虛擬IP的管理 作者:曾保彰 / 臺灣大學計算機及資訊網路中心資訊網路組技正 為配合臺大邁向一流頂尖大學,追求研究卓越與教學卓越之目標,計資中心擬在支援研究教學與校務行政的資通訊服務上,扮演積極、主動的角色,提供創新前瞻的服務。所以我們針對全校研究團隊建置一個安全、具可擴充性,又能依團隊各自研究需求量身打造的安全運算、儲存與通訊環境 ─ 台大筋斗雲服務。 無論是流覽網頁、收Email、或使用智慧型手機,都必需使用Internet Protocol(IP)。而目前所使用的是IPv4(IP version 4)協定,因網際網路膨脹成長早就不夠用。所以包括本校很多地方,變成很多人就必需共用一個IP,這也是使用虛擬IP的由來。相對於真實IP,使用虛擬IP的缺點是使用上有很多的限制,如虛擬IP不能當伺服器及有些應用程式無法使用..等,但它最大的的問題還是管理,尤其是發生資安事件時,會找不到肇事者,本文會針對虛擬IP管理的問題作初步的探討。 為何要用虛擬IP IPv4協定下所能提供的4294967296組 (或2的32次方,約43億)實際網路IP位址,最近看到一則新聞是由Internet Corporation for Assigned Names and Numbers(ICANN)所發佈的,ICANN是管全世界的IP及網域名稱(Domain Name)的機構,完整內容如[1],由這篇報導得知最後的3千3百萬個IP將在今年發完。面對IP不足問題,反問每個人要用多少IP才夠用?這個答案只要是未來網際網路繼續膨脹發展,一定是不只一個,如我有一台桌上型電腦,又有一台筆記型電腦,又有一台手機要上網,這樣加一加就要三個IP才夠我使用,所以約43億個IP是不夠全世界數十億人類使用,而解決IP不足的方式有二個:一是使用IPv6(IP version 6),一是使用虛擬IP。IPv6因普遍性的不足,並非本文章討論的主題;目前還是只有IPv4廣為大眾使用,而解決IP不足的問題,只能用虛擬IP的技術解決。 虛擬IP的範圍 IP的分類依Internet Engineering Task Force (IETF)所發表的RFC1918[2],主要分為真實IP(public IP或公開IP或實體IP)及虛擬IP(private IP或私有IP),就像大家門口的門牌號碼一樣,每一戶都會有一個不重複、唯一的門牌號碼,在網路的世界,每台電腦對外也會有一個IP位址當作他的門牌號碼。如果外面的電腦要連線到你的電腦,則必須知道你的IP,就像郵差需要知道你家門牌號碼是幾號才能送信給你一樣,而這個公開給所有人知道的IP,就是真實IP。 因真實IP不夠用,而導致當使用者比真實IP還多時,就必需有許多人共用真實IP,這也是大家熟稱的IP分享,所以市場上有IP分享器的產品,而IP的表示方式(或使用範圍)為0.0.0.0至255.255.255.255,其虛擬IP的範圍如下表: Name | IP address range | number of addresses | 24-bit block | 10.0.0.0 – 10.255.255.255 | 16,777,216 | 20-bit block | 172.16.0.0 – 172.31.255.255 | 1,048,576 | 16-bit block | 192.168.0.0 – 192.168.255.255 | 65,536 | 而虛擬IP的使用方式是不能變成真實IP使用,使用者到要到網際網路的世界需經過網路位址轉換(Network address translation, NAT)的機制,這個機制會把網路封包內容的虛擬IP變成真實IP。 NAT機制及虛擬 IP管理 因為虛擬IP在internet 上找不到,所以使用虛擬IP在出internet前會變成真實IP。詳細的運作原理如圖一,而在此我們是以虛擬IP要到台大首頁為例,當出NAT時後,虛擬IP就會被轉換為真實IP。 當我們選擇使用NAT時,最大的網路管理問題來了,就是當真實 IP在INTERNET有違規時,受害者只會看到真實 IP,而這個真實 IP有可能同時是有很多虛擬 IP共用,這時所有共用的虛擬 IP都有懸疑,要找出違規的虛擬IP,就必需要有以下功能的NAT才能辦得到: - 動態主機設定協定(Dynamic Host Configuration Protocol, DHCP),是一個區域網路的網路協定,它主要的用途是給內部網路自動分配IP位址給用戶,以NAT為例會採用虛擬 IP,這時通常虛擬IP數遠大於會來申請的使用電腦的數目,這樣就不會導致IP不夠用。
- 必需可以作使用者認證,例如帳號密碼認證,經過認證後才能知道誰用了那個虛擬IP。
- 對所有的網路行為作紀錄(LOG),當有受害者檢舉虛擬 IP所共用的真實 IP違規時,根據LOG就可以得知那個虛擬 IP所為,在利用虛擬 IP去對應認證使用者。
有以上三個功能,虛擬 IP的管理就可以達到真實IP的一般程度。 結論 面對系所的真實 IP不夠用,請師生改用虛擬IP是唯一的解決方式,各系所的網管就要面對虛擬IP的管理問題。本文只是把使用虛擬 IP的優點及管理作簡單的介紹,實際在運作時,尤其是帳號的認證系統,計資中心也可以給一些協助,如果有此需求的系所可以請計資中心幫忙,這樣就能讓本校資訊安全能更完備。 參考文獻 [1] http://www.icann.org/en/news/releases/release-03feb11-en.pdf [2] http://tools.ietf.org/html/rfc1918 |