IP 地址是网络上每个虚拟或物理对象的唯一标识，IP 地址范围定义了这些对象的自身网络。在企业网络中，对IP基础结构和更多IP地址的需求比以往任何时候都大。

混合云或者多云基础架构、移动设备的激增、IoT 海量终端以及 IPv6 的出现给组织带来越来越大的压力，它们要求简化配置和管理大量 IP 地址的方式，同时更有效地监督 DHCP 活动。另外，现实世界中的组织存在多个网络环境，而且不同网络环境中不同的网络对象分配 IP 地址的方式不同，比如传统的主机通过 DHCP 进行地址分配和管理；容器调度平台通过 CNI 插件调用 IPAM 插件获取单独的 IP 地址空间来实现 IP 地址分配和设置容器所需的路由。在跨越多个不同网络构建复杂的应用程序时，需要跟踪在数据中心内和数据中心外的多个不同网络环境中创建的所有 IP 地址和子网。

分配可路由并遵循组织策略的 IP 地址的能力变得越来越重要。不同网络平台没有可见性来管理组成不同网络多个网络对象之间的 IP 地址，跨多个网络或者主机的重叠 IP 地址的危险呈指数增长。但是，由于不同网络的 IPAM 流程之间没有实现统一的工具集成，从而导致管理的不一致，同时限制自动化并妨碍审核和安全合规性。因此，需要在整个组织中以统一的方式管理不同网络环境下的 IP 地址管理。

以下准则是成功实施IPAM服务的最佳实践，该服务可维护IT操作的可靠性和自动化程度，从而提高业务效率：

1.维护统一、一致和自动化的IP地址管理服务，以实现整体可见性，一致性控制和快速服务

2.根据业务需求确定IP地址规划的结构和命名策略，以提高运营效率和可扩展性

3.定义公司标准并执行分配策略以提高效率和简化部署过程

4.优化IP空间碎片以提高网络可扩展性，敏捷性和路由性能

5.明智地委托DNS，DHCP和IP地址管理，并启用“按需自助服务”以降低运营成本

6.维护更改历史记录，以便更轻松，更快速地进行故障排除

7.利用定期审核进行主动管理

8.定期监视IP空间，DNS和DHCP使用情况以进行准确的网络容量规划

9.确保DDI服务的可用性以确保业务连续性

10.立即开始计划IPv6升迁

维护统一、一致和自动化的IP地址管理服务，以实现整体可见性，一致性控制和快速服务

IPAM 提供一个整体视图，并可以立即访问任何IP空间信息；还可以防止许多常见的手动错误，例如IP地址分配冲突、子网重叠、DHCP配置冲突、不兼容的VLAN部署以及命名约定错误等。此外，有效的IP地址容量规划工具来预测地址池耗尽，以及提供工程师需要的全局报告。

由于IP地址、VLAN、DNS记录和DHCP租约是相互依赖的资源，因此不应单独使用全局方法来对其进行管理。考虑实现一个统一的管理框架，该框架将处理这些元素及其相关性，确保相关数据库的持续一致性，同时降低管理成本。例如，IP地址的分配应通过在与属于该地址的前缀相关的适当DNS服务器上创建类型A，PTR和CNAME记录来自动更新DNS服务的配置。

根据业务需求确定IP地址规划的结构和命名策略，以提高运营效率和可扩展性

根据支持业务的模型设计IP地址方案是非常重要的。IT部门有时仅通过网络来观察，认为业务应适合现有基础架构的上下文，而不是基础架构应如何适合业务。这会很快导致各种问题，例如变更容量有限，复杂的安全策略定义或降低的网络性能。

使业务运营快速高效是关键，这意味着IP地址规划架构必须足够灵活，以确保轻松更改管理以实现最佳的公司运营能力，如从部署新服务（VoIP，视频，私有云）到并购或开设子公司。

同时，尽管需要设计支持业务的地址架构，但不应忘记必须考虑技术约束以确保任何网络的性能，可伸缩性和安全性。IP地址规划应允许有效地路由通信，同时在每个应用程序的基础上正确应用正确的安全策略和服务质量。

对于技术方法和业务方法，都应考虑设计多层层次结构。例如，针对通常在每个区域完成的路由注意事项进行初始级别设计，然后针对子公司和接入点（PoP）的进行下一级别设计。

定义公司标准并执行分配策略以提高效率和简化部署过程

如前所述，IP地址规划定义了任何网络的固有结构及其相关的路由策略。 此外，它也是定义公司策略管理的基础，以简化IP，DNS和DHCP服务的部署过程。 对于IP地址规划层次结构的每个级别，应预先定义特定的选项，属性（标签）和特性。 例如，供应到DMZ子网中的IP地址可以在特定的DNS区域中注册，而VoIP子网可以使用特定的IP电话供应商选项自动创建。 对于端到端方法，也应将从层次结构的某个层次到子层次的继承集成到此策略执行策略中。

同时，IPAM可以存储有关已分配IP资源的许多信息。使用每个对象类型的表单模板（例如用于服务器或打印机）可降低部署复杂性。例如，可以根据对象类型，位置以及最终的限定名，通过内置规则，轻松地与IP计划结构一起实施命名约定。

这种在公司逐级扩展的自上而下的方法，可最大化资源容量，增强整体网络的一致性，并为不断发展的环境提供所需的灵活性。同时， 由于自动应用了策略和约定，也大大简化了网络管理的委派。

优化IP空间碎片以实现网络可扩展性，敏捷性和路由性能

不受控制的IP空间碎片会降低部署新子网和根据其需求扩展网络的能力，从而降低网络的性能并使其管理复杂化。例如，在处理带有非结构化分配的业务重组时，网络管理员可能别无选择，只能拆分一些可能随意分配子网的块。通常，一个区块范围的开头有一些，而结尾处有一些。结果，块重组使路由和过滤策略复杂化，从而导致潜在的网络性能和/或安全问题。

因此，优化子网聚合以避免IP前缀碎片很重要。在设计IP地址规划时，应该考虑为每个区域分配后续的前缀，并保存其中的一部分以备将来使用。然后，可以将区域前缀分为较小单位来匹配本地业务情况。

这样做可以减少由于路由拓扑分散而导致维护不必要的路由的风险，并简化网络管理。

明智地委派网络管理并启用“按需自助服务”以降低运营成本

在工业化过程中，委派是双赢的，它使团队能够专注于自己的关键任务，而其“客户”则有能力更快地交付服务。这遵循了有关IT自动化的当前趋势，该趋势逐渐允许将技术行动委托给非专家。

这同样适用于网络管理，因为处理资源是很耗时的。组织应该实施适当的权限管理系统，该系统不仅可以根据严格的资源层次结构，还可以根据业务运营需求，进行委派授权。

例如，将IP地址管理委派给负责分配专用子网服务的团队，并提供他们负责的已连接计算机，便携式计算机或打印机的可见性。同样，VoIP团队可以管理专用于该服务的子网内的IP资源。通过为最终用户提供适当的门户，允许最终用户自己注册连接到企业网络的自己的个人设备，也可以利用最终用户本身。

维护更改历史记录，以便更轻松，更快地进行故障排除

IP地址和DNS记录是关键资源，用于通过网络访问任何设备或服务。 IP地址分配或DNS配置的任何更改都可能严重影响任何服务的可用性和质量。 即使定义了简单而严格的管理程序，也可能存在配置错误。 出于安全性和故障排除的目的，强烈建议跟踪影响IPAM，DNS或DHCP的每个更改。 这应该能够快速识别每个更改，并提供完整的详细信息（何时何地），以确保进行富有成效的分析。

利用定期审核进行主动管理

准确而持续的IP资源审核是确保IPAM权威数据库随时间推移的一致性的关键过程。 它允许识别分配问题，未使用的资源并维护适当大小的网络，以及跨网络设备和地址池。 此外，应考虑将此类审核与DNS / DHCP服务配置合规性相结合，因为这将确保网络服务交付的一致性。

高效的审核系统必须提供以下报告功能：

· 识别连接的网络设备

· 跟踪MAC-IP地址关联

· 跟踪每个设备的IP地址分配

· 跟踪冲突的VLAN部署

· 识别冲突的IP地址和端口分配

· 识别未使用的IP地址和网络

· 识别未使用的DHCP范围和静态租约

· 比较DNS数据库和IPAM数据库

· 比较跨服务器配置的DNS / DHCP服务选项

任何IPAM部署都应与自动清单过程的实施相关联，该过程旨在将网络发现的结果与基础架构管理过程中用作参考的数据库对比和协调。

定期监控IP空间，DNS和DHCP使用情况以进行精确的容量规划

IP地址和DNS记录是有限的资源，因此计划和监督其使用非常重要。利用定期审核和实时监视工具来构建跨IP空间（尤其是在DHCP范围内）的地址利用率统计信息，有助于实施切合实际的容量计划。这允许主动请求新的公共IP地址范围，或在私有IP地址空间内采取适当的措施，以防止由于IP地址短缺而失去向新服务或客户端提供网络连接的能力。

DNS资源记录绝对不能忽略。重要的是要利用定期审核来识别和清理DNS服务器配置。与所有已分配的IP地址不再相关的孤立DNS条目应尽可能频繁地删除。这些阻止在新服务的部署中重用相关的FQDN（完全合格域名）。更糟糕的是，它们可能允许某些用户访问已弃用的应用程序，这可能导致安全漏洞。

确保DDI服务可用性以实现业务连续性

DNS，DHCP和IPAM（DDI）服务是关键的IP网络服务。它们的可用性对于确保访问任何其他网络服务至关重要。建议使用高度可用的平台模式来部署IPAM，DNS和DHCP服务。

同时，明智的做法是实施一个主动监视解决方案，以使用主动轮询来监视DDI服务，以便测量服务性能并检测潜在的故障。为了获得更好的可见性，从用户的角度衡量DDI服务的实际延迟和可用性也是有益的。这样可以进行更好的故障排除并提高用户体验。

立即开始计划IPv6过渡

构成新兴物联网的数百亿设备拥有当前离线或隔离的数据海洋。 应用于此数据的分析以及由此产生的商业智能有望将业务敏捷性提升到新的高度。 没有一套用于将IoT设备连接到现有公司网络和Internet的标准化方法和接口，这一切都不会发生。只有IPv6提供足够的地址空间，以不仅促进设备本身的寻址，而且促进成熟，健壮且可扩展的设计和操作实践的发展，以使这些设备保持联机并共享其数据。

对于大多数刚接触IPv6的企业而言，采用IPv6的地图似乎比实际情况要可怕得多。 而且，数量惊人的企业已经通过IPv6提供了其网站。 大多数组织能够采用分阶段的方法来采用IPv6，从而在不影响现有IPv4生产网络的情况下，以经济高效的方式过渡到双栈网络，从而为组织开放了物联网和云带来的令人兴奋的新机遇。

作为网络基础，任何IPv6部署项目中最重要的步骤之一就是IP地址规划以及DNS和DHCP服务。 IPv4和IPv6共存管理需要结构化的IP地址规划方案映射策略。映射设计都必须易于扩展，简化双栈部署，确保服务访问的一致性并最大化资源容量。

部署IPv6时，更为棘手的是该协议的内部功能，即使用其接口的MAC地址以及本地路由器广播的任何前缀来自动寻址所连接的设备。应该禁用称为“ IPv6无状态地址自动配置”（SLAAC）的此附加功能，而是建议使用DHCPv6始终分配IP地址并放弃SLAAC的看似方便。这使组织可以保留对网络上IP地址分配的控制。

CLXOne® IPAM

上述IP地址管理的最佳实践，可以极大地提高组织的业务效率，从而节省成本和时间，并提高客户满意度。连星科技 CLXOne® IPAM 产品和解决方案，可以很好的协助企业将上述最佳实践快速应用到企业IT运营管理。

CLXOne® IPAM 以IP地址管理为权威源和业务流程核心，掌握复杂的层次结构及其元数据，将全局权限与预配置工作流结合在一起。 从IP地址到联系人或DNS区域和DHCP作用域，再到IP网络的范围、资产，最终可以与所有网络基础架构元素（跨所有数据中心或PoP）、关键服务等完全集成在一个界面。有助于减少或消除重复性任务，使企业或组织无需额外的IT人员即可更好地扩展整个企业的IT流程周期中，轻松应对最具挑战性的IPAM和DHCP要求。这种自动化减少了部署时间，并消除了 IP 地址重叠和冲突的风险。 报表视图跟踪当前和历史数据，以提高可见性。

借助CLXOne® IPAM，您的团队可以：

· 提高网络敏捷性，效率和响应能力

· 通过自动检测和隔离恶意设备来降低安全风险

· 从共享数据中释放网络见解，以简化资产管理

· 通过预测分析来预测 IP 地址容量，以避免地址用尽并防止中断

· 将IPv6升迁合并到现有的IT流程周期中，保证IPv6目标的实现