BỘ THÔNG TIN VÀ TRUYỀN THÔNG HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG TIỂU LUẬN MÔN HỌC QUẢN TRỊ MẠNG Quản trị mạng dựa trên chính sách và giải pháp Aruba ClearPass trong quản lý mạng không dây Giảng v[.]
BỘ THÔNG TIN VÀ TRUYỀN THÔNG HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THƠNG TIỂU LUẬN MƠN HỌC QUẢN TRỊ MẠNG Quản trị mạng dựa sách giải pháp Aruba ClearPass quản lý mạng không dây Giảng viên: Nhóm: Họ tên: Dương Thanh Tú Kiều Việt Long – B19DCVT231 Lê Tiến Đạt – B19DCVT079 Trần Hải Dương – B19DCVT071 Vũ Minh Quân – B19DCVT304 Hà Nội – 2023 Tiểu luận môn học “Quản trị mạng” MỤC LỤC DANH MỤC HÌNH ẢNH .3 I Tổng quan quản trị mạng dựa sách .4 1.1 Sự đời quản trị mạng dựa sách 1.2 Chính sách 1.2.1 Cấu trúc sách .5 1.2.2 Phân loại sách 1.3 Kiến trúc quản trị mạng dựa sách 1.3.1 Cơng cụ quản lý sách (Policy Management Tool) 1.3.2 Kho lưu trữ sách .10 1.3.3 Điểm định sách .11 1.3.4 Điểm thực thi sách 11 1.4 Ưu nhược điểm quản trị mạng dựa sách .12 1.4.1 Ưu điểm .12 1.4.2 Nhược điểm .13 II Giải pháp Aruba ClearPass quản lý mạng khơng dây 13 2.1 Mơ hình mạng không dây Aruba 13 2.1.1 Mơ hình Distributed – Standalone 14 2.1.2 Mơ hình Controller – Based .14 2.1.3 Mơ hình Cloud – Managed 15 2.2 Tổng quan Aruba ClearPass .16 2.2.1 Giới thiệu ClearPass 16 2.2.2 Các phương thức triển khai ClearPass 17 2.3 Các module Aruba ClearPass 18 2.3.1 ClearPass Policy Management 18 2.3.2 Aruba ClearPass Guest 19 2.3.3 Auruba ClearPass OnGuard 20 2.3.4 Auruba ClearPass Onboard 21 2.4 Triển khai Aruba ClearPass ESXi 23 Nhóm 3 Tiểu luận mơn học “Quản trị mạng” 2.4.1 Chuẩn bị 23 2.4.2 Các bước triển khai 24 III Kết luận: 30 TÀI LIỆU THAM KHẢO 31 Nhóm Tiểu luận mơn học “Quản trị mạng” DANH MỤC HÌNH ẢNH Hình 1.1: Mơ hình sách .5 Hình 1.2: Kiến trúc quản trị mạng dựa sách Hình 2.1: Các mơ hình mạng khơng dây Aruba .14 Hình 2.2: Mơ hình triển khai mạng khơng dây Aruba 16 Hình 2.3: Các module Aruba ClearPass 18 Hình 2.4: Sơ đồ mơ tả khả tự động kiểm tra tình trạng thiết bị 21 Hình 2.5: Quá trình đăng ký thiết bị vào mạng không dây 22 Hình 2.6: Ví dụ mơ hình triển khai OnBoard .23 Hình 2.7: Download Aruba ClearPass 24 Hình 2.8: Tạo máy ảo ClearPass ESXi 24 Hình 2.9: Đặt tên Import file ovf .25 Hình 2.10: Chọn nơi lưu trữ 25 Hình 2.11: Chọn card mạng 26 Hình 2.12: Khởi động máy ảo ClearPass 26 Hình 2.13: Yêu cầu phần cứng thiết bị .27 Hình 2.14: Đăng nhập vào ClearPass .27 Hình 2.15: Cấu hình thơng số cho ClearPass 28 Hình 2.16: Đăng nhập với mật .28 Hình 2.17: Sau đăng nhập thành công 29 Hình 2.18: Giao diện GUI ClearPass .29 Hình 2.19: Add license cho ClearPass 29 Nhóm Tiểu luận môn học “Quản trị mạng” I I.1 Tổng quan quản trị mạng dựa sách Sự đời quản trị mạng dựa sách Chính sách kết hợp quy tắc dịch vụ quy tắc xác định tiêu chí cho việc truy cập sử dụng tài nguyên Một sách xác định tập hợp quy tắc sách (policy rules) Mỗi quy tắc sách lại bao gồm tập hợp điều kiện tập hợp hành động tương ứng Các hệ thống dựa sách trở thành giải pháp đầy hứa hẹn để triển khai nhiều dạng hệ thống thích ứng, quy mơ lớn, tự động thay đổi hành vi chúng để đáp ứng với thay đổi môi trường để thay đổi yêu cầu ứng dụng Điều làm cách sửa đổi quy tắc sách cho thực thể phân tán phân tích mà khơng cần tái mã hóa dừng hệ thống Khả thích ứng động vấn đề quan trọng việc quản trị hệ thống máy tính ngày phức tạp Quản trị mạng dựa sách mơ hình quản trị mạng dựa sách, quy tắc để phân tách hệ thống thành chức khác biệt nhau, thuận tiện cho việc quản trị Mơ hình hứa hẹn giảm chi phí bảo trì hệ thống thông tin truyền thông cải thiện tính linh hoạt khả thích ứng thời gian chạy Hiện nay, mơ hình quản trị mạng dựa sách thực thi nhiều kiến trúc quản trị quản trị theo SLA, theo hướng kinh doanh, tự chủ, thích ứng tự quản trị Quản trị mạng dựa sách bắt đầu vào đầu năm 1990 nhiệm vụ quản trị tài nguyên công nghệ thông tin ngày trở nên phức tạp đòi hỏi nhà quản trị phải xem xét hệ thống mạng không đồng nhất, công nghệ mạng khác ứng dụng phân tán Trong quản trị mạng dựa sách, hệ thống quản trị có nhiệm vụ: Chuyển đổi thơng số kỹ thuật mà người đưa thành ngôn ngữ máy xác định quy tắc để quản lý chức trạng thái mạng Biên dịch qui tắc thành thơng số cấu hình hệ thống thiết bị Phân phối thực thi thơng số cấu hình thực thể quản lý Lợi ích quan trọng quản trị mạng dựa sách thúc đẩy việc tự động hóa cấu hình/ cài đặt cho đối tượng bị quản lý với số lượng lớn thiết bị hệ thống chủng loại Quản trị viên hệ thống tương tác với mạng thông qua sách quản trị Các sách độc lập với thiết bị thiết lập theo cách thân thiện với người điều hành Quản trị mạng dựa sách thích ứng nhanh chóng với thay đổi yêu cầu quản trị mạng thơng qua khả tái cấu hình hệ thống hoạt động (run-time reconfiguration) thay cấu trúc lại mơ-đun đối tượng để triển khai Nhóm Tiểu luận môn học “Quản trị mạng” Việc đưa sách khơng ảnh hưởng đến hoạt động mạng sách đưa khơng mâu thuẫn với sách có Đối với mạng lớn, qui tắc sách hoạt động thường xuyên phải thay đổi, quản lý mạng dựa sách cung cấp giải pháp biên dịch cập nhật động cho đối tượng quản lý lớp quản lý kinh doanh trực tiếp đến cấu hình mạng thực thi Tuy nhiên, điểm yếu quản trị mạng dựa sách cứng nhắc chức quản trị I.2 Chính sách I.2.1 Cấu trúc sách Về bản, sách bao gồm điều kiện hành động tương ứng Theo hướng dẫn IETF DMTF, khối xây dựng sách quy tắc sách (hoặc đơn giản quy tắc), câu lệnh khai báo đơn giản liên kết đối tượng sách với giá trị Ví dụ: quy tắc sách xác định điểm đến, chẳng hạn địa đích “Máy chủ bán hàng” xác định hành động, chẳng hạn đặt mức độ ưu tiên “gold” Quy tắc sách xác định điều kiện hành động Mỗi sách bao gồm nhiều điều kiện nhiều hành động, hình 1.1 Các điều kiện xác định thời điểm áp dụng quy tắc sách Hình 1.1: Mơ hình sách I.2.2 Phân loại sách I.2.2.1 Installation policies Chính sách Installation Policies quản trị mạng tập hợp quy tắc thiết lập để quản lý trình cài đặt phần mềm thiết bị mạng Các sách áp dụng để đảm bảo phần mềm cài đặt mạng đáp Nhóm Tiểu luận môn học “Quản trị mạng” ứng yêu cầu tổ chức, bao gồm đảm bảo tính bảo mật, khả tương thích hiệu suất hệ thống Một số sách Installation Policies phổ biến quản trị mạng bao gồm: Chính sách kiểm tra phần mềm: Điều đảm bảo tất phần mềm cài đặt mạng kiểm tra trước chúng triển khai hệ thống thực Chính sách cập nhật phần mềm: Điều đảm bảo tất phần mềm cài đặt mạng cập nhật định kỳ để đảm bảo tính bảo mật tương thích Chính sách quản lý giấy phép phần mềm: Điều đảm bảo tất phần mềm cài đặt mạng bảo vệ giấy phép phần mềm hợp lệ đủ điều kiện sử dụng Chính sách phân phối phần mềm: Điều đảm bảo việc cài đặt phần mềm mạng thực theo quy trình chuẩn kiểm sốt để đảm bảo tính thống an tồn Chính sách định cấu hình phần mềm: Điều đảm bảo thiết lập phần mềm mạng định cấu hình cách đáp ứng yêu cầu tổ chức I.2.2.2 Error and event policies Trong quản trị mạng, sách lỗi kiện (Error and Event Policies) quy định quy trình thiết lập để giám sát xử lý lỗi kiện mạng Chính sách giúp quản trị viên mạng đáp ứng nhanh chóng vấn đề liên quan đến lỗi cố mạng, đồng thời giúp giảm thiểu thiệt hại giữ cho hệ thống hoạt động cách bền vững Các sách lỗi kiện thường bao gồm yếu tố như: Các tiêu chuẩn xác định cách xác định lỗi kiện mạng Quy trình phản hồi cố, bao gồm việc xác định nguyên nhân, đánh giá mức độ nghiêm trọng, xác định bước khắc phục, giám sát trình khắc phục Các phương tiện giám sát cố, bao gồm việc sử dụng công cụ giám sát mạng, tệp nhật ký báo cáo để theo dõi cố Các tiêu chuẩn xác định cách thông báo cố cho bên liên quan Các quy trình kiểm tra định kỳ, bao gồm việc kiểm tra hệ thống để phát ngăn chặn lỗi cố Quy trình bảo trì, bao gồm việc định kỳ bảo trì hệ thống để giảm thiểu nguy phát sinh cố I.2.2.3 Security policies Trong quản trị mạng, sách bảo mật (Security Policies) quy định quy trình thiết lập để bảo vệ mạng liệu tổ chức khỏi mối đe dọa an Nhóm Tiểu luận mơn học “Quản trị mạng” ninh Chính sách bảo mật đóng vai trị quan trọng việc đảm bảo an toàn bảo mật cho mạng liệu tổ chức, đồng thời giúp ngăn chặn cơng, rị rỉ liệu vấn đề an ninh khác Các sách bảo mật thường bao gồm yếu tố như: Các tiêu chuẩn xác định biện pháp bảo mật cần triển khai, bao gồm phương pháp xác thực, mã hóa, kiểm sốt truy cập giám sát Các quy trình quy định liên quan đến quản lý tài khoản người dùng, bao gồm quản lý quyền truy cập phân quyền Các quy trình quy định quản lý bảo vệ liệu nhạy cảm, bao gồm biện pháp để ngăn chặn truy cập trái phép mát liệu Các quy định quản lý bảo vệ tài sản tổ chức, bao gồm việc giám sát bảo vệ tài sản vật lý, máy chủ, phần mềm dịch vụ trực tuyến Các quy trình để xử lý công, bao gồm việc xác định nguyên nhân phạm vi công, đánh giá mức độ nghiêm trọng, xác định biện pháp khắc phục phục hồi Các quy trình quy định để giám sát đánh giá hiệu biện pháp bảo mật, bao gồm việc định kỳ kiểm tra đánh giá hệ thống bảo mật I.2.2.4 Service polices Service policies quản trị mạng dựa sách sử dụng để quản lý kiểm soát dịch vụ mạng tổ chức Chính sách dịch vụ (service policies) cung cấp quy định hướng dẫn để quản lý dịch vụ mạng, bao gồm định nghĩa quy tắc, thông lệ phương thức cài đặt thi hành sách Các sách dịch vụ (service policies) sử dụng để xác định ưu tiên giới hạn băng thông ứng dụng dịch vụ mạng Service policies quản trị mạng dựa sách phương pháp quản lý kiểm soát dịch vụ mạng hiệu quả, giúp đảm bảo hoạt động ổn định đảm bảo chất lượng dịch vụ cho người dùng Chính sách dịch vụ cịn giúp cho tổ chức dễ dàng áp dụng quy định, sách tiêu chuẩn liên quan đến an ninh, quản lý phân phối tài nguyên mạng Chính sách Service policies quản trị mạng thường bao gồm yếu tố sau: Thơng tin dịch vụ mạng: Chính sách dịch vụ cung cấp thông tin dịch vụ mạng mà tổ chức sử dụng, bao gồm tên, miêu tả, địa IP, cổng thông số kỹ thuật khác Quy định an ninh: Chính sách dịch vụ đưa quy định an ninh để đảm bảo dịch vụ mạng bảo vệ khỏi mối đe dọa bảo mật, bao gồm quy tắc truy cập, xác thực, mã hóa giám sát Nhóm Tiểu luận môn học “Quản trị mạng” Điều kiện sử dụng dịch vụ: Chính sách dịch vụ đưa điều kiện sử dụng dịch vụ, bao gồm quy tắc quyền truy cập, giới hạn băng thông, thời gian sử dụng yêu cầu khác để đảm bảo tài nguyên mạng phân bổ cách hợp lý Quản lý tài nguyên mạng: Chính sách dịch vụ đưa quy định quản lý tài nguyên mạng, bao gồm quản lý băng thông, địa IP, thiết bị mạng tài nguyên khác Quản lý dịch vụ: Chính sách dịch vụ đưa quy định quản lý dịch vụ, bao gồm yêu cầu cấu hình, cài đặt quản lý dịch vụ mạng Quy định tiêu chuẩn: Chính sách dịch vụ đưa quy định tiêu chuẩn, bao gồm quy tắc định dạng, chuẩn hóa, chất lượng yêu cầu khác liên quan đến chất lượng dịch vụ Các tiêu chí đánh giá dịch vụ: Chính sách dịch vụ đưa tiêu chí đánh giá dịch vụ, bao gồm quy tắc độ trễ, băng thông, khả phục hồi yêu cầu khác liên quan đến chất lượng dịch vụ I.3 Kiến trúc quản trị mạng dựa sách Kiến trúc quản trị mạng dựa sách IETF đưa RFC 2904, bao gồm bốn thành phần chức hình 1.3, cụ thể: PMT (Policy Management Tool) – Cơng cụ quản lý sách; Kho lưu trữ sách; PDP (điểm định sách) PEP (điểm thực thi sách) Nhóm 10 Tiểu luận mơn học “Quản trị mạng” Kiểm soát truy cập: ClearPass cung cấp chế kiểm soát độc lập cho người dùng thiết bị, giúp nhận diện ngăn chặn xâm nhập không phép truy cập vào mạng Điều khiển độc lập: ClearPass giúp chấp nhận loại thiết bị khác mạng, dựa sách tổng thể Bên cạnh cịn giúp quản lý thiết bị cách trung tâm, đơn giản Phân tích báo cáo: ClearPass giúp tự động phát giải vấn đề liên quan đến bảo mật mạng Nó cung cấp báo cáo chi tiết vấn đề liên quan đến mạng, giúp người dùng dễ dàng theo dõi kiểm soát họ Dễ triển khai tích hợp: ClearPass cung cấp giao diện lập trình ứng dụng (API) để tích hợp với giải pháp khác, giúp dễ dàng việc đồng với ứng dụng khác Bảo mật mạng: ClearPass giúp ngăn chặn xâm nhập, công hoạt động độc hại mạng Điều giúp tăng cường bảo mật mạng giữ cho thiết bị bạn ln an tồn ClearPass giải pháp toàn diện đa cho việc quản lý truy cập vào mạng khơng dây Nó giúp doanh nghiệp quản lý mạng cách dễ dàng hiệu để đảm bảo người dùng truy cập vào tài nguyên hợp lệ II.2.2 Các phương thức triển khai ClearPass ClearPass Aruba cung cấp ba phương thức triển khai khác sau: On-premises deployment: Trong phương thức triển khai này, ClearPass đặt máy chủ doanh nghiệp khách hàng quản lý bảo trì trực tiếp nhân viên IT tổ chức On-premises sử dụng giải pháp giấy phép, nghĩa khách hàng phải mua giấy phép cho danh sách người dùng hợp lệ tổng thể quản lý giấy phép toàn khối lượng ClearPass as-a-Service: Trong phương thức này, ClearPass triển khai đám mây quản lý Aruba Khách hàng sử dụng giải pháp xây dựng mơ hình theo dõi, toán theo số người dùng sẵn sàng sử dụng để hỗ trợ yêu cầu điện tử đáp ứng Hybrid deployment: Kết hợp hai phương thức triển khai nêu để cung cấp cho người dùng lựa chọn tối ưu nhu cầu phù hợp với sách cơng ty u cầu doanh nghiệp khách hàng Trong phương thức triển khai này, ClearPass triển khai nhiều địa điểm khác nhau, bao gồm đám mây máy chủ khách hàng Các phương thức triển khai ClearPass cung cấp tính linh hoạt lựa chọn cho khách hàng doanh nghiệp việc triển khai hệ thống quản lý xác thực quản lý truy cập mạng cho tổ chức họ Khách hàng chọn phương thức triển khai phù hợp với yêu cầu cụ thể họ quản lý, chi phí độ tin cậy hệ thống Nhóm 19 Tiểu luận mơn học “Quản trị mạng” II.3 Các module Aruba ClearPass Aruba ClearPass có nhiều module khác để hỗ trợ quản lý bảo mật mạng, bao gồm: ClearPass Policy Management Aruba ClearPass Guest Auruba ClearPass OnGuard Auruba ClearPass Onboard Hình 2.3: Các module Aruba ClearPass II.3.1 ClearPass Policy Management ClearPass Policy Manager mơ-đun quản lý sách truy cập mạng ClearPass, cung cấp giải pháp tập trung để quản lý quyền truy cập mạng người dùng thiết bị Với Policy Manager, tổ chức xác định thực thi sách truy cập mạng cho loại người dùng thiết bị khác tồn mạng Policy Manager cung cấp số tính quản lý sách, bao gồm: Xác thực người dùng thiết bị: Policy Manager cho phép tổ chức xác thực người dùng thiết bị trước cho phép truy cập mạng Các phương thức xác thực bao gồm xác thực tài khoản AD, xác thực giấy chứng nhận số, xác thực chuỗi đăng nhập, xác thực mã thông báo, v.v Quản lý sách dựa người dùng thiết bị: Policy Manager cho phép tổ chức xác định sách truy cập mạng dựa người dùng thiết bị Nhóm 20