明阳DDI集成服务平台白皮书

一、政策背景

我国正在不遗余力的发展 IPv6，为加快推进我国 IPv6 的规模部署，中办、国办、 工信部、国资委、电子政务办等重要部门先后下发多项政策性文件，围绕《推进互联 网协议第六版（IPv6）规模部署行动计划》中有关要求:“(三)加快应用基础设施改 造，优化流量调度能力：升级改造域名系统，加快互联网域名系统（DNS）的全面改 造，构建域名注册、解析、管理全链条 IPv6 支持能力，开展面向 IPv6 的新型根域名 服务体系的创新与试验；（四）强化网络安全保障，维护国家网络安全：强化地址管 理，统筹 IPv6 地址申请、分配、备案等管理工作，严格落实 IPv6 网络地址编码规划 方案，协同推进 IPv6 部署与网络实名制”，旨在加快网络基础设施和应用基础设施 升级步伐，促进下一代互联网与经济社会各领域的融合创新。

工业和信息化部发布了《“十四五”信息通信行业发展规划》，指出 IPv6 能力 的提升是“十四五”时期的重点任务之一。

国家网信办、发改委、工信部也联合印发《关于加快推进互联网协议第六版(IPv6) 规模部署和应用工作的通知》，明确了“十四五”时期 IPv6 发展的路线图、时间表 和任务书。

二、产品概述

明阳 DDI 集成服务平台，采用裸金属容器架构，可充分发挥硬件极限性能，具备 更高的弹性、高可用性；目前已完整适配了国产化系统，通过了工信一所测试，入围中国电子工业标准化技术协会信息技术应用创新工作委员会图 谱。

本平台是一款融合智能 DNS、增强 DHCP、可视化 IP 地址管理、IP 安全准入多合 一平台型产品，提供统一图形化管理界面、丰富的统计、审计报表，简化基础核心网 络服务运维管理。

2.1 智能 DNS 模块

DNS 是政企信息化建设的必备组件，是业务发布与访问的第一入口，DNS 域名解 析系统可以提供域名解析服务，避免通过 IPv6 地址方式访问应用服务。

智能 DNS 模块提供权威/递归/转发/缓存等多种角色 DNS 服务、智能 DNS 解析、 应用服务器宕机检测、DNS 流量调度、DNS 安全加固、DNS 数据分析等功能；用于解 决 IPv6 规模应用中复杂地址管理问题。

2.2 增强 DHCPv4/v6 模块

增强 DHCP 管理模块解决了 RFC 标准中重功能、轻安全的传统地址的“有求必应” 式分配，采用包含明阳专利方法在内一系列安全可控、可溯源的地址分配与管理方案。

从安全角度，实现基于子网级一系列地址分配安全控制功能，包括绑定分配、黑 白名单、安全基线、周期地址更新、非法 DHCP 监测等，可阻断安全基线外终端地址 分配，杜绝非法主机接入

2.3 IPAM+地址管理模块

IPAM+地址管理模块可以提供 IPv4/IPv6 地址规划、分配、监测、管理等全生命 周期管理。替代传统的 Excel 记录与地址子网划分，解决因 IPv6 地址128 位过长导致记忆困难问题，解决 IPv6 地址顶层规划、分配、管理复杂的问题。

IPAM 管理模块提供 IP 地址顶层规划及 IP 地址全生命周期管理等功能，提供高 效、统一的 IP 地址管理视图、丰富的统计与审计报表。IPAM 将组织架构、业务结构 与 IPv6 地址规划进行有效映射，IP 地址生命周期管理模块实现了地址申请、实施、 反馈、监测、预警等闭环管理，适用于集团型企业对 IP 地址进行统一规划及多层级 管理的需求。满足国家相关安全部门对 IP 网络要有完善的系统运行及用户使用网络 IP/MAC 地址日志和网络用户的定位等措施的要求，将核心网络服务与网络安全在网 络边缘进行有效融合，是企业网 IPv6 深化部署阶段必不可少的设备，能够大幅降低 基础核心网络服务运维成本，同时全面兼容 IPv6 地址协议的平滑迁移。

三、部署方式

3.1 部署方式一：DNS 部署方案

DNS 作为重要的网络基础设施，是网络的基石。基于 IP 网络的各种 Web 服务、 Email 服务、路由服务都依赖或者间接依赖 DNS，具体的部署方案如下:

外网 DNS：可以实现缓存 DNS 解析、权威 DNS 解析、广域负载均衡功能。

DNS 设备本身支持 IPv4/IPv6 双栈的 A、AAAA 等标准资源记录，同时作为网络数 据链路旁挂方式部署。

外网 DNS 通常旁挂部署在互联网出口区，并通过防火墙划分对应区域方式提供安 全防御功能，根据 DNS 请求的发起方设置防火墙会话安全策略。

互联网 DNS 架构属于层级式架构，针对转发 DNS 使用时，需要指定上级 DNS 的 IP 地址，通常由对应运营商提供 DNS 地址，也可以使用公网知名 DNS 的地址。

作为互联网权威 DNS 使用时，拥有域名的最终解析发布权限，此时需要由域名组 册机构的 DNS 发布 NS 标准记录，指向权威 DNS 的 IP 地址，让权威 DNS 加入互联 网 DNS 体系。

当存在多个数据中心时，可以通过权威 DNS 的 1 个域名 vs 多个记录值的方式， 将互联网访问流量负载均衡引导不同数据中心。

DNS 是应用层协议,所以 A 或 AAAA 等标准资源记录作为数据层信息，默认无论请 求解析的源 IP 地址是 IPv4 或 IPv6 终端，都会返回对应域名的 A、AAAA 记录信 息，由终端自行判断使用 A 或者 AAAA 解析记录去访问目标网站。

请求解析终端的 DNS 需要指向 DNS 的 IP 地址，可以通过手动静态指定，也可以 通过 DHCP 服务下发，终端默认优选使用 AAAA 记录，当 IPv6 路由不存在时，则 选择 A 记录值。内网 DNS：基于权威 DNS 解析方案的内网应用访问，规避 IPv6 访问时，地址过长 的记忆难题。

DNS 设备本身支持 IPv4/IPv6 双栈的 A、AAAA 等标准资源记录，同时作为网络数 据链路旁挂方式部署。

内网 DNS 通常旁挂部署在服务器区，并通过防火墙划分对应区域方式提供安全防 御功能，根据 DNS 请求的发起方设置防火墙会话安全策略。

作为内网权威 DNS 使用时，拥有域名的最终解析发布权限，但无须配置 NS 记录。

当存在多个数据中心时，可以通过权威 DNS 的 1 个域名 vs 多个记录值的方式， 将访问流量负载均衡引导不同数据中心。

DNS 是应用层协议,所以 A 或 AAAA 等标准资源记录作为数据层信息，默认无论请 求解析的源 IP 地址是 IPv4 或 IPv6 终端，都会返回对应域名的 A、AAAA 记录信 息，由终端自行判断使用 A 或者 AAAA 解析记录去访问目标网站。

请求解析终端的 DNS 需要指向 DNS 的 IP 地址，可以通过手动静态指定，也可以 通过 DHCP 服务下发，终端默认优选使用 AAAA 记录，当 IPv6 路由不存在时，则 选择 A 记录值。

3.2 部署方式二：DHCP 部署方案

DHCP 服务采取集中式、有状态控制方式向内网终端分配 IP 地址，可实现终端准 入控制管理等。

DHCP 设备本身支持 IPv4/IPv6 双栈地址有状态分配服务，通常旁挂部署在数据 网络办公区，用于向终端分配 IP 地址。

终端 PC 到 DHCP 设备之间只有 IPv4、IPv6 链路端到端路由通的情况，才可以将 DHCPv4、DHCPv6 请求发给发送到 DHCP 设备。

DHCP 通过防火墙划分对应区域方式提供安全防御功能，根据 DHCP 请求的发起方 设置防火墙会话安全策略。

DHCP 通常采用中继的部署方案，即终端 PC 与 DHCP 设备不在同网段内，需要通过 终端 PC 的网关 IP 地址进行中继。

DHCP 服务不仅终端 PC 分配 IP 地址，也向终端 PC 分配指定的 DNS、NTP 等服务 IP 地址。

因为 IPv4IPv6 协议特性不同，DHCPv4 必须下发网关 IP 地址，而 DHCPv6 无须下 发 IPv6 网关地址。

3.3 部署方式三：IPAM 方案

IPAM 方案支持采用集群式、分布式、分层式部署在政企内，IPAM 之间采用控制 与展示分离方式，实现顶层集中规划与展示、逐层精细分配、策略信息同步。

在大集团公司网络环境中，IPAM 推荐采用分布式、分层式部署，采用旁挂方式部 署在办公网中。在一般企业内网采用 DHCP、DNS、IPAM 集成服务平台方式搭建、 管理 IPv6 网络。

IPAM 设备通过防火墙划分对应区域方式提供安全防御功能，根据请求的发起方设 置防火墙会话安全策略。

IPAM 设备之间应该路由可达，支持 IPv4、IPv6 链路。采用标准的南北向协议上 报数据、下传参数，通过指定上级、下级 IPAM 设备 IP 地址建立互联通道。

IPAM 的组织架构与 IPv6 地址映射需要根据 IPv6 地址规划在系统进行配置，可导 入 IPv6 地址规划、也可手动配置组织结构与 IPv6 地址之间的关系。

IPAM 支持大颗粒地址段规划，也支持到主机级 IP 地址规划，系统会自动根据子 网掩码进行归类展示。

资产管理功能支持采用 SSH 协议对被管理设备进行非法 IP 地址监测，并封堵非 法 IP 地址所在端口。

四、产品优势

4.1 智能 DNS

明阳智能 DNS 系统支持全中文 Web 管理界面，具有高性能、高可靠、高安全的特点，为企业提供全方位的智能 DNS 解析，实现基于域名的流量负载均衡、数据分析等多种 功能。

安全加固 DNS 解析 集成 DNS 防火墙功能，可以屏蔽非授权访问、恶意攻击，实现 DNS 系统的安全运 行。基于 ISP 视图匹配实现 DNS 只响应特定源的解析请求，提供特定安全解析方案。

智能解析引导流量负载均衡 基于 DNS 的广域负载均衡实现多数据中心的应用负载均衡；基于 Web 源站检测， 实现多数据中心应用故障业务平滑切换。

4.2 增强 DHCP

明阳 IP 地址管理系统融合了增强 DHCP、可视化 IP 地址管理、实名制 IP 准入控 制的融合解决方案，提供统一图形化管理界面，丰富的报表，简化运维管理。

自动绑定 IP 地址分配 支持基于 IPv4/IPv6 双栈自动化的 IP 地址分配，支持 IP 与 MAC/IPv6 终端系统 标识绑定分配，支持海量物联网终端 IP 地址一次注册、终身绑定、高效溯源。

安全准入控制分配地址 避免现有 DHCPv4/v6“有求必应”的地址分配方式，实现基于 MAC 绑定、IPv6 终端系统标识绑定、DHCP Snooping 的实名制准入控制分配地址方式。通过基于子网 级的地址分配安全基线控制功能，避免运维期间设备私接情况。

4.3 IPAM 地址管理

IP 地址作为最重要的网络资源之一，与业务息息相关。随着 IT 建设规模日益庞 大，使用的 IP 地址数据也越来越多，经常面临 IP 管理分散、私网乱建、非法接入等 问题，而传统人工维护 IP 地址管理工作效率低下、统计困难。

明阳 DDI 平台 IPAM 功能提供 IPv6 地址顶层规划功能，让 IPv6 与组织架构、业 务架构进行映射，实现如身份证 ID 一样可“望文生义”的地址规划；IPAM 提供 IPv6 地址全周期的管理，避免 IP 地址后期溯源、管理的空白；提供各种地址规划模板， 提高地址分配与管理的效率。

4.4 先进的技术架构

区别于其它厂商，明阳产品采用先进的裸金属容器架构(硬件服务器直接安装云 原生系统，所有应用在容器内运行，发挥了硬件资源的极限性能)，精简化、安全化 的底层操作系统为转换服务提供了更多的性能资源，同时也减少系统的攻击面和漏洞 风险。采用云原生集群架构，相对于传统厂商的设备具有更好的弹性（根据负载，自 动创新服务实例）、可扩展性（随时增加硬件资源）、高可用性（自动备份和恢复， 负载均衡），进一步提升了资源利用率、系统的可靠性、稳定性、安全性。

五、主要功能

增强 DHCP 模块

1、集中式 IP 分配管理 支持基于 IPv4/IPv6 双栈自动化的 IP 地址分配，支持 IP 与 MAC 地址绑定分配， 支持跨网的 Relay 式 地址分配，提供分配日志用于记录、分析地址分配与审计。

2、高性能 DHCP 服务 专业化的软硬件一体产品，提供更稳定的业务连续性保障，集群化服务方案，避 免 DHCP 服务的单点故障。

3、安全可控地址分配 为了实现有效、可控的准入和 IP 地址分配，系统能根据指纹识别不同的终端类 型并配置相应策略，按策略为终端分配 IP 地址段，实现对多种终端的有效管理，从 而实现真正的 BYOD 安全应用，保证企业资源被安全、可控的访问。

4、安全可靠服务 支持子网级 LPS 门限、接口级 LPS 门限、DHCP 服务级 LPS 门限设置，黑名单功 能。

智能 DNS 模块

1、安全稳定的 DNS 解析 提供集群化平台部署方案，提供高效稳定的 DNS 域名解析，包括权威 DNS 解析服 务、转发 DNS 解析服务，支持基于 IPv4、IPv6 双栈协议，支持 QPS 服务门限设置防 DDoS 攻击，可以屏蔽非授权方位、恶意攻击，实现 DNS 系统的安全防护。

２、智能解析引导流量负载均衡 基于多运营商环境，可为用户提供智能选路，实现访问流量负载均衡，实现智能 NDS、透明 DNS 功能，提升用户业务访问体验。支持源站服务监测，可实现主备数据 中心的业务平滑切换，保证业务持续性。

３、灵活的 DNS 解析能力 通过内置 DNS 根服务器与自定义上游 DNS 能力，可提供灵活的、安全的递归、迭代解析能力，周期性刷新验证缓存记录数据，为用户提供安全的 DNS 解析服务。

４、丰富的 DNS 统计、分析报表 提供基于网络域、视图的丰富 DNS 报表，对实时、历史 DNS 解析成功率排名、域 名解析排名、请求源 IP 排名等进行统计。掌握企业用户互联网活动行为特征，形成 初步行为特征图谱，为进一步安全分析提供依据。

IPAM 模块

1、IP 地址规划与管理

支持基于组织架构的 IPv6 顶层规划功能:即组织架构、业务功能、自定义 tag 与 IPv6 地址映射规划功能;支持规划数据导出。支持根据不同场景规划、分配不同长度掩码的地址段，提供相应业务 IP 模版。支持多套 IP 地址管理系统联动，支持 IP 子网下发，支持 IP 规划下发，对多级 组织机构分级管理；支持上报 IP 子网、IP 规划、IP 地址、资产等相关数据，实现多 级机构的数据同步。

2、资产信息管理

支持以可视化方式对资产编辑进行详细资产信息注册。支持对被管理设备进行 IP 地址采集，实现 IP 定位分析，建立 IP 地址、MAC、厂 家上联设备、端口、VLAN 的映射关系。

六、支持服务

提供整机（硬件及软件）3 年 7*24 小时免费人工、部件质保及内核软件升级保障 服务。质保期内对所提供货物实行免费包修、包换、包退、包维护保养；

提供 7*24 小时热线支持服务，维修、维护人员保持通讯畅通立即响应。

定期对产品进行跟踪调查，消除产品的早期故障隐患，保证平台的可用率，针对 用户提出的合理化变更需求，我司会积极配合开发响应；

提供三年的免费升级服务，软件升级和增强版本可能包括新的功能和特征、对已 发现问题的修正及对新硬件平台的支持。