的现有投资

　　可以透明增加DHCP服务器，不需要改动现有服务器。

　　3.3 提高用户满意度

　　提高DHCP响应时间让用户更加满意。

　　3.4 减少了DHCP服务器的管理和维护成本

　　例如可以将服务器集中到一个或少数几个数据中心。使用AppDirector，DHCP服务器群可以集中管理。可以对服务器自动停机维护，不会造成应用的中断。

　　3.5 安全性

　　降低运营商暴露在安全威胁下的风险程度，维护和提升运营商的信誉。

　　3.6 提高灵活性和可扩展性

　　提供无缝的DHCP服务的扩展性和性能提升。

　　四、Radware 独特技术优势

　　运营商级别的DHCP服务器可用性。

　　提高可用性的水平的本质是识别并且绕过任何的软件或硬件故障，以及过度的地址消耗影响连接的分发。只有使用AppDirector的扩展的预定义DHCP健康检测功能，正确的在多个站点实施重定向功能，才能保证运营商级别的DHCP服务器可用性。

　　任何环境下的服务分发

　　为了实现运营商的SLA水平，增加新用户，运营商必须保证服务的分发能够在任何的可预见或不可预见的环境下实现。无论是掉电、地震还是DHCP DOS攻击。因为DHCP是所有用户的服务入口点，所以DHCP服务至关重要。

　　只有使用AppDirector，所有这些不可预见的灾害可以通过唯一集成解决方案保证DHCP服务的分发成为可能。

　　降低DHCP管理成本

　　AppDirector 的基于特定DHCP参数的L7重定向，可以克服多地址段服务器间的同步问题，通过配置，可以以简单的方式进行管理，极大的简化了处理过程。

　　极强的DHCP可扩展性

　　AppDirector不但可以透明地扩展DHCP服务器，提升服务的性能，而且能够提供极强的转发能力，可以在一台设备提供数G流量的DHCP转发。

　　降低DHCP漏洞带来的风险

　　AppDirector是唯一通过多种手段确保DHCP服务可用的ADC解决方案。解决通用操作系统的漏洞带来的风险，降低DOS攻击和UDP泛洪攻击，以及DHCP DOS攻击的威胁。AppDirector是目前唯一降低DHCP安全风险，确保DHCP服务的解决方案。