TÓM TẮT NỘI DUNG Bài toán quản trị mạng toán phức tạp đặc biệt với quan tổ chức lớn giới Làm để kiểm soát đến kết nối người dùng đến hệ thống mạng vấn đề đau đau với nhà quản trị mạng Nếu hệ thống mạng bạn có 10000 nghìn người sử dụng thường xuyên bạn làm cách để thực thi cấu hình đến 10000 nút mạng đó, công tác quản trị việc kiểm soát truy cập vào hệ thống 10000 người dùng khó khăn Ngày nay, mạng máy tính có thay đổi bản, từ trung tâm liệu (Data Center) riêng lẻ, đến việc kết hợp lại thành Cloud Computing, cung cấp dịch vụ, ứng dụng tập trung, … với mục đích cắt giảm chi phí, khả mở rộng đảm bảo tính linh hoạt Trước thách thức toán quản trị mạng yêu cầu cần phải có công cụ đảm bảo thực thi cấu hình quản trị giám sát hệ thống cách tự động Để làm việc bắt buộc phải xây dựng chế định danh thiết bị mạng hệ thống đặc biệt phải định danh cổng kết nối thiết bị mạng Nhờ quản trị cấu hình cổng mạng Trong khuôn khổ luận văn tìm hiểu tổng quan định danh toàn cục áp dụng cho toán quản trị mạng Từ xây dựng ứng dụng quản trị cho phép thực cấu hình quản trị thiết bị mạng hệ thống mạng MỤC LỤC TÓM TẮT NỘI DUNG MỤC LỤC PHỤ LỤC TỪ VIẾT TẮT DANH MỤC HÌNH VẼ DANH MỤC BẢNG BIỂU LỜI CẢM ƠN LỜI CAM ĐOAN LỜI NÓI ĐẦU 10 CHƯƠNG 1: QUẢN TRỊ TÀI NGUYÊN HỆ THỐNG MẠNG 12 1.1 Tổng quan Quản trị mạng 12 1.1.1 Quản trị mạng thách thức hệ thống công nghệ thông tin 12 1.1.2 Mô hình quản trị hệ thống mạng 14 1.1.3 Thực trạng thách thức Quản trị mạng 16 1.2 Xây dựng phương thức quản trị mạng 17 1.2.1 Tài nguyên hệ thống mạng 17 1.2.2 Phương thức quản trị tài nguyên hệ thống mạng 17 1.2.3 Port Security 23 1.2.4 Giải pháp giám sát truy cập 26 1.3 Tiểu kết chương 29 CHƯƠNG 2: HỆ THỐNG ĐỊNH DANH TOÀN CỤC 30 2.1 Cấu trúc hệ thống định danh 30 2.1.1 Không gian miền 30 2.1.2 Giải pháp miền 32 2.1.3 Định danh người dùng thiết bị mạng 33 2.2 Kiểm soát hệ thống mạng dựa định danh toàn cục 34 2.2.1 Phân loại thiết bị hệ thống mạng 37 2.2.2 Kiểm soát thiết bị hệ thống mạng 37 CHƯƠNG 3: ỨNG DỤNG QUẢN TRỊ MẠNG DỰA TRÊN ĐỊNH DANH TOÀN CỤC 41 3.1 Kiểm soát truy cập cổng mạng 41 3.2 Xây dựng hệ sở liệu cổng mạng thiết bị mạng 43 3.2.1 Hệ sở liệu thiết bị chuyển mạch 43 3.2.2 Hệ sở liệu cổng mạng 48 3.3 Mô tả ứng dụng 49 3.4 Tích hợp với thiết bị mạng 52 KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN CỦA ĐỀ TÀI 55 TÀI LIỆU THAM KHẢO 56 PHỤ LỤC TỪ VIẾT TẮT AAA Authentication Authorization Accounting DHCP Dynamic Host Configuration Protocol DNS Domain Name System EAP Extensible Authentication Protocol NAC Network Access Control Port Switch Cổng mạng Thiết bị chuyển mạch DANH MỤC HÌNH VẼ Hình Quản trị mạng hệ thống 13 Hình Mô hình ba lớp 15 Hình 3: Kiểm soát truy cập 19 Hình Cơ chế hoạt động 802.1x 20 Hình Cơ chế hoạt động Port security 21 Hình 6: Ví dụ Port Security 22 Hình Các thức hoạt động port security 23 Hình 8: Mô tả cách thức check hành vi vi phạm 24 Hình 9: Cơ chế kiểm soát truy cập vào hệ thống mạng chia sẻ doanh nghiệp 27 Hình 10 Cửa sổ thông báo PC người dùng không an toàn cần phải sửa chữa 28 Hình 11 Quá trình sửa chữa 29 Hình 12: Mô tả tổ chức không gian tên 32 Hình 13: Cơ chế định danh người dùng cổng mạng 33 Hình 14: Đề xuất giải pháp bảo mật Juniper 35 Hình 15: Mô tả mô hình lớp 36 Hình 16: Mô tả cách thức gán Mac người dùng vào hệ thống 38 Hình 17 Chặn kết nối người dùng truy cập trái phép 38 Hình 18 Hệ thống kiểm soát truy cập sử dụng mô hình client server 40 Hình 19: Mô hình hoạt động NAC 42 Hình 20: Mô hình xác thực kết hơp với ứng dụng quản trị 43 Hình 21: Thông tin người dùng 50 Hình 22: Thông tin thiết bị chuyển mạch 51 Hình 23: Cấp phát tài nguyên cho người dùng 51 Hình 24: Kiểm tra cấu hình trước đẩy lệnh vào thiết bị chuyển mạch 52 Hình 25: Theo dõi tác vụ cấu hình cấp phát tài nguyên 52 Hình 26: Cấu hình ứng dụng đẩy lên thiết bị chuyển mạch 53 DANH MỤC BẢNG BIỂU Bảng 1: Cấu hình Port Security Cisco 26 Bảng 2: Cấu hình kiểm tra Port Security Cisco 35 Bảng 3: Cấu hình Port Security Juniper 36 Bảng 4: Ví dụ thực tiễn cách đặt tên thiết bị chuyển mạch Tổng cục thuế 48 LỜI CẢM ƠN Lời đầu tiên, xin chân thành cảm ơn PGS.TS Hà Quốc Trung – giảng viên môn Truyền thông Mạng máy tính – quan tâm, tận tình giúp đỡ bảo, định hướng tạo điều kiện thuận lợi giúp hoàn thành luận văn Tôi xin cảm ơn thầy giáo, cô giáo trường Đại học Bách Khoa Hà Nội, Viện Đào tạo Sau đại học, đặc biệt thầy cô giáo Viện Công nghệ thông tin Truyền thông hết lòng dạy bảo, truyền đạt kiến thức kinh nghiệm cho suốt thời gian học tập bậc Cao học Cuối xin gửi lời cảm ơn sâu sắc tới gia đình người thân hết lòng ủng hộ, khích lệ tinh thần động viên vào lúc khó khăn để có thêm động lực hoàn thành luận văn LỜI CAM ĐOAN Tôi – Vũ Thanh Minh – xin cam đoan kết đạt luận văn sản phẩm nghiên cứu, tìm hiểu riêng cá nhân giảng viên hướng dẫn Trong toàn nội dung luận văn, điều trình bày cá nhân tổng hợp từ nhiều nguồn tài liệu Tất tài liệu tham khảo có xuất xứ rõ ràng trích dẫn hợp pháp Tôi xin hoàn toàn chịu trách nhiệm chịu hình thức kỷ luật theo quy định cho lời cam đoan Hà Nội, tháng 04 năm 2015 Tác giả Luận văn Thạc sỹ Vũ Thanh Minh LỜI NÓI ĐẦU Lý chọn đề tài Bài toán quản trị vận hành thiết bị mạng ngày cấp bách theo yêu cầu thực tế đề tài xây dựng với mong muốn đưa hệ quản trị thiết bị mạng hệ thống hợp nhằm đáp ứng yêu cầu cụ thể toán kiểm soát truy cập quan/tổ chức/doanh nghiệp Hệ thống công nghệ thông tin quan/tổ chức ngày mở rộng Việc kiểm soát vận hành hiệu yêu cầu tất yếu việc quản trị tập trung thành phần hệ thống công nghệ thông tin bắt buộc nhiên thực tế khách quan thành phần hệ thống thống chủng loại, tính phương thức vận hành Do đề tài xây dựng nhằm mục đích xây dựng hệ sở liệu cổng mạng Switch quản trị kiểm soát kết nối thành phần khác đến switch Các hãng sản xuất khác đưa công cụ quản trị khác dành cho thiết bị mạng Các phần mềm quản trị thông thường hay gặp vấn đề với việc tích hợp với hệ thống khác mà hãng không cung cấp Ngoài việc định danh chi tiết đến cổng kết nối mạng gần Chính lý chọn đề tài định danh toàn cục quản trị mạng với mục đích xây dựng ứng dụng phát triển sở lý thuyết định danh toàn cục để tháo gỡ vướng mắc công cụ quản trị mạng khác gặp phải Mục tiêu luận văn Qua phân tích, nhận thấy việc phát triển ứng dụng quản trị mạng dựa lý thuyết định danh toàn cục hoàn toàn hợp lý Do vây mục tiêu luận văn xây dựng ứng dụng cho phép:  Xây dựng hệ sở liệu quản trị cổng mạng Switch  Quản trị cấu hình cổng Switch dựa toán cụ thể kiểm soát truy cập hệ thống mạng Tóm tắt nội dung  Tìm hiểu định danh toàn cục  Đề xuất phương án đinh danh toàn cục toán quản trị mạng 10 Hình 19: Mô hình hoạt động NAC Mô hình hoạt động sau:  Authentication server: sử dụng giải pháp NPS Microsoft  Switch  Người dùng: kết nối đến hệ thống Switch  Ứng dụng đẩy lệnh thực việc đẩy phần lệnh tích hợp cổng mạng với 802.1x sau: Như người dùng để kết nối đến hệ thống bắt buộc phải thỏa mãn hai điều kiện:  Được định danh hệ thống Switch  Xác thực thành công với máy chủ xác thực hệ thống Mô hình kiểm soát truy cập qua cổng mạng xây dựng theo luồng hoạt động sau: 42 Hình 20: Mô hình xác thực kết hơp với ứng dụng quản trị Đối với mô hình xác thực người dùng xác thực qua 02 pha xác thực nêu Ưu điểm toán quản trị đảm bảo chế xác thực 02 bước hệ thống Port Switch thực cấu hình cách tự động giảm thiểu nguồn lực cho công tác quản trị mạng  Giám sát truy cập cổng mạng Bài toán giám sát hệ thống toán đau đầu công tác quản trị mạng đặc biệt hệ thống lớn Với việc liệu hóa thông tin người dùng cổng mạng ứng dụng cho phép thống kê thông tin tài nguyên cổng mạng cấp phát  Quản lý truy cập cổng mạng Bài toán quản lý vận hành giải nhờ vào việc tự động hóa công tác cấu hình cung cấp kết nối người dùng đến hệ thống Switch Các thông tin cấu hình xây dựng theo dạng mẫu cấu hình dành riêng cho sách khác Thông tin cấu hình chia thành 03 phần chính:  Cấu hình chung  Cấu hình Port Security  Cấu hình 802.1x 3.2 Xây dựng hệ sở liệu cổng mạng thiết bị mạng 3.2.1 Hệ sở liệu thiết bị chuyển mạch Trước tiên để quản lý khối lượng lớn thiết bị mạng điều bắt buộc phải xây dựng hệ thống quy tắc đặt tên cho toàn hệ thống Ngoài để việc kết nối quản trị nhanh gọn cần phải có chế phân giải tên DNS cho hệ thống Switch Điều quan trọng thông tin quản trị thiết bi Switch Do hệ sở liệu thiết bị chuyển mạch bắt buộc phải có thông tin:  Tên Switch  Ip Switch  Thông tin đăng nhập Switch 43 Về chế đặt tên cho Swith thông thường đặt theo quy tắc sau: [Vị trí] [Switch][Loại thiết bị][Tầng/phòng ban][Số thứ tự]  Vị trí thông thường đặt theo vị trí địa lý thiết bị HaNoi, DaNang,…  Loại thiết bị: vai trò thiết bị hệ thống Core, Distribute, Access  Tầng/Phòng ban tùy thuộc vào cấu đặt theo tầng phòng ban  Số thứ tự Ví dụ: HaNoi-Switch-Access-T9-09 Tuy nhiên tùy vào đặc thù hệ thống thiết bị mạng khác tùy biến thoogn tin trường khác nhau: Ví dụ cách đặt tên thiết bị Tổng cục thuế: STT Tên Thiết Bị IP HO-CORE-SW 10.1.123.1 HO-T6-DIST-01 10.1.123.2 HO-T6-DIST-02 10.1.123.3 HO-T7-DIST-01 10.1.123.4 HO-T7-DIST-02 10.1.123.5 HO-T1-DIST-01 10.1.123.6 HO-T1-DIST-02 10.1.123.7 SW-T6-DATA-01 10.1.123.11 SW-T6-DATA-02 10.1.123.12 SW-T6-DATA-03 10.1.123.13 44 SW-T6-DATA-04 10.1.123.14 SW-T6-DATA-05 10.1.123.15 SW-T6-DATA-06 10.1.123.16 SW-T6-DATA-07 10.1.123.17 SW-T6-DATA-08 10.1.123.18 SW-T6-DATA-09 10.1.123.19 10 SW-T6-DATA-10 10.1.123.20 11 SW-T6-DATA-11 10.1.123.21 12 SW-T6-DATA-12 10.1.123.22 13 SW-T6-DATA-13 10.1.123.23 14 SW-T6-DATA-14 10.1.123.24 15 SW-T6-DATA-15 10.1.123.25 16 SW-T6-DATA-16 10.1.123.26 17 SW-T6-DATA-17 10.1.123.27 SW-T6-VOICE-01 10.1.123.21 SW-T6-VOICE-02 10.1.123.22 SW-T6-VOICE-03 10.1.123.23 SW-T6-VOICE-04 10.1.123.24 SW-T6-VOICE-05 10.1.123.25 SW-T6-VOICE-06 10.1.123.26 SW-T6-VOICE-07 10.1.123.27 SW-T6-VOICE-08 10.1.123.28 SW-T6-VOICE-09 10.1.123.29 45 10 SW-T6-VOICE-10 10.1.123.30 11 SW-T6-VOICE-11 10.1.123.31 12 SW-T6-VOICE-12 10.1.123.32 13 SW-T6-VOICE-13 10.1.123.33 14 SW-T6-VOICE-14 10.1.123.34 15 SW-T6-VOICE-15 10.1.123.35 16 SW-T6-VOICE-16 10.1.123.36 17 SW-T6-VOICE-17 10.1.123.37 SW-T7-DATA-01 10.1.123.41 SW-T7-DATA-02 10.1.123.42 SW-T7-DATA-03 10.1.123.43 SW-T7-DATA-04 10.1.123.44 SW-T7-DATA-05 10.1.123.45 SW-T7-DATA-06 10.1.123.46 SW-T7-DATA-07 10.1.123.47 SW-T7-DATA-08 10.1.123.48 SW-T7-DATA-09 10.1.123.49 10 SW-T7-DATA-10 10.1.123.50 11 SW-T7-DATA-11 10.1.123.51 12 SW-T7-DATA-12 10.1.123.52 13 SW-T7-DATA-13 10.1.123.53 14 SW-T7-DATA-14 10.1.123.54 15 SW-T7-DATA-15 10.1.123.55 46 16 SW-T7-DATA-16 10.1.123.56 17 SW-T7-DATA-17 10.1.123.57 18 SW-T7-DATA-18 10.1.123.58 SW-T7-VOICE-01 10.1.123.71 SW-T7-VOICE-02 10.1.123.72 SW-T7-VOICE-03 10.1.123.73 SW-T7-VOICE-04 10.1.123.74 SW-T7-VOICE-05 10.1.123.75 SW-T7-VOICE-06 10.1.123.76 SW-T7-VOICE-07 10.1.123.77 SW-T7-VOICE-08 10.1.123.78 SW-T7-VOICE-09 10.1.123.79 10 SW-T7-VOICE-10 10.1.123.80 11 SW-T7-VOICE-11 10.1.123.81 12 SW-T7-VOICE-12 10.1.123.82 13 SW-T7-VOICE-13 10.1.123.83 14 SW-T7-VOICE-14 10.1.123.84 15 SW-T7-VOICE-15 10.1.123.85 16 SW-T7-VOICE-16 10.1.123.86 17 SW-T7-VOICE-17 10.1.123.87 SW-T1-DATA-01 10.1.123.101 SW-T1-DATA-02 10.1.123.102 47 SW-T1-DATA-03 10.1.123.103 SW-T1-DATA-04 10.1.123.104 SW-T1-DATA-05 10.1.123.105 SW-T1-DATA-06 10.1.123.106 SW-T1-DATA-07 10.1.123.107 SW-T1-DATA-08 10.1.123.108 SW-T1-DATA-09 10.1.123.109 SW-T1-VOICE-01 10.1.123.111 SW-T1-VOICE-02 10.1.123.112 SW-T1-VOICE-03 10.1.123.113 SW-T1-VOICE-04 10.1.123.114 SW-T1-VOICE-05 10.1.123.115 SW-T1-VOICE-06 10.1.123.116 SW-T1-VOICE-07 10.1.123.117 SW-T1-VOICE-08 10.1.123.118 Bảng 4: Ví dụ thực tiễn cách đặt tên thiết bị chuyển mạch Tổng cục thuế 3.2.2 Hệ sở liệu cổng mạng Để quản trị thông tin cấu hình cổng mạng điều cần thiết phải xây dựng hệ thống sở liệu cổng mạng Thông tin cổng mạng tạo trình khai báo thông tin người dùng Như hệ sở dự liệu cổng mạng đáp ứng tiêu chí quản trị:  Vận hành: Hỗ trợ ứng dụng đẩy thông tin cấu hình xuống cổng mạng Switch  Giám sát: kiểm soát số cổng mạng cấp cho người dùng 48 3.3 Mô tả ứng dụng Ứng dụng phát triển tảng PHP bao gồm thành phần sau:  Hệ sở liệu thiết bị chuyển mạch(xây dựng MSQL)  Hệ sở liệu người dùng(xây dựng MSQL)  Ứng dụng quản trị thiết bị chuyển mạch Cơ chế hoạt động ứng dụng:  Khai báo thông tin người sử dụng Name: Tên người dùng Username: Tên định danh người dùng hệ thống Location: Vị trí người dùng Ví dụ: Hà Nội, Hồ Chí Minh 49 Department: Phòng, ban, khối người dùng Hình 21: Thông tin người dùng  Khai báo thông tin thiết bị mạng Name: Tên thiết bị chuyển mạch IP: Địa IP quản trị thiết bị MAC: Địa MAC thiết bị Username: Thông tin user quản trị thiết bị Password: Thông tin mật thiết bị Location: Vị trí thiết bị chuyển mạch Ví dụ: Hà Nội, Hồ Chí Minh Department: Phòng, ban, khối kết nối đến thiết bị 50 Hình 22: Thông tin thiết bị chuyển mạch  Cấp phát tài nguyên cho người dùng Port: Cổng mạng cung cấp cho người dùng MAC of Client: Địa MAC người dùng Employee: Người dùng Device: Thiết bị chuyển mạch mà người dùng kết nối đến Hình 23: Cấp phát tài nguyên cho người dùng  Cơ chế điều khiển Switch Sau cấp phát tài nguyên cho người dùng, quản trị hệ thống thực đưa cấu hình lên thiết bị chuyển mạch thông qua chế telnet 51 Hình 24: Kiểm tra cấu hình trước đẩy lệnh vào thiết bị chuyển mạch  Kiểm soát tác vụ điểu khiển Ứng dụng hỗ trợ việc theo dõi việc cấp phát tài nguyên thông qua chế lưu vết cấu hình Quản trị viên kiểm soát tác vụ thông qua giao diện Job Hình 25: Theo dõi tác vụ cấu hình cấp phát tài nguyên 3.4 Tích hợp với thiết bị mạng Phương thức tích hợp với thiết bị mạng đơn giản Ứng dụng sử dụng chế telnet đến thiết bị Switch cách sử dụng thông tin Switch hệ sở liệu thiết bị mạng Cấu hình điều khiển thực theo chế: 52 Hình 26: Cấu hình ứng dụng đẩy lên thiết bị chuyển mạch Thông tin cấu sau: Thông tin cấu hình qua telnet Cấu hình Port Security switchport mode {access | trunk} switchport port-security switchport port-security violation {protect | restrict | shutdown} switchport port-security mac-address [sticky] mac_address [vlan vlan_ID] Cấu hình 802.1x authentication port-control auto authentication periodic authentication timer reauthenticate 14400 dot1x pae authenticator 53 dot1x timeout quiet-period 30 54 KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN CỦA ĐỀ TÀI Kết luận văn: Xây dựng hệ thống quản trị mạng áp dụng cụ thể cho toán kiểm soát vận hành tài nguyên port mạng hệ thống Hướng phát triển dựa định danh toàn cục hoàn toàn hữu dụng toán quản trị mạng Tìm hiểu xây dựng hệ định danh thiết bị cổng mạng phục vụ cho toán quản trị mạng Xây dựng ứng dụng điều khiển cấu hình hệ thống mạng triển khai sách quản lý sở liệu cổng mạng cung cấp tài nguyên cổng mạng cho người sử dụng Hạn chế luận văn: Công cụ tìm kiếm chưa hoàn thiện Chưa tích hợp với nhiều hãng cung cấp phần cứng Cơ chế kiểm soát hoạt động nhiều hạn chế đặc biệt chế xây dựng mẫu cấu hình chưa bao quát hết yêu cầu cấu hình cho thiết bị mạng Hướng phát triển luận văn Xây dựng hệ thống giám sát hoạt động chi tiết dựa phân tích log hoạt động thiết bị mạng Phát triển tùy biến cho phép dễ dàng xây dựng phương án cấu hình hệ thống khác Mở rộng số lượng chủng loại thiết bị mạng quản trị Phát triển thêm phần tích hợp với 802.1x để chủ động điều khiển thiết bị mạng ứng dụng kiểm soát truy cập 55 TÀI LIỆU THAM KHẢO Andrew S.Tanenbaum, Maarten Van Steen 2nd edition (2007), Distributed Systems Principles and Paradigms Bartosz Porebski, Karol Przystalski, Leszek Nowak (2011), Building PHP Applications with Symfony, Cake PHP, and Zrnd Framework Gyland, Tom Myren.(2013), Implementation of IEEE 802.1x in wired networks Cisco Port Security http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst6500/ios/122SX/configuration/guide/book/port_sec.html Juniper Port Security http://www.juniper.net/techpubs/en_US/junos11.4/topics/example/port-securityconfiguring.html Cisco Nac http://www.cisco.com/c/en/us/products/collateral/security/nac-appliance-cleanaccess/product_data_sheet0900aecd802da1b5.html 56 ... Ngoài việc định danh chi tiết đến cổng kết nối mạng gần Chính lý chọn đề tài định danh toàn cục quản trị mạng với mục đích xây dựng ứng dụng phát triển sở lý thuyết định danh toàn cục để tháo... chọn lọc dựa ưu điểm yếu tố, chi tiết nhỏ Ðể giải vấn đề trên, luận văn trình bày: “GIẢI PHÁP ĐỊNH DANH TOÀN CỤC TRONG QUẢN TRỊ MẠNG” 1.1.2 Mô hình quản trị hệ thống mạng Ngày đa phần hệ thống mạng.. . liệu quản trị cổng mạng Switch  Quản trị cấu hình cổng Switch dựa toán cụ thể kiểm soát truy cập hệ thống mạng Tóm tắt nội dung  Tìm hiểu định danh toàn cục  Đề xuất phương án đinh danh toàn cục