需求和 IPAM 纵览
随着企业内部业务的增长,硬件资源和IP地址等资源也急速增长,我们这时候就需要能够有效的规划和使用IP资源,最好有合适的方法去规划、管理和运营。我期待的 IPAM 能够满足以下条件:
- 轻量级的,容易上手;
- 开源的,成本低;
- 能够自动发现;
- 具有使用情况报告;
- 通知机制;
- 方便的权限管理;
- API, 方便集成
经过查找和询问朋友,有以下平台可以直接或者间接的满足以上需求:
1)solarwinds IPAM
官方介绍如下:
<1> 自动化的IP地址管理
<2> 集成了DHCP和DNS服务器
<3> IP地址告警、排障和报告
<4> 划分区域管理
<5> IP地址明细和追踪
等等企业级的Feature, 非常完备,官网也提供了online Demo, 感觉很不错。但是目前公司不太可能投入太多财力去采。
M家的产品也挺不错的,IPAM 是OpUtils 产品的部分功能, OpUtils 主要是交换机端口和IP地址管理,主要有IP地址管理,交换机端口管理,带宽监控,网络设备配置备份等等功能吧。同样也提供了Online Demo 比较合适网络工程师。
3)其他商业IPAM, 比如Infoblox, Microsoft 等等,也没有去做更多的了解,去采的可能性比较小。然后就比较关注开源方案。
4) GestióIP 官方介绍gestioip 是自动化的,基于WEB的IPAM, 具体强大的IP自动发现、过滤、权限控制等等功能。这个我也部署了进行测试。
试用了几天之后,感觉不是特别美观,操作也不是太方便,就废弃这个方案了。
5)接下来就是今天的主角 phpipam ,显然是用php 开发的IPAM。官方介绍包含以下feature:
IPv4/IPv6 IP address management
Section / Subnet management
Automatic free space display for subnets
Visual subnet display
Automatic subnet scanning for new hosts
Automatic status checks
Changelogs
Domain authentication (AD, LDAP)
Per-group section/subnet permissions
Device / device types management
RIPE subnets import
XLS / CVS subnets import
IP request module
API
VLAN management
VRF management
IPv4 / IPv6 calculator
IP database search
E-mail notifications
Custom fields support
Translations
部署过程
接下来记一下部署过程。首先是环境的依赖,官方介绍如下:
Apache2 webserver with php support
Mysql server (5.1+)
php version 5.3 or later with following php modules enabled:
pdo, pdo_mysql : Adds support for mysql connections
session : Adds persistent session support
sockets : Adds sockets support
openssl : Adds openSSL support
gmp : Adds support for dev-libs/gmp (GNU MP library) -> to calculate IPv6 networks
ldap : Adds LDAP support (Lightweight Directory Access Protocol – for AD also)
crypt : Add support for password encryption
SimpleXML: Support for SimpleXML (optional, for RIPE queries and if required for API)
json: Enable JSON support
gettext: Enables translation
filter : Adds filtering support
pcntl : Add support for process creation functions (optional, required for scanning)
cli : Enable CLI (optional, required for scanning and status checks)
php PEAR support
CentOS 6 安装相关依赖
yum install mysql mysql-server php php-gmp php-pear php-mysql l httpd fping
php-mysql php-pear php-gmp php-curl php-ldap php-mcrypt php-gettext php-soap php-gd php-pdo php-openssl php-json php-filter php-pcntl php-cli
下载和安装phpipam
cp -r phpipam /var/www/html/
cd /var/www/html/phpipam/
cp config.dist.php config.php
vi config.php
define('BASE', "/phpipam/");
配置数据库
[root@phpipam ~]# mysql -u root -p
Enter password:
mysql> create database phpipam;
Query OK, 1 row affected (0.00 sec)
mysql> GRANT ALL on phpipam.* to phpipam@localhost identified by ‘******’;
Query OK, 0 rows affected (0.00 sec)
mysql> exit
Bye
Once this is in place, you can import SCHEMA.sql file with following command:
mysql -u root -p phpipam < db/SCHEMA.sql
创建自动备份任务
# Backup IP address table, remove backups older than 10 days
20 1 * * * /usr/bin/mysqldump -uphpipam -p****** phpipam > /data/sqlbak/phpipam_bkp_$(date +"\%y\%m\%d").db
20 1 * * * /usr/bin/find /data/sqlbak -ctime +30 -exec rm {} \;
[可选]配置https 和定时扫描任务
安装依赖:
yum install mod_ssl openssl -y
首先,生成2048位的加密私钥:
openssl genrsa -out ca.key 2048
然后生成证书签名请求(CSR):
openssl req -new -key ca.key -out ca.csr
生成类型为X509的自签名证书:
openssl x509 -req -days 365 -in ca.csr -signkey ca.key -out ca.crt
创建证书后,将文件复制到对应的目录:
cp ca.crt /etc/pki/tls/certs/
cp ca.key /etc/pki/tls/private/
cp ca.csr /etc/pki/tls/private/
修改httpd配置:
vim /etc/httpd/conf.d/ssl.conf
### overwrite the following parameters ###
SSLCertificateFile /etc/pki/tls/certs/ca.crt
SSLCertificateKeyFile /etc/pki/tls/private/ca.key
SSLCertificateChainFile /etc/pki/tls/certs/example.com.ca-bundle
配置虚拟主机:
<VirtualHost *:443>
SSLEngine on
SSLCertificateFile /etc/pki/tls/certs/ca.crt
SSLCertificateKeyFile /etc/pki/tls/private/ca.key
<Directory /var/www/html/phpipam/>
AllowOverride All
</Directory>
ServerAdmin admin@example.com
DocumentRoot /var/www/html/phpipam/
ServerName ipam.example.com
</VirtualHost>
然后重新启动httpd服务使更改生效:
service httpd restart
配置定时扫描任务:
# update host statuses exery 15 minutes
*/15 * * * * /usr/bin/php /var/www/html/phpipam/functions/scripts/pingCheck.php
*/15 * * * * /usr/bin/php /var/www/html/phpipam/functions/scripts/discoveryCheck.php
后记
部署完成之后,就是录入系统的数据,我们现在管理有20多个C,配置了邮件的自动通知功能,使用一段时候之后,比较满意。
登录页面和IP请求:
然后就是LDAP目前还没有成功的接入;规模增加之后,可能需要部署一些agent 进行扫描,并且划分不同的区域和权限; 扫描要是能够支持nmap 就更好了。