IP地址管理
出自 MBA智库百科(https://wiki.mbalib.com/)
目录 |
IPAM是IP Address Management的缩写,即IP地址管理。IPAM是全新系列的基于RS-485总线接口的数据采集模块。IPAM数据采集模块在单个设备中集成了I/O、数据采集和隔离的RS-485总线接口。支持标准的Modbus协议和自定义ASCII协议。
IP地址管理的功能[1]
1.IPAM发现
IPAM发现要求访问Active Directory,以便发现网络基础结构服务器。此发现不必启用IPAM服务。发现让管理员可以枚举运行Windows Server® 2008或更高版本且安装了DNS服务器、DHCP服务器和AD DS角色服务的服务器。管理员还可以手动添加或删除服务器,以定义管理控件的自定义作用域。发现的作用域可通过选择或删除域以及特定服务器角色进行实时修改。
2.IPAM地址空间管理
IPAM地址空间管理(ASM)功能提供在网络上有效查看、监视和管理IP地址空间的能力。ASM支持IPv4公用地址和专用地址,而且IP地址可以在网络上动态发布或作为静态IP地址提供。可基于自定义字段(如区域、区域互联网注册管理机构(RIR)、设备类型或客户名称)进行排序。网络管理员不仅可以跟踪IP地址利用率和阈值交叉点状态,还可以显示利用趋势。IPAM ASM工具通过确保更好地计划、问责和控制,能够解决不断增长的分布式环境下的IP地址空间管理问题。IPAM还可让管理员检测不同DHCP服务器上指定的重叠的IP地址范围,找到某个范围内的免费IP地址,创建DHCP保留,并创建DNS记录。
3.多服务器管理和监视
IPAM允许管理员监视和管理多个DHCP服务器,以及监视遍布于集中式控制台中各个区域的多个DNS服务器。管理任务经常在多台服务器之间重复出现。跨服务器统一执行这些任务,可减少涉及的工作和错误的可能性。多服务器管理(MSM)功能允许管理员在组织中轻松编辑和配置多台DHCP服务器和作用域的关键属性。IPAM还有利于监视和跟踪DHCP服务状态和DHCP作用域的利用率。IPAM还允许对服务器标记内置和用户定义的自定义字段值,同时允许对这些服务器进行虚拟化并将其分组到逻辑组和子组中。通过显示所有权威DNS服务器中某个区域的聚合状态,IPAM可帮助监视多个DNS服务器上DNS区域的运行状况。IPAM还可在网络上跟踪DNS和DHCP服务器的服务状态。
4.可操作审核和IP地址跟踪
审核工具允许跟踪IP基础结构服务器上可能存在的配置问题。IPAM能够对托管的DHCP服务器和IPAM服务器的统一配置更改进行查看。会跟踪详细信息,如服务器名称、用户名以及配置更改发生的日期和时间。IP地址租约跟踪通过收集DHCP、DC和NPS服务器中的租约日志可用于协助调查取证。IPAM允许IP地址租约和用户登录的历史记录跟踪。这将允许对与MAC地址、用户名、主机名和其他参数相关的IP地址活动进行跟踪。
IP地址管理的体系结构[1]
IPAM服务器是一台域成员计算机。你无法在Active Directory域控制器上安装IPAM。
一般通过两种方法部署IPAM服务器:
分布式:企业的每个站点都部署IPAM服务器。
集中式:企业仅部署一台IPAM服务器。
在企业中不同的IPAM服务器之间没有通信或数据库共享。如果部署了多台IPAM服务器,你可以自定义每台IPAM服务器的发现作用域,或筛选托管服务器的列表。一台IPAM服务器可能管理某个特定的域或位置,并且可能具有配置为备份的另一台IPAM服务器。
IPAM将尝试定期在网络上查找指定发现作用域内的网络策略服务器、域控制器、DNS服务器和DHCP服务器。你必须选择这些服务器是否由IPAM管理。用这种方式,你可以选择由IPAM管理或不由IPAM管理的不同服务器组。若要由IPAM管理,服务器安全设置以及防火墙端口必须配置为允许IPAM服务器访问,以执行所需的监视和配置功能。你可以选择手动配置这些设置,也可以使用组策略对象(GPO)自动配置。如果你选择自动的方法,则当服务器标记为托管时应用设置,并且当标记为非托管时删除设置。IPAM服务器将使用RPC或WMI接口与托管的服务器通信。IPAM为了进行IP地址跟踪而监视域控制器和NPS服务器。除了监视功能之外,还可以使用IPAM配置多个DHCP服务器和作用域属性。区域状态监视以及有限的配置功能集也可用于DNS服务器。
IP地址管理安全组[1]
IPAM用户:这个组的成员可以查看服务器发现、IP地址空间和服务器管理方面的所有信息。他们可以查看IPAM和DHCP服务器可操作事件,但不能查看IP地址跟踪信息。
IPAM MSM管理员:IPAM多服务器管理(MSM)管理员具有IPAM用户权限,并且可以执行IPAM常见管理任务和服务器管理任务。
IPAM ASM管理员:IPAM地址空间管理(ASM)管理员具有IPAM用户权限,并且可以执行IPAM常见管理任务和IP地址空间任务。
IPAM IP审核管理员:这个组的成员具有IPAM用户权限,并且可以执行IPAM常见管理任务和查看IP地址跟踪信息。
IPAM管理员:IPAM管理员具有查看所有IPAM数据和执行所有IPAM任务的权限。
IP地址管理的任务[1]
| 任务名称 | 描述 | 默认频率 | 持续时间 |
| Discovery Task | 自动发现所选域中的DC、DHCP和DNS服务器。 | 1天 | 未定义 |
| Address Utilization Collection Task | 收集DHCP服务器中的地址空间利用率数据。 | 2小时 | 未定义 |
| Audit Task | 收集DHCP和IPAM服务器中的审核信息,还可收集NPS和DC服务器中的IP租约审核日志。 | 1天 | 未定义 |
| Configuration Task | 为ASM和MSM收集DHCP和DNS服务器中的配置信息。 | 6小时 | 未定义 |
| Server Availability Task | 收集DHCP和DNS服务器的服务可用性状态。 | 15分钟 | 未定义 |
IP地址管理的要求[1]
IPAM服务器发现的作用域仅限一个Active Directory林。该林可能包含多个信任的以及不信任的域。IPAM要求Active Directory域的成员身份,并且依赖于某个必备的功能网络基础结构环境,以便与林上的现有DHCP、DNS、域控制器以及网络策略服务器安装相集成。
IPAM具有以下规范:
IPAM仅支持运行Windows Server® 2008和更高版本的Microsoft DHCP、DNS、域控制器和网络策略服务器。
IPAM仅支持一个Active Directory林中的域成员服务器。
一台IPAM服务器可以支持多达150台DHCP服务器以及500台DNS服务器。
一台IPAM服务器可以支持多达6000个DHCP作用域以及150个DNS区域。
IPAM可为Windows内部数据库中的10万个用户存储3年的取证数据(IP地址租约、主机MAC地址、用户登录和注销信息)。没有提供数据库清除策略,管理员必须根据需要手动清除数据。
IPAM不支持对非Microsoft网络元素(WINS、DHCP中继、代理程序等)的管理和配置。
IPAM仅支持Windows内部数据库。不支持任何外部数据库。
仅对IPv4提供IP地址利用趋势。
仅对IPv4提供IP地址回收支持。
对IPv6无状态地址自动配置专用扩展不执行任何特殊处理。
对虚拟化技术或虚拟机迁移不提供任何特殊处理。
IPAM不检查IP地址是否与路由器和交换机一致。
IPAM不支持非托管计算机上用于跟踪用户的IPv6地址(无状态地址自动配置)的审核。
IP地址管理解决方案[2]
有两种常见方法可以实现域名系统(DNS)、动态主机配置协议(DHCP)和IPAM(DDI)解决方案:更换与叠加。
如果是在一个预算充足的大型组织,那么IP地址交付基础架构更换可能是最佳选择。那些由于兼并和收购(M&A)而拥有混合技术、地址空间、供应商和团队的组织尤其适合采用这种方法,因为进行部分系统的迁移与整合更容易获得主管批准。采用更换方法,保证获得业务运营部门、预算部门、各级IT管理部门和实现团队的广泛支持是成功的关键。
然而,在大多数环境中,IPAM叠加更为高效且更容易实现。一般而言,那些已经使用DHCP和DNS可靠交付日常服务的组织更可能会选择IPAM叠加方法。在他们的现有技术,他们通常缺少的是变更管理、新子网配置和IP预订。当然,他们也希望增加自动网络发现、报告、警报和规划工具。通常以软件形式出现的IPAM叠加产品会与现有DHCP和DNS组件相连接。
叠加策略的主要优势在于分阶段部署,它只需要较少的人力,而且风险也较低,因为服务交付组件仍然在原来的位置正常工作。此外,IPAM叠加产品也可以采用分阶段的网络重设计。因为叠加产品必须整合各种供应商和服务商,所以在IP子网、服务器或园区网络中,最新部署和发现的相同自动化特性也可以用于整合碎裂的网络。
