IP Address Management (IPAM) системы – это интегрированные системы управления пространством IP-адресов. В настоящее время такие системы переживают бурный рост, внедряются во всё большем количестве компаний и становятся важной составляющей любой крупной ИТ-инфраструктуры.
При отсутствии установленных IPAM систем компании могут столкнуться со следующими проблемами:
1. Управление IP-адресами не автоматизировано и производится вручную;
2. Администрирование DNS/DHCP-служб зачастую осуществляется разными подразделениями ИТ департамента;
3. Нередко ИТ персонал обладает минимальными навыками работы с DNS/DHCP-службами.
Это оказывает отрицательное влияние на работу ИТ-служб. Во-первых, ручное выполнение задач зачастую приводит к ошибкам и требует больших затрат рабочего времени. Во-вторых, проблема конфигурирования DNS/DHCP серверов может стать предметом конфликта интересов сотрудников ИТ-служб и привести к повышению рисков нарушения безопасности из-за раздутого штата системных администраторов. Кроме того, задача обслуживания DNS/DHCP серверов может быть доверено ограниченному кругу сотрудников, увольнение которых может привести к сбоям в работе систем и ошибках в конфигурации.
Что в свою очередь может негативно отразиться на бизнесе:
1. Ошибки в конфигурации делают недоступными ключевые службы и сервисы;
2. Работа служб DNS/DHCP может быть прервана действиями UNIX или Windows администраторов;
3. Работа ключевых бизнес-служб напрямую зависит от конкретных людей, а не от регулярных процессов;
4. Наличие уязвимостей может привести к успешному проведению хакерских атак типа «cache poisoning» и «denial-of-service» и временному выходу сети из строя.
Современные IPAM системы позволяют решить все вышеуказанные проблемы и нивелировать их неблагоприятное воздействие на бизнес, так как они
- предназначены для управления IP-адресами в течение всего жизненного цикла сети;
- производят инвентаризацию используемых IP-адресов с обследованием (discovery) 2-го и 3-го уровня;
- поддерживают управление IP-адресами, IPv4 и IPv6;
- обеспечивают централизованное управление пространством IPадресов, исключая ошибки операторов и администраторов;
- автоматически создают конфигурации для DNSи DHCPсерверов, исключая человеческий фактор при генерации соответствующих конфигурационных файлов;
- обеспечивают контроль и уведомление администраторов о потенциальном исчерпании пулов динамически выделяемых IPадресов (DHCPpools);
- автоматизируют генерацию отчетности для регуляторов публичного пространства IPадресов;
- обладают системой контроля Workflowдля обеспечения проверки/ревизии изменений, планируемых операторами на уровне старших администраторов;
- предоставляют инструментарий для гранулярного разделения прав администраторов на управление теми или иными частями IPадресного пространства на основании, например, территориального распределения сетей, организационной структуры предприятия и других параметров;
- предоставляют широкий набор API для интеграции с внешними системами, например CRM, ERP и пр.
Такие системы предоставляют инструментарий для комплексного управления IP-адресами на протяжении всего жизненного цикла, состоящего из нескольких этапов:
1. Планирование распределения IP-адресов, конфигураций DHCP- и DNS-служб;
2. Развертывание новой конфигурации в сети;
3. Обследование реального состояния сервисов в сети;
4. Анализ и сравнение планированной и фактической конфигурации;
5. Переход к планированию новой конфигурации.
На этапе планирования:
- Определяется иерархическая топология и политика распределения адресов;
- Определяются методы назначения IP-адресов: индивидуально, пулами, диапазонами, статически, динамически (DHCP) с резервированием;
- Определяются DNS домены;
- Определяются DHCP/DNS конфигурации;
- Определяются администраторы, их роли и уровни доступа к системе;
- Определяются API/CLI внешне интерфейсы для интеграции с внешними системами.
На этапе развертывания:
- Автоматически производится генерация/изменения конфигурационных файлов для DNS/DHCP серверов;
- Автоматически производится генерация/изменения зоны (BIND);
- Автоматически производится загрузка новых конфигураций на DNS/DHCPсерверы по защищенным, зашифрованным каналам передачи данных (например, при помощи менеджеров очередей типа MQSeries, ActiveMQ и пр.) с гарантированной доставкой данных;
- Немедленное, плановое или периодическое развертывание конфигураций на удаленных DNS/DHCP серверах и применение новых конфигураций.
На этапе обследования:
Производится автоматическое многоуровневое обследование сетей: подсети маршрутизаторов, порты коммутаторов, утилизация IPадресного пространства при помощи Ping, DNS lookup, OS Fingerprint и прочих инструментов;
Сбор информации с DHCP-серверов;
- Сбор данных может выполняться немедленно (по запросу администратора), планово или периодически;
- Также автоматически может выполняться сбор и обработка DNS обновлений (DNS updates) и отслеживание статистики DHCP leases;
- Автоматически выполняется аудит и контроль обнаруженных изменений.
На этапе анализа:
- Выполняется анализ среза отклонений от плана:
- На основании автоматически генерируемых отчетов о фактическом состоянии в сравнении с запланированным;
- Выборочные проверки для обновления учетной информации.
- Выполняется контроль реализации плана выделения адресов, включая генерацию уведомлений об утилизации DHCP адресов;
- Системы IPAM предоставляют инструментарий для простого обнаружения несоответствий и:
- Принятия допустимых изменений;
- Исследования и отката неприемлемых изменений;
- Очистки неиспользуемых адресов:;
- Освобождения пространства адресов для повторного использования;
- Обеспечения адекватной емкости пространства IP-адресов в области управления емкостью статических, DHCP и зарезервированных адресов, добавления, перемещения и аннулирования пространств адресов;
- Отслеживания активности на протяжении всего цикла, включая аудит истории изменений IP и MAC адресов.
Таким образом, современные IPAM системы обладают множеством преимуществ – от резкого повышения операционной эффективности, значительного сокращения затрат благодаря уменьшению времени простоя, улучшения безопасности DNS/DHCP серверов благодаря упрощению сложных серверных конфигураций до возможности общего улучшения управления сервисами в организации и обеспечении непрерывности бизнеса в сферах, где электронный бизнес играет важную роль.
