Komunikacja większości przedsiębiorstw opiera się na TCP/IP. Dotyczy to nie tylko stacji roboczych i serwerów, ale także telefonów, automatyki budynku, przemysłowej, a nawet monitoringu wideo. Z protokołu TCP/IP korzystają wszystkie serwisy usługowe udostępniane klientom i prawie wszystkie ich elementy składowe.

Szczególnego znaczenia nabiera zarządzanie adresacją u operatorów telekomunikacyjnych, którzy muszą przydzielać adresy IP klientom różnych usług. Zawsze przestój lub problem z konfiguracją przekłada się na straty finansowe bądź na zagrożenie bezpieczeństwa. Rosnąca liczba urządzeń i usług korzystających z IP sprawia, że zarządzanie IP staje się wyzwaniem. Problemy związane z adresacją mogą zdarzyć się w każdej organizacji, ale od dojrzałości firmy, a zwłaszcza od wykorzystywanych rozwiązań do zarządzania IP zależy, jaki wpływ będą one miały na jej działanie. Ważna jest możliwość zwiększenia efektywności funkcjonowania zasobów działających na bazie IP oraz zespołu odpowiadającego za zarządzanie tym obszarem.

Czy serwer działa?

Nawet w niewielkiej firmie mogą występować wyzwania organizacyjne i technologiczne związane z zarządzaniem wieloma rozproszonymi i różnorodnymi sieciami IP. Na skuteczność działania organizacji ma wpływ zarówno funkcjonowanie usług DHCP odpowiedzialnych za przyznawanie adresów IP, jak i usług DNS odpowiadających za mapowanie nazw na usługi sieciowe. W obu przypadkach awaria lub problemy z usługami IP powodują przerwę w pracy. Dopóki usługi IP funkcjonują, nie zwraca się uwagi na efektywność przydziału i zarządzania adresami IP. Bywa, że wyłączenie pojedynczego serwera Windows powoduje przerwę w pracy całej sieci, gdyż serwer obsługiwał usługę DHCP. Niestety, w większości organizacji zarządzanie IP realizowane jest manualnie poprzez pliki tekstowe, arkusze kalkulacyjne lub proste, doraźnie tworzone rozwiązania. Nie ma centralnego, bezpiecznego i zautomatyzowanego narzędzia klasy IP Address Management (IPAM), które nie tylko zwiększa efektywność zarządzania IP, ale pozwala na redukcję liczby i czasu awarii, a także na automatyczne przywracanie operacyjności usług IP (np. poprzez architekturę wysokiej dostępności). Dzięki niemu można wymuszać i kontrolować konfigurację przydziałów adresacji, tworzenia sieci i podsieci oraz alokacji adresów i przyznawania dzierżaw IP z jednego miejsca, dzięki czemu ogranicza się ryzyko nadużyć. Niezawodność pracy sieci usługowej ma duże znaczenie w przypadku operatorów telekomunikacyjnych, ale także w przypadku banków czy innych instytucji, dla których wysoka dostępność usług sieciowych jest krytyczna dla funkcjonowania biznesu.

Nieaktualna lista

W firmach średniej wielkości występują urządzenia, także takie, które muszą mieć statyczny adres IP - serwery wydruku, konwertery mediów, narzędzia do obsługi portów, automatyka przemysłowa. Administratorzy zazwyczaj realizują zarządzanie i przydzielanie statycznych adresów IP poza pulą DHCP, a listę przechowują w arkuszu kalkulacyjnym lub pliku tekstowym. Nie mają wglądu, które z urządzeń korzysta z którego adresu. W miarę upływu czasu dokumentacja staje się nieaktualna, a jeśli jest aktualizowana (np. raz w roku), nie odzwierciedla zmian w firmowym IT. W przypadku adresów przyznawanych za pomocą DHCP nie ma kontroli, komu i jakie adresy zostały przydzielone albo kontrola jest ograniczona, a dostęp do informacji utrudniony. Sytuacja jest nie do przyjęcia w żadnej z firm korzystających z IP, a w przypadku operatorów telekomunikacyjnych oraz dużych firm stanowi ogromne zagrożenie dla ich funkcjonowania.

Dobre rozwiązanie IPAM potrafi podać nie tylko stan bieżący wykorzystania adresów IP, ale także zmiany i historyczne przydziały. Ma to krytyczne znaczenie dla firm, które muszą rejestrować, kto i kiedy korzystał z adresu, choćby dla celów prawnych lub związanych z bezpieczeństwem. Rejestrowanie nadużyć jest jednym z ważniejszych działań operatorów telekomunikacyjnych, którzy muszą przechować informacje o usługach każdego abonenta. Systemy IPAM bardzo upraszczają przeprowadzanie audytów, w których trzeba rozróżnić poszczególne komputery i inne urządzenia dołączone do sieci, pozwalając na identyfikowanie źródeł ataków oraz nieuprawnionych prób dostania się do sieci.

Kilka sieci

Zarządzanie adresami IP znacznie się komplikuje, gdy w organizacji wykorzystuje się wirtualne sieci prywatne, łączące oddziały w różnych lokalizacjach. W sieci każdy z oddziałów ma własną adresację IP, niezbędne jest ustalenie poprawnie trasowania i schematu działania usług w sieci. Każda zmiana adresacji IP niesie ze sobą zmiany tras, a niekiedy usług. Do każdej zmiany należy się przygotować. Czasami zmiana adresu jednego serwera wiąże się z problemami w działaniu usługi. Najczęściej stosowane manualne planowanie i konfigurowanie sieci, podsieci jest pracochłonne i narażone na ludzkie błędy, które skutkują niewłaściwym działaniem usług IP, lub wręcz ich brakiem. Nowoczesne narzędzia do zarządzania adresami IP nie tylko ułatwiają planowanie sieci i automatyzują jej konfigurację, ale także pozwalają na definiowanie i wymuszanie standardów konfiguracyjnych oraz na zdalne nią zarządzanie, co ma szczególne znaczenie przy dużej liczbie i rozproszeniu różnych sieci.

Który to komputer?

W sieciach z dużą liczbą urządzeń aktywnych trudno zapanować nad aktualnym przydziałem adresów IP. Działy IT mają zazwyczaj skróconą listę (np. adresy przyznawane statycznie lub najważniejsze z serwerów), ale w praktyce bardzo rzadko lista ta jest aktualizowana. Jednym z częściej zadawanych pytań podczas analizy ruchu związane jest z przynależnością wybranego adresu do konkretnych urządzeń. Systemy IPAM odpowiadają na takie pytania natychmiast, potrafią także prześledzić zmiany w czasie i raportować użycie tak, jak robi to oprogramowanie do zarządzania elementami fizycznych urządzeń sieciowych. System IPAM jest w stanie zidentyfikować nie tylko wykorzystanie adresacji IP, ale konfiguracje sieci oraz podsieci i ich usług oraz to, czy są one poprawne lub zgodne z polityką.

Tam nikogo być nie powinno

Zarządzanie IP za pomocą narzędzi ma znaczenie przy wykrywaniu ataków i obcych urządzeń w sieci. Jeśli z planu adresacji wynika, że dany adres IP lub grupa adresów są niewykorzystywane lub wiążą się z serwerami wydruku, a z tych adresów są inicjowane połączenia sieciowe do stacji roboczych lub serwerów usługowych niezwiązanych z kolejką wydruku, administrator sieci może podnieść alarm. Najlepsze rozwiązania IPAM są w stanie alarmować w czasie rzeczywistym o nieuprawnionych działaniach związanych z przyznawaniem i wykorzystywaniem adresó w IP, zagrożeniach wydajnościowych związanych z działaniem DNS i DHCP lub innych aktywnościach niepożądanych dla bezpiecznego zarządzani siecią. Wprowadzenie zarządzania IPAM umożliwia poprawę bezpieczeństwa usługi sieciowych, proaktywne definiowanie reguł bezpieczeństwa związanych z przyznawaniem adresów IP, a także z dostępem do usług i ich konfiguracją.

Usługi i adresy

Praca IT musi zajmować się różnymi poziomami, od najniższego związanego z konfiguracją sprzętu i oprogramowania, do najwyższego, w którym ważne są usługi i obsługa procesów biznesowych. W ciągu ostatnich kilku lat działy IT w firmach zaczęły przestawiać się z myślenia jedynie najniższymi kategoriami, rozumiejąc potrzeby biznesu. W przypadku operatorów telekomunikacyjnych zarządzanie adresacją IP za pomocą IPAM powinno być jedną z podstawowych usług świadczonych głównej gałęzi biznesowej firmy. Dla operatora przestrzeń adresowa jest zasobem wykorzystywanym do sprzedaży usług, które będą przynosić przychód, a zatem zarządzanie wykorzystaniem puli jest niezbędne do normalnego prowadzenia działalności. W przypadku operatora telekomunikacyjnego zastosowanie IPAM jest oczywiste, ale okazuje się, że w dobie powszechnego oparcia biznesu na usługach sieciowych, wykorzystanie IPAM przez firmy z innych sektorów pozwala na zdobycie przewagi konkurencyjnej wynikającej z lepszej dostępności usług biznesowych, szybszego wprowadzania nowych, redukcji kosztów operacyjnych i inwestycyjnych dotyczących środowisk sieciowych.

IPv4 oraz IPv6

W dobie nowego protokołu IPv6 działy IT muszą zapanować nad adresacją także w tym drugim protokole. Przydział puli adresowej powinien obejmować także zarządzanie wersją szóstą protokołu IP, by nie dopuścić do problemów z przydziałem. Pula IPv6 jest niewyczerpalna dla firm, więc problem braku adresów nie dotyczy nowego protokołu, ale należy pamiętać o przypisaniu poszczególnych adresów. Nawet jeśli IT przypisuje adresy, robi to niemal wyłącznie dla protokołu IPv4, zapominając o IPv6.

Zarówno firma, jak i usługodawca internetowy prędzej czy później będzie musiał rozważyć i zrealizować migrację do protokołu IPv6. Dzięki IPAM migracja może być przeprowadzona o wiele sprawniej niż ręcznie. Można wybrać hosty, które zostaną zmigrowane do IPv6, przydzielić im właściwe adresy IP zgodnie z firmowym schematem, a pulą IPv4 zarządzać w optymalny sposób. Jeśli usługę można już w całości przenieść do IPv6, zwolniony adres wróci do firmowej puli. Rozwiązanie IPAM zwiększa efektywność i bezpieczeństwo migracji IPv4 na IPv6, pozwalając na równoległe zarządzanie obydwoma standardami.