Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



23.06.2020

PLNOG Online

PLNOG Online
23.06.2020

Nowe zagrożenie

Ramsay
23.06.2020

Chmurowe kopie

Veeam Backup dla Microsoft Azure
19.06.2020

Nowości w kontenerach

Red Hat OpenShift 4.4
19.06.2020

Analityka bezpieczeństwa

FortiAI
19.06.2020

UPS dla obliczeń edge

Schneider APC Smart-UPS
16.06.2020

Przemysłowe SD

Nowe karty Transcend
16.06.2020

Storage dla SMB

QNAP TS-451DeU
16.06.2020

Pamięć masowa

Dell EMC PowerStore

IPAM – Zarządzanie adresami IP

Data publikacji: 02-12-2013 Autor: Konrad Kubecki
Infoblox IPAM Express...
Interfejsem IPAM w systemie...
IPAM zarządzany przez konsolę...

Zarządzanie adresami IP nie kończy się na arkuszu kalkulacyjnym i dopisywaniu kolejnych rezerwacji na serwerze DHCP. Z IP Address Management związane są takie zagadnienia jak prowadzenie dokumentacji używanych w przedsiębiorstwie adresów i sprzętu komputerowego oraz wspólny interfejs umożliwiający konfigurację i monitoring usług sieciowych.

W wielu firmach zarządzanie adresami IP bazuje na arkuszu kalkulacyjnym, w którym administrator uaktualnia informacje o przydzielanych i zwalnianych adresach. Dane, które znajdują się w takim pliku, to zazwyczaj adresy IP oraz nazwy komputerów/serwerów/urządzeń, które dany adres wykorzystują. Taka baza jest bardzo cenna, pozwala bowiem na minimalizowanie ryzyka związanego z konfliktami sieciowymi. Daje również pewien pogląd na stopień wykorzystania poszczególnych fragmentów sieci.

Krokiem do przodu jest wdrożenie rozwiązań, które rozszerzają możliwości zarządzania adresami. Jest to między innymi graficzna wizualizacja wykorzystania poszczególnych klas adresowych, raportowanie, statystyki, alarmowanie o konfliktach i zagrożeniach. Najbardziej rozwinięte narzędzia pozwalają na jeszcze więcej. Za ich pomocą możliwe jest zarządzanie usługami DHCP, DNS, AD z poziomu jednej, centralnej konsoli administracyjnej. Wykonywane poprzez nią zmiany będą naniesione na wszystkich usługach, które są w danym scenariuszu zaangażowane.

Pewnym czynnikiem, jaki może mieć wpływ na wdrożenie narzędzi wspomagających zarządzanie adresami IP, jest zastosowany protokół. W przypadku IPv6 zdanie typu „Podaj mi swój adres IP, a rozwiążę Twój problem” może być potraktowane jako żart. O ile charakterystyka IPv4 pozwala na wykonywanie przez administratorów wielu czynności w oparciu o sam adres (budowa adresu jest prosta, co ułatwia jego zapamiętanie), o tyle przedyktowanie przez telefon adresu z wersji szóstej będzie drogą przez mękę. Zarządzanie adresami IPv6 za pomocą arkusza kalkulacyjnego oraz konfigurowanie ich na komputerach w sposób ręczny również nie brzmi zachęcająco.

Na rynku istnieje przynajmniej kilkanaście systemów ułatwiających zarządzanie adresami IP. Część to skromne, darmowe narzędzia do ewidencjonowania przydzielonych adresów, część zaś to centralne punkty zarządzania infrastrukturą sieciową, dystrybuowane w ramach komercyjnych licencji. Każdy znajdzie coś dla siebie – zarówno administrator w niedużej firmie, jak i zespół sieciowców w korporacji posiadającej wiele rozproszonych geograficznie biur i mnóstwo serwerów. W artykule przedstawiono dwa narzędzia: Infoblox IPAM Express – jako darmowy system do ewidencjonowania używanych adresów IP, rozwiązywania konfliktów i graficznej wizualizacji klas adresowych oraz obecna w systemie Windows Server 2012 funkcja IPAM, która służy do zarządzania usługami sieciowymi związanymi z zarządzaniem IP, działającymi w systemie Windows Server 2008 lub nowszym.

Infoblox ipam Express

Aplikacja realizuje funkcje związane głównie z ewidencją adresów IP używanych w firmie. Oprócz gromadzenia informacji o używanych adresach, oferuje także wykrywanie konfliktów sieciowych oraz automatyczne skanowanie w poszukiwaniu adresów zajętych w ostatnim czasie. Jest narzędziem darmowym, a jego wdrożenie jest proste i szybkie.

Serwer aplikacji InfoBlox IPAM Express został przygotowany na platformę Microsoft Windows oraz Mac OS X. W obu przypadkach potrzebne jest środowisko hipernadzorcy, gdyż aplikacja ma postać gotowego środowiska (maszyny wirtualnej – tzw. virtual appliance), które wystarczy po prostu uruchomić. Wdrożenie jest zatem bardzo szybkie, gdyż nie wymaga instalacji systemu operacyjnego, silnika bazodanowego, serwera aplikacyjnego ani innych składników. Całość została już przygotowana przez producenta oprogramowania. Hipernadzorca dla systemu Windows, w którym można uruchomić wspomnianą maszynę wirtualną, to VMware Play i VMware Workstation. Narzędzie dla systemu Mac OS X potrzebuje natomiast VMware Fusion. Wymagania sprzętowe są takie same dla obu rodzin systemów operacyjnych, czyli 1 GB pamięci operacyjnej, minimum 2 GB miejsca na dysku. Warto nadmienić, że są to początkowe wymagania i z czasem aplikacja może potrzebować znacznie więcej zasobów.

Praca z Infoblox IPAM rozpoczyna się od skonfigurowania sieci używanych w firmie (np.: 192.168.100.0/24) i przeskanowania ich. Narzędzie, które to wykona, nazywa się Discovery Manager i wykorzystuje jeden z czterech trybów: ICMP, NetBIOS, TCP oraz FULL, na który składają się trzy poprzednie. Rozpoznanie stanu adresów trwa kilka minut, a wynik jest prezentowany w postaci mapy lub listy. Pierwsza forma jest szczególnie ciekawa, gdyż daje natychmiastowy podgląd ilości zajętych oraz wolnych adresów. Każdy z wykrytych adresów to osobna komórka, oznaczona żółtym kolorem. Po jego wybraniu można uzyskać takie informacje jak np.: nazwa NetBIOS, system operacyjny, adres MAC. Kolorem czerwonym prezentowane są konflikty adresów, a pomarańczowym adresy, które zostały przez administratora oznaczone jako zarządzane. Oczywiste jest, że podczas pierwszego skanowania nie pojawią się adresy oznaczone na pomarańczowo. Adresy niewykorzystane posiadają biały kolor. Utworzona w ten sposób mapa daje obraz sytuacji już po pierwszym spojrzeniu. W idealnej sytuacji, wymagającej skrupulatności administratora, wszystkie wykryte adresy powinny być oznaczone jako zarządzane. Nie powinno być również adresów konfliktujących. Cyklicznie uruchamiana funkcja Discovery managera będzie natomiast dostarczać wiedzy o nowo użytych adresach.

W instalacji ukrytych jest wiele atrybutów, które opisują urządzenia zajmujące poszczególne adresy. Dopiero w opcjach widoków można włączyć ich wyświetlanie. Dzięki temu program będzie prezentować bardziej szczegółowe informacje związane z poszczególnymi adresami IP. Ciekawe atrybuty, które można wykorzystać do tworzenia dokumentacji oraz sprawniejszego modelu zarządzania siecią, to: Port Link, Port Speed, Port Status, Vlan Name oraz Vlan Description. W zakresie wirtualizacji są dostępne m.in. atrybuty: Virtual Datacenter, Virtual Cluster, Virtual Host i Virtual Switch.

Jest także możliwość utworzenia włas­nych atrybutów, które uczynią Infoblox IPAM Express narzędziem przechowującym całkiem szeroki zestaw danych. Możemy wykorzystać je do prezentowania informacji o nazwisku osoby użytkującej dany komputer, lokalizacji (budynek, piętro, pokój), odnośniku do iLO, IDRAC w przypadku serwerów, dacie gwarancji, numerze seryjnym i wielu innych. Dane te mogą być przydatne, kiedy ze względu na konflikty sieciowe i awarie zajdzie potrzeba natychmiastowego odłączenia jakiegoś komputera od sieci. Dokładna informacja o lokalizacji urządzenia przyspieszy sprawę. To również jeden ze sposobów stworzenia dokumentacji infrastruktury IT w firmie.

Utworzenie atrybutu jest proste i sprowadza się do zdefiniowania jego nazwy oraz wybrania z listy rozwijanej typu danych, jakie będą w nim przechowywane. Do wyboru są następujące typy danych: String, List, Integer, Email, URL, Date. Aby korzystanie z nowych atrybutów było możliwe, trzeba je dodać do wyświetlanych w widokach listy oraz mapy.


IPAM a Windows Server 2012 R2

Microsoft udostępnia do testów system Windows Server 2012 R2. W funkcji IPAM zaszły pewne zmiany, które mają istotny wpływ na rozszerzenie zakresu jej możliwości. Są to m.in.:

  • opcja wyboru pomiędzy wbudowaną bazą (Windows Internal Database) a MS SQL Server. Dzięki niej możliwe jest przechowywanie znacznie większej ilości danych, umieszczonych na dedykowanym serwerze bazodanowym;
  • 55 nowych cmdletów służących do obsługi funkcji IPAM. Znacznie rozszerza to możliwość oskryptowania zadań administracyjnych. Za ich pomocą możemy np.: eksportować/importować adresy zarządzane przez IPAM do/z pliku CSV;
  • zmiany w zarządzaniu uprawnieniami do poszczególnych elementów funkcji IPAM oraz usług powiązanych. Za pomocą ról możliwe jest nadawanie dostępu administracyjnego nie tylko do samego IPAM, ale także w zróżnicowanym stopniu do serwerów DHCP (całe serwery, rezerwacje, adresy) i DNS (rekordy);
  • większa integracja z serwerem DHCP, która skutkuje nowymi możliwościami funkcji IPAM w kontekście rezerwacji, superzakresów oraz filtrów;
  • konfiguracja oraz dane historyczne zgromadzone przez IPAM w systemie Windows Server 2012 są przenoszone na nową wersję funkcji podczas aktualizacji systemu operacyjnego do R2.

IPAM i Windows Server

IPAM w systemie Windows Server 2012 pozwala na zarządzanie adresami IP oraz serwerami pełniącymi role DNS i DHCP z poziomu jednej konsoli – Menedżera Serwera. Funkcja potrafi rozpoznać role sieciowe, które działają w oparciu o system operacyjny Windows Server, a następnie zintegrować je z IPAM-em. Dzięki temu możliwe jest wykrywanie i przydzielanie niewykorzystanych adresów, tworzenie dla nich rezerwacji na serwerze DHCP oraz wpisów do stref DNS. Integracja wymienionych usług oznacza także zdolność monitorowania ich stanu, co może przynosić realne korzyści w zakresie wykrywania problemów oraz niepoprawnej konfiguracji.

IPAM potrafi gromadzić informacje z powiązanych usług, a następnie wykorzystywać je do celów raportowych oraz przedstawić użycie poszczególnych adresów. Stanowi ciekawą propozycję dla administratorów, którzy zarządzają sieciami opartymi na usługach systemu Windows Server. Warto dodać, że tyczy się to tylko infrastruktury zbudowanej na bazie Windows Servera 2008 lub nowszego. Ten system muszą posiadać serwery obsługujące Active Directory, DNS, DHCP oraz NPS.

Duże wrażenie robią liczby związane z rozmiarami środowiska, jakie może być obsługiwane przez IPAM. Pojedynczy serwer IPAM jest w stanie obsłużyć sieci, w których może się znaleźć do 150 serwerów DHCP oraz 500 serwerów DNS. Microsoft deklaruje, że rozwiązanie zostało sprawdzone w środowisku jeszcze większym: 6000 serwerów DHCP oraz 500 serwerów DNS. Odnoś­nie do usługi Active Directory istotny jest fakt, że pojedynczy serwer IPAM musi być członkiem domeny oraz może obsłużyć maksymalnie jeden las.

Klientem IPAM jest system operacyjny Windows Server 2012 lub Windows 8 z zainstalowanymi narzędziami RSAT – Remote Server Administration Tools. Na komputerach i serwerach integrowanych z opisywaną funkcją nie jest konieczna instalacja oprogramowania typu agent.

Instalacja IPAM

Do wdrożenia oraz późniejszej administracji funkcją IPAM służy konsola Server Manager. Sama instalacja jest czynnością typową dla systemu Windows Server. Po wybraniu przycisku Add Roles and Features uruchomi się kreator dodawania nowych ról i funkcji, jedną z opcji do wyboru jest funkcja IPAM. Wystarczy wybrać ją z listy i przejść dalej, dzięki czemu po chwili zostanie ona zainstalowana. Najpierw zostaną zainstalowane komponenty wymagane. Wśród nich są .Net Framework 4.5, Group Policy Management, Remote Server Administration Tools oraz Windows Process Activation Service.

Wdrożenie IPAM oznacza także utworzenie bazy danych opartej na Windows Internal Database (WID). To tutaj przechowywana będzie konfiguracja funkcji oraz dane gromadzone z innych usług sieciowych. Niestety, do tej pory nie można było użyć MS SQL Servera lub innego produktu bazodanowego, który pozwoliłby na administrowanie bazą w szerszy sposób, niż pozwala na to WID. Taka możliwość pojawiła się w systemie Windows Server 2012 R2 Preview.

Po instalacji konieczna jest konfiguracja, która polega na nałożeniu wymaganych uprawnień, nadaniu dostępu do serwerów pełniących role sieciowe oraz utworzeniu udziałów. Dostępne są dwie metody wykonania tych czynności. Manual – zgodnie z nazwą oznacza ręczne przejście przez wszystkie etapy. Group Policy Based polega na utworzeniu obiektów GPO i objęciu ich zasięgiem serwerów, które będą wykorzystywane przez IPAM. Dla łatwiejszego rozpoznania utworzonych zasad kreator wymaga od administratora określenia prefiksu, który zostanie dodany do nazw obiektów. Domyślnie zaznaczona jest metoda Group Policy Based.

W trakcji konfiguracji na serwerze tworzone są nowe lokalne grupy zabezpieczeń. Za ich pomocą możliwe jest nadawanie zróżnicowanych uprawnień dla osób potrzebujących dostępu do tego komponentu. Grupą nadającą najwyższy poziom uprawnień jest IPAM Administrators. Członkowie tej grupy mogą przeglądać i konfigurować opcje związane z funkcją. Oprócz niej zakładane są kolejne cztery grupy:

 

  • IPAM ASM Administrators – to grupa, która pozwala na zarządzanie adresami IP, całymi zakresami oraz blokami adresów. ASM oznacza w tym przypadku Address Space Management;
  • IPAM IP Audit Administrators – członkowie tej grupy mają uprawnienia do przeglądania informacji dotyczących śledzenia adresów;
  • IPAM MSM Administrators – nadaje uprawnienia do zarządzania rolami DNS oraz DHCP, z którymi IPAM został zintegrowany;
  • IPAM Users – grupa, której członkowie nie posiadają uprawnień do modyfikowania konfiguracji. Mają natomiast możliwość wglądu w te dane, z wyjątkiem raportów ze śledzenia adresów.


Dobrą praktyką jest zarządzanie członkostwem w tych grupach lokalnych (czyli uprawnieniami do funkcji IPAM) za pomocą grup domenowych. Do każdej z powyższych grup powinno dodać się po jednej grupie domenowej, która posiada jednoznacznie określone przeznaczenie. Np. do grupy lokalnej IPAM Administrators można dodać samą domenową grupę zabezpieczeń (np.: ipam_administrator). W przypadku konieczności nadania komuś uprawnień do zarządzania funkcją zrealizowane zostanie to poprzez konsolkę Active Directory Users and Computers. Konto domenowe takiej osoby zostanie dodane do domenowej grupy zabezpieczeń ipam_administrators.

Harmonogram Zadań

Pełne wykorzystanie funkcjonalności oferowanych przez IPAM wymaga dostarczenia aktualnych informacji dotyczących infrastruktury sieciowej w przedsiębiorstwie. Proponowanie adresów, tworzenie dzierżaw, raportowanie będą efektywne wtedy, gdy IPAM będzie znał aktualną sytuację ról DHCP, DNS, Active Directory oraz NPS.

W tym celu podczas instalacji tworzone są nowe zadania w harmonogramie systemu. Jest ich łącznie siedem i odpowiadają za gromadzenie takich informacji, jak:

 

  •     stan usług DHCP i DNS,
  •     status stref na serwerze DNS,
  •     wykorzystanie adresów sieciowych,
  •     konfiguracja serwerów DHCP i DNS,
  •     wygasanie adresów IP oraz dotyczące tego procesu wpisy w logach,
  •     zdarzenia dotyczące DHCP, IPAM, kontrolerów domeny, NPS oraz śledzenia adresów,
  •     wykrywanie nowych serwerów, które rozpoczęły pełnienie funkcji i ról wymienionych wyżej.


Domyślne interwały dla zadań znacznie różnią się między sobą. Z najwyższą częstotliwością wykonywane jest zbieranie informacji o stanie usług DHCP i DNS oraz gromadzenie danych na temat stref DNS. Te zadania odbywają się odpowiednio co 15 i 30 minut. Najrzadziej, bo raz dziennie wykonywane są trzy ostatnie zadania z powyższej listy.

GPO

Jednym z elementów konfiguracji funkcji IPAM jest użycie skryptu PowerShell o nazwie Invoke-IpamGpoProvisioning. Skrypt tworzy trzy nowe obiekty GPO. Ich rolą jest nadanie funkcji IPAM uprawnień do wszystkich serwerów, które będą przez niego zarządzane. Nazwy nowych obiektów GPO to prefix_DC_NPS, prefix_DHCP oraz prefix_DNS, gdzie prefix jest tym, co zostało określone na etapie konfiguratora funkcji oraz po uruchomieniu wspomnianego wyżej skryptu.

 

IPAM potrafi gromadzić informacje z powiązanych usług, a następnie wykorzystywać je do celów raportowych oraz przedstawić użycie poszczególnych adresów.

Reguły zapisane w obiektach definiują opcje zapory systemowej w zakresie ustawień globalnych oraz reguł dla ruchu przychodzącego usług DNS, DHCP, NPS, RPCSS, Event Manager, Service Control Manager oraz File and Printer Sharing. Dzięki temu IPAM będzie potrafił komunikować się z usługami zależnymi, konfigurować je oraz gromadzić w bazie danych informacje o zdarzeniach.

Bloki, zakresy, adresy, rezerwacje

Do zarządzania adresami sieciowymi poprzez IPAM przyda się znajomość kilku terminów. Podstawowym jest blok adresów. Pod tym pojęciem rozumie się grupę adresów IP, zazwyczaj dość dużą. W ramach bloku można wydzielić zakresy zawierające kilka, kilkanaście lub jeszcze więcej adresów. Zakres IPAM oraz zakres adresów z serwera DHCP to pojęcia zbieżne. Tworząc blok adresów, trzeba podać m.in. sieć, w której taki blok się znajduje, adres początkowy, adres końcowy i maskę. IPAM potrafi podać mniej i bardziej szczegółowe informacje dotyczące stanu adresów wchodzących w skład każdego z bloków. Będzie to przykładowo liczba adresów oraz stopień ich wykorzystania. Natomiast dla zakresów serwera IPAM wyświetlane będą takie informacje, jak: nazwa powiązanego zakresu na serwerze DHCP, nazwa docelowego serwera DHCP oraz całkowita liczba adresów.

W ramach zarządzania usługami sieciowymi poprzez IPAM można ręcznie dodawać adresy, które będą przydzielone konkretnym komputerom lub innym urządzeniom działającym w sieci (drukarki, routery, firewalle, maszyny wirtualne, bramki VOIP). Wystarczy sprecyzować adres IP oraz adres MAC. Ponadto warto określić serwer DHCP, na którym ten adres się pojawi, oraz zakres i nazwę rezerwacji. Pola dodatkowe to między innymi data wygasania (samo ostrzeżenie, bez usuwania wpisu z konfiguracji DHCP), opis, nazwisko opiekuna technicznego, numer seryjny i tag urządzenia. Po utworzeniu takiego adresu w Menedżerze Serwera dla funkcji IPAM nie zostanie on jednak automatycznie przesłany do odpowiedniego serwera DHCP w celu utworzenia rezerwacji. Aby stało się to faktem, należy z menu kontekstowego dla adresu wybrać opcję Create DHCP Reservation.

Jedną z bardziej użytecznych czynności, rozszerzających opisany wyżej scenariusz jest automatyczne znajdowanie wolnego adresu i przypisanie go wybranemu komputerowi. Oryginalna nazwa tej czynności to Find and Allocate Available IP Address. W jej ramach IPAM obiera za cel adres ze wskazanego przez administratora zakresu i dokonuje weryfikacji za pomocą komendy ping oraz przez sprawdzenie rekordu na serwerach nazw. Jeśli nie uzyska pozytywnej odpowiedzi dla tego adresu, to pozwala na wykorzystanie. Oprócz podania podobnych informacji jak w przypadku opisanego wyżej ręcznego konfigurowania adresu, możemy dokonać synchronizacji rekordu w serwerze DNS (nazwa urządzenia, strefa, serwer strefy). Odpowiednie wpisy zostaną dodane do zarządzanych przez IPAM serwerów DHCP i DNS.

Z poziomu funkcji IPAM administrator ma możliwość modyfikowania wielu opcji serwerów DHCP, takich jak na przykład opcje aktualizacji rekordów typu A oraz PTR na serwerze nazw i logowanie zdarzeń. W zasadzie dostępne są niemal wszystkie opcje, którymi można manipulować, ale bez potrzeby bezpośredniego łączenia się ze zdalnym pulpitem na serwer DHCP lub uruchamiania konsoli MMC z przystawką do zarządzania tą rolą. Ta ostatnia jest dostępna także z poziomu IPAM, w menu kontekstowym serwera DHCP. W przypadku serwerów DNS sytuacja wygląda nieco inaczej. Najwygodniejsze jest uruchomienie konsoli MMC ze skrótu dostępnego w konsoli Server Manager.

IPAM jest punktem zbiorczym, który prezentuje zdarzenia ze wszystkich serwerów sieciowych zintegrowanych z opisywaną funkcją systemu Windows Server. Pierwsze wpisy to informacje o procesie wykrywania kontrolerów domeny i ról DHCP, DNS. Kolejne wpisy w tej sekcji zależą od czynności typowych dla zarządzania infrastrukturą sieciową i zawierają informacje o: konfiguracji bloków i zakresów, dodawaniu adresów, jak również dokonywaniu modyfikacji opcji związanych ze wszystkimi powyższymi czynnościami.


Autor pracuje jako specjalista ds. infrastruktury IT w firmie z branży ubezpieczeniowej. Zajmuje się m.in. wdrażaniem i utrzymywaniem rozwiązań opartych na systemach Windows Server, Linux Red Hat/CentOS oraz platformach wirtualizacyjnych firmy VMware.

prenumerata Numer niedostępny Spis treści

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"