IP地址管理功能可以进行IP/MAC地址的分配和自动化开通，实现集中式、有效的IP地址管理，同时支持IPv4/IPv6地址协议。通过IP开通自动化来控制操作成本；提供实时、准确的交换机端口和IP/MAC的对应信息，协助IT维护人员对故障IP地址进行快速定位；实时跟踪IP/MAC地址的变更，及时对废弃的IP地址进行回收和再利用，优化网络资源的使用率。

    IP地址审计功能详细记录每个MAC地址使用不同IP地址的时间段，可以根据事件关联的IP地址及其发生的时段，反推出该IP地址在那个相应时段所对应的MAC地址。MAC地址的审计详细记录每一MAC地址在不同时间段的网络接入点，即每一MAC地址在不同时段接入的交换设备端口。这样就可以根据IP地址关联的MAC地址结合时间段，反推出该MAC地址的接入交换机端口，即定位到事件关联IP的物理终端上。即使发生IP冒用，MAC地址的篡改，甚至有人“克隆”， IP地址审计仍可进行追踪定位。

    IP地址调和功能支持对IP-MAC-PORT进行三重绑定，并可以查看三者之间绑定的关系，如IP地址和MAC的关系，MAC地址与交换机端口的关系。通过基准表，将实时获取的实时IP-MAC-PORT信息用来与基准表进行对比，对比分析的差异会触发差异处理方案。对网络环境中出现的IP变更、IP回收、新增终端及终端IP/MAC变更等异常进行告警。不仅帮助网络管理员正常管理网络环境，还从一定程度上保护了内部网络资源，保障IP地址有效利用，极大地提高了网络管理的工作效率。

    动态主机配置协议（DHCPv4）是一种使网络管理员能够集中管理和自动分配 IP 网络地址的通信协议。在 IP 网络中，每个连接 Internet 的设备都需要分配唯一的 IP 地址。DHCP 使网络管理员能从中心结点监控和分配 IP 地址。当某台计算机移到网络中的其它位置时，能自动收到新的 IP 地址。

    动态主机配置协议（DHCPv6）向 IPv6 主机提供有状态的地址配置或无状态的配置设置。IPv6 主机可以使用多种方法来配置地址：无状态地址自动配置 用于对链接本地地址和其他非链接本地地址两者进行配置，方法是与相邻路由器交换路由器请求和路由器公告消息；有状态地址自动配置 通过使用如 DHCP 的配置协议，用来配置非链接本地地址。

 

    域名解析协议（DNS），IP地址是网络上标识您站点的数字地址，为了方便记忆，采用域名来代替IP地址标识地址。DNS域名解析就是域名到IP地址的转换过程。域名的解析工作由DNS服务器完成。域名解析也叫域名指向、域名配置及方向IP地址登记等，DNS解析服务可以实现权威或递归等类型的解析。

    边界准入和访客授权接入可以提供对未授权IP/MAC地址提供二次访问的授权机制，解决非授权IP接入，私设路由交换等的安全隐患。同时可以将接入客户，按安全级别分为以下几类；永久授权客户（分配固定IP地址）、永久授权客户（分配动态IP地址）、临时授权客户、未授权客户。

 
CNS网络核心服务自动化开通平台系统规格型号：

指标/型号	CNS-APP 200系列	CNS-APP 500系列	CNS-APP 1000系列	CNS-APP 1500系列
IP地址数量   DHCP LPS指标	不低于1500   UP 100	不低于8000  UP 500	不低于5万  UP 1000	无限制  UP 2000
DNS QPS指标	UP 12,000	UP 50,000	UP 120,000	UP 800,000
内存容量	>=2G	>=4G	>=4G	>=8G
存储容量	1TB	1TB	1TB	1TB
电口	4个千兆电口	4或6个千兆电口	6个千兆电口	6个千兆电口
光口	无	无	可选	可选

1、架构
    采用专用硬件平台，不采用传统的服务器+通用操作系统+DHCP/DNS软件的形式
    采用专用的内置的、不需维护的数据库，保证数据存储的有效性
    采用专用的、经过加固的嵌入式操作系统
    支持双机HA，实现双设备中单一设备故障时的高可用性
    采用企业级硬盘存储介质，容量1TB，扩展支持RAID
    设备集成DNS、DHCP、NTP、TFTP、无线BYOD指纹识别控制、IP地址管理审计、IP地址接入控制、IP地址调和、智能DNS解析、应用服务器宕机检测、DNS流量调度、终端服务端口扫描审计、全面支持IPv6
    联动交换机的DHCP SNOOPING和DAI功能，可以预防IP地址冲突、ARP病毒、伪DHCP
    接口要求：提供四或六个100 /1000Mbps电口，扩展支持光口

2、管理功能
    用户界面支持中文，并具有纠错功能
    支持分权分域的管理模式，实现多层次管理，不同用户分配不同权限，包括管理DNS和DHCP的权限等 
    支持系统的软件升级功能 
    支持将内部数据方便的导出
    支持将数据库内容方便的备份
    支持将设备的日志文件方便的导出
    设备必须支持SNMPv1、v2c、v3
    设备必须支持Web远程管理
    设备支持Telnet或ssh
    设备支持Syslog日志重定向
    设备支持多维度DNS和DHCP报表分析

    

 3、提供NTP服务
    支持NTP协议，RFC1119、RFC1305等
    兼容同步多种接入设备的时钟，包括网络设备、服务器、PC、小型机等各类型设备
    支持作为一级时间同步服务器，同步接入设备的时钟 
    支持作为二级时间服务器同步于外部NTP网络时间服务器
    支持配置多个外部NTP网络时间服务器，可以灵活排序

4、提供DNS服务
    支持的DNS RFC标准：
     RFC1034和1035，支持扩展DNS协议RFC2672、RFC2782、RFC3596
     增量区域数据传输，RFC 1995 
     区域变化通知，RFC 1996
     无类别的 IN-ADDR.ARPA指派，RFC 2317; RFC 2373,RFC 2374 ,RFC 2375
    支持定义DNS View（视图）、DNS Zone（区域）
    支持定义A/AAAA/PTR/TXT/CNAME/DNAME/MX/NS/SRV/NAPTR/等资源记录
    支持DNS Zone（区域）委派授权，支持DNS转发和条件转发
    支持多重DNS主/备冗余模式；支持DNS集中管理，统一下发控制
    支持权威/递归DNS域名解析，支持DNS正向/反向域名解析
    支持DNS轮询、支持DNS筛选、服务状态筛选；线路繁忙筛选等多种服务均衡算法
    支持大规模VOIP部署，支持ENUM DNS，支持DNS黑名单管理，支持DNS域名过滤，URL重定向等
    微软AD域支持，要求支持共享记录，支持和微软AD域结合，支持DDNS
    支持DNS智能解析，支持设定网通、电信、移动等IP地址段，针对不同的地址段解析不同的IP，便于外部访问主页提高访问速度
    支持DNS业务健康检测，支持Ping，TCP/端口，Http URL，Https URL等检测方式
    支持定义DNS HOST记录的使用到期时间，通知人邮箱。域名到期自动提醒及到期自动清除记录
    支持DNS流量调度，根据不同用户的访问源，实现对客户端访问的多中心、多线路的智能流量调度，保证访问到最优的服务端点，提升用户的访问体验
    支持发现恶意域名，同时阻止恶意域名解析，重定向到告警页面
    支持DNS防火墙，支持禁止DNS ANY类型请求，支持防止DDOS攻击和放大攻击，支持限制恶意DNS请求的瞬时速率，支持自定义防火墙规则

    支持DNS TSIG加密，支持定义TSIG，确保Zone转换、Notify、动态升级更新等DNS消息的安全，预防DNS欺骗；支持基于数据特征和DNSSec技术，防止域名劫持
    支持DNS防火墙，支持禁止DNS ANY类型请求，支持防止DDOS攻击和放大攻击，支持限制恶意DNS请求的瞬时速率，支持自定义防火墙规则

    支持丰富DNS解析日志及统计报告，支持多维度报表分析，DNS解析实时展示和统计，解析日志可以记录每个响应的解析延迟。帮助管理员跟踪和快速解决与DNS配置有关的问题，包括QPS、Top域名、Top IP，网络流量监控、解析成功率

   

5、提供DHCP服务

    RFCs支持： RFC2131、RFC2132、RFC2241、RFC2242、RFC2485、RFC2610、RFC2937、RFC3361、RFC3397、RFC3442、RFC958、RFC1157、RFC3942、RFC3315、RFC3319、RFC3646、RFC3898、RFC4075、RFC4242、RFC4280、RFC4291、RFC4704

    CIDR（无类域间路由）支持
    基于IP/MAC地址的静态绑定（IP保留地址分配）
    实现地址的动态分配和回收
    支持业界标准的DHCP Failover
    支持IP地址动态分配、静态绑定、空闲地址分配等
    支持DHCP Option 60/Option 82 
    支持DHCP系统指纹（Fingerprints）
    高级DHCP选项编辑器，支持厂商自定义Option
    支持所有ISC预定义的 DHCP option 空间（如Option 1 到Option 125）和客户化的DHCP Option空间（如Option 126 到Option 254）

    支持DHCP系统指纹技术，支持BYOD，自动识别智能手机、平板电脑等系统指纹

    支持DHCP指纹识别率98%以上，支持快速对DHCP未知指纹进行识别和添加 

6、IPv6支持
    支持创建/64到/128网络
    支持创建DHCPv6地址分配池
    支持允许启用前缀授权功能
    支持DHCPv6保留地址分配，支持DUID绑定
    支持DHCPv6客户端参数设定
    支持无状态地址信息刷新时间设定
    支持DHCPv6有状态地址分配

 

7、IP地址管理审计功能
    支持IPv4、IPv6双栈地址管理
    中央数据集中的IP管理控制台
    实时显示分配地址的状态和续租信息
    实名制地址分配、回收和历史数据的审计分析
    确保数据完整性（没有数据丢失、损毁或延迟）
    专有的DHCP指纹（FingerPrint）识别技术，支持BYOD，自动识别智能手机、平板电脑等的系统指纹
    系统必须记录DHCP地址分配的记录数据，并能够方便地查找定位
    支持数据完整性检查，数据核查机制可以在系统部署前进行数据检查，提前发现系统配置的问题
    生成DHCP的IP地址时不占用存储空间，只有确认分配时才占用数据库存储
    支持MAC地址黑白名单，可以只对已授权MAC的设备分配IP地址。向MAC动态授权列表内临时添加新的记录，不需要重启DHCPv4服务进程
    支持动态解除已临时授权的MAC地址

8、网络边界准入和访客授权控制
    访客临时分配IP地址
    访客使用期限设定
    以MAC基准为基准限定分配IP
    手动解除已授权地址
    定期解除已授权地址
    访客Portal信息的录入和审批
    与LDAP帐户验证授权
    与Radius帐户验证授权
    实名制访客地址审计

 

9、IP地址调和功能
    系统允许定义地址核查策略，用于定期比较物理网络和本系统内的地址变更
    支持待清除核查状态，此状态表明此IP地址长时间没有被使用
    支持未知IP核查状态，此状态表明此IP由于各种原因没有被记录在系统中，如非法接入、手动私设地址等
    支持不匹配IP地址核查状态，此状态表明此IP地址所对应的MAC地址信息修改或随意更换了连接端口，如地址欺骗、移动办公等
    支持设备端口/MAC扫描，自动发现IP设备和交换机端口的对应关系，自动发现和显示VLAN信息，显示交换机端口的详细信息，包括端口速率，端口状态，端口信息描述等信息

   支持物理子网建模功能，支持显示路由设备的物理子网信息。同时也允许导入物理子网信息和本子网内的IP/MAC地址

 

10、第三方联动控制
    支持和LDAP/RADIUS/AD域/本地数据库/泛微OA/用友OA/通达OA等第三方账户服务器进行验证
    支持和主流上网行为厂商（深信服/网康/锐捷SMP等）进行接口联动，实现IP/MAC全程审计
    支持和主流计费系统（城市热点/深澜/锐捷）进行DHCP上下线消息互动，实现无感知认证
    支持提供WEB Services接口，提供二次接口开发，实现DDI系统与其他系统的整合

    No IP, No Network, No Business, IP通信是保证业务稳定运行的关键。新一代网络核心服务自动化管理支撑平台提供面向业务服务的IPv4/IPv6地址管理、分配和安全接入, 提供可扩展的技术框架，从而保证网络更稳定的运行。

    通过网络核心服务的自动化和统一化管理来控制网络运营成本，体现在以下几个方面：

        • 统一化管理，减少运营操作成本 
        • 提高效率和生产力，减少技术支援成本
        • 简化和自动化现有基于手工管理的流程
        • 实时监视地址分配、审计和统计分析
        • 严格、周密的IP/MAC地址安全审计跟踪
        • 简化故障的诊断、定位和排除
        • 避免IP冲突和用户私自安装DHCP导致IP地址混乱
        • MAC地址授权接入，防止未知设备接入网络造成安全威胁
        • 集中高效DNS域名解析，支持智能DNS，DNS宕机检测
        • 实现DNS全局负载均衡，提高DNS系统的安全性和可靠性
        • 实现DNS递归智能调度，均衡多条链路的访问比例 

硬件平台	标准1U或2U上架尺寸专用硬件设备
处理器	双核处理器/四核处理器/八核处理器/其他
内存容量	2GB/4GB/8G/16GB/32GB以上
接口速率	4或6 * 10/100/1000M 电口，扩展支持光口
存储介质	企业级存储介质1TB，扩展支持RAID
电源配置	单电源或冗余电源
USB接口	2*USB, 2*Pin Header
管理接口	1×RJ45，1×Pin Header
温度（℃）	0℃~45℃（工作）-40℃~70℃（存储）
湿度	5~95% RH，不凝结
软件认证	软件著作权登记证书  软件产品登记证书
产品认证	中国强制性产品3C认证  工信部电信设备进网许可证书  计算机系统安全专用产品销售许可证书  IPv6 Ready第二极核心协议金牌认证证书  中国国家信息安全（ISCCC）产品认证证书
等保评测	公安部等保三级测评认证
KPI指标	DNS并发访问能力：12,000 - 800,000 QPS  DHCP并发处理能力：75 - 3000/秒
协议栈	IPv4协议，IPv6协议
网络管理	支持SNMPv1，v2c，v3
功能集成	设备集成DNS、DHCP、NTP、TFTP、无线BYOD指纹识别控制、IP地址管理审计、  IP地址接入控制、IP地址调和、智能DNS解析、应用服务器宕机检测、  终端服务端口扫描审计、DNS流量调度、全面支持IPv6  设备支持HA（high-availability）自动切换功能和 active-standby模式
RFC支持	RFC2131、RFC2132、RFC2241、RFC2242、RFC2485、RFC2610、  RFC2937、RFC3361、RFC3397、RFC3442、RFC958、RFC1157、  RFC3942、RFC3315、RFC3319、RFC3646、RFC3898、RFC4075、  RFC4242、RFC4280、RFC4291、RFC4704  RFC1034、RFC1035、RFC2672、RFC2782、RFC3596

    新一代网络核心服务自动化开通平台（CNS-APP）具有高性能、高可靠性、高安全性、高可扩展性、标准化和易管理的特点，能够提供中央集中的IP/MAC地址分配和管理，实现二层/三层物理和虚拟网络的变更跟踪，同时可以根据IP/MAC地址进行灵活的授权操作。

 

    根据现有IP地址管理需求及IPv6网络技术发展的趋势，设计新一代网络核心服务自动化开通平台（CNS-APP）解决方案将遵循以下原则：

    高可靠性：具有很高的容错能力，支持双机负载均衡功能，保证单点故障不影响整个网络的正常运行。

    高性能：具有较高的并发处理能力，并在高负荷情况下仍然具有较高的吞吐能力和效率，延迟低。

    支持IPv6：双协议栈IPv4/IPv6支持，包括有状态地址分配和无状态地址管理，支持DHCPv6动态地址分配协议。

    安全性：系统采用专用网络硬件保障系统10万小时无故障运行，可靠性高达99.99%；采用固化的操作系统可以保证系统安全。

    扩展性：随着基于IP的新业务（ENUM、VOIP、3G等）的增长和IPv6的应用普及，跨多业务的需求越来越多，系统提供可扩展的系统架构快速支持IP新业务的自动开通配置。

    开放性：符合开放性规范，方便与其他不同厂商的网络设备进行联动。

    标准化：各种协议和接口符合国际标准（IEEE、IETF等）。

    实用性：具有良好的性能价格比，经济实用，设计方案和设备选型应符合IP网络的发展迅速、信息集中等特点