IPAM: Управление адресным пространством

Основная функция сервера IPAM — контроль и управление адресным пространством в вашей организации. С его помощью можно отслеживать использование адресного пространства и наблюдать тенденции использования по блокам, подсетям и диапазонам. Для начала работы с IPAM сервером после его развёртывания необходимо наполнить базу необходимыми данными. В этой статье мы разберём основные логические сущности, используемые сервером IPAM и как их создать. Также см. статью Установка IPAM в Windows Server 2016 в которой разобраны архитектурные особенности и доступный функционал сервера IPAM.

Адресное пространство в IPAM

Адресное пространство в IPAM разделено на блоки (Blocks), подсети (Subnets), диапазоны (Ranges) и индивидуальные адреса (IP Address).

Блоки IP-адресов

Блоки IP-адресов представляют собой большие сети, которые используются для организации адресного пространства на самом высоком уровне. Например, вы можете использовать один блок 10.0.0.0/8 для всего внутреннего адресного пространства организации и ещё один для публичной сети компании. Блоки IP-адресов можно рассматривать как контейнеры в которые входят диапазоны (ranges). IPAM не обнаруживает и не создаёт блоки автоматически, их нужно создать вручную или импортировать из csv файла.

Подсети IP-адресов

Подсети IP-адресов, как очевидно из названия представляют собой подсети внутри больших блоков IP-адресов. Поверх подсетей создаются диапазоны для непосредственной выдачи адресов через DHCP или IPAM

Диапазоны IP-адресов

Диапазоны IP-адресов представляют собой области адресов выделяемые из подсетей, которые предназначены для использования. Диапазоны обычно соответствуют DHCP-областям или сетям, выдача адресов в которых выполняется вручную. Диапазоны IP-адресов создаются автоматически только для DHCP областей с управляемых DHCP серверов. IPAM не обнаруживает диапазоны IP-адресов, которые не управляются DHCP серверами. Такие диапазоны, как и блоки необходимо создавать вручную или импортировать из csv.

IP-адреса

Представляют непосредственно сами IP адреса, принадлежащие диапазону.

Группы диапазонов IP-адресов

Также можно организовывать диапазоны IP-адресов в логические группы. Группы можно создавать по физическому расположению, по бизнес функции и т.п.

Создание блоков и диапазонов

Создать блок, подсеть, диапазон или IP адрес можно в консоли Диспетчер серверов (Server Manager):

Если в области под номером 2 выбрать IPv6, то мастеры создания сущностей в области 4 будут создавать соответствующие IPv6 блоки, подсети, диапазоны.

Также для работы с блоками, подсетями, диапазонами и IP-адресами можно использовать соответствующие PowerShell командлеты:
https://docs.microsoft.com/en-us/powershell/module/ipamserver/?view=win10-ps

Мониторинг использования адресного пространства

Для управления адресным пространством организации важно иметь наглядную картину его использования. IPAM позволяет отслеживать тенденции использования

  • Блоков IP-адресов
  • Подсетей IP-адресов
  • Диапазонов IP-адресов
  • Групп диапазонов IP-адресов

Тренды использования в текущей версии IPAM доступны только для IPv4

Для просмотра трендов по блокам, подсетям или диапазонам в пункте 3 выбираем требуемое представление:

Для просмотра трендов по группам диапазонов, необходимо переключиться в раздел «Группы диапазонов IP-адресов» в пункте 1.

Пороговые значения 80/20 можно изменить в параметрах IPAM сервера:

Миграция существующих данных в IPAM

Если у вас уже есть данные учёта IP адресов в виде таблиц Excel или какой-то другой системы учёта, то IPAM позволяет выполнить импорт данных через CSV файлы. Требуемые поля CSV файлов при этом аналогичны тем полям, которые являются обязательными при создании блоков, диапазонов или IP-адресов через графический интерфейс. В первой строке файла должны быть перечислены имена полей, затем в каждой отдельной строке — данные создаваемого объекта.

Импорт можно выполнить в графическом интерфейсе, либо с помощью командлетов PowerShell Import-IpamAddressImport-IpamRangeImport-IpamSubnet.

Для импорта диапазонов IP-адресов используем CSV следующего вида:

Network, Start IP address, End IP address, Managed by service, Assignment Type
192.168.2.0/24, 192.168.2.1, 192.168.2.254, IPAM, dynamic

В CSV файле допустимо использование полей с пробелами, но если используется локализованная русская версия диспетчера серверов (Server Manager), то при импорте (на момент написания статьи) может возникнуть проблема:

Причём этот же файл будет нормально импортироваться в англоязычной версии диспетчера серверов, поэтому предпочтительно использовать англоязычную версию, чтобы не сталкиваться с дополнительными проблемами.

Для импорта файлов в русскоязычной версии необходимо использовать поля в том виде, в каком они используются в PowerShell: Add-IpamRangeAdd-IpamSubnetAdd-IpamBlockAdd-IpamAddress. Для примера импорта диапазона выше CSV будет выглядеть так:

NetworkID, StartIPAddress, EndIPAddress, ManagedByService, AssignmentType
192.168.2.0/24, 192.168.2.1, 192.168.2.254, IPAM, dynamic

Для импорта IP адресов используем CSV следующего вида:

IpAddress, ManagedByService, ServiceInstance, DeviceType, IpAddressState, AssignmentType
192.168.2.25, IPAM, localhost, host, in-use, static
192.168.2.26, IPAM, localhost, host, in-use, static

Для импорта блоков используем CSV:

Network, start IP address, end IP address, RIR
65.52.0.0/14, 65.52.0.0, 65.52.255.255, RIPE

Причём для импорта блоков сработал только такой csv с пробелами и для импорта пришлось использовать англоязычный Server Manager. Возможно эту путаницу исправят в дальнейшем.

Интеграция с System Center Virtual Machine Manager

Если в вашей инфраструктуре используется SCVMM, то IPAM может синхронизировать в свою базу всю адресную инфраструктуру VMM, что даст единое представление физических и виртуальных адресных пространств и исключит возможные конфликты адресных пространств, когда они управлялись раздельно. Вы можете создавать или редактировать логические сети в IPAM и они автоматически будут созданы или изменены в VMM и наоборот.

Интеграция настраивается довольно просто. VMM должен иметь доступ на чтение и изменение адресного пространства в IPAM и на удалённое управление IPAM сервером. Аккаунт «Run As» сервера VMM используется для этих задач.

Со стороны сервера IPAM

На IPAM-сервере добавляем учетную запись VMM «Run As» в следующие группы:

  • IPAM-администраторы ASM (IPAM ASM Administrators): локальная группа, существующая на всех серверах IPAM и обеспечивающая разрешения для управления адресным пространством IP-адресов.
  • Пользователи удаленного управления (Remote Management Users): встроенная группа, обеспечивающая доступ к ресурсам инструментария WMI через протоколы управления, такие как WS-Management, с помощью службы удаленного управления Windows.

Со стороны сервера VMM

В разделе Fabric > Networking > Network Service открываем мастер добавления нового сетевого сервиса

В открывшемся мастере указываем имя новой сетевой службы:

Указываем производителя и модель:

Выбираем аккаунт Run As:

Указываем Connection string для подключения к серверу IPAM. Это FQDN вашего IPAM сервера, если при установке был настроен порт отличный от используемого по умолчанию — указываем его через :

Выполняем сканирование провайдера:

Далее необходимо выбрать группу хостов для которой будет выполнена интеграция между IPAM и VMM:

Далее проверяем успешность выполнения всех действий в окне Jobs и переходим в Диспетчер серверов. В разделе «Пространство виртуализованных IP-адресов» должны появиться диапазоны, подсети, IP-адреса, Пространства IP-адресов, используемые в виртуальной инфраструктуре:

Создание собственных типов устройств и создание собственных полей

В разделе «Перечень IP-адресов» (IP Address Inventory) отображаются все IP-адреса организации, которые можно упорядочить по типу устройств, которые их используют.

Можно создавать свои категории устройств. Для этого открываем Параметры IPAM

Выбираем раздел «Настройка пользовательских полей…«

В открывшемся окне находим поле «Device Type» и во втором нижнем поле добавляем нужную категорию:

В этом же окне можно создать и свои поля, которые вам нужны для каталогизации адресных единиц учёта. В примере ниже мы создадим поле Location, которое будем использовать для сортировки диапазонов, адресов по физическому расположению («DC0», «DC1», «DC2» и т.п.)

После добавления поля Location оно будет доступно при редактировании объектов. Ниже пример добавления информации о расположении к диапазону IP-адресов:

Создание групп диапазонов IP-адресов

На основе созданных полей можно создавать группы диапазонов IP-адресов, которые удобно использовать для быстрого поиска нужных диапазонов:

В открывшемся окне вводим имя группы и выбираем созданное нами поле Location для новой группы:

Нажимаем OK.

Теперь в разделе Группы диапазонов IP-адресов мы получили созданные нами группы:

Добавить комментарий