Решения

Система управления адресным пространством IPAM

IP Address Management (IPAM) системы – это интегрированные системы управления пространством IP-адресов. В настоящее время такие системы переживают бурный рост, внедряются во всё большем количестве компаний и становятся важной составляющей любой крупной ИТ-инфраструктуры.

При отсутствии установленных IPAM систем компании могут столкнуться со следующими проблемами:

1.      Управление IP-адресами не автоматизировано и производится вручную;

2.      Администрирование DNS/DHCP-служб зачастую осуществляется разными подразделениями ИТ департамента;

3.      Нередко ИТ персонал обладает минимальными навыками работы с DNS/DHCP-службами.

Это оказывает отрицательное влияние на работу ИТ-служб. Во-первых, ручное выполнение задач зачастую приводит к ошибкам и требует больших затрат рабочего времени. Во-вторых, проблема конфигурирования DNS/DHCP серверов может стать предметом конфликта интересов сотрудников ИТ-служб и привести к повышению рисков нарушения безопасности из-за раздутого штата системных администраторов.  Кроме того, задача обслуживания DNS/DHCP серверов может быть доверено ограниченному кругу сотрудников, увольнение которых может привести к сбоям в работе систем и ошибках в конфигурации.

Что в свою очередь может негативно отразиться на бизнесе:

1.      Ошибки в конфигурации делают недоступными ключевые службы и сервисы;

2.      Работа служб DNS/DHCP может быть прервана действиями UNIX или Windows администраторов;

3.      Работа ключевых бизнес-служб напрямую зависит от конкретных людей, а не от регулярных процессов;

4.      Наличие уязвимостей может привести к успешному проведению хакерских атак типа «cache poisoning» и «denial-of-service» и временному выходу сети из строя.

Современные IPAM системы позволяют решить все вышеуказанные проблемы и нивелировать их неблагоприятное воздействие на бизнес, так как они

  • предназначены для управления IP-адресами в течение всего жизненного цикла сети;
  • производят инвентаризацию используемых IP-адресов с обследованием (discovery) 2-го и 3-го уровня;
  • поддерживают управление IP-адресами, IPv4 и IPv6;
  • обеспечивают централизованное управление пространством IPадресов, исключая ошибки операторов и администраторов;
  • автоматически создают конфигурации для DNSи DHCPсерверов, исключая человеческий фактор при генерации соответствующих конфигурационных файлов;
  • обеспечивают контроль и уведомление администраторов о потенциальном исчерпании пулов динамически выделяемых IPадресов (DHCPpools);
  • автоматизируют генерацию отчетности для регуляторов публичного пространства IPадресов;
  • обладают системой  контроля Workflowдля обеспечения проверки/ревизии изменений, планируемых операторами на уровне старших администраторов;
  • предоставляют инструментарий для гранулярного разделения прав администраторов на управление теми или иными частями IPадресного пространства на основании,  например, территориального распределения сетей, организационной структуры предприятия и других параметров;
  • предоставляют широкий набор API для интеграции с внешними системами, например CRM, ERP и пр.

Такие системы предоставляют инструментарий для комплексного управления IP-адресами на протяжении всего жизненного цикла, состоящего из нескольких этапов:

1.      Планирование распределения IP-адресов, конфигураций DHCP- и DNS-служб;

2.       Развертывание новой конфигурации в сети;

3.       Обследование реального состояния сервисов в сети;

4.       Анализ и сравнение планированной и фактической конфигурации;

5.       Переход к планированию новой конфигурации.

На этапе планирования:

  • Определяется иерархическая топология и политика распределения адресов;
  • Определяются методы назначения IP-адресов:  индивидуально, пулами, диапазонами, статически, динамически (DHCP) с резервированием;
  • Определяются DNS домены;
  • Определяются DHCP/DNS конфигурации;
  • Определяются администраторы, их роли и уровни доступа к системе;
  • Определяются  API/CLI внешне интерфейсы для интеграции с внешними системами.

На этапе развертывания:

  • Автоматически производится генерация/изменения конфигурационных файлов для DNS/DHCP серверов;
  • Автоматически производится генерация/изменения зоны (BIND);
  • Автоматически производится загрузка новых конфигураций на DNS/DHCPсерверы по защищенным, зашифрованным каналам передачи данных (например, при помощи менеджеров очередей типа MQSeries, ActiveMQ и пр.) с гарантированной доставкой данных;
  • Немедленное, плановое или периодическое развертывание конфигураций на удаленных DNS/DHCP серверах и применение новых конфигураций.

На этапе обследования:

Производится автоматическое многоуровневое обследование сетей: подсети маршрутизаторов, порты коммутаторов, утилизация IPадресного пространства при помощи Ping, DNS lookup, OS Fingerprint и прочих инструментов;

Сбор информации с DHCP-серверов;

  • Сбор данных может выполняться немедленно (по запросу администратора), планово или периодически;
  • Также автоматически может выполняться сбор и обработка DNS обновлений (DNS updates) и отслеживание статистики DHCP leases;
  • Автоматически выполняется аудит и контроль обнаруженных изменений.

На этапе анализа:

  • Выполняется анализ среза отклонений от плана:
  • На основании автоматически генерируемых отчетов о фактическом состоянии в сравнении с запланированным;
  • Выборочные проверки для обновления учетной информации.
  • Выполняется контроль реализации плана выделения адресов, включая генерацию уведомлений об утилизации DHCP адресов; 
  • Системы IPAM предоставляют инструментарий для простого обнаружения несоответствий и:
  • Принятия допустимых изменений;
  • Исследования и отката неприемлемых изменений;
  • Очистки неиспользуемых адресов:;
  • Освобождения пространства адресов для повторного использования;
  • Обеспечения адекватной емкости пространства IP-адресов в области управления емкостью статических, DHCP и зарезервированных адресов, добавления, перемещения и аннулирования пространств адресов;
  • Отслеживания активности на протяжении всего цикла, включая аудит истории изменений IP и MAC адресов.

Таким образом, современные IPAM системы обладают множеством  преимуществ – от резкого повышения операционной эффективности, значительного сокращения затрат благодаря уменьшению времени простоя, улучшения безопасности DNS/DHCP серверов благодаря упрощению сложных серверных конфигураций до возможности общего улучшения управления сервисами в организации и обеспечении непрерывности бизнеса в сферах, где электронный бизнес играет важную роль.

2017
ADV Consulting