IP-Address-Management
Nie wieder Excel-Listen!
IP-Address-Management gab es schon immer, manchmal allerdings nur in Form einer Excel-Tabelle mit MAC- und IP-Adressen. Mit der steigenden Bedeutung von DNS und DHCP für die Infrastruktur setzen Hersteller wie Anwender nun auf raffiniertere Lösungen.
Jeder, der schon in einem Unternehmen beliebiger Größe als Administrator gearbeitet hat, kennt
die Listen und Tabellen, mit denen normalerweise IP- und MAC-Adressen verwaltet werden. Statische
Einträge wurden dort (hoffentlich) gewissenhaft vermerkt, ebenso die IP-Adressbereiche der
DHCP-Server. Fast immer schleichen sich im Lauf der Zeit Fehler ein – da hat etwa jemand einen
fertig konfigurierten Server angeschlossen und nicht eingetragen oder eine neue Netzwerkkarte
eingebaut und die MAC-Adresse nicht geändert. Die Symptome solcher Versäumnisse können sehr simpel
sein: Das Betriebssystem verweigert bei nächster Gelegenheit die Vergabe der gleichen Adresse. Es
können aber auch äußerst unangenehme Auswirkungen auftreten: etwa dann, wenn zwei gleiche
IP-Adressen zu sporadischen Verbindungsabbrüchen führen, die sich schlecht reproduzieren
lassen.
Spätestens in solchen Fällen wird klar, wie viel von den unscheinbaren Infrastrukturdiensten
DHCP und DNS tatsächlich abhängt.
IP-Address-Management wird "IPAM"
Mittlerweile sind zu den Datendiensten Sprache und Video dazu gekommen. Die Abhängigkeit von einer stabilen IP-Infrastruktur ist damit höher denn je. So verwundert es nicht, dass es eine ganze Reihe von Herstellern gibt, die IP-Address-Management, anbieten, kurz IPAM. Laut Definition der Marktforscher gehören zu IPAM sowohl die Managementlösungen als auch die Hard- und Software für DNS- und DHCP-Dienste. IPAM ist kein neuer Ansatz, denn die heutigen Produkte haben sich über die Jahre entwickelt. Zunächst nutzen die Firmen Eigenbaulösungen, angefangen von der bereits zitierten Excel-Liste bis hin zu selbst geschriebenen Managementprogrammen. Etwa ab Ende der Neunzigerjahre brachten die großen Infrastrukturanbieter wie Cisco oder Nortel dann eigene IPAM-Software auf den Markt. Mittlerweile ist die dritte Produktgeneration am Zug. Sie setzt unter anderem auf webbasiertes Management, IPv6-Unterstützung und VoIP-Integration und wird immer öfter als komplette Appliance realisiert.
Das Besondere daran ist der übergreifende Ansatz: Im Gegensatz zu serverzentrierten Methoden erlaubt es IPAM, den gesamten IP-Raum zentral zu managen. Dabei wird die statische und dynamische Vergabe von IP-Adressen mit DNS verbunden und eine Delegation von Rechten auf mehrere Personen ermöglicht. Administratoren sind damit nicht mehr Alleinherrscher über alle DHCP- und DNS-Dienste, sondern können in ihrer Entscheidungsgewalt auf bestimmte IP-Bereiche oder Unternehmensteile beschränkt werden. Zusätzlich ist bei umfangreichen Lösungen Daten-Modelling möglich - die IP-Bereiche werden an die jeweiligen Unternehmensbereiche, seien es geografische Einheiten oder Abteilungen, angepasst und grafisch repräsentiert. Besonders wichtig ist dies bei Firmenzusammenschlüssen oder Übernahmen. Sollen die Netzwerke beider Unternehmen als Einheit verwaltet werden, ist eine IPAM-Lösung unverzichtbar. Inzwischen - hier kommt Compliance ins Spiel - enthalten auch immer mehr IPAM-Lösungen umfangreiche Audit-Funktionen. Sie erlauben das chronologische Nachverfolgen von Änderungen und historischer IP-Daten noch Jahre nach dem eigentlichen Vorgang. In diesem Zusammenhang kann es sinnvoll sein, die IPAM-Lösung mit bestehenden Content- und Asset-Management-Systemen zu koppeln, um den Weg einer IP-Adresse zu einem physikalischen Computer einfach nachvollziehen zu können.
IPAM erreicht selbst die KMUs
Inzwischen ist klar, dass man mit IPAM Geld verdienen kann. Die Nachfrage steigt, das
Marktvolumen ebenso. Laut einer Studie von IDC ist der Umsatz mit IPAM-Lösungen im Jahr 2006
gegenüber dem Vorjahr um etwa 44 Prozent gewachsen und erreichte ein Volumen von 224 Millionen
Dollar. Davon profitierten alle Anbieter, die nun in die frühere Nische drängen. Während IPAM
zunächst ein Thema für große Unternehmen war, erreicht das Interesse nun auch mittelgroße und
kleine Firmen. So haben viele Mittelständler mobile Connectivity und Services für ihre Mitarbeiter
eingeführt und müssen nun ein scharfes Auge auf die Nutzung der IP-Adressen und den eventuellen
Missbrauch haben. Deshalb hat hier die Forderung nach einem zentralen und relativ einfach zu
handhabenden Management besondere Bedeutung. Es gibt weniger IT-Personal, und auch die Mitarbeiter
sind eventuell weniger IT-erfahren. Einige Hersteller adressieren diesen Bedarf durch kleine
Appliances, die mit einem Minimum an Benutzerkonfiguration auskommen. Bluecats Adonis XMB etwa
enthält vollwertige DNS/DHCP-Services für bis zu 4000 DNS-Anfragen pro Sekunde und ist über die
mitgelieferte, grafische Managementsoftware oder ein übergelagertes Proteus-IPAM-Framework
steuerbar.
IPAM mag zunächst den Eindruck einer reichlich abstrakten Erweiterung eines DHCP-Servers
erwecken. Die wirklich spannenden Einsatzmöglichkeiten stehen der Technik allerdings auch erst noch
bevor. Vor allem Network Access Control (NAC) enthält einige Aspekte, die stark auf IP-Adressen und
deren Verwaltung abzielen. Schließlich gewährt die Zuteilung einer IP-Adresse einem externen
Benutzer bereits eine ganze Reihe von Einflussmöglichkeiten auf ein Netzwerk. Umso wichtiger ist
es, mit Argusaugen über den IP-Pool zu wachen und das Kommen und Gehen von DHCP-Requests mit einer
übergelagerten Sicherheitslösung wie NAC zu koppeln. So sind auch die Analysten von IDC der
Meinung, dass sich IPAM im Kielwasser von NAC-Lösungen in Zukunft stark ausbreiten wird. Den
angenehmen Nebeneffekt, die eigene IP-Infrastruktur damit einfacher verwalten zu können, haben die
meisten potenziellen Anwender nur als Hintergedanken im Kopf.
Der Trend geht zu Appliances
Möglicherweise, so die Meinung von IDC, werden auch NAC-Hersteller in Zukunft IPAM-Module als
Ergänzung anbieten. Bis dies geschieht, sind nun die IPAM-Spezialisten damit beschäftigt, ihre
Produkte für ein breiteres Kundenfeld anzupassen. Während sich die angebotenen Lösungen noch vor
wenigen Monaten fast ausschließlich für große und sehr große Firmen eigneten, kommen nun immer mehr
Appliances auf den Markt, die auch in kleinen Untenehmen sinnvoll eingesetzt werden können.
Hilfreich ist auch, dass in das Preisgefüge Bewegung gekommen ist. Zum einen sinken die
Einstiegspreise, zum anderen machen vorinstallierte Appliances das Management einfacher und
billiger. Marktforscher gehen davon aus, dass in Zukunft eine Spezialisierung Einzug halten wird.
Besondere IPAM-Lösungen könnte es dann etwa für den Handel, für den Gesundheitsbereich und für
Zweigstellen geben.
IPv6 treibt die Technik voran
Deutlich mehr Schwung könnte IPv6 dem IPAM-Konzept mitgeben. Wer die Einführung des erweiterten
Adressraumes plant, den IPv6 den Firmen bieten wird, kommt um eine IPAM-Lösung nicht herum, die
sowohl den IPv4- als auch den IPv6-Adressraum steuern kann. Nur so ist eine problemlose Migration
möglich.
Geht man davon aus, dass sich mobile Geräte mit der gleichen Geschwindigkeit verbreiten werden
wie bisher, könnte das lange vernachlässigte Thema IPv6 bald sehr bedeutsam werden. Eine IP-Adresse
für jedes Mobiltelefon? So etwas schafft nur IPv6.
Gleich aus welchem Grund IPAM zum Einsatz kommt: Wichtig ist, die IP-Daten als Asset zu
begreifen, die einem Unternehmen wertvolle Informationen liefern können. Die übersichtlich
aufbereiteten Daten können dazu dienen, Router zu konfigurieren, Switches einzusetzen oder auch
Regeln für die Firewall zu definieren – alles Aspekte, die dazu beitragen, drastisch Zeit zu sparen
und Administrations-Ressourcen zu schonen. Auch hier ist Integration ein Schlüsselwort: IPAM ist
keine Insel. Je besser sich die Lösung in vorhandene Managementstrukturen einfügt, desto größer ist
der Nutzen für den Kunden.
Lesen Sie mehr zum Thema
