IPAM (IP Address Management — управление IP-адресами)

⌘K

IPAM (IP Address Management — управление IP-адресами)

IPAM — это «единая книга учёта» для всей адресной схемы: кто и где использует IP, какие подсети свободны, что зарезервировано, где шлюзы, DNS-имена, VRF, VLAN, точки учёта и кто последний менял запись. Без IPAM сеть быстро превращается в хаос с конфликтами адресов и «призрачными» записями.

Что делает IPAM на практике

  • Планирование адресного пространства. Ведение пула IPv4/IPv6, разбиение CIDR на подсети, агрегация/суперсети, «роль» подсетей (user, server, loopback, p2p, VIP, mgmt).
  • Учёт адресов. Статусы free/allocated/reserved/expired/deprecated, комментарии, владелец, привязка к устройству/интерфейсу/серверу.
  • Интеграция DDI. Связка с DHCP (выдача/резервации) и DNS (A/AAAA/PTR-записи), чтобы адрес, имя и выдача не расходились.
  • Инвентаризация и обнаружение. Снятие ARP/ND, опрос по SNMP/API, импорт из облаков (VPC/VNet, ENI/Elastic IP), выявление конфликтов и «заброшенных» адресов.
  • Границы и контекст. Привязка подсетей к сайтам/залам/стойкам, VRF, VLAN, тенантам и окружениям (dev/stage/prod).
  • Аудит и контроль доступа. История изменений, кто что зарезервировал, RBAC, заявки/одобрения.

Почему это важно

  • Убирает конфликты IP и «охоту за админом, который помнит всё в голове».
  • Ускоряет ввод сервисов: администратор видит свободные подсети и адреса сразу с контекстом.
  • Дает историчность: кто менял PTR, когда подсеть делили, почему этот /29 уехал в DMZ.
  • Облегчает переход на IPv6: план префиксов, SLAAC/DHCPv6-политики, DNS-шаблоны.

Типовая модель записи

  • Подсеть:
    10.20.0.0/16
    , сайт «DC-1», VRF «corp», VLAN 120, шлюз
    10.20.0.1
    , роль «user-access».
  • Адрес:
    10.20.5.42
    → сервер
    app-42
    , MAC, интерфейс, DHCP-резервация/статический, DNS
    app-42.corp.local
    , владелец «Backend», статус «allocated», комментарий.

Жизненный цикл адреса (как это выглядит)

  1. Заявка на IP/подсеть → 2) выделение из пула → 3) автоматическое создание DHCP-резервации и DNS-записей → 4) привязка к устройству/интерфейсу → 5) мониторинг использования (ARP/ND) → 6) освобождение с «карантином» (не отдавать повторно N дней).

Облака и гибрид

  • Импортируйте подсети и адреса из AWS/Azure/GCP (VPC/VNet, subnets, private/public IP).
  • Сверяйте «истину»: то, что выдано в облаке, должно жить и в IPAM (иначе легко потерять контроль над диапазонами и именами).

IPv4 vs IPv6 — особенности

  • IPv6 адресов много, но без IPAM легко запутаться: план префиксов, роли, DNS-шаблоны, политика именования (например, на основе EUI-64 или random).
  • Отдельно учитывайте link-local, anycast, VIP, ULA и внешние префиксы.

Частые проблемы и как их избегать

  • Несвежие данные. Лечится автосинхронизацией: опрос DHCP/DNS, экспорт ARP/ND, веб-хуки из CI/CD и облаков.
  • Дубли/конфликты. Включайте проверки пересечения CIDR и автоматический conflict-check перед выдачей.
  • «Тёмные» резервации. Обязательные поля (владелец/сервис/тикет), SLA на освобождение, отчёты по «мертвым душам».
  • Разъехавшийся DNS. Создавайте A/AAAA/PTR только через IPAM или его API, запретив ручные правки мимо.

Автоматизация и DevOps

  • Храните IP-план как source of truth, отдавайте его в Ansible/Terraform/вендорские контроллеры через API.
  • При создании сервиса в CI/CD: запрос подсети/адреса → IPAM выделяет → сразу заводит DNS/DHCP → возвращает данные в пайплайн.
  • Для CGNAT/NAT64 полезно вести реестр сопоставлений (адрес/порт-диапазоны) — IPAM снимает ручной «бухучёт».

Небольшой рабочий пример

  • Надо завести новый
    k8s
    -кластер в «DC-2».
    В IPAM резервируете
    10.60.32.0/20
    (nodes),
    10.60.48.0/24
    (ingress),
    10.60.49.0/24
    (services VIP), отмечаете VRF «prod», сайт «DC-2», VLAN’ы, ставите владельца «Platform». IPAM через web-hook создаёт шаблонные записи в DNS, отдаёт CIDR в Terraform — сети появляются одинаковыми во всех окружениях без ручных таблиц.

С чего начать без боли

  1. Соберите инвентарь: импорт из DHCP/DNS, выгрузки ARP/ND, облачные экспортёры.
  2. Нормализуйте структуру: сайты/VRF/VLAN/роли, понятные описания.
  3. Включите автоматические проверки конфликтов и историю изменений.
  4. Запретите ручные «обходы» — всё через IPAM/API.
  5. Привяжите к ITSM/тикетам, чтобы каждый адрес имел владельца и повод для жизни.

Долгосрочные клиенты — наша гордость

Для тех, кто с нами надолго: 12 месяцев = 13 с промокодом

Месяц в подарок
COPIED
NEWCOM COPIED
Активируй сейчас