آشنایی با IPAM

امروزه مدیریت و نظارت بر IP Address Space در سازمان های بزرگ، سبب پیچیدگی های متعددی شده است. بسیاری از سازمان ها از فایل صفحه گسترده (Spreadsheets همانند Excel) جداگانه جهت مدیریت و نظارت بر وقایع زیرساخت های آدرس دهی سازمان ها استفاده می کنند. با گسترش شبکه های کامپیوتری و سرویس ها، پیچیدگی رهیافت فوق الذکر افزوده شده و علاوه بر آن سبب می گردد؛ جریان های کاری و فشار کاری افزایش یابد. با به کارگیری از سرویس (IP Address Management (IPAM در شبکه های مبتنی بر سرویس های مایکروسافت، این امکان حاصل می گردد تا ردگیری وقایع فضای آدرس های داینامیک در سازمان تسهیل شده، مدیریت و نظارت بر آدرس های منطقی دستی بهبود پیدا کرده و همچنین قابلیت یکپارچگی با زیرساخت های مجازی سازمان ایجاد گردد (وابسته به VMM).

سرویس IPAM که یکی از Feature های جدید در Windows Server 2012 به شمار می آید، یک Framework مرکزی جهت مدیریت IP Address Space و سرویس های متناظر آن در سازمان همانند DNS و DHCP فراهم می آورد. IPAM با استفاده از قابلیت Auto Discovery در یک Forest فعال می گردد و با سطوح دسترسی Role-Based امکان نظارت، مدیریت و ردگیری وقایع را برای اپراتور ها فراهم می آورد.

مهمترین کاربرد های سرویس IPAM به شرح زیر می باشد.

۱) برنامه ریزی: جایگزینی IPAM با گزارش گیری های دستی و پراکنده سبب می شود امکان برنامه ریزی های دقیق تر حاصل گردد.
۲) مدیریت و جریان های کاری: IPAM یک پلتفرم متمرکز جهت مدیریت آدرس های IP فراهم می آورد. این امر سبب می شود میز پشتیبانی (Help Desk) بتواند تغییرات مطلوب را (طی ایجاد دسترسی های متناسب بر اساس Role-Based Access Control) برای کلاینت های تحت پشتیبانی خود اعمال نماید.
۳) ردگیری و بازبینی: IPAM یک ابزار یکپارچه جهت ردگیری آدرس های lease شده و همچنین تنظیمات روی سرور های تحت نظارت خود ایجاد می کند.

IP Address Management یا به اختصار IPAM یک راهکار Agentless جهت Discovery، مانیتورینگ، نظارت و مدیریت IP Address Space است. با استفاده از این Feature در ویندوز امکان نظارت و مدیریت یکپارچه سرور های DHCP، DNS و NPS ایجاد می گردد. IPAM به صورت خودکار می تواند زیرساخت های IP Address Space (با استفاده از فرآنید Provisioning) را دیسکاور کند و یک رابط مرکزی برای مدیریت این امر فراهم می آورد. IPAM شامل اجزای ذیل است:

Address Space Management
Virtual Address Space Management
Multi-Server Management and Monitoring
Network Audit
Role-Based Access Control

لازم به ذکر است؛ Virtual Address Space Management تنها از طریق یکپارچگی با System Center Virtual Machine Manager محقق می گردد.

محدودیت ها و پیش نیاز های اصلی سرویس IPAM به شرح زیر اند:
– IPAM نمی تواند روی Domain Controller ها فعال شود.
– Address utilization صرفا روی IPv4 عمل می کند.
– IPAM نمی تواند IP Address consistency را روی network router و switch ها بررسی کند.
– IPAM امکان Auditing را برای IPv6 فراهم نمی آورد.
یک IPAM Server تنها در یک Forest می تواند عمل کند.
– IPAM تنها از Windows Server 2012 R2 امکان اتصال به SQL Server را دارد.
– IPAM تنها از Windows Server 2012 R2 امکان Role-Based Access Control را به صورت مناسبی دارا می باشد.
– IPAM از سیستم های غیر مایکروسافتی جهت Configuration و Management پشتیبانی نمی کند. امکان Import کردن اطلاعات برای دیوایس های غیر مایکروسافتی وجود دارد.
– جهت Provisioning لازم است ۳ سیاست گروهی مختلف روی اشیاء معینی اعمال گردد.
– IPAM Server لازم است یک Member Server باشد.
– جهت مدیریت IPAM Server اکانت دامین با دسترسی مناسب روی IPAM لازم خواهد بود.

تصویر زیر به عنوان یک مثال میزان Address Utilization را در یک شبکه نمایش می دهد.

image

معماری سرویس

سرویس IPAM سه معماری متمایز را به شرح زیر پشتیبانی می کند:

۱) Distributed: در هر یک از سایت های فیزیکی یک IPAM Server مجزا ایجاد می گردد.

۲) Centralized: استفاده از یک IPAM Server در سازمان.

۳) Hybrid: ترکیبی از حالات فوق.

تصویر زیر یک معماری Hybrid را نمایش می دهد.

image

 

سرور های تحت مدیریت

IPAM به صورت متناوب، جهت دیسکاوری سرور های DNS, DHCP, NPS در سایت خود اقدام می کند و لازم است پس از دیسکاور شدن، به عنوان Managed Server معرفی گردند. تصویر زیر به صورت شماتیک ارتباطات فوق الذکر را نمایش می دهد.

image

IPAM از Remote Procedure Call (RPC)، Windows Management Instrumentation (WMI)، Server Message Block (SMB) و Web Services for Management (WS-Management) برای جمع آوری اطلاعات و نظارت بر سرور های تحت مدیریت خود استفاده می کند. جدول زیر به صورت مشروح این مورد را نشان می دهد.

سرور تحت مدیریت متد ارتباطی فعالیت ها
DHCP RPC, WMI, SMB, WS-Management Monitor: IP address utilizationMonitor: Service statusConfigure: Servers and scopesAudit: IP address lease events Audit: DHCP configuration events
DNS RPC, WMI, WS-Management Discover: DNS serversMonitor: DNS zone healthConfigure: DNS zones
Domain Controller RPC, WMI, LDAP Discover: DNS and DHCP serversValidate: Managed serversAudit: User and device logon events
NPS RPC Audit: User and device logon events

تصویر زیر اطلاعات جدول فوق را به اختصار نمایش می دهد.

image

زمان بندی

سرویس IPAM داری تعدادی Scheduled Task است که جهت جمع آوری اطلاعات اجرای می گردند. زمان بندی پیشنهادی به شرح زیر است.

نام وظیفه زمان بندی بازه
AddressExpiry ۱ day Indefinite
AddressUtilization ۲ hours Indefinite
Audit ۱ day Indefinite
ServerAvailability ۱۵ minutes Indefinite
ServerConfiguration ۶ hours Indefinite
ServerDiscovery ۱ day Indefinite
ServiceMonitoring ۳۰ minutes Indefinite

محل ذخیره سازی اطلاعات

IPAM با استفاده از Lightweight Directory Access Protocol (LDAP) به دیسکاوری DHCP Server ها پرداخته و با استفاده از SMB برای یافتن اطلاعات Lease ها عمل می کند. در Windows Server 2012 تنها امکان استفاده از Windows Internal Database (WID) جهت ذخیره سازی اطلاعات IPAM وجود دارد. در Windows Server 2012 R2 این امکان حاصل شده است تا SQL Server نیز به عنوان Database استفاده گردد. استفاده از SQL Server امکانات جدیدی را به IPAM اضافه نمی کند با این وجود به صورت عمومی مزایای زیر را به همراه دارد:
۱) مقیاس پذیری بیشتر
۲) استفاده از راهکار های Disaster Recovery

مدیریت سطوح دسترسی

در Windows Server 2012 R2 امکان افزودن Custom Role جهت Role-Based Access Control ایجاد شده است؛ با این وجود گروه های کاربری پیش فرض IPAM، در اکثر سناریو ها پاسخگوی نیاز های طراحی شده است. سطوح دسترسی پیش فرض به شرح زیر است.

نوع نام شرح
Role DNS record administrator مدیریت Resource Record ها در DNS
Role IP address record administrator مدیریت IP Address ها به استثنای IP address spaces ranges  blocks و subnets
Role IPAM administrator مدیریت تمام اشیاء و تنظیمات در IPAM
Role IPAM ASM administrator مدیریت کامل روی IP Address ها
Role IPAM DHCP administrator مدیریت کامل DHCP Server ها
Role IPAM DHCP reservations administrator مدیریت Reservation ها
Role IPAM DHCP scope administrator مدیریت Scope های DHCP
Role IPAM MSM administrator مدیریت کامل DNS و DHCP
Access scope Global به صورت پیش فرض، تمام اشیاء موجود در IPAM در یک Scope به این نام قرار می گیرند.

بدیهی است، تنظیم سطوح دسترسی و حوزه متناسب برای کاربران سرویس IPAM اهمیت بسیار بالایی برخوردار است.

پیش نیاز ها

جدول زیر، پیش نیاز های سرویس IPAM را نشان می دهد.

ابزار یا ویژگی شرح
Remote Server Administration Tools جهت مدیریت سرویس های تحت نظارت
Windows Internal Database جهت ذخیره سازی اطلاعات IPAM
Windows Process Activation Service عمومی سازی IIS process model
Group Policy Management جهت مدیریت سیاست های گروهی که در فرآیند Provisioning ایجاد می گردد
.NET Framework 4.5 Features Framework اجرایی .Net