Mejores prácticas para una correcta gestión de

Anuncio
ESTUDIO SOBRE MEJORES PRÁCTICAS
Mejores prácticas para una correcta
gestión de direcciones IP (IPAM)
Introducción
La complejidad de las redes corporativas y de los centros de datos cada vez
es mayor y está fuera del alcance de las herramientas disponibles hasta la
fecha. Esto es resultado de iniciativas que soportan redes intensivas como la
virtualización y la propuesta BYOD (Traiga su propia dispositivo). La necesidad
de una administración de direcciones IP dinámicas (IPAM) es cada vez mayor.
La dirección IP es el único identificador de cada uno de los objetos de la red, ya
sea físico o virtual; los rangos de direcciones IP definen las propias redes. Infoblox
lleva las direcciones IP y su administración a un nuevo nivel, proporcionando capas
de información que ayudan a los departamentos de IP y a las empresas en general
a tener una visibilidad y administración centralizada de todos los recursos de la red
y a avanzar el concepto de administración de recursos de IP.
En este estudio se cubren las capas de detalles que se pueden crear y expandir en
la solución IPAM de Infoblox, se explican los métodos óptimos para agregar detalles
a la solución y se explica cómo estos niveles de detalles adicionales proporcionan
a la empresa una visión única de toda la información de su red, de los dispositivos
conectados virtual o físicamente y cómo se puede aprovechar todo esto en beneficio
de las tareas de misión crítica, la solución de problemas y el uso compartido con los
grupos periféricos que necesitan tener acceso a información tan valiosa.
El IPAM actual
La necesidad actual del IPAM va más allá de la asignación y seguimiento
de direcciones IP. Con el tamaño cada vez mayor de las redes de hoy, mantener
un seguimiento de los múltiples tipos de datos que pertenecen a los dispositivos
conectados en la red es cada vez más complejo. Mientras los proveedores de TI
están creando más herramientas que contribuyan a rastrear los dispositivos de redes,
la información no se centraliza, lo que se traduce en una menor confianza en la
precisión y puntualidad de los datos. En algunos casos, los datos crecen de forma
más dispar y no se sincronizan con los «ecosistemas» de rastreo de información,
sin compartir prácticamente nada con el resto de grupos, lo que contribuye a un
panorama aún más confuso. El mayor reto al que se enfrenta la administración
de direcciones IP de hoy en día consiste en supervisar y mantener centralmente una
visión prácticamente en tiempo real de las innumerables adiciones, movimientos
y cambios que se producen en la red. Cada vez que se aprovisiona una máquina
virtual, o que una tableta abandona la red inalámbrica, cambia el panorama
de asignación de direcciones IP y hay que actualizar la base de datos de IPAM.
1
ESTUDIO SOBRE MEJORES PRÁCTICAS
Mejores prácticas para una IPAM exitosa
Qué se necesita
Crear un repositorio central de toda la información de las redes, direcciones IP y
hosts se ha convertido en una misión crítica para mantener el control de la red.
El desafío con las herramientas tradicionalmente disponibles consiste en que para
cada categoría de dispositivo existe una herramienta o sistema distinto: un sistema
para rastrear máquinas virtuales, otro para rastrear a los usuarios inalámbricos, otro
para rastrear los servidores de Windows, otro para rastrear los equipos Linux, etc.
Las empresas de hoy en día necesitan un único repositorio en el que todos los datos
importantes para redes, hosts, servidores, clientes dinámicos y entornos virtuales
puedan rastrearse y sincronizarse. La capacidad de realizar búsquedas por toda
esta información permite a los equipos de red ubicar y rastrear rápidamente los
panoramas de redes crecientes y habilitar una solución de problemas más rápida
y mejor de las incidencias a medida que vayan surgiendo. Además, los datos reales
de las empresas vinculados a un recurso de red ayudan a enlazar la construcción
lógica de la red con la realidad de los recursos de TI de la empresa
Descomposición de la imagen global
Al pensar en las asignaciones de direcciones IP, los administradores de redes no
solo se interesan en el uso del espacio de las direcciones IP, sino también en el
tipo de recurso que se asigna a cada dirección IP. La dirección IP en sí misma es
irrelevante para el negocio: los recursos y servicios asociados a la dirección IP son lo
que mueve el negocio. Con la IPAM de Infoblox, los administradores son capaces de
ver toda la metainformación pertinente relativa al recurso de la red, como el nombre
de host, el tipo de dispositivo, la ubicación física, etc. Cuando se aplica la misma
lógica en toda la empresa, el resto tiene acceso a información de servicios de la
empresa relativos al recurso relacionado con sus funciones de trabajo. Por ejemplo:
Equipo de servidor
•
Tipo de dispositivo
•
Nombre del dispositivo
•Hardware
•SO
•
Software o servicios instalados
•Función
•
Perfil de seguridad
Equipo de red
•
Dirección IP
•
Red, puerta de enlace y máscara de red
•
Nombre de la red
•VLAN
•
Puerto de conmutación e interfaz
•
Velocidad de interfaz y dúplex
2
Operaciones o instalaciones
•
Componentes de hardware
•
Estado de las licencias
•
Información de asistencia
•
Contrato de mantenimiento y fechas de renovación
•
Información de contacto o del propietario
•
Ciclo de vida de depreciación
•
Información de tickets o aprobaciones
•
Estado operativo (producción, ensayo, desarrollo, copia de seguridad, etc.)
•
Última vez visto en la red
Contar con una base de datos de autorizaciones centralizada y claramente definida de
los recursos por medio de los metadatos pertinentes para múltiples organizaciones es un
gran avance no solo en la gestión de la red sino también en la gestión de sus recursos.
Reunir los datos
Al aprovechar esta base de datos propia junto con atributos extensibles, Infoblox puede
unir los distintos datos asociados a las redes de dispositivos y los servicios en una
interfaz clara y fácil de manejar. Llevar la IPAM más allá de la simple administración
de IP permite a los usuarios vincular información a todos los objetos de la base de
datos de Infoblox. Asimismo, permite a los administradores buscar, ordenar y exportar
en función de cualquier dato asignado a dichos objetos. En un ejemplo sencillo, una
búsqueda de todo aquello que tenga el atributo extensible «Ciudad» igual a «Denver»,
devuelve todas las entradas DNS, direcciones fijas e incluso administradores,
arquitectos y administradores de redes etiquetados con este atributo. Al permitir
esta asignación de información integral, Infoblox acelera las tareas de inventario y
de solución de problemas y permite a las organizaciones asignar datos de un modo
específico a su estructura organizativa, necesidades y requisitos. Los datos se
incorporan en la solución Infoblox por medio de la importación de datos de protocolo
como DNS y DHCP, pero también se pueden importar a partir de hojas de cálculo y
otros mecanismos ad hoc que utilice la empresa. Las funciones integradas como las
huellas dactilares DHCP de Infoblox se suman a los datos captados por hosts y clientes
que se conectan a la red. Una vez que estos datos se han integrado y asignado a la
estructura de atributo, pueden configurarse tareas de descubrimiento adicionales para
validar dichos datos y actualizarlos, lo que permite a los administradores mantenerse al
día con los paisajes de redes altamente dinámicas a los que se enfrentan hoy en día.
Datos de protocolo
La mayoría de la información de la IPAM de base ya se encuentra en los datos de
protocolo, en forma de entradas DNS y DHCP. Los administradores no tienen que
empezar de cero. Empezar con la información DNS y DHCP suele ofrecer una buena
panorámica de las direcciones IP de la empresa. Contar con un acceso integrado
a los datos de protocolo mitiga considerablemente el trabajo tedioso de mantener una
base de datos de IPAM a medida que se actualizan los datos DNS y DHCP. Mientras
el equipo de sistemas instala un nuevo servidor y, en el proceso, crea una entrada
DNS para él, o mientras el equipo de red crea una nueva red DHCP, los datos también
se capturan en los datos de la dirección IP. Puesto que el nombre y la dirección IP
constituyen la información más buscada y rastreada de los hosts conectados a la red,
este es el mejor punto de partida para incorporar objetos a la base de datos.
3
ESTUDIO SOBRE MEJORES PRÁCTICAS
Mejores prácticas para una IPAM exitosa
Huellas dactilares DHCP para datos IP más detallados
El análisis de la información DHCP, junto con la información básica recopilada de la
DHCP, contribuye a identificar la información sobre los hosts dinámicos de su red. Al
analizar la información ofrecida por el cliente, Infoblox puede identificar y etiquetar
a los clientes basándose en criterios comunes al analizar los paquetes. Cuando
un cliente envía un paquete de solicitud o descubrimiento DHCP, Infoblox procesa
la solicitud y puede realizar una «huella digital» del tipo de cliente que realiza la
solicitud. Esto constituye una parte importante de la información total rastreada
relativa a los hosts de la red y proporciona un medio para hacer cumplir la política de
acceso de la red en el borde de la red.
A continuación se muestra en proceso con el que Infoblox recopila la información incluida
en los mensajes de solicitud y descubrimiento DHCP y la agrega a la vista IPAM.
DHCPDISCOVER
Secuencia de opciones 1, 15, 3,
6, 44, 46, 47, 31, 33, 121, 249, 43
DHCPOFFER
DHCPOFFER
DHCPDISCOVER
Secuencia de opciones 1, 15, 3,
6, 44, 46, 47, 31, 33, 121, 249, 43
Figura 1. Huella digital del dispositivo para hacer cumplir la política de acceso a la red
Figura 2. Las parejas de huellas dactilares DHCP/dirección MAC que han experimentado
cambios deberán tratarse como riesgos e investigarse.
4
Las huellas dactilares DHCP también ofrecen mecanismos para detectar y rastrear
cambios en huellas digitales, permitiendo al sistema identificar la suplantación de MAC
en la red. Una de las formas más sencillas para tener acceso no autorizado a las redes
consiste en encontrar un cliente existente en la red y suplantar la dirección MAC del
cliente para evitar la detección al conectarse. Al rastrear las parejas de huellas dactilares
DHCP y de direcciones MAC, el sistema puede determinar cuándo ha cambiado la huella
digital asociada. El almacenamiento de parejas de huellas digitales y de direcciones MAC
evita el acceso a la red a comportamientos que podrían ser maliciosos.
Los administradores de la red pueden ver fácilmente qué dispositivos están
conectados a su red con un widget de panel de Infoblox. Los widgets de panel
de Infoblox proporcionan un método para que los equipos de red tengan una
visualización rápida de los elementos de la red que están relacionados con sus
tareas concretas. La administración basada en roles granulares permite a los
usuarios definir qué widgets ver al iniciar sesión en el sistema, lo que les permite ser
proactivos a primera hora.
Figura 3. Los datos de las huellas dactilares DHCP se agregan y presentan por medio
de un sencillo widget de panel.
Atributos extensibles
Los atributos extensibles son categorías de información (o metadatos) relacionados
con objetos de la solución Infoblox. Infoblox soporta la aportación y mantenimiento
de atributos extensibles para permitir a los usuarios combinar información sobre
hosts de distintos grupos de la organización. Infoblox pasa la tradicional IPAM
centrada en IP de modo que estos atributos pueden, según desee el usuario,
aplicarse a cualquier tipo de objeto de la arquitectura.
5
ESTUDIO SOBRE MEJORES PRÁCTICAS
Mejores prácticas para una IPAM exitosa
Figura 4. Dos atributos extensibles aplicados a la red 192.168.1.0/24: La VLAN es 144 y la Ciudad
es San Francisco, CA
Tal y como se muestra en la figura 4, los valores de los atributos de extensión pueden
hallarse en listas desplegables para que los usuarios puedan elegir, o podrían estar
en cualquier formato de datos predefinidos como fecha, dirección de email, número
(entero) o una cadena de texto de forma libre. Cada atributo extensible también puede
configurarse para ser requerido, recomendado o no requerido para cualquier tipo de
objeto. Por ejemplo, el atributo «VLAN» puede configurarse como un campo obligatorio
cuando se agrega una red IPv4, garantizando así que sin especificar la información
VLAN necesaria los usuarios no serán capaces de guardar la red IPv4 creada.
Herencia de atributos extensibles
Otra forma con la que Infoblox permite aplicar rápidamente atributos extensibles
es con el uso de herencia. Cuando se crea un objeto de IPAM, como una red,
los usuarios pueden elegir que los objetos dentro de dicho objeto hereden
dichos atributos, permitiendo así la aplicación de los atributos a todos los objetos
secundarios a la vez y asegurándose de que los objetos creados bajo el mismo
primario tienen los mismos atributos. Si una red está en la «Ciudad» de «Denver», los
usuarios no tienen que agregar manualmente este atributo a todos los rangos DHCP,
dirección fija u objeto host de la red.
6
Figura 5. Herencia de atributos extensibles
Carpetas inteligentes
Las carpetas inteligentes proporcionan un método potente de organizar y categorizar
la información recopilada en Infoblox Grid™. La información de IPAM se puede organizar
basándose en los valores o atributos extensibles integrados. No es necesario utilizar
atributos extensibles para poder utilizar carpetas inteligentes, si bien el tenerlas mejora
considerablemente la experiencia. El uso de carpetas inteligentes es similar a la creación
de listas de reproducción basadas en metainformación de la biblioteca de música, como
«Bandas sonoras originales de los 80». Por ejemplo, un administrador de redes puede
crear carpetas inteligentes basadas en la ubicación de las redes, y, a continuación,
en cada ciudad, organizarlas por uso de red. En la figura 6 aparecen instantáneas en las
que se muestran distintas visiones del mismo conjunto de datos.
Figura 6. Ejemplos de carpetas inteligentes con atributos extensibles
7
ESTUDIO SOBRE MEJORES PRÁCTICAS
Mejores prácticas para una IPAM exitosa
Importaciones CSV
Mientras los datos de protocolo y de las huellas digitales de los dispositivos son capturados
automáticamente por los servicios DNS y DHCP de Infoblox, otros grupos dentro de las
organizaciones también mantienen una variedad de información sobre los dispositivos
conectados a la red. Todos los datos relativos a los dispositivos de red se pueden incorporar
a Infoblox para habilitar una fuente única de autorizaciones para toda la información.
La herramienta de importaciones CSV se puede utilizar para migrar e importar estos
datos para ofrecer una visión completa de las entidades de la red. Las importaciones CSV
pueden aportar información adicional para los hosts nuevos y existentes de la red.
Figura 7. Un administrador de la red agrega comentarios para aportar claridad.
Agregar datos de descubrimiento a la red
Los datos de protocolo y las importaciones CSV por sí mismos no satisfacen
todas las necesidades de IPAM de la empresa. Hay hosts fuera del dominio
de DNS y DHCP difíciles de identificar, y hay valores en los datos de atributos
más allá de lo que rastrean los datos de protocolo. Infoblox ofrece varios métodos
de descubrimiento, incluido el descubrimiento de redes y el descubrimiento
de máquinas virtuales (VM) en el producto principal; sin embargo, siguiendo
el esquema de mejores prácticas en una situación de IPAM, Infoblox amplía los
datos de descubrimiento con Infoblox Network Insight. El descubrimiento realizado
por Network Insight es muy eficaz, personalizable de forma granular según lo que se
descubre en cada momento, y está integrado en flujos de trabajo existentes en DDI
para que sea aún más eficiente. Network Insight descubre hosts perdidos, detecta
conflictos de asignación de direcciones, proporciona información adicional sobre las
entradas existentes en la base de datos de IPAM e información sobre los activos
de red existentes y no reflejada en la base de datos de IPAM.
8
IPAM mejorada con Infoblox Network Insight
Consiga flujos de trabajo más eficientes en los equipos de TI con una sola fuente
de datos de infraestructura de red y de IPAM. Infoblox Network Insight enriquece la
solución IPAM de Infoblox al integrar los datos de los dispositivos de infraestructuras
en la gestión de direcciones IP. La recopilación y correlación de estos datos
proporcionan una visibilidad sin precedentes gracias a la cual los administradores
de redes pueden reunir con facilidad la información necesaria, analizarla y tomar las
medidas adecuadas para:
•
Reducir el tiempo de reparación (MTTR)
•
Eliminar la red como causa fundamental del problema
•
Validar diseños
•
Identificar errores
•Mejorar la eficiencia operativa por medio de flujos de trabajo impecables para
dispositivos y direcciones IP
•
Reducir los riesgos de seguridad y de interrupción del servicio
•
Detectar dispositivos no autorizados
•Devolver las redes y dispositivos no administrados a un estado de administración
dentro de la base de datos IPAM
Las aplicaciones físicas y virtuales de Network Insight son los miembros de Infoblox
Grid, que forman parte de un sistema unificado con un único punto de gestión,
realizan actualizaciones perfectas sin períodos de inactividad y con resistencia y
seguridad integrada.
Datos de descubrimiento integrados
La integración de Network Insight en DDI hace del descubrimiento una parte normal
del flujo de trabajo del administrador. El descubrimiento es activo y la conectividad
está presente. Por ejemplo, Infoblox utiliza su conocimiento de cosas como las
puertas de enlace predeterminadas para propagar el proceso de descubrimiento
y ejecutarlo de la forma más eficiente posible. Se necesitan distintas técnicas de
descubrimiento para detectar todos los dispositivos y toda la información relativa
a ellos. Infoblox Network Insight proporciona múltiples formas de descubrir qué
hay en la red y posibilita el uso de dichos métodos de forma inteligente y eficaz.
La exploración de redes es un método común y emplea tecnologías como ping
para explorar la red en busca de dispositivos conectados. Infoblox puede utilizar
tecnologías ping para la exploración de la red, si bien la preferencia consiste en
utilizar herramientas más eficientes y predecibles como el descubrimiento basado
en SNMP con dispositivos de 2 y 3 capas. Se trata de métodos menos intrusivos
que funcionan mejor con grandes espacios de direcciones como IPv6 y se pueden
aprovechar aunque un sistema tenga un cortafuegos local que evite la exploración.
Este método aprovecha la información que los routers y los conmutadores tienen
sobre los dispositivos conectados para fortalecer los datos de IPAM. El enfoque por
capas y la integración de los datos de los dispositivos proporcionan unos datos más
ricos para los administradores de redes en un entorno Microsoft.
9
ESTUDIO SOBRE MEJORES PRÁCTICAS
Mejores prácticas para una IPAM exitosa
Figura 8. Dispositivos de infraestructura en la red Acme
Figura 9. Profundizar en datos de dispositivo no descubiertos
Infoblox DDI automatiza los servicios de red para la nube
Infoblox proporciona el mayor surtido del sector de plataformas soportadas para
gestionar la integración de direcciones IP, DHCP y DNS con plataformas de nube privada.
Las nubes privadas van ganando terreno porque permiten una prestación rápida y
escalable de los servicios de TI. Como parte de este todo, las organizaciones con
nubes privadas deben ser capaces de agregar y quitar aplicaciones y servicios
con rapidez; desplazar con facilidad cargas de trabajo en sitios físicos; ejecutar
cargas de trabajo en arquitecturas de varios usuarios; y conseguir que las redes
subyacentes sean resistentes a fallos. Mientras muchos de estos procesos están
muy automatizados actualmente desde el lado del servidor y del almacenamiento,
los servicios de red siguen administrándose en gran medida manualmente, lo que
complica y ralentiza las operaciones de nube privada.
Infoblox DDI automatiza los servicios de red para las implementaciones de nube
privada proporcionando servicios de red sin demoras innecesarias. Las máquinas
virtuales (VM) pueden aprovisionarse con direcciones IP y registros DNS en
minutos, en lugar de horas o días como en el caso de los procesos manuales. Estas
direcciones IP asignadas se pueden recuperar y reutilizar, y los registros DNS se
pueden limpiar automáticamente cuando se retiran las VM.
10
Infoblox DDI se integra con estas plataformas, actores y productos de la nube:
•VMware: vCenter Orchestrator, vCloud Director (vCD) y vCloud Automation
Center (vCAC)
•
Microsoft: System Center Orchestrator y Virtual Machine Manager (VMM)
•
HP: Operations Orchestration y Cloud Service Automation (CSA)
•
Cisco: Cisco Intelligent Automation for Cloud (CIAC)
•
BMC: Atrium Orchestrator y Cloud Lifecycle Manager
•
CA: CA Process Automation y Auto Suite for Cloud (ASC)
•
ElasticBox: ElasticBox Enterprise Edition
Visibilidad, control y administración centralizada
La solución ofrece una administración centralizada y unificada de direcciones IP
de entornos físicos, virtuales y en la nube. Una alta disponibilidad garantiza la
supervivencia del centro de datos y mejora el tiempo útil. También reduce los costes
operativos y permite a las organizaciones de TI hacer más con menos. La solución
Infoblox se ofrece a través de un único panel para posibilitar así la visibilidad en
múltiples centros de datos, de modo que los administradores de red puedan rastrear
las VM en cada centro de datos, identificar problemas fácilmente y reducir el MTTR.
Asimismo, ofrece la clasificación de VM por medio de metadatos, lo que permite un
mejor seguimiento de los recursos y mejorar la eficiencia global del centro de datos.
Como la IPAM de Infoblox forma parte de Infoblox Grid, es altamente disponible, fiable
y escalable; los datos relacionados con la integración de Infoblox se almacenan en
Grid, ofreciendo así un nivel de fiabilidad inigualable al eliminar focos de errores únicos.
Aprovecharse de una visión completa
Al tener una visión completa de los activos de la red, los usuarios pueden identificar
de forma rápida y sencilla los recursos y dar respuesta a preguntas relativas
a la ubicación, el propietario o aquello que sea importante para la organización.
Ya sea con una vista gráfica o de lista, los administradores pueden gestionar estos
recursos y volver a asignar fácilmente cualquier atributo asociado a estos objetos.
La visión completa es mucho más que un nombre y una IP: integra información
de prácticamente todas las organizaciones de la empresa. Lo que hace de la IPAM
de Infoblox la «visión completa» es la combinación de toda esta información dispar.
En la Figura 10, se aplica la información de operaciones y de red a los mismos hosts.
Los usuarios pueden buscar información relativa al modelo, el fabricante, el tipo
específico de dispositivo y la fecha de caducidad del mantenimiento.
11
ESTUDIO SOBRE MEJORES PRÁCTICAS
Mejores prácticas para una IPAM exitosa
Figura 10. Datos del dispositivo integrados en la vista de listas de IPAM.
Al tener todos los datos en un mismo lugar, el equipo de la organización tiene un acceso
sencillo a la información. Solo tienen que introducir una frase o descripción y el sistema
de IPAM buscará todo lo que pueda coincidir con lo que se está buscando. Por ejemplo,
un usuario puede introducir el término «San» en la búsqueda global, y buscará en todos
los campos disponibles y mostrará todo lo que encuentre, ya sea la ubicación de una red,
parte de un nombre de host, un comentario o un nombre de usuario.
Al añadir las carpetas inteligentes para que se aprovechen de la información de la
IPAM, las organizaciones pueden hallar incidencias proactivamente. Por ejemplo, los
usuarios pueden organizar las redes por número VLAN y uso y utilizar las carpetas
inteligentes para organizarlas visualmente y comprobar rápidamente el cumplimiento
con políticas del tipo: “Todas las redes de voz deberán utilizar VLAN 200 más el
tercer byte de la IP” (La red 10.45.57.0 debe ser 200+57=257). En la Figura 11 se
muestra que una de las redes inalámbricas de Denver no está utilizando esta norma
de la empresa para la asignación VLAN.
Figura 11. Datos VLAN con un error al nombrar la VLAN 10.45.51.0/24
12
Las carpetas inteligentes también se pueden utilizar para aprovechar la información IPAM
con el fin de reducir los tiempos de solución de problemas. Por ejemplo, un usuario llama
al servicio técnico para informar de que tiene problemas al conectarse a la red inalámbrica
de Denver, Colorado. El personal del servicio técnico puede abrir las carpetas inteligentes,
utilizar la organización para ver rápidamente que la red inalámbrica asignada a Denver es
192.168.4.0/23; a continuación, puede hacer clic para ampliar la vista de la IPAM para ver
si los rangos DHCP están completos y cuántas asignaciones de DHCP activas quedan
disponibles. El personal de servicio técnico también puede pasar de esta vista a syslog
para ver si hay mensajes de error procedentes del servidor DHCP o para ver si el usuario
recibió realmente una asignación DHCP pero está teniendo conflictos con la IP porque
otro dispositivo ha tomado la misma dirección IP sin autorización. Esto también se puede
solucionar en el mismo lugar al resolver este conflicto con la IPAM.
Figura 12. Datos de las carpetas inteligentes
Usos y mantenimiento
Infoblox proporciona una administración basada en roles granulares hasta el nivel
de objetos, permitiendo así a los administradores proporcionar el acceso necesario
para que los usuarios puedan gestionar la información pertinente para ellos.
Proporcionar a los usuarios acceso no solo a zonas y redes sino también a tipos
de objetos específicos permite distribuir el trabajo en equipos con la supervisión
de los administradores principales y sénior. Y como punto central de IPAM, los
administradores pueden permitir con seguridad el acceso de lectura a dichos grupos
y usuarios de la red que necesitan un acceso rápido a la información sobre los activos
de la red, como los ingenieros de soporte y el personal del servicio técnico. Con las
opciones de autenticación y de autorización para sacar provecho de directorios activos,
LDAP, RADIUS, TACACS, y OCSP existentes, los administradores pueden aprovechar
la estructura de usuarios existente con una interfaz simplificada para asignar estos
grupos existentes en grupos basados en roles de Infoblox. Al aprovechar la información
de IPAM existente, los administradores pueden asignar fácilmente los activos bajo su
control para permitir a estos grupos realizar su trabajo.
13
ESTUDIO SOBRE MEJORES PRÁCTICAS
Mejores prácticas para una IPAM exitosa
Al incluir flujos de trabajo de Infoblox, se puede conceder acceso a esos usuarios
responsables de los cambios diarios a la vez que se separa la responsabilidad final
de la ejecución de cambios al personal sénior. Al crear un grupo de aprobaciones
y al permitir a los grupos gestionar sus propios datos, se liberan los recursos clave
para que puedan centrarse en las tareas de administración de la red. Los encargados
de las aprobaciones recibirán correos electrónicos de alerta cuando haya cambios
pendientes de aprobación y pueden tomar la decisión así como aprobar los cambios
para que cumplan con cualquiera de las políticas de cambio vigentes.
Al vincular los permisos de grupo a una IPAM existente es posible crear un grupo
con acceso escritura (RW) a las redes IPv4 inalámbricas de Denver y acceso de solo
lectura (RO) al resto.
Figura 13. Selección de un objeto para aplicar permisos de grupo
14
Las ventajas de Infoblox
La base de datos de Infoblox permite buscar objetos administrados y agrupados entre
todos los datos e información que se ha importado. Al crear un almacenaje único
para toda la información sobre los hosts conectados a la red, Infoblox proporciona
una facilidad de gestión sin precedentes. Mientras las soluciones IPAM están
centradas inherentemente en la IP, Infoblox va mucho más allá. Los administradores
no saben siempre la dirección IP de los activos que están buscando, e Infoblox
permite a los usuarios identificar los activos independientemente de la información
utilizada para iniciar la búsqueda.
La IPAM de Infoblox puede importar o integrarse con la información administrada
de otras soluciones. Si se utiliza una hoja de cálculo para llevar un seguimiento de
los dispositivos de punto de venta implementados, Infoblox puede importar los datos
desde la hoja de cálculo y conservar todos los campos de datos (convertidos en
atributos extensibles). Si se utiliza en la organización software ERP patentado, los
administradores pueden aprovechar la API de Infoblox para actualizar la base de
datos de IPAM cuando se agregue un nuevo elemento al inventario que modifique
el paisaje de la dirección IP. Se trata de un buen ejemplo de cómo se utiliza un único
panel para todos los tipos de información sobre redes y clientes.
Conservar la precisión es esencial para una solución IPAM realmente eficaz.
Con funciones de descubrimiento que pueden monitorizar la red, el descubrimiento
específico de VM y Network Insight, los usuarios pueden estar seguros de que la
información en la solución Infoblox IPAM está actualizada y es precisa.
Mejora de las operaciones diarias
Tener una solución de IPAM completa y precisa es una cosa, pero Infoblox ha creado
un sistema diseñado para facilitar el uso tanto en tareas diarias como en la solución
de problemas. Con la atención siempre puesta en la seguridad y el uso, los usuarios
pueden aprovechar la información de la IPAM de varias formas que aumentan la
productividad a la vez que reducen los tiempos de asistencia técnica y de solución
de problemas.
Coherencia de los datos
Infoblox puede aplicar políticas en el proceso de entrada de datos para garantizar
que, a medida que crece la organización, sus datos de IPAM crecen al mismo ritmo.
Por ejemplo, cada vez que se realiza una entrada DNS, Infoblox puede pedir a los
usuarios que proporcionen un número de ticket, mandar por correo electrónico el
contacto administrativo y esperar la aprobación de otro grupo. Infoblox también puede
solicitar que cada vez que se agregue una red IPv6, que los usuarios proporcionen
información sobre su ubicación física, ciudad de implementación, uso de red, etc. Para
reducir los errores de entrada de los usuarios, Infoblox permite configurar los atributos
extensibles como listas desplegables en vez de en texto de forma libre. Estas políticas
de cumplimiento garantizan que los datos de IPAM crecen con una calidad coherente.
15
ESTUDIO SOBRE MEJORES PRÁCTICAS
Mejores prácticas para una IPAM exitosa
Identificación y resolución de conflictos
Infoblox IPAM no solo asigna y rastrea recursos, sino que también puede configurarse
para validar activamente su propia precisión frente a datos reales de la red para
identificar conflictos entre lo que se ha asignado y lo que se ha implementado. Infoblox
puede identificar conflictos por medio del descubrimiento de redes, datos de protocolo,
descubrimiento de VM y otros métodos. Por ejemplo, un administrador puede asignar
tres direcciones IP al equipo de servidor de Windows, pero a través de varios métodos
de descubrimiento, el administrador podría ver que el grupo de servidores solo ha
utilizado dos de las direcciones IP asignadas y que usaron una tercera dirección IP que
no les fue asignada. Otro ejemplo es el uso no autorizado de espacio de direcciones de
la red. Tal y como vimos en la sección Descubrimiento de redes de este documento, los
administradores pueden identificar las direcciones IP que se están utilizando pero que
nunca se asignaron o autorizaron. Esto podría deberse a una configuración errónea en
el servidor, pero lo más importante es saber que podría provocar conflictos en la red.
Infoblox ayuda a identificar y resolver estos conflictos de asignación.
Solución de problemas
Infoblox proporciona información sobre la conectividad física a través de Network Insight,
reduciendo considerablemente el tiempo de solución de problemas. Muy a menudo,
la información relativa a la conectividad de la red está obsoleta o, simplemente, no se
ha introducido. Los administradores de la red deben poder confiar en los comentarios
presentes en los archivos de configuración si existen o, en el peor de los casos, rastrear
manualmente la conectividad cada vez que se produce una incidencia. Infoblox IPAM no
solo proporciona la información a nivel de conectividad sino que también proporciona
otros metadatos que podrían ayudar a los administradores a determinar rápidamente cuál
es el problema en una simple interfaz. Por ejemplo, cuando alguien informa de que una
dirección IP está generando mucho tráfico de red, los administradores pueden realizar
búsquedas en Infoblox sobre dicha dirección IP y saber en qué puerto de conmutación
está conectada, cuál es la VLAN y conocer metainformación como que se está
ejecutando Windows XP integrado, que está en Las Vegas y que es una caja registradora
en el entorno de ensayo propiedad de I+D.
Ejemplos adicionales
Se abre un ticket en el que se indica que todas las impresoras Canon, modelo Ejemplo 1,
están expuestas a un virus y que hay que parchearlas. En una empresa global, esto
podría suponer hablar con cuatro o cinco grupos distintos para identificar dónde están
instaladas estas impresoras y si se siguen utilizando. Con Infoblox IPAM, solo haciendo
una búsqueda global de todos los objetos en los que «Fabricante» es «Canon» y el
«Modelo» es «Ejemplo 1», se conocerá la ubicación y los propietarios de los dispositivos
objetivo, permitiendo a los administradores parchear las impresoras.
Existe la necesidad de identificar todos los activos del departamento de investigación
porque se están liquidando. Como se trata de toda la suborganización, los administradores
deben identificar rápidamente todos los activos y la infraestructura de red asociada con
el grupo de investigación. En lugar de tener que analizar todas las hojas de cálculo del
equipo de operaciones, una base de datos de las instalaciones y un sistema de gestión de
activos del grupo de redes, los administradores solo tienen que realizar una búsqueda de
todos los tipos de objetos de la organización iguales a «Grupo de investigación» y obtener
rápidamente una lista maestra de todos los objetos, ya sean servidores, equipos de red u
ordenadores de sobremesa que hay que abordar en la venta de este grupo.
16
Planificación futura gracias a la solución
Virtualización de espacio IP
La vista de mapa de Infoblox permite una visualización rápida de cómo se están
gestionando las asignaciones de la red. Con la configuración de los umbrales, los usuarios
recibirán alertas cuando los rangos de DHCP alcancen los niveles preconfigurados, lo que
permite un remedio proactivo de las necesidades de asignación de IP.
Figura 14. Mapa de red IPAM
Virtualización de red IP
Infoblox NetMap le permite visualizar la red que ha asignado y buscar espacio fácilmente
para nuevas redes cuando lo necesite. La herramienta de GUI le permite seleccionar
regiones y realizar asignaciones desde el mapa de red. Con herramientas para realizar
zoom y seleccionar, y códigos de color para mostrar la utilización, Infoblox facilita la
asignación de red como nunca antes.
Figura 15. NetMap para visualizar la asignación global de espacio de direcciones
17
ESTUDIO SOBRE MEJORES PRÁCTICAS
Mejores prácticas para una IPAM exitosa
Resumen
Infoblox DDI proporciona una ventaja significativa para la IPAM que va más allá
de asignar espacio y direcciones. Infoblox IPAM es una herramienta para gestionar
todos los recursos de red IP que proporciona los medios necesarios para centralizar
información con herramientas para aprovechar el conocimiento, creando así equipos
de TI altamente eficientes. Infoblox IPAM permite a las organizaciones recopilar
datos de red de los servicios de protocolo, importaciones, descubrimiento de red
y metadatos facilitados por los usuarios a fin de construir una base de datos de
autorizaciones de información útil. Por medio del uso de la lógica de las carpetas
inteligentes, la solución de Infoblox garantiza que se accede rápida y fácilmente a los
datos correctos para la ejecución de agregaciones, movimientos, cambios y solución
de problemas. La solución es compatible con la automatización de entornos virtuales,
la creación de flujos de trabajo auditables y la administración granular basada en
roles a fin de posibilitar la colaboración entre los equipos de asistencia y de TI.
Acerca de Infoblox
Infoblox (NYSE:BLOX), con sede central en Santa Clara (California), ofrece
soluciones de control de red: la tecnología fundamental que conecta usuarios
finales, dispositivos y redes. Estas soluciones permiten a más de 7000 empresas
y proveedores de servicios de todo el mundo transformar, proteger y escalar redes
complejas. Infoblox (www.infoblox.com) ayuda a evitar que la carga del control
de redes complejas recaiga sobre las personas, así como a reducir los costos
y aumentar la seguridad, la precisión y el tiempo de funcionamiento.
18
OFICINA CENTRAL
CORPORATIVA DE EE. UU.:
+1.408.986.4000
OFICINA CENTRAL DE EMEA:
ESPAÑA/PORTUGAL
+32.3.259.04.30
+852.3793.3428
[email protected]
[email protected]
+1.866.463.6256
(gratis desde EE. UU. y Canadá)
[email protected]
www.infoblox.com
MÉXICO/
LATINOAMÉRICA
[email protected]
www.infoblox.es
© 2015 Infoblox Inc. Todos los derechos reservados.infoblox-best-practices-whitepaper-successful-ipam-May2014
Descargar