IPAM : Gestion d'addresses IP

Introduction

Cette extension est une fonctionnalité Enterprise. Avec l’extension IPAM, vous pourrez gérer les IPs de vos réseaux, découvrir les hosts du sous-réseau et détecter leurs changements de disponibilité (s’ils répondent ou non au Ping) ou le nom de l’host (obtenu par dns). De plus, vous pourrez détecter le système d’exploitation.

L’extension IPAM utilise un recon script (dépendant du Recon server) pour réaliser toute la logique sous-jacente. La gestion d’IPs est indépendante de la présence ou non d’agents installés sur ces machines ou d’un agent avec des moniteurs à distance sur cette IP. Vous pouvez “associer” de façon facultative, un agent à l’IP et gérer cette IP sans qu’il ne perturbe la supervision en cours.

Vous trouverez de plus amples informations dans le tutoriel vidéo (anglais): «PFMS Reviews IPAM: IP Address Management».

Détection des IPs

Vous pouvez configurer un réseau (grâce à un réseau et un masque de réseau) pour que de temps en temps, la reconnaissance de ses adresses soient exécutées ou bien que cela se fasse uniquement manuellement.

  • Ce mécanisme utilise le Recon server (Netscan) en parallèle mais il est gère automatiquement. Pour un bon fonctionnement, il est important de vous assurer que les packets xprobe et fping soient installés. Consultez la documentation sur l'instalation de Pandora FMS pour obtenir davantage d’informations.
  • La détection des systèmes d'exploitation est toujours approximative et est basée sur xprobe. Pour des résultats plus précis, utilisez nmap.
  • La détection dans les environnements virtuels est d'autant plus difficile puisque l'hyperviseur utilisé doit transmettre les paquets de manière précise et correcte au dispositif hébergé (machine virtuelle).
  • Sur le serveur Ubuntu 22, cette fonction IPAM du PFMS est encore en phase expérimentale.

IPs avec des agents installés

La première fois qu’il détecte le réseau, après l’avoir créé dans le panneau de contrôle d’IPAM, Pandora FMS cherchera les IPs de ce réseau. S’il détecte que l’IP est opérationnelle, il la gérera. Si elle il ne répond pas au ping, il la laissera comme “non-gérée”. Toute IP gérée qui change d’état (cesse de répondre au ping) générera un événement dans le système. Vous pouvez gérer manuellement les IPs que vous souhaitez, en les éditant pour leur attribuer un pseudo/hostname, une description ou même forcer le système d’exploitation.

Il faut tout de même préciser que lorsque l’IPAM détecte une adresse IP qui a un agent software installé et que cette IP lui est attribuée, cela permet de l’identifier explicitement, comme c’est le cas de l’IP .125 de cette capture d’écran :

Et si vous cliquez sur la vue détaillée de l’agent :

Vues

Vue opérationnelle

Il permet de visualiser les réseaux créés, de voir leurs adresses IP, de les modifier ou de les supprimer.

En cliquant sur chacun des éléments de la première colonne Network (Réseau) ou sur l'icône correspondante dans la colonne Action, vous accédez à la Addresses view (vue Adresses); pour supprimer, cliquez sur l'icône de la poubelle dans la même colonne.

Vous pouvez effectuer une recherche par texte dans le champ Search (par nom, adresse réseau CIDR ou description) et/ou par emplacement de réseau (Location) et/ou par site de réseau (Site) et/ou par réseau virtuel (Vlan), puis cliquer sur le bouton Rechercher (Search) pour affiner les résultats.

Création d'un réseau IPAM

  • La détection des systèmes d'exploitation est toujours approximative et est basée sur xprobe. Pour des résultats plus précis, utilisez nmap.
  • Sur le serveur Ubuntu 22, cette fonction IPAM du PFMS est encore en phase expérimentale.
  • Pour créer un nouveau réseau, cliquez sur le bouton Create et remplissez les champs suivants :

  • Network : Réseau au format adresse IP/masque (CIDR).
  • Name : Nom du réseau.
  • Discovery server : Serveur chargé de cette tâche.

Si vous avez besoin de attribuer cette tâche à un serveur Satellite, sélectionnez la valeur None.

  • Vrf : Virtual routing and forwarding au moyen d'un agent PFMS (ce qui permet, entre autres, le chevauchement des adresses IP). Tapez au moins deux lettres pour sélectionner l'agent.
  • Monitoring : Inclure des contrôles statistiques.
  • Lightweight mode : Analyse beaucoup plus rapide du réseau sans effectuer de détection du nom d'hôte ou du système d'exploitation des hôtes détectés.
  • Group : Groupe cible pour l'agent de supervision.
  • Scan interval : Période de temps pour le contrôle automatique ou manuel.
  • Operator users : Utilisateurs de l'opérateur du réseau. Seuls les utilisateurs de type superadmin ou les utilisateurs disposant de droits d'administrateur Pandora (PM) peuvent créer ou modifier des réseaux. Voir également ACL Enterprise.

Cliquez sur le bouton Create pour enregistrer le réseau.

  • Pour modifier un réseau existant, cliquez sur l'icône :

Cliquez sur le bouton Update pour enregistrer les modifications du réseau.

Une fois vous avez crée le réseau IPAM, par le biais de l'icônevous aurez accès à la Vue d'édition, la Vue d'adresses et la Vue d'opérations en masse.


Importation via un fichier CSV

À partir de la version NG 758, vous pouvez importer ces informations à partir de fichiers separés par virgules sous format .csv. L'ordre est le suivant :

network,network name,description,location(ID),group(ID),monitoring(0 or 1),lightweight mode(0 or 1),scan interval(days),recon server(ID)

Description détaillée de chacun des zones :

  1. network : Réseau au format adresse IP/masque (CIDR).
  2. network name : Nom du réseau.
  3. description : Description (facultatif)
  4. location(ID) : Localisation du réseau (identifiant numérique). Au moins un emplacement de réseau doit être défini.
  5. group(ID) : Groupe cible pour l'agent de supervision. Zéro pour le groupe All ; pour connaître l'identifiant numérique de chaque groupe, allez dans ProfilesManage agent groups (groupes définis).
  6. monitoring(0 or 1) : Inclure les moniteurs statistiques, zéro (0) non, un (1) oui, toute autre valeur sera considérée comme zéro.
  7. lightweight mode(0 or 1) : Analyse beaucoup plus rapide du réseau sans effectuer de détection du nom d'hôte ou du système d'exploitation des hôtes détectés; zéro (0) non, un (1) oui, toute autre valeur sera considérée comme zéro.
  8. scan interval(days) : Période d'intervalle (jours), zéro (0) si manuel.
  9. recon server(ID) : Serveur en charge de cette tâche (identifiant numérique; zéro en cas d'utilisation d'un serveur satellite). Allez dans ServersManage servers et localisez le serveur Discovery.

Cliquez sur l'icône Edit et prenez note de l'identifiant numérique du serveur Discovery dans la barre d'adresse (URL) :

  • Vous devez mettre exactement neuf (9) champs sur chaque ligne, ni plus ni moins.
  • Le seul champ facultatif est la description : tous les autres champs sont obligatoires.

Il est extrêmement important que vous sélectionniez le bon séparateur de champ : virgule (par défaut) ou point-virgule, etc.

Cliquez sur Upload File, sélectionnez le fichier au format CSV, choisissez le séparateur approprié dans Separator et appuyez sur le bouton Upload pour finaliser l'importation.

p>

Une fois vous avez créé un réseau IPAM, gra^ce à l'icône vous aurez accès à la Vue d'édition, Vue d'adresses et Vue d'opérations massives.


ACL des utilisateurs

En configurant n’importe quel réseau, par défaut et dans les installations précédentes de votre système, tous les utilisateurs auront un accès total à l’outil IPAM mais vous pourrez définir une liste d’utilisateur qui pourront gérer le réseau. Utilisateurs de l'opérateur du réseau. Seuls les utilisateurs de type superadmin ou les utilisateurs disposant de droits d'administrateur Pandora (PM) peuvent créer ou modifier des réseaux. Voir également ACL Enterprise

Network locations

Permet de modifier les emplacements de réseau (cliquez sur le nom, colonne Name), de les supprimer avec l'icône de la poubelle correspondante (ou de les supprimer plusieurs fois en sélectionnant chaque ligne puis en appuyant sur le bouton Delete) et de créer de nouveaux emplacements de réseau avec le bouton Create.

Pour créer un nouvel emplacement réseau, tapez le nom et appuyez à nouveau sur le bouton Create. Le processus d'édition est similaire mais utilise le bouton Update.


Si vous répétez un nom (sans tenir compte de la casse), cela sera dûment indiqué lors de la sauvegarde ou de la mise à jour d'un enregistrement.

Sites

Il permet de modifier les sites du réseau (en cliquant sur le nom, colonne Name), de les supprimer avec l'icône de la poubelle correspondante et de créer de nouveaux sites du réseau avec le bouton Create.

Pour créer un nouvel emplacement réseau, tapez le nom. Par défaut, le champ Parent ne sera pas sélectionné, ce qui indique qu'il s'agit d'un site racine. S'il s'agit d'un nœud, sélectionnez un site racine ou un autre nœud. Cliquez à nouveau sur le bouton Create pour enregistrer le nouveau site réseau. Le processus d'édition est similaire mais utilise le bouton Update.

Notez que la suppression d'un site racine ou d'un sous-nœud avec un ou plusieurs autres sous-nœuds brisera toute la chaîne liée.

Si vous répétez des noms (sans tenir compte des majuscules et des minuscules), vous serez invité à le faire lors de la sauvegarde ou de la mise à jour d'un enregistrement.

Vue des adresses

L’opération et l’administration des adresses de sous-réseau sont séparées en types de vues : vue d’édition et vue des icônes.

Avec cette vue, nous verrons les informations du sous-réseau, comprenant des statistiques du pourcentage et du nombre d’adresses utilisées (marquées comme administrées). De plus, vous pouvez exporter la liste au format Excel (CSV) que vous pourrez ouvrir avec n'importe quel tableur pour l'éditer.

Les adresses se présenteront sous forme d’icône dont vous pourrez choisir la taille : Petits (par défaut) et Grands.

Chaque adresse aura un grand icône (si l'adresse IP est réservée elle aura un fond bleu et sinon blanc) qui vous apportera des informations :

Administré
Configuration Host répond Host ne répond pas
Sin agente asignado
Evénements désactivés
Con agente asignado
Evénements désactivés
Sin agente asignado
Evénements activés
Con agente asignado
Événements activés
Sans administrer
Configuration Host répond Host ne répond pas
Indépendamment à la configuration, si l’host n’est pas administré seul, il sera différencié selon s’il répond ou non.

Chaque adresse aura dans la partie inférieure droite un lien pour l’éditer, si nous disposons de droits suffisants. De même, un petit icône se trouvera dans la partie inférieure gauche, indiquant le système d’exploitation associé. Dans le cas des adresses désactivées, l’icône du système d’exploitation se verra substitué par l’icône suivant :

Si nous cliquons sur l’icône principal, une fenêtre modale s’ouvrira avec toutes les informations sur l’IP, y compris l’agent et le système d’exploitation associés, la configuration et le suivi de la création, de l’édition par l’utilisateur ou du dernier test effectué par le serveur. Dans cette optique, vous pourrez également faire un ping à l’adresse en question.

Le ping se réalise depuis la machine où sera installée la console de Pandora FMS.

De plus, pour faciliter la gestion des IPs libres, vous disposez d’un bouton au-dessus de la prochaine adresse libre qui affichera une boîte de dialogue avec la prochaine IP libre afin de la réserver et/ou l’administrer.

Vue d’édition

Si les autorisations sont suffisantes, vous pourrez accéder à la vue d’édition, sur laquelle les IPs apparaîtront sous forme de liste. Vous pourrez filtrer pour ne montrer que les adresses souhaitées, faire des changements sur ces dernières et toutes les mettre à jour à la fois.

Quelques champs se remplissent automatiquement par le script de reconnaissances, comme le nom de l’host, de l’agent Pandora FMS associé et du système d’exploitation. Nous pouvons définir ces champs manuellement pour ainsi les éditer nous-même.

Changement entre manuel et automatique
Manuel Avec ce symbole, le champs ne se mettra pas à jour depuis le script de reconnaissance et nous pourrons l’éditer manuellement. En cliquant dessus, nous passerons en mode automatique.
Automatique Avec ce symbole, le champs se mettra à jour depuis le script de reconnaissance. En cliquant dessus, nous passerons en mode manuel.

Les champs marqués comme manuels ne seront pas mis à jour par le script de reconnaissance.

Les ’autres champs que nous pouvons modifier sont :

  • Activer les événements d’une adresse : Lorsque la disponibilité de ces adresses changera (cessera de répondre ou recommencera à répondre), ou que son nom changera, un événement se générera. Quand une adresse se crée la première fois, elle générera toujours un événement.
  • Marquer une adresse comme administrée : Ces adresses seront celles que nous reconnaîtrons comme assignées à notre réseau. Nous pourrons filtrer les IPs pour ne montrer que celles que nous avons marquées comme administrées.
  • Désactiver : Les IPs désactivée ne seront pas testées par le script de reconnaissance.
  • Commentaires : Un champ libre pour ajouter les commentaires que nous souhaitons à chaque adresse.

Filtres

De cette façon, elles pourront être rangées par IP, Hostname et en fonction du dernier test en date.

Il sera possible de filtrer par une chaîne libre qui cherchera des sous-chaînes dans l’IP, Hostname ou Commentaires. En activant le checkbox avec la zone de recherche, une recherche exacte par IP sera possible.

Par défaut, les hosts qui ne répondent pas ne sont pas montrés mais il est possible d’activer le paramètre afin de les rendre visibles.

Il est aussi possible de ne voir que les IPs que nous avons marqués comme administrés.

Vue Opérations massives

Il existe une option pour pouvoir gérer les IPs en masse, en aidant l’utilisateur à administrer de grands groupes d’IPs.

Calculatrice de sous-réseau

IPAM inclut un outil pour calculer des sous-réseaux IPV4 et IPv6.

Dans ledit outil, nous pourrons, depuis une adresse IP et le masque du réseau auquel il appartient, obtenir des informations dudit réseau.

  • Réseau (Adresse/Bitmask)
  • Masque de réseau
  • Le masque Wildcard
  • L’adresse du réseau
  • L’adresse de Broadcast
  • Première IP valide
  • Dernière IP valide
  • Nombre d’IPs sur le réseau

Ces champs sont donnés en format adresse (décimal pour IPv4 et hexadécimal pour IPv6) et en format binaire.

Création de tâches de reconnaissance / Discovery server

Le module IPAM utilise le système Net Scan de Discovery server. Les tâches de type IPAM que nous pouvons voir sur les Task List du Discovery sont créées par la tâche de reconnaissance d’IPAM et les tâches de reconnaissance ne doivent ni être créées ni effacées manuellement.

Pour plus d’informations sur comment réaliser une reconnaissance, consultez la section de Discovery.

Vlan IPAM

La vue d'administration des VLAN (réseau local privé virtuel ou Virtual LAN) vous permet de créer ou de mettre à jour des VLAN de manière simple. Pour créer un nouveau VLAN, un nom unique est obligatoire et une description est facultative.

Pour NG 758, 759 et 760 versions vous pouvez importer ces informations à partir de fichiers .csv (in order):

  • VLAN network, VLAN description

    À partir de la version NG 761, vous pouvez importer ces informations à partir de fichiers .csv (in order):

  • VLAN network, VLAN description, VLAN custom ID

Une fois créé, vous pourrez consulter la liste des VLAN créés, sur laquelle les informations suivantes sont présentées:

  • Name : Nom du VLAN.
  • Description : Description du VLAN.
  • Networks : Réseaux assignés au VLAN : dans le cas où aucun réseau n’est assigné, un message vous en informera.

Opérations :

Mettre à jour les données VLAN.

Eliminer VLAN : en cas de suppression d’un VLAN, un message de confirmation apparaîtra.

Statistiques : lien vers la vue statistique de VLAN.

Ajouter des réseaux au VLAN.

  • S’il existe des réseaux disponibles : Un sélecteur apparaîtra, semblable à celui présenté ci-après, sur lequel un ou plusieurs réseaux pourront être sélectionnés.

NOTE : Il est important de savoir qu’un réseau ne peut appartenir à deux VLAN différents.

A partir du sélecteur, un nouveau réseau pourra être créé pour l’ajouter à la liste, grâce à l’option de create network.

  • S’il n’existe pas de réseaux disponibles : Un message informatif apparaîtra.

Statistique IPAM Vlan

Pour obtenir les informations d’un VLAN, nous avons une vue qui montre ses statistiques.

  • Nom et description.
  • Données statistiques :
    • Total d’IPs disponibles.
    • Occupation et disponibilité d’IPs.
    • IPs gérées.
    • IPs réservées.

Par ailleurs, pour chacun des réseaux qui font partie du VLAN, les statistiques et informations suivantes seront indiquées :

  • Nom.
  • Intervalle du Recon
  • Emplacement
  • Description
  • Progrès du scan réseau

Ces statistiques pourront s’exporter vers Excel en sélectionnant le bouton de la partie supérieure :

Wizard IPAM Vlan

Cette vue nous permettra de créer facilement et rapidement un VLAN via SNMP.

Pour pouvoir réaliser la consultation SNMP, il est obligatoire de mettre l’adresse, la communauté et la version. Une fois ces champs remplis, une liste avec tous les VLAN disponibles pour cette adresse sera indiquée, détaillant les données suivantes :

  • Nom du VLAN. Lorsqu’il existe des interfaces non-assignées à un VLAN, le nom qu’il prend par défaut est ‘default’.
  • Interfaces.
  • Description.
  • Etat. Si l’état est ‘default’, ce champ apparaîtra vide. Si le VLAN n’est pas créé, une checkbox apparaîtra pour le sélectionner pour sa création future, en ajoutant comme description l’adresse et ses interfaces, comme dans l’exemple suivant :

IPAM Supernet

La vue d’administration de supernet nous permet de créer et de mettre à jour facilement un supernet.

Pour en créer un nouveau, il faut renseigner :

  • Supernet: Nom du supernet. Ce champ est obligatoire et doit être unique.
  • Address: Réseau : adresse et masque. Ces champs sont obligatoires.
  • Mask: Masque de net. Ces champs sont obligatoires.
  • Subneting Mask: Masque de subneting. Ce champ est facultatif.
  • Description. Facultatif.

À partir de la version NG 758, vous pouvez importer ces informations à partir de fichiers .csv (dans l'ordre):

  • name, description, address, mask, subnetting mask

Une fois créé, vous pourrez consulter à partir de la liste de sur-réseaux, où sont les informations suivantes :

  • Name: Nom du Supernet.
  • Address / Masks: Adresse et masque du Supernet.
  • Subneting Mask: Masque du Subneting.
  • Networks: Réseaux assignés au Supernet. Dans le cas où il n’y a pas de réseau assigné, un message l’indiquant apparaîtra.

Opérations :

Actualiser les données du Supernet.

Eliminer Supernet. En cas de supressions d’un supernet, un message de confirmation apparaîtra.

Statistiques : lien vers vue des statistiques de Supernet.

Ajouter des réseaux au Supernet.

  • S’il existe des réseaux disponibles : Un sélecteur apparaîtra, semblable à celui ci-après, sur lequel un ou plusieurs réseaux pourront être sélectionnés.

NOTE : il est importatn de savoir qu’un réseau ne peut appartenir à deux sur-réseaux différents.

Un nouveau réseau pourra être créé à partir du sélecteur grâce à l’option next network. Si un masque de subneting s’est ajouté, le réseau suivant disponible sera alors sélectionné par défaut.

  • S’il n’existe pas de réseaux disponibles : Un message informatif apparaîtra.

Statistiques IPAM Sur-réseau

Pour obtenir les informations d’un sur-réseau, nous avons une vue qui montre les statisitques.

  • Nom et description
  • Données statistiques :
    • Total d’IPs disponibles
    • Occupation et disponibilité des IPs
    • IPs gérées
    • IPs réservées

Par ailleurs, pour chacun des réseaux qui font partie du sur-réseau, les statistiques et informations suivantes sont présentées :

  • Nom
  • Intervalle du Recon.
  • Localisation.
  • Description.
  • Avancé du scan du réseau

Ces statistiques pourront s’exporter vers Excel en sélectionnant le bouton de la partie supérieure :

Carte Sur-réseau IPAM

Une carte avec tous les sur-réseaux créés sera affichée :

Les réseaux et sur-réseaux apparaîtront sous forme de noeuds. La différence entre les deux est que les sur-réseaux présente un contour plus épais.

A l’intérieur de chaque noeud, les informations suivantes seront renseignées :

  • Nom du réseau ou sur-réseau
  • Pourcentage d’occupation
  • Nombre d’IPs disponibles

Dans le Setup de Pandora FMS, dans la partie Enterprise, les seuils Critique et Avertissement pourront être configurés, en présentant les noeuds en rouge pour Critique et en orange pour Avertissement.

En cliquant sur un noeud, il nous montrera les statistiques :

Supernet treeview

L'arborescence des supergrilles montre toutes les supernets créées sous une forme graphique simplifiée. En cliquant sur l'icône correspondante, une fenêtre pop-up s'affiche avec des informations supplémentaires et la possibilité de modifier l'élément dans un autre onglet du navigateur web.

Surveillance de l’utilisation des réseaux IPAM

Le nouveau système d’IPAM permet la création de rapports, de graphiques, la création d’alertes, etc.

Pour cela, il faudra que “l’option surveillance”, sur le réseau que vous souhaitez surveiller, soit activée et qu’il soit affecté à un groupe.

Cela créera un agent dans Pandora FMS dont le nom sera IPAM_<nom du réseau>, dont les modules auront les informations suivantes :

  • Nº total d’IPs disponibles.
  • Nº total d’IPs libres (non assignées).
  • Nº total d’IPs occupées (assignées, réservées).
  • Nº total d’IPs réservées.
  • % d’IPs libres (libres/disponibles).

IPAM avec DHCP Server (Windows)

L’outil Pandora FMS IPAM DHCP fournit des modules de surveillance DHCP pour un serveur DHCP de MS Windows® et complète les informations présentées dans l’extension IPAM.

Dans un premier temps, une collection doit être créée dans la console de Pandora FMS. Par exemple, un nom abrégé et personnalisé “IPAM” peut être utilisé.

Dans un second temps, l’outil de l’agent IPAM est soumis à la collection et cette dernière se reconstruit.

Dans un troisième temps, la collection est attribuée à l’agent de Pandora FMS du serveur DHCP de Windows®.

Enfin, l’exécution est inscrite dans l’onglet Compléments, dans l’administration de l’agent de Pandora FMS:

%ProgramFiles%\pandora_agent\collections\ipam\ipam_agent_tool.exe

Après quelques instants, l’archive se transférera à l’agent et s’exécutera, en fournissant les modules suivants :

  • [réseau] utilisation de DHCP.
  • [réseau] DHCP IPs disponibles.
  • [réseau] DHCP IPs libres.
  • [réseau] DHCP IPs assignées.
  • [réseau] DHCP IPs réservées.

Les informations fournies dans l’extension IPAM ne sont pas écrasées si les adresses IPs de destination sont en état “ administré ”.

Retour à l'index de documentation du Pandora FMS