Sự ra đời của quản trị mạng dựa trên chính sách Chính sách là sự kết hợp của các quy tắc và dịch vụ trong đó các quy tắc xác định các tiêu chí cho việc truy cập và sử dụng tài nguyên..
Trang 1HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
TIỂU LUẬN MÔN HỌC QUẢN TRỊ MẠNG
Quản trị mạng dựa trên chính sách và giải pháp Aruba
ClearPass trong quản lý mạng không dây
Vũ Minh Quân – B19DCVT304
Trang 3MỤC LỤC
DANH MỤC HÌNH ẢNH 3
I Tổng quan về quản trị mạng dựa trên chính sách 4
1.1 Sự ra đời của quản trị mạng dựa trên chính sách 4
1.2 Chính sách 5
1.2.1 Cấu trúc của chính sách 5
1.2.2 Phân loại chính sách 5
1.3 Kiến trúc của quản trị mạng dựa trên chính sách 8
1.3.1 Công cụ quản lý chính sách (Policy Management Tool) 9
1.3.2 Kho lưu trữ chính sách 10
1.3.3 Điểm quyết định chính sách 11
1.3.4 Điểm thực thi chính sách 11
1.4 Ưu nhược điểm của quản trị mạng dựa trên chính sách 12
1.4.1 Ưu điểm 12
1.4.2 Nhược điểm 13
II Giải pháp Aruba ClearPass trong quản lý mạng không dây 13
2.1 Mô hình mạng không dây Aruba 13
2.1.1 Mô hình Distributed – Standalone 14
2.1.2 Mô hình Controller – Based 14
2.1.3 Mô hình Cloud – Managed 15
2.2 Tổng quan về Aruba ClearPass 16
2.2.1 Giới thiệu về ClearPass 16
2.2.2 Các phương thức triển khai ClearPass 17
2.3 Các module của Aruba ClearPass 18
2.3.1 ClearPass Policy Management 18
2.3.2 Aruba ClearPass Guest 19
2.3.3 Auruba ClearPass OnGuard 20
2.3.4 Auruba ClearPass Onboard 21
Trang 42.4.1 Chuẩn bị 23
2.4.2 Các bước triển khai 24
III Kết luận: 30
TÀI LIỆU THAM KHẢO 31
Trang 5DANH MỤC HÌNH ẢNH
Hình 1.1: Mô hình của một chính sách 5
Hình 1.2: Kiến trúc của quản trị mạng dựa trên chính sách 9
Hình 2.1: Các mô hình mạng không dây của Aruba 14
Hình 2.2: Mô hình triển khai mạng không dây Aruba 16
Hình 2.3: Các module của Aruba ClearPass 18
Hình 2.4: Sơ đồ mô tả khả năng tự động kiểm tra tình trạng thiết bị 21
Hình 2.5: Quá trình đăng ký thiết bị vào một mạng không dây 22
Hình 2.6: Ví dụ về một mô hình triển khai OnBoard 23
Hình 2.7: Download Aruba ClearPass 24
Hình 2.8: Tạo máy ảo ClearPass trên ESXi 24
Hình 2.9: Đặt tên và Import file ovf 25
Hình 2.10: Chọn nơi lưu trữ 25
Hình 2.11: Chọn card mạng 26
Hình 2.12: Khởi động máy ảo ClearPass 26
Hình 2.13: Yêu cầu phần cứng của thiết bị 27
Hình 2.14: Đăng nhập vào ClearPass 27
Hình 2.15: Cấu hình các thông số cơ bản cho ClearPass 28
Hình 2.16: Đăng nhập với mật khẩu mới 28
Hình 2.17: Sau khi đăng nhập thành công 29
Hình 2.18: Giao diện GUI của ClearPass 29
Hình 2.19: Add license cho ClearPass 29
Trang 6I Tổng quan về quản trị mạng dựa trên chính sách
I.1 Sự ra đời của quản trị mạng dựa trên chính sách
Chính sách là sự kết hợp của các quy tắc và dịch vụ trong đó các quy tắc xác định các tiêu chí cho việc truy cập và sử dụng tài nguyên Một chính sách được xác định bởi một tập hợp các quy tắc chính sách (policy rules) Mỗi quy tắc chính sách lại bao gồm một tập hợp các điều kiện và một tập hợp các hành động tương ứng
Các hệ thống dựa trên chính sách đã trở thành giải pháp đầy hứa hẹn để triển khai nhiều dạng hệ thống thích ứng, quy mô lớn, có thể tự động thay đổi hành vi của chúng để đáp ứng với những thay đổi của môi trường hoặc để thay đổi các yêu cầu ứng dụng Điều này có thể làm được bằng cách sửa đổi các quy tắc chính sách cho các thực thể phân tán phân tích mà không cần tái mã hóa hoặc dừng hệ thống Khả năng thích ứng động như vậy là vấn đề quan trọng cơ bản trong việc quản trị các hệ thống máy tính ngày càng phức tạp
Quản trị mạng dựa trên chính sách là mô hình quản trị mạng dựa trên các chính sách, các quy tắc để phân tách hệ thống thành những chức năng khác biệt nhau, thuận tiệncho việc quản trị Mô hình này hứa hẹn sẽ giảm chi phí bảo trì hệ thống thông tin và truyền thông trong khi cải thiện tính linh hoạt và khả năng thích ứng thời gian chạy Hiện nay, mô hình quản trị mạng dựa trên chính sách được thực thi trong khá nhiều kiến trúc quản trị như quản trị theo SLA, theo hướng kinh doanh, tự chủ, thích ứng và tự quản trị
Quản trị mạng dựa trên chính sách bắt đầu vào đầu những năm 1990 khi nhiệm vụ quản trị tài nguyên công nghệ thông tin ngày càng trở nên phức tạp đòi hỏi các nhà quản trị phải xem xét các hệ thống mạng không đồng nhất, các công nghệ mạng khác nhau và các ứng dụng phân tán Trong quản trị mạng dựa trên chính sách, hệ thống quản trị có nhiệm vụ:
Chuyển đổi các thông số kỹ thuật mà con người đưa ra thành ngôn ngữ máy và xácđịnh các quy tắc để quản lý chức năng và trạng thái của mạng
Biên dịch các qui tắc đó thành các thông số cấu hình của hệ thống và thiết bị
Phân phối và thực thi các thông số cấu hình này bởi các thực thể quản lý
Lợi ích quan trọng nhất của quản trị mạng dựa trên chính sách là nó thúc đẩy việc tự động hóa cấu hình/ cài đặt cho các đối tượng bị quản lý với số lượng lớn về thiết bị hệ thống cũng như chủng loại Quản trị viên hệ thống sẽ tương tác với các mạng thông qua các chính sách quản trị Các chính sách này độc lập với thiết bị và được thiết lập theo cách thân thiện với người điều hành
Quản trị mạng dựa trên chính sách có thể thích ứng nhanh chóng với những thay đổi trong yêu cầu quản trị mạng thông qua khả năng tái cấu hình khi hệ thống đang hoạt động(run-time reconfiguration) thay vì cấu trúc lại các mô-đun đối tượng mới để triển khai
Trang 7Việc đưa ra các chính sách mới sẽ không ảnh hưởng đến hoạt động của mạng các chính sách mới đưa ra đó không mâu thuẫn với các chính sách hiện có.
Đối với các mạng lớn, các qui tắc chính sách hoạt động thường xuyên phải thay đổi, quản lý mạng dựa trên chính sách cung cấp giải pháp biên dịch và cập nhật động cho đối tượng quản lý ở lớp quản lý kinh doanh trực tiếp đến các cấu hình mạng thực thi Tuy nhiên, một trong những điểm yếu chính trong quản trị mạng dựa trên chính sách là sự cứng nhắc trong chức năng quản trị
I.2 Chính sách
I.2.1 Cấu trúc của chính sách
Về cơ bản, chính sách bao gồm các điều kiện và hành động tương ứng Theo hướng dẫn của IETF và DMTF, khối xây dựng cơ bản của một chính sách là một quy tắc chính sách (hoặc đơn giản là quy tắc), là một câu lệnh khai báo đơn giản liên kết một đối tượng chính sách với một giá trị Ví dụ: một quy tắc chính sách có thể xác định một điểmđến, chẳng hạn như địa chỉ đích là một “Máy chủ bán hàng” hoặc nó có thể xác định một hành động, chẳng hạn như đặt mức độ ưu tiên “gold” Quy tắc chính sách xác định điều kiện hoặc hành động Mỗi chính sách bao gồm một hoặc nhiều điều kiện và một hoặc nhiều hành động, như trong hình 1.1 Các điều kiện xác định thời điểm áp dụng quy tắc chính sách
Hình 1.1: Mô hình của một chính sách.
I.2.2 Phân loại chính sách
I.2.2.1 Installation policies
Chính sách Installation Policies trong quản trị mạng là một tập hợp các quy tắc được thiết lập để quản lý quá trình cài đặt phần mềm trên các thiết bị mạng Các chính sách này có thể được áp dụng để đảm bảo rằng các phần mềm được cài đặt trên mạng đáp
Trang 8ứng các yêu cầu của tổ chức, bao gồm đảm bảo tính bảo mật, khả năng tương thích và hiệu suất của hệ thống.
Một số chính sách Installation Policies phổ biến trong quản trị mạng bao gồm:
Chính sách kiểm tra phần mềm: Điều này đảm bảo rằng tất cả các phần mềm đượccài đặt trên mạng được kiểm tra trước khi chúng được triển khai trên hệ thống thực
Chính sách cập nhật phần mềm: Điều này đảm bảo rằng tất cả các phần mềm đượccài đặt trên mạng được cập nhật định kỳ để đảm bảo tính bảo mật và tương thích
Chính sách quản lý giấy phép phần mềm: Điều này đảm bảo rằng tất cả các phần mềm được cài đặt trên mạng đều được bảo vệ bởi giấy phép phần mềm hợp lệ và
đủ điều kiện sử dụng
Chính sách phân phối phần mềm: Điều này đảm bảo rằng việc cài đặt phần mềm trên mạng được thực hiện theo quy trình chuẩn và được kiểm soát để đảm bảo tínhthống nhất và an toàn
Chính sách định cấu hình phần mềm: Điều này đảm bảo rằng các thiết lập phần mềm trên mạng được định cấu hình đúng cách và đáp ứng các yêu cầu của tổ chức
I.2.2.2 Error and event policies
Trong quản trị mạng, chính sách lỗi và sự kiện (Error and Event Policies) là các quy định và quy trình được thiết lập để giám sát và xử lý các lỗi và sự kiện trong mạng Chính sách này giúp quản trị viên mạng có thể đáp ứng nhanh chóng các vấn đề liên quanđến lỗi và sự cố trong mạng, đồng thời giúp giảm thiểu thiệt hại và giữ cho hệ thống hoạt động một cách bền vững
Các chính sách lỗi và sự kiện thường bao gồm các yếu tố như:
Các tiêu chuẩn xác định cách xác định lỗi và sự kiện trong mạng
Quy trình phản hồi sự cố, bao gồm việc xác định nguyên nhân, đánh giá mức độ nghiêm trọng, xác định các bước khắc phục, và giám sát quá trình khắc phục
Các phương tiện giám sát sự cố, bao gồm việc sử dụng các công cụ giám sát mạng,các tệp nhật ký và các bản báo cáo để theo dõi các sự cố
Các tiêu chuẩn xác định cách thông báo sự cố cho các bên liên quan
Các quy trình kiểm tra định kỳ, bao gồm việc kiểm tra hệ thống để phát hiện và ngăn chặn các lỗi và sự cố
Quy trình bảo trì, bao gồm việc định kỳ bảo trì hệ thống để giảm thiểu nguy cơ phát sinh sự cố
I.2.2.3 Security policies
Trong quản trị mạng, chính sách bảo mật (Security Policies) là các quy định và quy trình được thiết lập để bảo vệ mạng và dữ liệu của tổ chức khỏi các mối đe dọa an
Trang 9ninh Chính sách bảo mật đóng vai trò quan trọng trong việc đảm bảo an toàn và bảo mật cho mạng và dữ liệu của tổ chức, đồng thời giúp ngăn chặn các cuộc tấn công, rò rỉ dữ liệu và các vấn đề an ninh khác.
Các chính sách bảo mật thường bao gồm các yếu tố như:
Các tiêu chuẩn xác định các biện pháp bảo mật cần được triển khai, bao gồm các phương pháp xác thực, mã hóa, kiểm soát truy cập và giám sát
Các quy trình và quy định liên quan đến quản lý tài khoản người dùng, bao gồm quản lý quyền truy cập và phân quyền
Các quy trình và quy định về quản lý và bảo vệ dữ liệu nhạy cảm, bao gồm các biện pháp để ngăn chặn sự truy cập trái phép hoặc mất mát dữ liệu
Các quy định về quản lý và bảo vệ các tài sản của tổ chức, bao gồm việc giám sát
và bảo vệ tài sản vật lý, máy chủ, phần mềm và dịch vụ trực tuyến
Các quy trình để xử lý các cuộc tấn công, bao gồm việc xác định nguyên nhân và phạm vi của cuộc tấn công, đánh giá mức độ nghiêm trọng, xác định các biện phápkhắc phục và phục hồi
Các quy trình và quy định để giám sát và đánh giá hiệu quả của các biện pháp bảo mật, bao gồm việc định kỳ kiểm tra và đánh giá hệ thống bảo mật
I.2.2.4 Service polices
Service policies trong quản trị mạng dựa trên chính sách được sử dụng để quản lý
và kiểm soát các dịch vụ mạng trong một tổ chức Chính sách dịch vụ (service policies) cung cấp các quy định và hướng dẫn để quản lý dịch vụ mạng, bao gồm định nghĩa các quy tắc, thông lệ và phương thức cài đặt và thi hành các chính sách đó Các chính sách dịch vụ (service policies) cũng có thể được sử dụng để xác định các ưu tiên và giới hạn băng thông của các ứng dụng và dịch vụ mạng
Service policies trong quản trị mạng dựa trên chính sách là một phương pháp quản
lý và kiểm soát dịch vụ mạng hiệu quả, giúp đảm bảo sự hoạt động ổn định và đảm bảo chất lượng dịch vụ cho người dùng Chính sách dịch vụ còn giúp cho các tổ chức có thể
dễ dàng áp dụng các quy định, chính sách và tiêu chuẩn liên quan đến an ninh, quản lý vàphân phối tài nguyên mạng
Chính sách Service policies trong quản trị mạng thường bao gồm các yếu tố sau:
Thông tin về các dịch vụ mạng: Chính sách dịch vụ sẽ cung cấp các thông tin về các dịch vụ mạng mà tổ chức đang sử dụng, bao gồm tên, miêu tả, địa chỉ IP, cổng
và các thông số kỹ thuật khác
Quy định về an ninh: Chính sách dịch vụ sẽ đưa ra các quy định về an ninh để đảmbảo rằng dịch vụ mạng được bảo vệ khỏi các mối đe dọa bảo mật, bao gồm các quy tắc về truy cập, xác thực, mã hóa và giám sát
Trang 10 Điều kiện sử dụng dịch vụ: Chính sách dịch vụ sẽ đưa ra các điều kiện sử dụng dịch vụ, bao gồm các quy tắc về quyền truy cập, giới hạn băng thông, thời gian sử dụng và các yêu cầu khác để đảm bảo rằng tài nguyên mạng được phân bổ một cách hợp lý.
Quản lý tài nguyên mạng: Chính sách dịch vụ sẽ đưa ra các quy định về quản lý tàinguyên mạng, bao gồm quản lý băng thông, địa chỉ IP, thiết bị mạng và các tài nguyên khác
Quản lý dịch vụ: Chính sách dịch vụ sẽ đưa ra các quy định về quản lý dịch vụ, bao gồm các yêu cầu về cấu hình, cài đặt và quản lý các dịch vụ mạng
Quy định về tiêu chuẩn: Chính sách dịch vụ sẽ đưa ra các quy định về tiêu chuẩn, bao gồm các quy tắc về định dạng, chuẩn hóa, chất lượng và các yêu cầu khác liên quan đến chất lượng dịch vụ
Các tiêu chí đánh giá dịch vụ: Chính sách dịch vụ sẽ đưa ra các tiêu chí đánh giá dịch vụ, bao gồm các quy tắc về độ trễ, băng thông, khả năng phục hồi và các yêu cầu khác liên quan đến chất lượng dịch vụ
I.3 Kiến trúc của quản trị mạng dựa trên chính sách
Kiến trúc quản trị mạng dựa trên chính sách được IETF đưa ra trong RFC 2904, bao gồm bốn thành phần chức năng cơ bản như được chỉ ra trong hình 1.3, cụ thể: PMT (Policy Management Tool) – Công cụ quản lý chính sách; Kho lưu trữ chính sách; PDP (điểm quyết định chính sách) và PEP (điểm thực thi chính sách)
Trang 11Hình 1.2: Kiến trúc của quản trị mạng dựa trên chính sách.
Trong phần lớn các hệ thống quản trị mạng, công cụ quản lý chính sách, kho lưu trữ chính sách và điểm quyết định chính sách được kết hợp với nhau và có thể được lưu trữ trên cùng một thiết bị vật lý Việc truyền thông giữa các thành phần của hệ thống quảntrị mạng dựa trên chính sách được thực hiện thông qua các giao thức như SNMP, HTTP, LDAP (Lightweight Directory Access Protocol) giao thức truy nhập thư mục có tải trọng nhẹ, COPS (Common Open Policy Protocol) giao thức chính sách mở thông dụng hay trực tiếp qua giao diện dòng lệnh CLI
I.3.1 Công cụ quản lý chính sách (Policy Management Tool)
Là máy chủ hoặc máy trạm lưu trữ các phần mềm quản lý thực hiện các chức năng sau:
Chỉnh sửa chính sách
Trình bầy chính sách
Biên dịch qui tắc
Làm cho qui tắc có hiệu lực (chuẩn nhận qui tắc)
Giải quyết xung đột toàn cầu
Trang 12Bên cạnh đó, PMT còn được tham chiếu bởi PAP (Policy Administration Point - Điểm quản lý chính sách), Điểm quản lý các chính sách nhận thực truy nhập.
Trong quản trị mạng, công cụ quản lý chính sách là một phần quan trọng trong việc thiết lập và thực thi các chính sách bảo mật và quản lý truy cập cho hệ thống mạng Công
cụ này giúp quản trị viên mạng thiết lập và thực hiện các chính sách an ninh mạng, quản
lý các quyền truy cập và phân quyền cho người dùng và thiết bị trên mạng
Một số công cụ quản lý chính sách phổ biến bao gồm:
Microsoft Group Policy: Đây là một công cụ quản lý chính sách được tích hợp trong hệ điều hành Windows Nó cho phép quản trị viên thiết lập và thực thi các chính sách an ninh mạng và quản lý các quyền truy cập cho người dùng và thiết bị trên mạng
Cisco Identity Services Engine (ISE): Đây là một công cụ quản lý chính sách mạng được phát triển bởi Cisco Nó cho phép quản trị viên thiết lập và thực hiện các chính sách an ninh mạng, phân quyền truy cập cho người dùng và thiết bị trên mạng, và giám sát các hoạt động trên mạng
Fortinet FortiGate: Đây là một bộ định tuyến và tường lửa mạng tích hợp, cung cấp chức năng quản lý chính sách mạng Nó cho phép quản trị viên thiết lập và thực hiện các chính sách an ninh mạng, phân quyền truy cập cho người dùng và thiết bị trên mạng, và giám sát các hoạt động trên mạng
F5 BIG-IP Access Policy Manager (APM): Đây là một ứng dụng quản lý chính sách mạng được cung cấp bởi F5 Networks Nó cho phép quản trị viên thiết lập và thực hiện các chính sách an ninh mạng, phân quyền truy cập cho người dùng và thiết bị trên mạng, và giám sát các hoạt động trên mạng
Những công cụ trên đây đều cho phép quản trị viên thiết lập và thực hiện các chính sách an ninh mạng, phân quyền truy cập cho người dùng và thiết bị trên mạng, và giám sát các hoạt động trên mạng, tùy thuộc vào nhu cầu và mục đích sử dụng của tổ chức
I.3.2 Kho lưu trữ chính sách
Kho lưu trữ thông tin chính sách: là một kho dữ liệu về thông tin chính sách Kho
dữ liệu này có thể dành riêng cho ứng dụng, dành riêng cho hệ điều hành hoặc kho lưu trữ chung của doanh nghiệp Kho thông tin chính sách bao gồm các nhiệm vụ sau:
Lưu thông tin chính sách
Tìm kiếm thông tin chính sách
Lấy lại thông tin chính sách
Kho lưu trữ chính sách còn được tham chiếu đến PIP (Policy Information Point Điểm thông tin chính sách), nơi lưu trữ các giá trị thuộc tính của các thực thể mạng (các nguồn tài nguyên, các đối tượng, các môi trường, )
Trang 13Một số công cụ phổ biến để quản lý kho lưu trữ chính sách trong quản trị mạng dựa trên chính sách là:
Cisco Prime Infrastructure: Là một công cụ quản lý mạng tổng thể của Cisco, bao gồm khả năng quản lý chính sách mạng
SolarWinds Network Configuration Manager: Là một công cụ quản lý cấu hình mạng, bao gồm khả năng quản lý các chính sách mạng
NetIQ Identity Manager: Là một công cụ quản lý danh tính, bao gồm khả năng quản lý các chính sách liên quan đến quyền truy cập và phân quyền
Kho lưu trữ chính sách trong quản trị mạng dựa trên chính sách cần được cập nhật thường xuyên để đảm bảo các chính sách được áp dụng đầy đủ và hiệu quả trong toàn bộ mạng Các chính sách mới cần được thêm vào kho lưu trữ và các chính sách cũ cần được cập nhật để phù hợp với các yêu cầu mới
I.3.3 Điểm quyết định chính sách
Điểm quyết định chính sách (PDP -Policy Decision Point ): Điểm đánh giá các yêucầu truy cập dựa trên các chính sách cấp quyền trước khi đưa ra quyết định truy cập PDPbao gồm các chức năng cụ thể sau:
ra các quyết định liên quan đến việc cấp phép truy cập và quản lý mạng
Các quyết định của PDP thường được đưa ra dựa trên các thông tin thu thập được từ người dùng hoặc thiết bị truy cập mạng, thông tin về mạng và các chính sách đã được xácđịnh PDP có thể được triển khai dưới dạng một ứng dụng hoặc một dịch vụ độc lập hoặc như một phần của một giải pháp quản trị mạng tổng thể
Việc sử dụng PDP trong quản trị mạng dựa trên chính sách giúp đảm bảo rằng các hoạt động trên mạng được thực hiện đúng theo các chính sách đã được xác định trước đó
Nó cũng giúp đảm bảo rằng các nguy cơ an ninh mạng được giảm thiểu và thông tin đượcbảo vệ tốt hơn
I.3.4 Điểm thực thi chính sách
Trang 14Điểm thực thi chính sách PEP (Policy Enforcement Point): Điểm này có nhiệm vụ nhận yêu cầu truy cập tài nguyên của người dùng sau đó đưa đến PDP để xác định yêu cầu này có được chấp nhận hay không từ đó thực thi theo quyết định nhận được từ PDP PEP có thể là một thiết bị mạng, chẳng hạn như bộ định tuyến, thiết bị chuyển mạch hay
là một phần mềm, một ứng dụng, tường lửa hay máy trạm, Các chính sách được thực thi thông qua cấu hình động thay đổi các danh sách điều khiển truy cập, các hàng đợi ưu tiên hoặc các tham số khác theo chỉ dẫn của điểm quyết định chính sách Bên cạnh đó, PEP có thể thực thi một số nhiệm vụ như:
Chỉ định hoạt động (Operation) theo quy tắc chính sách
Làm cho các quy tắc chính sách có hiệu lực
Phản hồi lại hoạt động
PEP được triển khai tại các điểm đầu cuối của mạng, nơi mà các người dùng hoặc các thiết bị truy cập mạng thực hiện các hoạt động PEP sử dụng thông tin được cung cấp bởi PDP để xác định xem liệu hoạt động truy cập đó có được phép hay không Nếu hoạt động
đó được phép, PEP sẽ thực hiện các hành động liên quan đến chính sách, bao gồm cấp phép truy cập, giới hạn truy cập, bảo vệ dữ liệu và báo cáo các hoạt động
PEP có thể được triển khai dưới dạng một phần của các ứng dụng, thiết bị mạng hoặc các giải pháp quản trị mạng tổng thể Việc sử dụng PEP trong quản trị mạng dựa trên chính sách giúp đảm bảo rằng các hoạt động trên mạng được thực hiện đúng theo các chính sách đã được xác định trước đó Nó cũng giúp đảm bảo rằng các nguy cơ an ninh mạng được giảm thiểu và thông tin được bảo vệ tốt hơn
I.4 Ưu nhược điểm của quản trị mạng dựa trên chính sách
I.4.1 Ưu điểm
Sử dụng kỹ thuật quản trị dựa trên chính sách có thể có được các ưu điểm như:
Cung cấp dịch vụ tốt hơn dịch vụ best-effort cho một số người dùng nhất định
Đơn giản hóa việc quản trị thiết bị, mạng và dịch vụ
Yêu cầu ít kỹ sư hơn để cấu hình mạng
Có thể xác định được hành vi của mạng hoặc hệ thống phân tán
Quản lý sự phức tạp ngày càng tăng của các thiết bị lập trình
Sử dụng các yêu cầu và thủ tục kinh doanh để định hướng cấu hình của mạng
Cải thiện tính an toàn và bảo mật: Chính sách quản trị mạng giúp đảm bảo tính an toàn và bảo mật của mạng Những chính sách như quản lý quyền truy cập và chứng nhận số giúp ngăn chặn các cuộc tấn công mạng và giảm thiểu rủi ro bảo mật
Tăng cường khả năng quản lý: Chính sách quản trị mạng giúp tăng cường khả năng quản lý mạng của một tổ chức Chính sách quản lý tài nguyên mạng, quản lý
Trang 15tài khoản và quản lý thiết bị giúp tổ chức có được một cái nhìn tổng thể về mạng
và giúp quản lý tài nguyên hiệu quả hơn
Giảm thiểu rủi ro: Chính sách quản trị mạng giúp giảm thiểu rủi ro cho tổ chức Những chính sách như quản lý đăng nhập, quản lý tài nguyên và giám sát mạng giúp ngăn chặn các hoạt động xấu và đảm bảo tính khả dụng của mạng
Nâng cao hiệu quả hoạt động: Chính sách quản trị mạng giúp tăng cường hiệu quả hoạt động của mạng Những chính sách như quản lý tài nguyên, quản lý thiết bị vàquản lý dịch vụ giúp tổ chức đảm bảo rằng mạng được sử dụng một cách hiệu quả
và tối ưu hóa các tài nguyên mạng
Cải thiện khả năng phản ứng: Chính sách quản trị mạng giúp cải thiện khả năng phản ứng của tổ chức trong trường hợp xảy ra sự cố
I.4.2 Nhược điểm
Một số nhược điểm của quản trị mạng dựa trên chính sách có thể bao gồm:
Khả năng xung đột giữa các chính sách: Các chính sách có thể bao gồm các quy định mâu thuẫn với nhau, dẫn đến việc tạo ra các xung đột và rào cản cho việc triển khai các chính sách
Không linh hoạt: Quản trị mạng dựa trên chính sách thường rất cứng nhắc và không linh hoạt trong việc đáp ứng các tình huống khẩn cấp hoặc thay đổi nhanh chóng trong môi trường mạng
Phức tạp: Các chính sách quản trị mạng có thể rất phức tạp và khó hiểu, đặc biệt làđối với những người mới làm quen với quản trị mạng Điều này có thể dẫn đến những lỗi không đáng có và sự cố mạng
Độ trễ: Sử dụng chính sách có thể dẫn đến độ trễ trong việc triển khai các thay đổi hoặc áp dụng các chính sách mới Điều này có thể dẫn đến mất mát thời gian và gián đoạn hoạt động của mạng
Khả năng giám sát kém: Một số chính sách quản trị mạng có thể gây khó khăn trong việc giám sát hoạt động mạng, đặc biệt là khi sử dụng nhiều chính sách khácnhau Điều này có thể dẫn đến các vấn đề an ninh mạng và sự cố mạng không được phát hiện kịp thời
Chi phí: Triển khai và duy trì các chính sách quản trị mạng có thể đòi hỏi một nguồn lực lớn, bao gồm cả chi phí đào tạo nhân viên để hiểu và triển khai các chính sách này
II Giải pháp Aruba ClearPass trong quản lý mạng không dây
II.1 Mô hình mạng không dây Aruba
Aruba là một trong những nhà cung cấp lớn thế giới về giải pháp mạng không dây,cung cấp các giải pháp về mạng không dây cho doanh nghiệp và tổ chức, với các mô hìnhmạng không dây khác nhau để đáp ứng nhu cầu của khách hàng Dưới đây là 3 mô hình mạng không dây phổ biến của Aruba:
Trang 16Hình 2.1: Các mô hình mạng không dây của Aruba.
Tùy vào yêu cầu cũng như mục đích sử dụng của khách hàng sẽ triển khai theo các mô hình khác nhau
II.1.1 Mô hình Distributed – Standalone
Mô hình mạng không dây Distributed-Standalone của Aruba là một kiến trúc mạng
mà trong đó các Access Point (AP) hoạt động độc lập với nhau, mỗi AP quản lý và cấu hình địa phương Mô hình này được sử dụng khi có số lượng AP nhỏ và không cần quản
lý trung tâm
Trong mô hình này, mỗi AP có khả năng quản lý, cấu hình và xử lý các chức năng mạng không dây như cung cấp địa chỉ IP, chuyển tiếp gói tin, điều khiển truy cập, chứng thực người dùng, quản lý băng thông, giám sát mạng và bảo mật Mô hình Distributed-Standalone của Aruba được ứng dụng cho các tổ chức có nhiều chi nhánh hoặc cơ sở phân tán, với mỗi chi nhánh hoặc văn phòng có số lượng AP nhỏ Kiến trúc này cung cấp khả năng linh hoạt và dễ dàng trong việc triển khai và mở rộng hệ thống mạng không dây.Tuy nhiên, do các AP hoạt động độc lập nên việc quản lý và giám sát toàn bộ mạng không dây sẽ gặp khó khăn hơn so với các kiến trúc khác của Aruba
II.1.2 Mô hình Controller – Based
Mô hình Controller-Based là một trong những mô hình của giải pháp mạng không dây Aruba, trong đó một bộ điều khiển Aruba Controller được triển khai để quản lý toàn
bộ các Access Point trên mạng Mô hình này có thể áp dụng trong các doanh nghiệp, tổ chức có quy mô lớn, với số lượng Access Point nhiều và phân bố trong nhiều khu vực khác nhau.Trong mô hình Controller-Based, các Access Point của Aruba sẽ được triển khai ở tất cả các vị trí cần thiết trong mạng không dây Những Access Point này sẽ kết nốivới bộ điều khiển Aruba Controller để xác thực và phân bổ tài nguyên mạng theo các chính sách bảo mật được thiết lập trước