IPAM 随笔

需求和 IPAM 纵览

随着企业内部业务的增长，硬件资源和IP地址等资源也急速增长，我们这时候就需要能够有效的规划和使用IP资源，最好有合适的方法去规划、管理和运营。我期待的 IPAM 能够满足以下条件：

• 轻量级的，容易上手；
• 开源的，成本低；
• 能够自动发现；
• 具有使用情况报告；
• 通知机制；
• 方便的权限管理；
• API， 方便集成

经过查找和询问朋友，有以下平台可以直接或者间接的满足以上需求：

1）solarwinds IPAM
官方介绍如下：
<1> 自动化的IP地址管理
<2> 集成了DHCP和DNS服务器
<3> IP地址告警、排障和报告
<4> 划分区域管理
<5> IP地址明细和追踪

等等企业级的Feature， 非常完备，官网也提供了online Demo， 感觉很不错。但是目前公司不太可能投入太多财力去采。

2）ManageEngine IPAM

M家的产品也挺不错的，IPAM 是OpUtils 产品的部分功能， OpUtils 主要是交换机端口和IP地址管理，主要有IP地址管理，交换机端口管理，带宽监控，网络设备配置备份等等功能吧。同样也提供了Online Demo 比较合适网络工程师。

3）其他商业IPAM， 比如Infoblox， Microsoft 等等，也没有去做更多的了解，去采的可能性比较小。然后就比较关注开源方案。

4） GestióIP 官方介绍gestioip 是自动化的，基于WEB的IPAM， 具体强大的IP自动发现、过滤、权限控制等等功能。这个我也部署了进行测试。


试用了几天之后，感觉不是特别美观，操作也不是太方便，就废弃这个方案了。

5）接下来就是今天的主角 phpipam ，显然是用php 开发的IPAM。官方介绍包含以下feature:

IPv4/IPv6 IP address managementSection / Subnet managementAutomatic free space display for subnetsVisual subnet displayAutomatic subnet scanning for new hostsAutomatic status checksChangelogsDomain authentication (AD, LDAP)Per-group section/subnet permissionsDevice / device types managementRIPE subnets importXLS / CVS subnets importIP request moduleAPIVLAN managementVRF managementIPv4 / IPv6 calculatorIP database searchE-mail notificationsCustom fields supportTranslations

部署过程

接下来记一下部署过程。首先是环境的依赖，官方介绍如下：

Apache2 webserver with php supportMysql server (5.1+)php version 5.3 or later with following php modules enabled:pdo, pdo_mysql : Adds support for mysql connectionssession : Adds persistent session supportsockets : Adds sockets supportopenssl : Adds openSSL supportgmp : Adds support for dev-libs/gmp (GNU MP library) -> to calculate IPv6 networksldap : Adds LDAP support (Lightweight Directory Access Protocol – for AD also)crypt : Add support for password encryptionSimpleXML: Support for SimpleXML (optional, for RIPE queries and if required for API)json: Enable JSON supportgettext: Enables translationfilter : Adds filtering supportpcntl : Add support for process creation functions (optional, required for scanning)cli : Enable CLI (optional, required for scanning and status checks)php PEAR support

CentOS 6 安装相关依赖

yum install mysql mysql-server php php-gmp php-pear php-mysql l httpd fpingphp-mysql php-pear php-gmp php-curl php-ldap php-mcrypt php-gettext php-soap php-gd php-pdo php-openssl php-json php-filter php-pcntl php-cli

下载和安装phpipam

cp -r phpipam  /var/www/html/ cd /var/www/html/phpipam/cp config.dist.php config.phpvi config.phpdefine('BASE', "/phpipam/");

配置数据库

[root@phpipam ~]# mysql -u root -pEnter password:mysql> create database phpipam;Query OK, 1 row affected (0.00 sec)mysql> GRANT ALL on phpipam.* to phpipam@localhost identified by ‘******’;Query OK, 0 rows affected (0.00 sec)mysql> exitByeOnce this is in place, you can import SCHEMA.sql file with following command:mysql -u root -p phpipam < db/SCHEMA.sql

创建自动备份任务

# Backup IP address table, remove backups older than 10 days20 1 * * * /usr/bin/mysqldump -uphpipam -p****** phpipam  > /data/sqlbak/phpipam_bkp_$(date +"\%y\%m\%d").db20 1 * * * /usr/bin/find /data/sqlbak -ctime +30 -exec rm {} \;

[可选]配置https 和定时扫描任务

安装依赖：yum install mod_ssl openssl -y首先，生成2048位的加密私钥：openssl genrsa -out ca.key 2048然后生成证书签名请求（CSR）：openssl req -new -key ca.key -out ca.csr生成类型为X509的自签名证书：openssl x509 -req -days 365 -in ca.csr -signkey ca.key -out ca.crt创建证书后，将文件复制到对应的目录：cp ca.crt /etc/pki/tls/certs/cp ca.key /etc/pki/tls/private/cp ca.csr /etc/pki/tls/private/修改httpd配置：vim /etc/httpd/conf.d/ssl.conf### overwrite the following parameters ###SSLCertificateFile /etc/pki/tls/certs/ca.crtSSLCertificateKeyFile /etc/pki/tls/private/ca.keySSLCertificateChainFile /etc/pki/tls/certs/example.com.ca-bundle配置虚拟主机：<VirtualHost *:443>    SSLEngine on    SSLCertificateFile /etc/pki/tls/certs/ca.crt    SSLCertificateKeyFile /etc/pki/tls/private/ca.key    <Directory /var/www/html/phpipam/>        AllowOverride All    </Directory>    ServerAdmin admin@example.comDocumentRoot /var/www/html/phpipam/ServerName ipam.example.com</VirtualHost>然后重新启动httpd服务使更改生效：service httpd restart配置定时扫描任务：# update host statuses exery 15 minutes*/15 * * * * /usr/bin/php /var/www/html/phpipam/functions/scripts/pingCheck.php*/15 * * * * /usr/bin/php /var/www/html/phpipam/functions/scripts/discoveryCheck.php

后记

部署完成之后，就是录入系统的数据，我们现在管理有20多个C，配置了邮件的自动通知功能，使用一段时候之后，比较满意。

登录页面和IP请求：

然后就是LDAP目前还没有成功的接入；规模增加之后，可能需要部署一些agent 进行扫描，并且划分不同的区域和权限； 扫描要是能够支持nmap 就更好了。