ESTUDIO SOBRE MEJORES PRÁCTICAS Mejores prácticas para una correcta gestión de direcciones IP (IPAM) Introducción La complejidad de las redes corporativas y de los centros de datos cada vez es mayor y está fuera del alcance de las herramientas disponibles hasta la fecha. Esto es resultado de iniciativas que soportan redes intensivas como la virtualización y la propuesta BYOD (Traiga su propia dispositivo). La necesidad de una administración de direcciones IP dinámicas (IPAM) es cada vez mayor. La dirección IP es el único identificador de cada uno de los objetos de la red, ya sea físico o virtual; los rangos de direcciones IP definen las propias redes. Infoblox lleva las direcciones IP y su administración a un nuevo nivel, proporcionando capas de información que ayudan a los departamentos de IP y a las empresas en general a tener una visibilidad y administración centralizada de todos los recursos de la red y a avanzar el concepto de administración de recursos de IP. En este estudio se cubren las capas de detalles que se pueden crear y expandir en la solución IPAM de Infoblox, se explican los métodos óptimos para agregar detalles a la solución y se explica cómo estos niveles de detalles adicionales proporcionan a la empresa una visión única de toda la información de su red, de los dispositivos conectados virtual o físicamente y cómo se puede aprovechar todo esto en beneficio de las tareas de misión crítica, la solución de problemas y el uso compartido con los grupos periféricos que necesitan tener acceso a información tan valiosa. El IPAM actual La necesidad actual del IPAM va más allá de la asignación y seguimiento de direcciones IP. Con el tamaño cada vez mayor de las redes de hoy, mantener un seguimiento de los múltiples tipos de datos que pertenecen a los dispositivos conectados en la red es cada vez más complejo. Mientras los proveedores de TI están creando más herramientas que contribuyan a rastrear los dispositivos de redes, la información no se centraliza, lo que se traduce en una menor confianza en la precisión y puntualidad de los datos. En algunos casos, los datos crecen de forma más dispar y no se sincronizan con los «ecosistemas» de rastreo de información, sin compartir prácticamente nada con el resto de grupos, lo que contribuye a un panorama aún más confuso. El mayor reto al que se enfrenta la administración de direcciones IP de hoy en día consiste en supervisar y mantener centralmente una visión prácticamente en tiempo real de las innumerables adiciones, movimientos y cambios que se producen en la red. Cada vez que se aprovisiona una máquina virtual, o que una tableta abandona la red inalámbrica, cambia el panorama de asignación de direcciones IP y hay que actualizar la base de datos de IPAM. 1 ESTUDIO SOBRE MEJORES PRÁCTICAS Mejores prácticas para una IPAM exitosa Qué se necesita Crear un repositorio central de toda la información de las redes, direcciones IP y hosts se ha convertido en una misión crítica para mantener el control de la red. El desafío con las herramientas tradicionalmente disponibles consiste en que para cada categoría de dispositivo existe una herramienta o sistema distinto: un sistema para rastrear máquinas virtuales, otro para rastrear a los usuarios inalámbricos, otro para rastrear los servidores de Windows, otro para rastrear los equipos Linux, etc. Las empresas de hoy en día necesitan un único repositorio en el que todos los datos importantes para redes, hosts, servidores, clientes dinámicos y entornos virtuales puedan rastrearse y sincronizarse. La capacidad de realizar búsquedas por toda esta información permite a los equipos de red ubicar y rastrear rápidamente los panoramas de redes crecientes y habilitar una solución de problemas más rápida y mejor de las incidencias a medida que vayan surgiendo. Además, los datos reales de las empresas vinculados a un recurso de red ayudan a enlazar la construcción lógica de la red con la realidad de los recursos de TI de la empresa Descomposición de la imagen global Al pensar en las asignaciones de direcciones IP, los administradores de redes no solo se interesan en el uso del espacio de las direcciones IP, sino también en el tipo de recurso que se asigna a cada dirección IP. La dirección IP en sí misma es irrelevante para el negocio: los recursos y servicios asociados a la dirección IP son lo que mueve el negocio. Con la IPAM de Infoblox, los administradores son capaces de ver toda la metainformación pertinente relativa al recurso de la red, como el nombre de host, el tipo de dispositivo, la ubicación física, etc. Cuando se aplica la misma lógica en toda la empresa, el resto tiene acceso a información de servicios de la empresa relativos al recurso relacionado con sus funciones de trabajo. Por ejemplo: Equipo de servidor • Tipo de dispositivo • Nombre del dispositivo •Hardware •SO • Software o servicios instalados •Función • Perfil de seguridad Equipo de red • Dirección IP • Red, puerta de enlace y máscara de red • Nombre de la red •VLAN • Puerto de conmutación e interfaz • Velocidad de interfaz y dúplex 2 Operaciones o instalaciones • Componentes de hardware • Estado de las licencias • Información de asistencia • Contrato de mantenimiento y fechas de renovación • Información de contacto o del propietario • Ciclo de vida de depreciación • Información de tickets o aprobaciones • Estado operativo (producción, ensayo, desarrollo, copia de seguridad, etc.) • Última vez visto en la red Contar con una base de datos de autorizaciones centralizada y claramente definida de los recursos por medio de los metadatos pertinentes para múltiples organizaciones es un gran avance no solo en la gestión de la red sino también en la gestión de sus recursos. Reunir los datos Al aprovechar esta base de datos propia junto con atributos extensibles, Infoblox puede unir los distintos datos asociados a las redes de dispositivos y los servicios en una interfaz clara y fácil de manejar. Llevar la IPAM más allá de la simple administración de IP permite a los usuarios vincular información a todos los objetos de la base de datos de Infoblox. Asimismo, permite a los administradores buscar, ordenar y exportar en función de cualquier dato asignado a dichos objetos. En un ejemplo sencillo, una búsqueda de todo aquello que tenga el atributo extensible «Ciudad» igual a «Denver», devuelve todas las entradas DNS, direcciones fijas e incluso administradores, arquitectos y administradores de redes etiquetados con este atributo. Al permitir esta asignación de información integral, Infoblox acelera las tareas de inventario y de solución de problemas y permite a las organizaciones asignar datos de un modo específico a su estructura organizativa, necesidades y requisitos. Los datos se incorporan en la solución Infoblox por medio de la importación de datos de protocolo como DNS y DHCP, pero también se pueden importar a partir de hojas de cálculo y otros mecanismos ad hoc que utilice la empresa. Las funciones integradas como las huellas dactilares DHCP de Infoblox se suman a los datos captados por hosts y clientes que se conectan a la red. Una vez que estos datos se han integrado y asignado a la estructura de atributo, pueden configurarse tareas de descubrimiento adicionales para validar dichos datos y actualizarlos, lo que permite a los administradores mantenerse al día con los paisajes de redes altamente dinámicas a los que se enfrentan hoy en día. Datos de protocolo La mayoría de la información de la IPAM de base ya se encuentra en los datos de protocolo, en forma de entradas DNS y DHCP. Los administradores no tienen que empezar de cero. Empezar con la información DNS y DHCP suele ofrecer una buena panorámica de las direcciones IP de la empresa. Contar con un acceso integrado a los datos de protocolo mitiga considerablemente el trabajo tedioso de mantener una base de datos de IPAM a medida que se actualizan los datos DNS y DHCP. Mientras el equipo de sistemas instala un nuevo servidor y, en el proceso, crea una entrada DNS para él, o mientras el equipo de red crea una nueva red DHCP, los datos también se capturan en los datos de la dirección IP. Puesto que el nombre y la dirección IP constituyen la información más buscada y rastreada de los hosts conectados a la red, este es el mejor punto de partida para incorporar objetos a la base de datos. 3 ESTUDIO SOBRE MEJORES PRÁCTICAS Mejores prácticas para una IPAM exitosa Huellas dactilares DHCP para datos IP más detallados El análisis de la información DHCP, junto con la información básica recopilada de la DHCP, contribuye a identificar la información sobre los hosts dinámicos de su red. Al analizar la información ofrecida por el cliente, Infoblox puede identificar y etiquetar a los clientes basándose en criterios comunes al analizar los paquetes. Cuando un cliente envía un paquete de solicitud o descubrimiento DHCP, Infoblox procesa la solicitud y puede realizar una «huella digital» del tipo de cliente que realiza la solicitud. Esto constituye una parte importante de la información total rastreada relativa a los hosts de la red y proporciona un medio para hacer cumplir la política de acceso de la red en el borde de la red. A continuación se muestra en proceso con el que Infoblox recopila la información incluida en los mensajes de solicitud y descubrimiento DHCP y la agrega a la vista IPAM. DHCPDISCOVER Secuencia de opciones 1, 15, 3, 6, 44, 46, 47, 31, 33, 121, 249, 43 DHCPOFFER DHCPOFFER DHCPDISCOVER Secuencia de opciones 1, 15, 3, 6, 44, 46, 47, 31, 33, 121, 249, 43 Figura 1. Huella digital del dispositivo para hacer cumplir la política de acceso a la red Figura 2. Las parejas de huellas dactilares DHCP/dirección MAC que han experimentado cambios deberán tratarse como riesgos e investigarse. 4 Las huellas dactilares DHCP también ofrecen mecanismos para detectar y rastrear cambios en huellas digitales, permitiendo al sistema identificar la suplantación de MAC en la red. Una de las formas más sencillas para tener acceso no autorizado a las redes consiste en encontrar un cliente existente en la red y suplantar la dirección MAC del cliente para evitar la detección al conectarse. Al rastrear las parejas de huellas dactilares DHCP y de direcciones MAC, el sistema puede determinar cuándo ha cambiado la huella digital asociada. El almacenamiento de parejas de huellas digitales y de direcciones MAC evita el acceso a la red a comportamientos que podrían ser maliciosos. Los administradores de la red pueden ver fácilmente qué dispositivos están conectados a su red con un widget de panel de Infoblox. Los widgets de panel de Infoblox proporcionan un método para que los equipos de red tengan una visualización rápida de los elementos de la red que están relacionados con sus tareas concretas. La administración basada en roles granulares permite a los usuarios definir qué widgets ver al iniciar sesión en el sistema, lo que les permite ser proactivos a primera hora. Figura 3. Los datos de las huellas dactilares DHCP se agregan y presentan por medio de un sencillo widget de panel. Atributos extensibles Los atributos extensibles son categorías de información (o metadatos) relacionados con objetos de la solución Infoblox. Infoblox soporta la aportación y mantenimiento de atributos extensibles para permitir a los usuarios combinar información sobre hosts de distintos grupos de la organización. Infoblox pasa la tradicional IPAM centrada en IP de modo que estos atributos pueden, según desee el usuario, aplicarse a cualquier tipo de objeto de la arquitectura. 5 ESTUDIO SOBRE MEJORES PRÁCTICAS Mejores prácticas para una IPAM exitosa Figura 4. Dos atributos extensibles aplicados a la red 192.168.1.0/24: La VLAN es 144 y la Ciudad es San Francisco, CA Tal y como se muestra en la figura 4, los valores de los atributos de extensión pueden hallarse en listas desplegables para que los usuarios puedan elegir, o podrían estar en cualquier formato de datos predefinidos como fecha, dirección de email, número (entero) o una cadena de texto de forma libre. Cada atributo extensible también puede configurarse para ser requerido, recomendado o no requerido para cualquier tipo de objeto. Por ejemplo, el atributo «VLAN» puede configurarse como un campo obligatorio cuando se agrega una red IPv4, garantizando así que sin especificar la información VLAN necesaria los usuarios no serán capaces de guardar la red IPv4 creada. Herencia de atributos extensibles Otra forma con la que Infoblox permite aplicar rápidamente atributos extensibles es con el uso de herencia. Cuando se crea un objeto de IPAM, como una red, los usuarios pueden elegir que los objetos dentro de dicho objeto hereden dichos atributos, permitiendo así la aplicación de los atributos a todos los objetos secundarios a la vez y asegurándose de que los objetos creados bajo el mismo primario tienen los mismos atributos. Si una red está en la «Ciudad» de «Denver», los usuarios no tienen que agregar manualmente este atributo a todos los rangos DHCP, dirección fija u objeto host de la red. 6 Figura 5. Herencia de atributos extensibles Carpetas inteligentes Las carpetas inteligentes proporcionan un método potente de organizar y categorizar la información recopilada en Infoblox Grid™. La información de IPAM se puede organizar basándose en los valores o atributos extensibles integrados. No es necesario utilizar atributos extensibles para poder utilizar carpetas inteligentes, si bien el tenerlas mejora considerablemente la experiencia. El uso de carpetas inteligentes es similar a la creación de listas de reproducción basadas en metainformación de la biblioteca de música, como «Bandas sonoras originales de los 80». Por ejemplo, un administrador de redes puede crear carpetas inteligentes basadas en la ubicación de las redes, y, a continuación, en cada ciudad, organizarlas por uso de red. En la figura 6 aparecen instantáneas en las que se muestran distintas visiones del mismo conjunto de datos. Figura 6. Ejemplos de carpetas inteligentes con atributos extensibles 7 ESTUDIO SOBRE MEJORES PRÁCTICAS Mejores prácticas para una IPAM exitosa Importaciones CSV Mientras los datos de protocolo y de las huellas digitales de los dispositivos son capturados automáticamente por los servicios DNS y DHCP de Infoblox, otros grupos dentro de las organizaciones también mantienen una variedad de información sobre los dispositivos conectados a la red. Todos los datos relativos a los dispositivos de red se pueden incorporar a Infoblox para habilitar una fuente única de autorizaciones para toda la información. La herramienta de importaciones CSV se puede utilizar para migrar e importar estos datos para ofrecer una visión completa de las entidades de la red. Las importaciones CSV pueden aportar información adicional para los hosts nuevos y existentes de la red. Figura 7. Un administrador de la red agrega comentarios para aportar claridad. Agregar datos de descubrimiento a la red Los datos de protocolo y las importaciones CSV por sí mismos no satisfacen todas las necesidades de IPAM de la empresa. Hay hosts fuera del dominio de DNS y DHCP difíciles de identificar, y hay valores en los datos de atributos más allá de lo que rastrean los datos de protocolo. Infoblox ofrece varios métodos de descubrimiento, incluido el descubrimiento de redes y el descubrimiento de máquinas virtuales (VM) en el producto principal; sin embargo, siguiendo el esquema de mejores prácticas en una situación de IPAM, Infoblox amplía los datos de descubrimiento con Infoblox Network Insight. El descubrimiento realizado por Network Insight es muy eficaz, personalizable de forma granular según lo que se descubre en cada momento, y está integrado en flujos de trabajo existentes en DDI para que sea aún más eficiente. Network Insight descubre hosts perdidos, detecta conflictos de asignación de direcciones, proporciona información adicional sobre las entradas existentes en la base de datos de IPAM e información sobre los activos de red existentes y no reflejada en la base de datos de IPAM. 8 IPAM mejorada con Infoblox Network Insight Consiga flujos de trabajo más eficientes en los equipos de TI con una sola fuente de datos de infraestructura de red y de IPAM. Infoblox Network Insight enriquece la solución IPAM de Infoblox al integrar los datos de los dispositivos de infraestructuras en la gestión de direcciones IP. La recopilación y correlación de estos datos proporcionan una visibilidad sin precedentes gracias a la cual los administradores de redes pueden reunir con facilidad la información necesaria, analizarla y tomar las medidas adecuadas para: • Reducir el tiempo de reparación (MTTR) • Eliminar la red como causa fundamental del problema • Validar diseños • Identificar errores •Mejorar la eficiencia operativa por medio de flujos de trabajo impecables para dispositivos y direcciones IP • Reducir los riesgos de seguridad y de interrupción del servicio • Detectar dispositivos no autorizados •Devolver las redes y dispositivos no administrados a un estado de administración dentro de la base de datos IPAM Las aplicaciones físicas y virtuales de Network Insight son los miembros de Infoblox Grid, que forman parte de un sistema unificado con un único punto de gestión, realizan actualizaciones perfectas sin períodos de inactividad y con resistencia y seguridad integrada. Datos de descubrimiento integrados La integración de Network Insight en DDI hace del descubrimiento una parte normal del flujo de trabajo del administrador. El descubrimiento es activo y la conectividad está presente. Por ejemplo, Infoblox utiliza su conocimiento de cosas como las puertas de enlace predeterminadas para propagar el proceso de descubrimiento y ejecutarlo de la forma más eficiente posible. Se necesitan distintas técnicas de descubrimiento para detectar todos los dispositivos y toda la información relativa a ellos. Infoblox Network Insight proporciona múltiples formas de descubrir qué hay en la red y posibilita el uso de dichos métodos de forma inteligente y eficaz. La exploración de redes es un método común y emplea tecnologías como ping para explorar la red en busca de dispositivos conectados. Infoblox puede utilizar tecnologías ping para la exploración de la red, si bien la preferencia consiste en utilizar herramientas más eficientes y predecibles como el descubrimiento basado en SNMP con dispositivos de 2 y 3 capas. Se trata de métodos menos intrusivos que funcionan mejor con grandes espacios de direcciones como IPv6 y se pueden aprovechar aunque un sistema tenga un cortafuegos local que evite la exploración. Este método aprovecha la información que los routers y los conmutadores tienen sobre los dispositivos conectados para fortalecer los datos de IPAM. El enfoque por capas y la integración de los datos de los dispositivos proporcionan unos datos más ricos para los administradores de redes en un entorno Microsoft. 9 ESTUDIO SOBRE MEJORES PRÁCTICAS Mejores prácticas para una IPAM exitosa Figura 8. Dispositivos de infraestructura en la red Acme Figura 9. Profundizar en datos de dispositivo no descubiertos Infoblox DDI automatiza los servicios de red para la nube Infoblox proporciona el mayor surtido del sector de plataformas soportadas para gestionar la integración de direcciones IP, DHCP y DNS con plataformas de nube privada. Las nubes privadas van ganando terreno porque permiten una prestación rápida y escalable de los servicios de TI. Como parte de este todo, las organizaciones con nubes privadas deben ser capaces de agregar y quitar aplicaciones y servicios con rapidez; desplazar con facilidad cargas de trabajo en sitios físicos; ejecutar cargas de trabajo en arquitecturas de varios usuarios; y conseguir que las redes subyacentes sean resistentes a fallos. Mientras muchos de estos procesos están muy automatizados actualmente desde el lado del servidor y del almacenamiento, los servicios de red siguen administrándose en gran medida manualmente, lo que complica y ralentiza las operaciones de nube privada. Infoblox DDI automatiza los servicios de red para las implementaciones de nube privada proporcionando servicios de red sin demoras innecesarias. Las máquinas virtuales (VM) pueden aprovisionarse con direcciones IP y registros DNS en minutos, en lugar de horas o días como en el caso de los procesos manuales. Estas direcciones IP asignadas se pueden recuperar y reutilizar, y los registros DNS se pueden limpiar automáticamente cuando se retiran las VM. 10 Infoblox DDI se integra con estas plataformas, actores y productos de la nube: •VMware: vCenter Orchestrator, vCloud Director (vCD) y vCloud Automation Center (vCAC) • Microsoft: System Center Orchestrator y Virtual Machine Manager (VMM) • HP: Operations Orchestration y Cloud Service Automation (CSA) • Cisco: Cisco Intelligent Automation for Cloud (CIAC) • BMC: Atrium Orchestrator y Cloud Lifecycle Manager • CA: CA Process Automation y Auto Suite for Cloud (ASC) • ElasticBox: ElasticBox Enterprise Edition Visibilidad, control y administración centralizada La solución ofrece una administración centralizada y unificada de direcciones IP de entornos físicos, virtuales y en la nube. Una alta disponibilidad garantiza la supervivencia del centro de datos y mejora el tiempo útil. También reduce los costes operativos y permite a las organizaciones de TI hacer más con menos. La solución Infoblox se ofrece a través de un único panel para posibilitar así la visibilidad en múltiples centros de datos, de modo que los administradores de red puedan rastrear las VM en cada centro de datos, identificar problemas fácilmente y reducir el MTTR. Asimismo, ofrece la clasificación de VM por medio de metadatos, lo que permite un mejor seguimiento de los recursos y mejorar la eficiencia global del centro de datos. Como la IPAM de Infoblox forma parte de Infoblox Grid, es altamente disponible, fiable y escalable; los datos relacionados con la integración de Infoblox se almacenan en Grid, ofreciendo así un nivel de fiabilidad inigualable al eliminar focos de errores únicos. Aprovecharse de una visión completa Al tener una visión completa de los activos de la red, los usuarios pueden identificar de forma rápida y sencilla los recursos y dar respuesta a preguntas relativas a la ubicación, el propietario o aquello que sea importante para la organización. Ya sea con una vista gráfica o de lista, los administradores pueden gestionar estos recursos y volver a asignar fácilmente cualquier atributo asociado a estos objetos. La visión completa es mucho más que un nombre y una IP: integra información de prácticamente todas las organizaciones de la empresa. Lo que hace de la IPAM de Infoblox la «visión completa» es la combinación de toda esta información dispar. En la Figura 10, se aplica la información de operaciones y de red a los mismos hosts. Los usuarios pueden buscar información relativa al modelo, el fabricante, el tipo específico de dispositivo y la fecha de caducidad del mantenimiento. 11 ESTUDIO SOBRE MEJORES PRÁCTICAS Mejores prácticas para una IPAM exitosa Figura 10. Datos del dispositivo integrados en la vista de listas de IPAM. Al tener todos los datos en un mismo lugar, el equipo de la organización tiene un acceso sencillo a la información. Solo tienen que introducir una frase o descripción y el sistema de IPAM buscará todo lo que pueda coincidir con lo que se está buscando. Por ejemplo, un usuario puede introducir el término «San» en la búsqueda global, y buscará en todos los campos disponibles y mostrará todo lo que encuentre, ya sea la ubicación de una red, parte de un nombre de host, un comentario o un nombre de usuario. Al añadir las carpetas inteligentes para que se aprovechen de la información de la IPAM, las organizaciones pueden hallar incidencias proactivamente. Por ejemplo, los usuarios pueden organizar las redes por número VLAN y uso y utilizar las carpetas inteligentes para organizarlas visualmente y comprobar rápidamente el cumplimiento con políticas del tipo: “Todas las redes de voz deberán utilizar VLAN 200 más el tercer byte de la IP” (La red 10.45.57.0 debe ser 200+57=257). En la Figura 11 se muestra que una de las redes inalámbricas de Denver no está utilizando esta norma de la empresa para la asignación VLAN. Figura 11. Datos VLAN con un error al nombrar la VLAN 10.45.51.0/24 12 Las carpetas inteligentes también se pueden utilizar para aprovechar la información IPAM con el fin de reducir los tiempos de solución de problemas. Por ejemplo, un usuario llama al servicio técnico para informar de que tiene problemas al conectarse a la red inalámbrica de Denver, Colorado. El personal del servicio técnico puede abrir las carpetas inteligentes, utilizar la organización para ver rápidamente que la red inalámbrica asignada a Denver es 192.168.4.0/23; a continuación, puede hacer clic para ampliar la vista de la IPAM para ver si los rangos DHCP están completos y cuántas asignaciones de DHCP activas quedan disponibles. El personal de servicio técnico también puede pasar de esta vista a syslog para ver si hay mensajes de error procedentes del servidor DHCP o para ver si el usuario recibió realmente una asignación DHCP pero está teniendo conflictos con la IP porque otro dispositivo ha tomado la misma dirección IP sin autorización. Esto también se puede solucionar en el mismo lugar al resolver este conflicto con la IPAM. Figura 12. Datos de las carpetas inteligentes Usos y mantenimiento Infoblox proporciona una administración basada en roles granulares hasta el nivel de objetos, permitiendo así a los administradores proporcionar el acceso necesario para que los usuarios puedan gestionar la información pertinente para ellos. Proporcionar a los usuarios acceso no solo a zonas y redes sino también a tipos de objetos específicos permite distribuir el trabajo en equipos con la supervisión de los administradores principales y sénior. Y como punto central de IPAM, los administradores pueden permitir con seguridad el acceso de lectura a dichos grupos y usuarios de la red que necesitan un acceso rápido a la información sobre los activos de la red, como los ingenieros de soporte y el personal del servicio técnico. Con las opciones de autenticación y de autorización para sacar provecho de directorios activos, LDAP, RADIUS, TACACS, y OCSP existentes, los administradores pueden aprovechar la estructura de usuarios existente con una interfaz simplificada para asignar estos grupos existentes en grupos basados en roles de Infoblox. Al aprovechar la información de IPAM existente, los administradores pueden asignar fácilmente los activos bajo su control para permitir a estos grupos realizar su trabajo. 13 ESTUDIO SOBRE MEJORES PRÁCTICAS Mejores prácticas para una IPAM exitosa Al incluir flujos de trabajo de Infoblox, se puede conceder acceso a esos usuarios responsables de los cambios diarios a la vez que se separa la responsabilidad final de la ejecución de cambios al personal sénior. Al crear un grupo de aprobaciones y al permitir a los grupos gestionar sus propios datos, se liberan los recursos clave para que puedan centrarse en las tareas de administración de la red. Los encargados de las aprobaciones recibirán correos electrónicos de alerta cuando haya cambios pendientes de aprobación y pueden tomar la decisión así como aprobar los cambios para que cumplan con cualquiera de las políticas de cambio vigentes. Al vincular los permisos de grupo a una IPAM existente es posible crear un grupo con acceso escritura (RW) a las redes IPv4 inalámbricas de Denver y acceso de solo lectura (RO) al resto. Figura 13. Selección de un objeto para aplicar permisos de grupo 14 Las ventajas de Infoblox La base de datos de Infoblox permite buscar objetos administrados y agrupados entre todos los datos e información que se ha importado. Al crear un almacenaje único para toda la información sobre los hosts conectados a la red, Infoblox proporciona una facilidad de gestión sin precedentes. Mientras las soluciones IPAM están centradas inherentemente en la IP, Infoblox va mucho más allá. Los administradores no saben siempre la dirección IP de los activos que están buscando, e Infoblox permite a los usuarios identificar los activos independientemente de la información utilizada para iniciar la búsqueda. La IPAM de Infoblox puede importar o integrarse con la información administrada de otras soluciones. Si se utiliza una hoja de cálculo para llevar un seguimiento de los dispositivos de punto de venta implementados, Infoblox puede importar los datos desde la hoja de cálculo y conservar todos los campos de datos (convertidos en atributos extensibles). Si se utiliza en la organización software ERP patentado, los administradores pueden aprovechar la API de Infoblox para actualizar la base de datos de IPAM cuando se agregue un nuevo elemento al inventario que modifique el paisaje de la dirección IP. Se trata de un buen ejemplo de cómo se utiliza un único panel para todos los tipos de información sobre redes y clientes. Conservar la precisión es esencial para una solución IPAM realmente eficaz. Con funciones de descubrimiento que pueden monitorizar la red, el descubrimiento específico de VM y Network Insight, los usuarios pueden estar seguros de que la información en la solución Infoblox IPAM está actualizada y es precisa. Mejora de las operaciones diarias Tener una solución de IPAM completa y precisa es una cosa, pero Infoblox ha creado un sistema diseñado para facilitar el uso tanto en tareas diarias como en la solución de problemas. Con la atención siempre puesta en la seguridad y el uso, los usuarios pueden aprovechar la información de la IPAM de varias formas que aumentan la productividad a la vez que reducen los tiempos de asistencia técnica y de solución de problemas. Coherencia de los datos Infoblox puede aplicar políticas en el proceso de entrada de datos para garantizar que, a medida que crece la organización, sus datos de IPAM crecen al mismo ritmo. Por ejemplo, cada vez que se realiza una entrada DNS, Infoblox puede pedir a los usuarios que proporcionen un número de ticket, mandar por correo electrónico el contacto administrativo y esperar la aprobación de otro grupo. Infoblox también puede solicitar que cada vez que se agregue una red IPv6, que los usuarios proporcionen información sobre su ubicación física, ciudad de implementación, uso de red, etc. Para reducir los errores de entrada de los usuarios, Infoblox permite configurar los atributos extensibles como listas desplegables en vez de en texto de forma libre. Estas políticas de cumplimiento garantizan que los datos de IPAM crecen con una calidad coherente. 15 ESTUDIO SOBRE MEJORES PRÁCTICAS Mejores prácticas para una IPAM exitosa Identificación y resolución de conflictos Infoblox IPAM no solo asigna y rastrea recursos, sino que también puede configurarse para validar activamente su propia precisión frente a datos reales de la red para identificar conflictos entre lo que se ha asignado y lo que se ha implementado. Infoblox puede identificar conflictos por medio del descubrimiento de redes, datos de protocolo, descubrimiento de VM y otros métodos. Por ejemplo, un administrador puede asignar tres direcciones IP al equipo de servidor de Windows, pero a través de varios métodos de descubrimiento, el administrador podría ver que el grupo de servidores solo ha utilizado dos de las direcciones IP asignadas y que usaron una tercera dirección IP que no les fue asignada. Otro ejemplo es el uso no autorizado de espacio de direcciones de la red. Tal y como vimos en la sección Descubrimiento de redes de este documento, los administradores pueden identificar las direcciones IP que se están utilizando pero que nunca se asignaron o autorizaron. Esto podría deberse a una configuración errónea en el servidor, pero lo más importante es saber que podría provocar conflictos en la red. Infoblox ayuda a identificar y resolver estos conflictos de asignación. Solución de problemas Infoblox proporciona información sobre la conectividad física a través de Network Insight, reduciendo considerablemente el tiempo de solución de problemas. Muy a menudo, la información relativa a la conectividad de la red está obsoleta o, simplemente, no se ha introducido. Los administradores de la red deben poder confiar en los comentarios presentes en los archivos de configuración si existen o, en el peor de los casos, rastrear manualmente la conectividad cada vez que se produce una incidencia. Infoblox IPAM no solo proporciona la información a nivel de conectividad sino que también proporciona otros metadatos que podrían ayudar a los administradores a determinar rápidamente cuál es el problema en una simple interfaz. Por ejemplo, cuando alguien informa de que una dirección IP está generando mucho tráfico de red, los administradores pueden realizar búsquedas en Infoblox sobre dicha dirección IP y saber en qué puerto de conmutación está conectada, cuál es la VLAN y conocer metainformación como que se está ejecutando Windows XP integrado, que está en Las Vegas y que es una caja registradora en el entorno de ensayo propiedad de I+D. Ejemplos adicionales Se abre un ticket en el que se indica que todas las impresoras Canon, modelo Ejemplo 1, están expuestas a un virus y que hay que parchearlas. En una empresa global, esto podría suponer hablar con cuatro o cinco grupos distintos para identificar dónde están instaladas estas impresoras y si se siguen utilizando. Con Infoblox IPAM, solo haciendo una búsqueda global de todos los objetos en los que «Fabricante» es «Canon» y el «Modelo» es «Ejemplo 1», se conocerá la ubicación y los propietarios de los dispositivos objetivo, permitiendo a los administradores parchear las impresoras. Existe la necesidad de identificar todos los activos del departamento de investigación porque se están liquidando. Como se trata de toda la suborganización, los administradores deben identificar rápidamente todos los activos y la infraestructura de red asociada con el grupo de investigación. En lugar de tener que analizar todas las hojas de cálculo del equipo de operaciones, una base de datos de las instalaciones y un sistema de gestión de activos del grupo de redes, los administradores solo tienen que realizar una búsqueda de todos los tipos de objetos de la organización iguales a «Grupo de investigación» y obtener rápidamente una lista maestra de todos los objetos, ya sean servidores, equipos de red u ordenadores de sobremesa que hay que abordar en la venta de este grupo. 16 Planificación futura gracias a la solución Virtualización de espacio IP La vista de mapa de Infoblox permite una visualización rápida de cómo se están gestionando las asignaciones de la red. Con la configuración de los umbrales, los usuarios recibirán alertas cuando los rangos de DHCP alcancen los niveles preconfigurados, lo que permite un remedio proactivo de las necesidades de asignación de IP. Figura 14. Mapa de red IPAM Virtualización de red IP Infoblox NetMap le permite visualizar la red que ha asignado y buscar espacio fácilmente para nuevas redes cuando lo necesite. La herramienta de GUI le permite seleccionar regiones y realizar asignaciones desde el mapa de red. Con herramientas para realizar zoom y seleccionar, y códigos de color para mostrar la utilización, Infoblox facilita la asignación de red como nunca antes. Figura 15. NetMap para visualizar la asignación global de espacio de direcciones 17 ESTUDIO SOBRE MEJORES PRÁCTICAS Mejores prácticas para una IPAM exitosa Resumen Infoblox DDI proporciona una ventaja significativa para la IPAM que va más allá de asignar espacio y direcciones. Infoblox IPAM es una herramienta para gestionar todos los recursos de red IP que proporciona los medios necesarios para centralizar información con herramientas para aprovechar el conocimiento, creando así equipos de TI altamente eficientes. Infoblox IPAM permite a las organizaciones recopilar datos de red de los servicios de protocolo, importaciones, descubrimiento de red y metadatos facilitados por los usuarios a fin de construir una base de datos de autorizaciones de información útil. Por medio del uso de la lógica de las carpetas inteligentes, la solución de Infoblox garantiza que se accede rápida y fácilmente a los datos correctos para la ejecución de agregaciones, movimientos, cambios y solución de problemas. La solución es compatible con la automatización de entornos virtuales, la creación de flujos de trabajo auditables y la administración granular basada en roles a fin de posibilitar la colaboración entre los equipos de asistencia y de TI. Acerca de Infoblox Infoblox (NYSE:BLOX), con sede central en Santa Clara (California), ofrece soluciones de control de red: la tecnología fundamental que conecta usuarios finales, dispositivos y redes. Estas soluciones permiten a más de 7000 empresas y proveedores de servicios de todo el mundo transformar, proteger y escalar redes complejas. Infoblox (www.infoblox.com) ayuda a evitar que la carga del control de redes complejas recaiga sobre las personas, así como a reducir los costos y aumentar la seguridad, la precisión y el tiempo de funcionamiento. 18 OFICINA CENTRAL CORPORATIVA DE EE. UU.: +1.408.986.4000 OFICINA CENTRAL DE EMEA: ESPAÑA/PORTUGAL +32.3.259.04.30 +852.3793.3428 [email protected] [email protected] +1.866.463.6256 (gratis desde EE. UU. y Canadá) [email protected] www.infoblox.com MÉXICO/ LATINOAMÉRICA [email protected] www.infoblox.es © 2015 Infoblox Inc. Todos los derechos reservados.infoblox-best-practices-whitepaper-successful-ipam-May2014