10 практических решений по улучшению функционирования Вашей сети
В постоянно меняющейся бизнес-среде гибкость и эффективность ИТ стали одной из основных стратегических областей интересов для компаний, чтобы оставаться конкурентоспособными и осуществлять устойчивый долгосрочный рост. Планы IP-адресов, DNS и Службы DHCP — это сетевые основы, играющие ключевую роль в решении этих задач. Со временем среды IP-адресации стали критически важными и очень сложными в управлении. Суть в том, что гибкость организации в значительной мере определяется гибкостью основ ИТ инфраструктуры.
Чтобы сделать IP-адресацию вашей сети максимально гибкой, безопасной, надежной и быстро реагирующей на все изменения, следует придерживаться следующих простых рекомендаций:
- Поддерживайте централизованные, унифицированные и автоматизированные службы управления IP-адресами для обеспечения прозрачности, общего контроля целостности и высокой отзывчивости сетевых сервисов
- Определите структуру плана IP и стратегию именования на основе потребностей бизнеса для обеспечения эффективности в реализации текущих задач и масштабируемости
- Определите корпоративные стандарты и настройте принудительное применение политик для оптимизации и упрощения процессов развертывания.
- Оптимизируйте фрагментацию IP-пространства для масштабируемости сети, гибкости и производительности маршрутизации.
- Разумно делегируйте управление DNS, DHCP и IP-адресами и включите “самообслуживание по требованию” для снижения эксплуатационных расходов при одновременном улучшении SLA.
- Ведите историю изменений для более легкого и быстрого устранения неполадок.
- Используйте периодические аудиты и управляйте синхронизацией изменений для проактивного управления, отслеживания мобильности и контроля качества.
- Регулярно контролируйте использование IP-пространства, DNS и DHCP для точного планирования емкости сети.
- Обеспечивайте высокий уровень доступности служб DDI для обеспечения непрерывности бизнеса
- Начните планировать переход на IPv6 прямо сейчас!
По целому ряду причин, включая слияния, поглощения и быстрый рост компаний, многие сети превратились в мешанину различных схем именования и адресации. Бурный рост числа IP-устройств, мобильных устройств, виртуализации и облачных сервисов только усугубили проблему. Все более усложняющаяся в связи с этим структура сети может скоротечно привести к критическим проблемам, особенно при отсутствии оперативной реакции. Планы IP-адресации с использованием служб DNS и DHCP являются важнейшими сетевыми основами, от которых напрямую зависят масштабируемость инфраструктуры, производительность маршрутизации и доступность приложений.
Поэтому службы управления IP-адресами (IPAM) жизненно важны для обеспечения эффективного управления изменениями в целях обеспечения качества и непрерывности ИТ-операций.
Приведенные ниже рекомендации являются основополагающими передовыми практиками для успешного внедрения сервиса IPAM, который поддерживает надежность и автоматизацию ИТ-операций, тем самым повышая эффективность бизнеса.
1. Поддерживайте централизованные, унифицированные и автоматизированные службы управления IP-адресами.
Централизованная инвентаризация является основой для контроля целостности сети. Помогает получить целостный взгляд и немедленный доступ к любой информации об IP пространстве. Централизованная инвентаризация предотвращает распространенные ошибки, относящиеся к человеческому фактору, такие как: конфликтное назначение IP-адресов, нежелательное пересечение подсетей, конфликтующие конфигурации DHCP, несовместимое развертывание VLAN(s), несоответствие схемам именования и прочее. Кроме того, централизованная инвентаризация предоставляет эффективные инструменты планирования емкостей для прогнозирования исчерпания пула адресов, а также возможности подготовки глобальных отчетов, необходимых инженерам для подтверждения оптимального уровня работы инфраструктуры.
Поскольку IP-адреса, VLAN, DNS-записи и аренда DHCP являются взаимозависимыми ресурсами, ими следует управлять не по отдельности каждым, а с помощью глобального подхода. Подумайте о внедрении единой структуры управления, которая будет обрабатывать эти элементы и их зависимости, обеспечивая постоянную согласованность соответствующих репозиториев при значительном снижении административных затрат. Например, выделение IP-адреса должно автоматически обновлять конфигурацию службы DNS путем создания записей типа A, PTR и CNAME на соответствующих DNS-серверах, ассоциированных с префиксом принадлежащим этому адресу.
2. Определите структуру плана IP и стратегию наименования на основе потребностей бизнеса для обеспечения эффективности в реализации текущих задач и масштабируемости.
Очень важно разработать схему планов IP-адресации соответствующей модели, которая необходима для бизнеса, а не наоборот. Независимо от того, как меняется бизнес, ИТ-специалисты предполагают, что бизнес должен вписываться в существующую инфраструктуру, а не инфраструктура должна соответствовать бизнесу. Это может очень быстро привести к множеству проблем, таких как: ограниченная емкость изменений, сложное определение политики безопасности или снижение производительности сети. Обеспечение быстрой и плавной эволюции бизнес-операций является ключевым фактором, а это означает, что схемы IP-планов должны быть достаточно гибкими, чтобы обеспечить простоту управления изменениями для оптимальных операционных возможностей компании-от развертывания новых услуг (VoIP, CCTV, частное облако) до слияний и поглощений или открытия дочерних компаний.
Однако, несмотря на необходимость разработки адресного плана, исходящего из нужд бизнеса, не следует забывать, что для обеспечения производительности, масштабируемости и безопасности любой сети необходимо учитывать технические ограничения. План IP адресации должен обеспечивать эффективную маршрутизацию трафика при надлежащем применении правильной политики безопасности и качества обслуживания на основе каждого приложения. Как для технического, так и для делового подхода следует рассмотреть вопрос о разработке многоуровневой иерархии. Например, начальный уровень IP плана разрабатывается с учетом нужд маршрутизации, обычно выполняемых для каждого региона, а затем подуровни для дочерних компаний и точек присутствия.
3. Определите корпоративные стандарты и настройте принудительное применение политик для оптимизации и упрощения процессов развертывания.
Как мы видели ранее, план IP-адресов определяет внутреннюю структуру любой сети и связанную с ней политику маршрутизации. Кроме того, это также основа, благодаря которой должно быть определено управление политикой компании, чтобы оптимизировать и упростить процессы развертывания служб IP, DNS и DHCP.
Для каждого уровня иерархии плана IP должны быть определены конкретные параметры, атрибуты (теги) и свойства. Важно иметь определенность заблаговременно. Например, IP-адреса, выделенные в подсеть DMZ, могут быть зарегистрированы в определенной зоне DNS, а подсети VoIP могут быть автоматически созданы с помощью определенных параметров поставщика IP-телефонов.
Наследование от уровня к подуровню иерархии также должно быть интегрировано в эту стратегию обеспечения соблюдения политики для сквозного подхода.
В то же время IPAM может хранить много информации о выделенных IP-ресурсах. Поэтому разработка четких алгоритмов для пользователей является ключевым фактором для корректного управления сетью и планированию масштабирования ее емкости. Использование шаблонов форм для каждого типа объекта, например, для серверов или принтеров, снижает сложность развертывания, поскольку ограничивает объем информации, подлежащей уточнению, и в то же время заранее определяет политики на самом детальном уровне. Например, возможно принудительное использование политик наименования на ряду со структурой плана IP с помощью встроенных правил, управляемых администратором развертывания в соответствии с типом объекта, местоположением и, наконец, полным именем.
Этот нисходящий подход, распространенный на уровне компании, максимизирует ресурсную емкость, повышает общую логичность сети и обеспечивает необходимую гибкость для постоянно меняющихся сред. Делегирование управления сетью значительно упрощается, поскольку политики и соглашения применяются автоматически.
4. Оптимизируйте фрагментацию IP-пространства для масштабируемости сети, гибкости и производительности маршрутизации.
Неконтролируемая фрагментация IP — пространства может быстро повлиять на бизнес, снижая скорость развертывания новых подсетей и масштабирования сети, в соответствии с ее потребностями, тем самым ухудшая производительность сети и усложняя ее администрирование. Например, когда речь идет о реорганизации бизнеса, изобилующей неструктурированными назначениями, у сетевых администраторов может не быть другого выбора, кроме как разделить некоторые блоки, в которых подсети могут быть назначены бессистемно. Обычно их несколько в начале диапазона блока, а некоторые в конце. В результате реорганизация блока усложняет политику маршрутизации и фильтрации, что приводит к потенциальным проблемам с производительностью сети и/или безопасностью.
Следовательно, оптимизация агрегации подсетей во избежание фрагментации IP-префиксов имеет важное значение. При разработке плана IP-адресов следует рассмотреть вопрос о выделении последующих префиксов для каждого региона, сохранив некоторые из них для дальнейшего использования. Затем полученные префиксы региона можно разделить на более мелкие единицы, которые будут соответствовать местному бизнес-присутствию. Только после этого следует планировать назначение подсетей служб и приложений, предназначенных для локального развертывания (чтобы применялись соответствующие политики).
Это снижает риск сохранения ненужных маршрутов из-за фрагментированной топологии маршрутизации и упрощает администрирование сети. Кроме того, суммирование подсетей в сложных средах повысит производительность сети за счет минимизации количества маршрутов в таблицах маршрутизации — экономии памяти маршрутизатора и уменьшения задержки.
5. Разумно делегируйте управление сетью и включите “самообслуживание по требованию”, чтобы снизить эксплуатационные расходы при одновременном улучшении SLA.
Делегирование, безусловно, беспроигрышный вариант в условиях индустриализации, позволяющий команде сосредоточиться на своих собственных ценных задачах, в то время как ее “клиенты” получают возможность быстрее предоставлять услуги. Конечно, это возникает из-за текущей тенденции в области автоматизации ИТ, которая постепенно позволяет делегировать технические действия неспециалистам.
Это относится и к сетевому управлению, поскольку обработка ресурсов может занять много времени. Организации должны внедрить надлежащую систему управления правами, позволяющую делегировать полномочия в соответствии не только с жесткой иерархией ресурсов, но и с оперативными потребностями бизнеса.
Также может быть полезно делегировать авторизацию на других основаниях. Например, было бы разумно делегировать управление IP-адресами команде, ответственной за службу, которой выделяются выделенные подсети. Службе поддержки могут быть видны подключенные компьютеры, ноутбуки или принтеры, за которые они несут ответственность. Аналогично, команда VoIP может управлять IP-ресурсами в подсетях, выделенных для этой службы. Кроме того, можно использовать возможности самих конечных пользователей, предоставив им надлежащий портал, позволяющий им регистрировать свои собственные персональные устройства, подключенные к корпоративной сети.
6. Ведите историю изменений для более легкого и быстрого устранения неполадок.
IP-адреса и DNS-записи являются критически важными ресурсами, которые используются для доступа к любому устройству или службе через сеть. Любое изменение назначения IP-адреса или конфигурации DNS может существенно повлиять на доступность и качество любой услуги. Даже если были определены простые и строгие процедуры управления, могут возникнуть ошибки. Отслеживание каждого изменения, влияющего на IPAM, DNS или DHCP, настоятельно рекомендуется как для обеспечения безопасности, так и для устранения неполадок. Это должно позволить быстро идентифицировать каждое изменение с полной детализацией (Кто-Что-Когда), чтобы обеспечить плодотворный анализ.
7. Проводить периодические аудиты и управлять выверкой для активного управления, отслеживания мобильности и контроля качества.
Лучшие схемы IP и самые умные политики назначения могут быстро стать бесполезными, если нет контроля над их точным и непрерывным применением. Точный и непрерывный аудит ресурсов информационных систем является решающим процессом для обеспечения согласованности справочной базы данных IPAM с течением времени. Аудит позволяет идентифицировать проблемы назначения, неиспользуемые ресурсы и поддерживать сети надлежащего размера, а также коммутационное оборудование и пулы адресов по всей сети. Кроме того, следует рассмотреть возможность объединения таких проверок с соответствием конфигурации служб DNS/DHCP, поскольку это обеспечит согласованность предоставления сетевых услуг.
Эффективная система аудита должна обеспечивать возможности отчетности:
- Идентификация подключенных сетевых устройств
- Отслеживание ассоциаций MAC-IP-адресов
- Отслеживание назначений IP-адресов для каждого устройства
- Отслеживание конфликтного развертывания VLAN
- Определение конфликтных назначений IP-адресов и портов
- Идентификация неиспользуемых IP — адресов и сетей
- Определение неиспользуемых диапазонов DHCP и статической аренды
- Сравнение базы данных DNS с базой данных IPAM
- Сравнение параметров служб DNS/DHCP, настроенных на разных серверах
Любое развертывание IPAM должно быть связано с внедрением автоматического процесса инвентаризации, предназначенного для сопоставления и согласования результатов обнаружения сети с базой данных, используемой в качестве эталона в процессе управления инфраструктурой.
8. Регулярно контролируйте IP-пространство, использование DNS и DHCP для точного планирования емкости.
IP-адреса и DNS-записи достаточно ограниченные ресурсы, поэтому важно планировать и контролировать их использование. Проведение периодических аудитов и инструментов мониторинга в режиме реального времени для построения статистики использования адресов в IP-пространствах (особенно в диапазонах DHCP) помогает реализовать реалистичный план пропускной способности. Это позволяет запрашивать новые диапазоны общедоступных IP-адресов или принимать надлежащие меры в пределах частного IP-адресного пространства, чтобы предотвратить потерю способности предоставлять сетевое подключение новым службам или клиентам из-за нехватки IP-адресов.
Записи ресурсов DNS нельзя игнорировать. Важно использовать преимущества периодических проверок для выявления и очистки конфигураций DNS-серверов. Одиночные записи DNS, которые больше не связаны с каким-либо назначенным IP-адресом, должны удаляться как можно чаще. Они предотвращают повторное использование соответствующего полного доменного имени при развертывании новых служб. Хуже того, они могут позволить некоторым пользователям получить доступ к устаревшим приложениям, что может привести к нарушению безопасности.
9. Обеспечение доступности услуг DDI для обеспечения непрерывности бизнеса.
Службы DNS, DHCP и IPAM (DDI) являются критически важными сетевыми службами IP. Их доступность имеет решающее значение для обеспечения доступа к любой другой сетевой услуге, такой как просмотр веб-страниц, электронная почта или даже VoIP. Рекомендуется развертывать службы IPAM, DNS и DHCP с использованием доступных шаблонных платформ. Если избыточность службы IPAM зависит от активной/пассивной кластеризации для обеспечения согласованности баз данных, следует рассмотреть возможность активного/активного развертывания в нескольких ЦОД, географически распределенных для платформ DNS и DHCP. Это обеспечивает максимальную доступность этих критически важных служб при соблюдении рекомендаций по аварийному восстановлению.
В то же время целесообразно внедрить решение активного мониторинга для мониторинга служб DDI с использованием активного опроса, чтобы измерить производительность службы и обнаружить потенциальные сбои. Для еще большей наглядности полезно также измерить реальную задержку и доступность услуг DDI с точки зрения пользователей. Это позволяет лучше устранять неполадки и улучшать пользовательский опыт.
10. Начните планировать переход IPv6 прямо сейчас.
Исчерпание IPv4 – адресов уже оказывает давление, даже обязывает, на использование IPv6 в таких регионах, как Европа и Азия. Многие организации уже развернули двухстековый IPv6 на своих общедоступных сетевых каналах, чтобы обеспечить связь с любым пользователем Интернета. Тем не менее, большинство их частных ИТ-инфраструктур по-прежнему полагаются на IPv4, в то время как гипермасштабируемые ЦОД, BYOD и IoT уже остро нуждаются в переходе на IPv6.
В качестве основы сети, одним из наиболее важных шагов любого проекта развертывания IPv6, является определение плана IP-адресации наряду с DNS и DHCP-службами. Управление сосуществованием IPv4 и IPv6 требует структурированной стратегии сопоставления схем IP-адресации. Независимо от того, основан ли он на четности или на другом подходе, дизайн отображения должен легко масштабироваться, упрощать развертывание с двумя стеками, обеспечивать согласованность доступа к службам и максимизировать емкость ресурсов.
Еще сложнее при развертывании IPv6 является внутренняя способность протокола автоматически адресовать подключенные устройства, используя MAC-адреса их интерфейсов, в сочетании с любым префиксом, транслируемым локальными маршрутизаторами. Эта дополнительная функция, называемая “Автоконфигурация IPv6-адресов без состояния” (SLAAC), должна быть отключена, и вместо этого рекомендуется использовать DHCPv6, чтобы всегда назначать IP-адреса и отказываться от кажущегося удобства SLAAC. Это позволяет организации сохранять контроль над назначением IP – адресов в сети.
Используя многолетний опыт работы с клиентами и аналитиками, эта статья предлагает лучшие практики эффективного управления пространством IP-адресов внутри компании. Применение некоторых или всех этих методов может значительно повысить эффективность бизнеса организаций, что приведет к экономии затрат и времени, а также к повышению лояльности клиентов. Используя наш опыт и эти рекомендации, EfficientIP разработала решения и продукты для упрощения управления своими IP-адресами компаниями, включая IPAM для Linux и Microsoft.