基本介紹
支持,組成,ipam有哪些限制及缺點,ipam的需求是什麼,ipam能給企業帶來些什麼,Window Server ipam的功能改進,
支持
組成
IPAM用於發現、監視、審核和管理企業網路上使用的 IP 地址空間。IPAM 可以對運行動態主機配置協定 (DHCP) 和域名服務 (DNS) 的伺服器進行管理和監視。IPAM 包括的組件可以:
(1)自動化 IP 地址基礎結構發現:IPAM 可發現所選域中的域控制器、DHCP 伺服器和 DNS 伺服器。可以通過 IPAM 啟用或禁用對這些伺服器的管理。
(2)自定義 IP 地址空間顯示、報告和管理:IP 地址的顯示可高度自定義,並且會提供詳細的跟蹤和利用率數據。IPv4 和 IPv6 地址空間將會組織到 IP 地址區塊、IP 地址範圍和單獨的 IP 地址中。IP 地址是分配的內置或用戶定義的欄位,可用於進一步將 IP 地址空間組織為分層的邏輯組。
(3)對伺服器配置更改情況的審核和對 IP 地址使用情況的跟蹤:對於 IPAM 伺服器和託管的 DHCP 伺服器顯示可操作事件。通過使用從網路策略伺服器 (NPS)、域控制器和 DHCP 伺服器中收集的 DHCP 租約事件和用戶登錄事件,IPAM 還允許 IP 地址跟蹤。跟蹤可用於 IP 地址、客戶端 ID、主機名或用戶名。
(4)對 DHCP 和 DNS 服務的監視和管理:IPAM 允許對林上的 Microsoft DHCP 和 DNS 伺服器的自動服務可用性進行監視。將會顯示 DNS 區域運行狀況,並通過 IPAM 控制台提供詳細的 DHCP 伺服器和作用域管理。
ipam有哪些限制及缺點
Windows Server 2012 R2里的ipam有幾個限制。從系統配置和部署的角度上看,IP位址管理(ipam)只能處理一個Active Directory林,而且一個伺服器支持達150個DHCP伺服器和500個DNS伺服器。雖然這樣已經支持了足夠的DHCP和DNS範圍,能滿足大部分企業的需求,但ipam使用者了解這些潛在的限制也是很重要的。
不過也許更多的ipam限制是它對微軟產品的依賴性。舉個例子,ipam只支持Windows Server 2008或更新版本的域控制器,DHCP伺服器和DNS伺服器。ipam不能配置和管理其他非微軟的網路設備(例如appliance)——但是其他網路設備的IP位址信息可以通過PowerShell導入到ipam中。ipam也不支持非微軟的資料庫,所以ipam依賴於Windows資料庫。
在取證數據方面,報導指出ipam可以支持3年10萬個用戶的跟蹤數據。這包含了IP位址釋放和重新獲取的活動信息,MAC地址信息,用戶登錄詳細信息等等。對ipam的使用者來說,考慮取證數據的構成和確保保留數據充足和安全性很重要。如果ipam日誌沒有捕捉到詳細數據或者沒有提供滿足公司標準規範或者審計需求的數據,那么有必要考慮是否應該採用ipam。
ipam工具就像Windows Server 2012 R2的特性一樣,允許自動發現設備、監控、管理和報告。不過和大部分管理型工具一樣,對企業來說,要使用ipam這種新的或加強的功能前,有一個項目來對ipam進行理論驗證是很重要的。實驗室ipam測試和評估可以讓IT專家對IPAM技術感到舒適和自信,同樣最好在ipam部署到生產環境之前讓業務決策者知道ipam技術對業務的價值。
不過也許更多的ipam限制是它對微軟產品的依賴性。舉個例子,ipam只支持Windows Server 2008或更新版本的域控制器,DHCP伺服器和DNS伺服器。ipam不能配置和管理其他非微軟的網路設備(例如appliance)——但是其他網路設備的IP位址信息可以通過PowerShell導入到ipam中。ipam也不支持非微軟的資料庫,所以ipam依賴於Windows資料庫。
在取證數據方面,報導指出ipam可以支持3年10萬個用戶的跟蹤數據。這包含了IP位址釋放和重新獲取的活動信息,MAC地址信息,用戶登錄詳細信息等等。對ipam的使用者來說,考慮取證數據的構成和確保保留數據充足和安全性很重要。如果ipam日誌沒有捕捉到詳細數據或者沒有提供滿足公司標準規範或者審計需求的數據,那么有必要考慮是否應該採用ipam。
ipam工具就像Windows Server 2012 R2的特性一樣,允許自動發現設備、監控、管理和報告。不過和大部分管理型工具一樣,對企業來說,要使用ipam這種新的或加強的功能前,有一個項目來對ipam進行理論驗證是很重要的。實驗室ipam測試和評估可以讓IT專家對IPAM技術感到舒適和自信,同樣最好在ipam部署到生產環境之前讓業務決策者知道ipam技術對業務的價值。
ipam的需求是什麼
使用Windows Server 2012 R2中的ipam功能之前,你需要知道一些事情。通常ipam需要安裝在一台獨立的伺服器上,ipam需要適合的系統需求,包括一個四核2.66GHz的處理器,4GB記憶體和80GB的硬碟空間。系統架構師解釋說在ipam資料庫中進行查找操作時,快速存儲(例如高性能的SAS或者固態硬碟)可以大大地提升IP位址管理(ipam)的性能。ipam伺服器對網路頻寬的需求很小,但是ipam必須能夠連線到管理範圍內的所有設備——ipam不能發現和管理不在區域網路中的設備。
IT管理員應該牢記,ipam伺服器需求是隨著管理設備的增加而增加的。所以要確保在ipam上進行監控,防止時間久了ipam服務性能變差。還需要記得ipam執行效能規劃,以保證在IP位址管理需求超過ipam系統限制的時候可以將伺服器進行升級或者替換。
ipam伺服器必須能訪問DNS伺服器和域控。但是,ipam伺服器必須進行單獨安裝——不要把ipam安裝在同時提供DNS、DHCP的伺服器上。這樣可以確保ipam能夠最大化地使用伺服器資源,而且如果ipam伺服器出故障了也不會影響關鍵的企業網路功能。
ipam基礎架構一般有三種部署方法。分散式部署時,每一個ipam伺服器都在企業內不同的物理位置(數據中心)。舉個例子,一個IPAM伺服器可能在辦公室,第二個ipam伺服器可能在California辦公室,第三個ipam伺服器可能在Toronto辦公室。這種方法使每個ipam伺服器都有自己的資料庫,維護著不一樣的範圍和域。
集中式部署時,企業內的所有地方都只用一個ipam伺服器(也只有一個ipam資料庫)。這種方法下需要額外的網路連線、更強大的數據保護和ipam伺服器可用性考慮,以防止因為ipam出問題帶來的企業級範圍的IP管理失效。
最後,ipam伺服器可以用混合的方法部署,使用一個中央的ipam伺服器和每個數據中心的一個附加的ipam伺服器。這樣既帶來了集中控制,又使資料庫本地化,確保如果伺服器掛了服務還可以繼續運行。舉個例子,如果中央ipam伺服器失效了,遠程的ipam伺服器可以保持運作,直到中央ipam伺服器恢復和完成同步為止。如果一個遠程的ipam伺服器失效了,中央ipam伺服器可以給遠程辦公室提供服務,直到遠程的ipam伺服器恢復為止。
IT管理員應該牢記,ipam伺服器需求是隨著管理設備的增加而增加的。所以要確保在ipam上進行監控,防止時間久了ipam服務性能變差。還需要記得ipam執行效能規劃,以保證在IP位址管理需求超過ipam系統限制的時候可以將伺服器進行升級或者替換。
ipam伺服器必須能訪問DNS伺服器和域控。但是,ipam伺服器必須進行單獨安裝——不要把ipam安裝在同時提供DNS、DHCP的伺服器上。這樣可以確保ipam能夠最大化地使用伺服器資源,而且如果ipam伺服器出故障了也不會影響關鍵的企業網路功能。
ipam基礎架構一般有三種部署方法。分散式部署時,每一個ipam伺服器都在企業內不同的物理位置(數據中心)。舉個例子,一個IPAM伺服器可能在辦公室,第二個ipam伺服器可能在California辦公室,第三個ipam伺服器可能在Toronto辦公室。這種方法使每個ipam伺服器都有自己的資料庫,維護著不一樣的範圍和域。
集中式部署時,企業內的所有地方都只用一個ipam伺服器(也只有一個ipam資料庫)。這種方法下需要額外的網路連線、更強大的數據保護和ipam伺服器可用性考慮,以防止因為ipam出問題帶來的企業級範圍的IP管理失效。
最後,ipam伺服器可以用混合的方法部署,使用一個中央的ipam伺服器和每個數據中心的一個附加的ipam伺服器。這樣既帶來了集中控制,又使資料庫本地化,確保如果伺服器掛了服務還可以繼續運行。舉個例子,如果中央ipam伺服器失效了,遠程的ipam伺服器可以保持運作,直到中央ipam伺服器恢復和完成同步為止。如果一個遠程的ipam伺服器失效了,中央ipam伺服器可以給遠程辦公室提供服務,直到遠程的ipam伺服器恢復為止。
ipam能給企業帶來些什麼
隨著大量的ipam設備和系統的增加,ipam企業網路更加混亂,IT管理員必須要處理大量的個人IP位址。為了滿足越來越多的複雜IP環境需求,特別是IPv6網路地址的劇增,出現了一些提供IP位址管理服務的ipam管理工具和ipam功能。
一個IP位址在一個網路中為每一個系統或者設定指定唯一標識。ipam隨著網路不斷的發展及變得更加複雜,傳統的靜態(不變的) IP位址分配在很大程度上被拋棄,取而代之的是ipam更多樣化的技術。例如,ipam動態主機配置協定(DHCP)可以自動地配置IP位址。這些ipam後期的技術進步幫助自動分配IP位址,避免了IT人員配置引起的錯誤。
IP位址管理(ipam)是允許IT管理員去執行發現、跟蹤、管理和報告IP位址在整個企業網路中使用狀態的一個軟體功能。ipam也可以整合安裝了域名系統(DNS)的DHCP。隨著傳統的IPv4(dotted decimal)IP位址被更大量、更繁瑣的IPv6 128-bit十六進制IP位址取代,ipam就顯得越來越重要了。現在有很多ipam軟體產品,但是ipam的性能被集成到了Windows Server 2012中,並且ipam已經隨著R2版本的發布做了更新。
ipam提供高度可自定義的方法,以顯示IP位址和使用情況(審計)。IP位址可以由地址或用戶自定義組組成,後者通常更容易可視化複雜的數據中心環境。例如,ipam可以消除因時常更改或者增加IP位址而產生的手動電子表格或腳本,取而代之的是為IP管理和DHCP/DNS服務提供一個單一的管理平台。ipam的追蹤和IP位址審計功能能夠幫助最佳化有限的IPv4地址空間,也能幫助ipam組織滿足各個方面的法規遵從性報告。
一個IP位址在一個網路中為每一個系統或者設定指定唯一標識。ipam隨著網路不斷的發展及變得更加複雜,傳統的靜態(不變的) IP位址分配在很大程度上被拋棄,取而代之的是ipam更多樣化的技術。例如,ipam動態主機配置協定(DHCP)可以自動地配置IP位址。這些ipam後期的技術進步幫助自動分配IP位址,避免了IT人員配置引起的錯誤。
IP位址管理(ipam)是允許IT管理員去執行發現、跟蹤、管理和報告IP位址在整個企業網路中使用狀態的一個軟體功能。ipam也可以整合安裝了域名系統(DNS)的DHCP。隨著傳統的IPv4(dotted decimal)IP位址被更大量、更繁瑣的IPv6 128-bit十六進制IP位址取代,ipam就顯得越來越重要了。現在有很多ipam軟體產品,但是ipam的性能被集成到了Windows Server 2012中,並且ipam已經隨著R2版本的發布做了更新。
ipam提供高度可自定義的方法,以顯示IP位址和使用情況(審計)。IP位址可以由地址或用戶自定義組組成,後者通常更容易可視化複雜的數據中心環境。例如,ipam可以消除因時常更改或者增加IP位址而產生的手動電子表格或腳本,取而代之的是為IP管理和DHCP/DNS服務提供一個單一的管理平台。ipam的追蹤和IP位址審計功能能夠幫助最佳化有限的IPv4地址空間,也能幫助ipam組織滿足各個方面的法規遵從性報告。
Window Server ipam的功能改進
在下一版本的Windows Server ipam中,微軟引進了許多新功能並且在現有的ipam某些方面做了提升。其中現有的ipam特性之一就是微軟改進了IP位址管理(IPAM)。不幸的是,微軟對ipam的改進在現有的技術預覽中並不可用,但是目前正對此進行探討。
微軟對Windows Server ipam增強計畫分為三個主要範疇。第一個範疇是提高DNS管理。在Windows Server 2012 R2ipam中,ipam級別的DNS管理實際上是不存在的。管理員們不得不拋棄ipam控制台,ipam打開DNS管理器來執行DNS管理功能。
下一個版本的Windows Server改進ipam來提升DNS管理能力是非常受歡迎的。ipam支持在Active Directory林中發現DNS伺服器。ipam更重要的是,如同ipam現在的DNS管理器一樣,它有可能通過ipam控制台來執行相同類型的管理任務。例如,ipam管理員們可以創建、修改和刪除DNS作用域和DNS記錄。
不僅如此,微軟正在整合DDI(DNS、DHCP和IP位址)管理。讓我們拭目以待ipam最後會是什麼樣的,但是微軟ipam已經提供給了我們一些暗示。
根據微軟所述,ipam將執行一個DNS資源記錄集合。在這種情況下,ipam將會整合任何現存DNS反向查詢區域的PTR記錄。如果ipam反向查詢區域被發現映射了一個IP位址範圍,ipam將會為這個區域內的所有PTR記錄創建IP位址記錄。如果PTR記錄已經分配了一個IP位址,那么ipam中現有的IP位址就會和PTR記錄關聯。
同樣的,如果管理員使用ipam控制台在現有的反向查詢區域創建一個新的PTR記錄,那么ipam就會更新IP位址庫,並且PTR記錄會在接下來的DNS記錄收集操作中映射到IP位址。
第三類改進就是微軟下一代Windows Server ipam增強了IP位址管理。增強IP位址管理範疇分為三個ipam新功能。
第一個ipam新功能就是支持 /32、/64、/128子網。儘管這些特殊子網一般不會用於地址分配,但ipam另有用途。例如,/32子網用於IPv4和網路交換機迴環地址配置的情景。同樣的,/31子網用於ipam單個數據中心點對點通信的兩個地址連線。
下一個ipam增強功能是增加名為Find-ipamFreeSubnet的PowerShell命令。這個ipam命令的目的是幫助管理員查找可用於分配的ipam子網列表。ipam管理員所需要做的是提供的必要的IP塊、前綴長度和子網的數量。值得注意的是PowerShell命令實際上並沒有創建新的ipam子網,更確切的說ipam是在報告子網的可用性,ipam子網可以使用Add-ipamSubnet命令來創建。
最後一個Windows Server ipam功能特性是另外一個PowerShell命令,名字叫Find-IpamFreeRange。這個ipam命令的目的是幫助管理員在一個子網裡面分配自由的IP位址。ipam管理員要套用子網,IP位址和範圍的ipam數量是必須要指定的。按照抗訴所做,這個ipam命令會按照條件要求搜尋具有一系列連續性可用的IP位址的子網。要記住的是,這個ipam命令不會實際的創建IP位址範圍,確切的說ipam是在報告能夠創建請求的範圍,IP位址範圍可以使用Add-IpamRange命令來創建。
微軟對Windows Server ipam增強計畫分為三個主要範疇。第一個範疇是提高DNS管理。在Windows Server 2012 R2ipam中,ipam級別的DNS管理實際上是不存在的。管理員們不得不拋棄ipam控制台,ipam打開DNS管理器來執行DNS管理功能。
下一個版本的Windows Server改進ipam來提升DNS管理能力是非常受歡迎的。ipam支持在Active Directory林中發現DNS伺服器。ipam更重要的是,如同ipam現在的DNS管理器一樣,它有可能通過ipam控制台來執行相同類型的管理任務。例如,ipam管理員們可以創建、修改和刪除DNS作用域和DNS記錄。
不僅如此,微軟正在整合DDI(DNS、DHCP和IP位址)管理。讓我們拭目以待ipam最後會是什麼樣的,但是微軟ipam已經提供給了我們一些暗示。
根據微軟所述,ipam將執行一個DNS資源記錄集合。在這種情況下,ipam將會整合任何現存DNS反向查詢區域的PTR記錄。如果ipam反向查詢區域被發現映射了一個IP位址範圍,ipam將會為這個區域內的所有PTR記錄創建IP位址記錄。如果PTR記錄已經分配了一個IP位址,那么ipam中現有的IP位址就會和PTR記錄關聯。
同樣的,如果管理員使用ipam控制台在現有的反向查詢區域創建一個新的PTR記錄,那么ipam就會更新IP位址庫,並且PTR記錄會在接下來的DNS記錄收集操作中映射到IP位址。
第三類改進就是微軟下一代Windows Server ipam增強了IP位址管理。增強IP位址管理範疇分為三個ipam新功能。
第一個ipam新功能就是支持 /32、/64、/128子網。儘管這些特殊子網一般不會用於地址分配,但ipam另有用途。例如,/32子網用於IPv4和網路交換機迴環地址配置的情景。同樣的,/31子網用於ipam單個數據中心點對點通信的兩個地址連線。
下一個ipam增強功能是增加名為Find-ipamFreeSubnet的PowerShell命令。這個ipam命令的目的是幫助管理員查找可用於分配的ipam子網列表。ipam管理員所需要做的是提供的必要的IP塊、前綴長度和子網的數量。值得注意的是PowerShell命令實際上並沒有創建新的ipam子網,更確切的說ipam是在報告子網的可用性,ipam子網可以使用Add-ipamSubnet命令來創建。
最後一個Windows Server ipam功能特性是另外一個PowerShell命令,名字叫Find-IpamFreeRange。這個ipam命令的目的是幫助管理員在一個子網裡面分配自由的IP位址。ipam管理員要套用子網,IP位址和範圍的ipam數量是必須要指定的。按照抗訴所做,這個ipam命令會按照條件要求搜尋具有一系列連續性可用的IP位址的子網。要記住的是,這個ipam命令不會實際的創建IP位址範圍,確切的說ipam是在報告能夠創建請求的範圍,IP位址範圍可以使用Add-IpamRange命令來創建。
