BỘ THÔNG TIN VÀ TRUYỀN THÔNG
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THƠNG

TIỂU LUẬN MƠN HỌC QUẢN TRỊ MẠNG
Quản trị mạng dựa trên chính sách và giải pháp
Aruba ClearPass trong quản lý mạng khơng dây

Giảng viên:
Nhóm:
Họ và tên:

Dương Thanh Tú
3
Kiều Việt Long – B19DCVT231
Lê Tiến Đạt – B19DCVT079
Trần Hải Dương – B19DCVT071
Vũ Minh Quân – B19DCVT304


Hà Nội – 2023


Tiểu luận mơn học “Quản trị mạng”

MỤC LỤC

DANH MỤC HÌNH ẢNH.......................................................................................3
I. Tổng quan về quản trị mạng dựa trên chính sách.........................................4
1.1. Sự ra đời của quản trị mạng dựa trên chính sách...................................4
1.2. Chính sách...................................................................................................5
1.2.1. Cấu trúc của chính sách.......................................................................5

1.2.2. Phân loại chính sách.............................................................................5
1.3. Kiến trúc của quản trị mạng dựa trên chính sách...................................8
1.3.1. Cơng cụ quản lý chính sách (Policy Management Tool)...................9
1.3.2. Kho lưu trữ chính sách.......................................................................10
1.3.3. Điểm quyết định chính sách...............................................................11
1.3.4. Điểm thực thi chính sách....................................................................11
1.4. Ưu nhược điểm của quản trị mạng dựa trên chính sách.......................12
1.4.1. Ưu điểm...............................................................................................12
1.4.2. Nhược điểm.........................................................................................13
II.

Giải pháp Aruba ClearPass trong quản lý mạng không dây...................13

2.1. Mơ hình mạng khơng dây Aruba.............................................................13
2.1.1. Mơ hình Distributed – Standalone....................................................14
2.1.2. Mơ hình Controller – Based..............................................................14
2.1.3. Mơ hình Cloud – Managed................................................................15
2.2. Tổng quan về Aruba ClearPass...............................................................16
2.2.1. Giới thiệu về ClearPass......................................................................16
2.2.2. Các phương thức triển khai ClearPass.............................................17
2.3. Các module của Aruba ClearPass...........................................................18
2.3.1. ClearPass Policy Management..........................................................18
2.3.2. Aruba ClearPass Guest......................................................................19
2.3.3. Auruba ClearPass OnGuard.............................................................20
2.3.4. Auruba ClearPass Onboard..............................................................21
2.4. Triển khai Aruba ClearPass trên ESXi...................................................23
Nhóm

3



Tiểu luận môn học “Quản trị mạng”

2.4.1. Chuẩn bị..............................................................................................23
2.4.2. Các bước triển khai............................................................................24
III. Kết luận.........................................................................................................30
TÀI LIỆU THAM KHẢO....................................................................................31

Nhóm

4


Tiểu luận mơn học “Quản trị mạng”

DANH MỤC HÌNH ẢNH
Hình 1.1: Mơ hình của một chính sách................................................................................5
Hình 1.2: Kiến trúc của quản trị mạng dựa trên chính sách................................................9
Hình 2.1: Các mơ hình mạng khơng dây của Aruba..........................................................14
Hình 2.2: Mơ hình triển khai mạng khơng dây Aruba.......................................................16
Hình 2.3: Các module của Aruba ClearPass......................................................................18
Hình 2.4: Sơ đồ mơ tả khả năng tự động kiểm tra tình trạng thiết bị................................21
Hình 2.5: Quá trình đăng ký thiết bị vào một mạng khơng dây........................................22
Hình 2.6: Ví dụ về một mơ hình triển khai OnBoard........................................................23
Hình 2.7: Download Aruba ClearPass...............................................................................24
Hình 2.8: Tạo máy ảo ClearPass trên ESXi.......................................................................24
Hình 2.9: Đặt tên và Import file ovf..................................................................................25
Hình 2.10: Chọn nơi lưu trữ..............................................................................................25
Hình 2.11: Chọn card mạng...............................................................................................26
Hình 2.12: Khởi động máy ảo ClearPass...........................................................................26

Hình 2.13: Yêu cầu phần cứng của thiết bị........................................................................27
Hình 2.14: Đăng nhập vào ClearPass................................................................................27
Hình 2.15: Cấu hình các thơng số cơ bản cho ClearPass...................................................28
Hình 2.16: Đăng nhập với mật khẩu mới..........................................................................28
Hình 2.17: Sau khi đăng nhập thành cơng.........................................................................29
Hình 2.18: Giao diện GUI của ClearPass..........................................................................29
Hình 2.19: Add license cho ClearPass...............................................................................29

Nhóm

5


Tiểu luận môn học “Quản trị mạng”

I.

Tổng quan về quản trị mạng dựa trên chính sách

I.1.

Sự ra đời của quản trị mạng dựa trên chính sách

Chính sách là sự kết hợp của các quy tắc và dịch vụ trong đó các quy tắc xác định
các tiêu chí cho việc truy cập và sử dụng tài nguyên. Một chính sách được xác định bởi
một tập hợp các quy tắc chính sách (policy rules). Mỗi quy tắc chính sách lại bao gồm
một tập hợp các điều kiện và một tập hợp các hành động tương ứng.
Các hệ thống dựa trên chính sách đã trở thành giải pháp đầy hứa hẹn để triển khai
nhiều dạng hệ thống thích ứng, quy mơ lớn, có thể tự động thay đổi hành vi của chúng để
đáp ứng với những thay đổi của môi trường hoặc để thay đổi các yêu cầu ứng dụng. Điều

này có thể làm được bằng cách sửa đổi các quy tắc chính sách cho các thực thể phân tán
phân tích mà khơng cần tái mã hóa hoặc dừng hệ thống. Khả năng thích ứng động như
vậy là vấn đề quan trọng cơ bản trong việc quản trị các hệ thống máy tính ngày càng
phức tạp.
Quản trị mạng dựa trên chính sách là mơ hình quản trị mạng dựa trên các chính
sách, các quy tắc để phân tách hệ thống thành những chức năng khác biệt nhau, thuận
tiện cho việc quản trị. Mô hình này hứa hẹn sẽ giảm chi phí bảo trì hệ thống thông tin và
truyền thông trong khi cải thiện tính linh hoạt và khả năng thích ứng thời gian chạy. Hiện
nay, mơ hình quản trị mạng dựa trên chính sách được thực thi trong khá nhiều kiến trúc
quản trị như quản trị theo SLA, theo hướng kinh doanh, tự chủ, thích ứng và tự quản trị.
Quản trị mạng dựa trên chính sách bắt đầu vào đầu những năm 1990 khi nhiệm vụ
quản trị tài nguyên công nghệ thông tin ngày càng trở nên phức tạp đòi hỏi các nhà quản
trị phải xem xét các hệ thống mạng không đồng nhất, các công nghệ mạng khác nhau và
các ứng dụng phân tán. Trong quản trị mạng dựa trên chính sách, hệ thống quản trị có
nhiệm vụ:
 Chuyển đổi các thơng số kỹ thuật mà con người đưa ra thành ngôn ngữ máy và
xác định các quy tắc để quản lý chức năng và trạng thái của mạng.
 Biên dịch các qui tắc đó thành các thơng số cấu hình của hệ thống và thiết bị.
 Phân phối và thực thi các thơng số cấu hình này bởi các thực thể quản lý
Lợi ích quan trọng nhất của quản trị mạng dựa trên chính sách là nó thúc đẩy việc tự
động hóa cấu hình/ cài đặt cho các đối tượng bị quản lý với số lượng lớn về thiết bị hệ
thống cũng như chủng loại. Quản trị viên hệ thống sẽ tương tác với các mạng thơng qua
các chính sách quản trị. Các chính sách này độc lập với thiết bị và được thiết lập theo
cách thân thiện với người điều hành.
Quản trị mạng dựa trên chính sách có thể thích ứng nhanh chóng với những thay đổi
trong yêu cầu quản trị mạng thơng qua khả năng tái cấu hình khi hệ thống đang hoạt
động (run-time reconfiguration) thay vì cấu trúc lại các mơ-đun đối tượng mới để triển
khai.

Nhóm


6


Tiểu luận môn học “Quản trị mạng”

Việc đưa ra các chính sách mới sẽ khơng ảnh hưởng đến hoạt động của mạng các chính
sách mới đưa ra đó khơng mâu thuẫn với các chính sách hiện có.
Đối với các mạng lớn, các qui tắc chính sách hoạt động thường xuyên phải thay đổi,
quản lý mạng dựa trên chính sách cung cấp giải pháp biên dịch và cập nhật động cho đối
tượng quản lý ở lớp quản lý kinh doanh trực tiếp đến các cấu hình mạng thực thi. Tuy
nhiên, một trong những điểm yếu chính trong quản trị mạng dựa trên chính sách là sự
cứng nhắc trong chức năng quản trị.
I.2. Chính sách
I.2.1. Cấu trúc của chính sách
Về cơ bản, chính sách bao gồm các điều kiện và hành động tương ứng. Theo
hướng dẫn của IETF và DMTF, khối xây dựng cơ bản của một chính sách là một quy tắc
chính sách (hoặc đơn giản là quy tắc), là một câu lệnh khai báo đơn giản liên kết một đối
tượng chính sách với một giá trị. Ví dụ: một quy tắc chính sách có thể xác định một
điểm đến, chẳng hạn như địa chỉ đích là một “Máy chủ bán hàng” hoặc nó có thể xác
định một hành động, chẳng hạn như đặt mức độ ưu tiên “gold”. Quy tắc chính sách xác
định điều kiện hoặc hành động. Mỗi chính sách bao gồm một hoặc nhiều điều kiện và
một hoặc nhiều hành động, như trong hình 1.1. Các điều kiện xác định thời điểm áp dụng
quy tắc chính sách.

Hình 1.1: Mơ hình của một chính sách.

I.2.2. Phân loại chính sách
I.2.2.1. Installation policies
Chính sách Installation Policies trong quản trị mạng là một tập hợp các quy tắc

được thiết lập để quản lý quá trình cài đặt phần mềm trên các thiết bị mạng. Các chính
sách này có thể được áp dụng để đảm bảo rằng các phần mềm được cài đặt trên mạng đáp

Nhóm

7


Tiểu luận môn học “Quản trị mạng”

ứng các yêu cầu của tổ chức, bao gồm đảm bảo tính bảo mật, khả năng tương thích và
hiệu suất của hệ thống.
Một số chính sách Installation Policies phổ biến trong quản trị mạng bao gồm:
 Chính sách kiểm tra phần mềm: Điều này đảm bảo rằng tất cả các phần mềm
được cài đặt trên mạng được kiểm tra trước khi chúng được triển khai trên hệ
thống thực.
 Chính sách cập nhật phần mềm: Điều này đảm bảo rằng tất cả các phần mềm
được cài đặt trên mạng được cập nhật định kỳ để đảm bảo tính bảo mật và tương
thích.
 Chính sách quản lý giấy phép phần mềm: Điều này đảm bảo rằng tất cả các phần
mềm được cài đặt trên mạng đều được bảo vệ bởi giấy phép phần mềm hợp lệ
và đủ điều kiện sử dụng.
 Chính sách phân phối phần mềm: Điều này đảm bảo rằng việc cài đặt phần mềm
trên mạng được thực hiện theo quy trình chuẩn và được kiểm sốt để đảm bảo
tính thống nhất và an tồn.
 Chính sách định cấu hình phần mềm: Điều này đảm bảo rằng các thiết lập
phần mềm trên mạng được định cấu hình đúng cách và đáp ứng các yêu cầu
của tổ chức.
I.2.2.2. Error and event policies
Trong quản trị mạng, chính sách lỗi và sự kiện (Error and Event Policies) là các

quy định và quy trình được thiết lập để giám sát và xử lý các lỗi và sự kiện trong mạng.
Chính sách này giúp quản trị viên mạng có thể đáp ứng nhanh chóng các vấn đề liên quan
đến lỗi và sự cố trong mạng, đồng thời giúp giảm thiểu thiệt hại và giữ cho hệ thống hoạt
động một cách bền vững.
Các chính sách lỗi và sự kiện thường bao gồm các yếu tố như:
 Các tiêu chuẩn xác định cách xác định lỗi và sự kiện trong mạng.
 Quy trình phản hồi sự cố, bao gồm việc xác định nguyên nhân, đánh giá mức
độ nghiêm trọng, xác định các bước khắc phục, và giám sát quá trình khắc
phục.
 Các phương tiện giám sát sự cố, bao gồm việc sử dụng các công cụ giám sát
mạng, các tệp nhật ký và các bản báo cáo để theo dõi các sự cố.
 Các tiêu chuẩn xác định cách thông báo sự cố cho các bên liên quan.
 Các quy trình kiểm tra định kỳ, bao gồm việc kiểm tra hệ thống để phát hiện
và ngăn chặn các lỗi và sự cố.
 Quy trình bảo trì, bao gồm việc định kỳ bảo trì hệ thống để giảm thiểu nguy
cơ phát sinh sự cố.
I.2.2.3. Security policies
Trong quản trị mạng, chính sách bảo mật (Security Policies) là các quy định và
quy trình được thiết lập để bảo vệ mạng và dữ liệu của tổ chức khỏi các mối đe dọa an
Nhóm

8


Tiểu luận mơn học “Quản trị mạng”

ninh. Chính sách bảo mật đóng vai trị quan trọng trong việc đảm bảo an toàn và bảo mật
cho mạng và dữ liệu của tổ chức, đồng thời giúp ngăn chặn các cuộc tấn cơng, rị rỉ dữ
liệu và các vấn đề an ninh khác.
Các chính sách bảo mật thường bao gồm các yếu tố như:

 Các tiêu chuẩn xác định các biện pháp bảo mật cần được triển khai, bao gồm
các phương pháp xác thực, mã hóa, kiểm sốt truy cập và giám sát.
 Các quy trình và quy định liên quan đến quản lý tài khoản người dùng, bao gồm
quản lý quyền truy cập và phân quyền.
 Các quy trình và quy định về quản lý và bảo vệ dữ liệu nhạy cảm, bao gồm
các biện pháp để ngăn chặn sự truy cập trái phép hoặc mất mát dữ liệu.
 Các quy định về quản lý và bảo vệ các tài sản của tổ chức, bao gồm việc giám
sát và bảo vệ tài sản vật lý, máy chủ, phần mềm và dịch vụ trực tuyến.
 Các quy trình để xử lý các cuộc tấn công, bao gồm việc xác định nguyên nhân và
phạm vi của cuộc tấn công, đánh giá mức độ nghiêm trọng, xác định các biện
pháp khắc phục và phục hồi.
 Các quy trình và quy định để giám sát và đánh giá hiệu quả của các biện pháp
bảo mật, bao gồm việc định kỳ kiểm tra và đánh giá hệ thống bảo mật.
I.2.2.4. Service polices
Service policies trong quản trị mạng dựa trên chính sách được sử dụng để quản lý
và kiểm soát các dịch vụ mạng trong một tổ chức. Chính sách dịch vụ (service policies)
cung cấp các quy định và hướng dẫn để quản lý dịch vụ mạng, bao gồm định nghĩa các
quy tắc, thông lệ và phương thức cài đặt và thi hành các chính sách đó. Các chính sách
dịch vụ (service policies) cũng có thể được sử dụng để xác định các ưu tiên và giới hạn
băng thông của các ứng dụng và dịch vụ mạng.
Service policies trong quản trị mạng dựa trên chính sách là một phương pháp quản
lý và kiểm soát dịch vụ mạng hiệu quả, giúp đảm bảo sự hoạt động ổn định và đảm bảo
chất lượng dịch vụ cho người dùng. Chính sách dịch vụ cịn giúp cho các tổ chức có thể
dễ dàng áp dụng các quy định, chính sách và tiêu chuẩn liên quan đến an ninh, quản lý và
phân phối tài nguyên mạng.
Chính sách Service policies trong quản trị mạng thường bao gồm các yếu tố sau:
 Thông tin về các dịch vụ mạng: Chính sách dịch vụ sẽ cung cấp các thông tin về
các dịch vụ mạng mà tổ chức đang sử dụng, bao gồm tên, miêu tả, địa chỉ IP,
cổng và các thông số kỹ thuật khác.
 Quy định về an ninh: Chính sách dịch vụ sẽ đưa ra các quy định về an ninh để đảm

bảo rằng dịch vụ mạng được bảo vệ khỏi các mối đe dọa bảo mật, bao gồm các
quy tắc về truy cập, xác thực, mã hóa và giám sát.

Nhóm

9


Tiểu luận môn học “Quản trị mạng”

 Điều kiện sử dụng dịch vụ: Chính sách dịch vụ sẽ đưa ra các điều kiện sử dụng
dịch vụ, bao gồm các quy tắc về quyền truy cập, giới hạn băng thông, thời gian
sử dụng và các yêu cầu khác để đảm bảo rằng tài nguyên mạng được phân bổ một
cách hợp lý.
 Quản lý tài nguyên mạng: Chính sách dịch vụ sẽ đưa ra các quy định về quản lý
tài nguyên mạng, bao gồm quản lý băng thông, địa chỉ IP, thiết bị mạng và các tài
nguyên khác.
 Quản lý dịch vụ: Chính sách dịch vụ sẽ đưa ra các quy định về quản lý dịch
vụ, bao gồm các yêu cầu về cấu hình, cài đặt và quản lý các dịch vụ mạng.
 Quy định về tiêu chuẩn: Chính sách dịch vụ sẽ đưa ra các quy định về tiêu chuẩn,
bao gồm các quy tắc về định dạng, chuẩn hóa, chất lượng và các yêu cầu khác
liên quan đến chất lượng dịch vụ.
 Các tiêu chí đánh giá dịch vụ: Chính sách dịch vụ sẽ đưa ra các tiêu chí đánh giá
dịch vụ, bao gồm các quy tắc về độ trễ, băng thông, khả năng phục hồi và các
yêu cầu khác liên quan đến chất lượng dịch vụ.
I.3. Kiến trúc của quản trị mạng dựa trên chính sách
Kiến trúc quản trị mạng dựa trên chính sách được IETF đưa ra trong RFC 2904,
bao gồm bốn thành phần chức năng cơ bản như được chỉ ra trong hình 1.3, cụ thể: PMT
(Policy Management Tool) – Cơng cụ quản lý chính sách; Kho lưu trữ chính sách; PDP
(điểm quyết định chính sách) và PEP (điểm thực thi chính sách).


Nhóm

1


Tiểu luận mơn học “Quản trị mạng”

Hình 1.2: Kiến trúc của quản trị mạng dựa trên chính sách.

Trong phần lớn các hệ thống quản trị mạng, công cụ quản lý chính sách, kho lưu
trữ chính sách và điểm quyết định chính sách được kết hợp với nhau và có thể được lưu
trữ trên cùng một thiết bị vật lý. Việc truyền thông giữa các thành phần của hệ thống
quản trị mạng dựa trên chính sách được thực hiện thơng qua các giao thức như SNMP,
HTTP, LDAP (Lightweight Directory Access Protocol) giao thức truy nhập thư mục có
tải trọng nhẹ, COPS (Common Open Policy Protocol) giao thức chính sách mở thơng
dụng hay trực tiếp qua giao diện dịng lệnh CLI.
I.3.1. Cơng cụ quản lý chính sách (Policy Management Tool)
Là máy chủ hoặc máy trạm lưu trữ các phần mềm quản lý thực hiện các chức năng
sau:






Nhóm

Chỉnh sửa chính sách
Trình bầy chính sách

Biên dịch qui tắc
Làm cho qui tắc có hiệu lực (chuẩn nhận qui tắc).
Giải quyết xung đột toàn cầu.

1


Tiểu luận mơn học “Quản trị mạng”

Bên cạnh đó, PMT còn được tham chiếu bởi PAP (Policy Administration Point - Điểm
quản lý chính sách), Điểm quản lý các chính sách nhận thực truy nhập.
Trong quản trị mạng, công cụ quản lý chính sách là một phần quan trọng trong việc
thiết lập và thực thi các chính sách bảo mật và quản lý truy cập cho hệ thống mạng. Công
cụ này giúp quản trị viên mạng thiết lập và thực hiện các chính sách an ninh mạng, quản
lý các quyền truy cập và phân quyền cho người dùng và thiết bị trên mạng.
Một số cơng cụ quản lý chính sách phổ biến bao gồm:
 Microsoft Group Policy: Đây là một công cụ quản lý chính sách được tích hợp
trong hệ điều hành Windows. Nó cho phép quản trị viên thiết lập và thực thi các
chính sách an ninh mạng và quản lý các quyền truy cập cho người dùng và thiết
bị trên mạng.
 Cisco Identity Services Engine (ISE): Đây là một cơng cụ quản lý chính sách
mạng được phát triển bởi Cisco. Nó cho phép quản trị viên thiết lập và thực hiện
các chính sách an ninh mạng, phân quyền truy cập cho người dùng và thiết bị
trên mạng, và giám sát các hoạt động trên mạng.
 Fortinet FortiGate: Đây là một bộ định tuyến và tường lửa mạng tích hợp, cung
cấp chức năng quản lý chính sách mạng. Nó cho phép quản trị viên thiết lập và
thực hiện các chính sách an ninh mạng, phân quyền truy cập cho người dùng
và thiết bị trên mạng, và giám sát các hoạt động trên mạng.
 F5 BIG-IP Access Policy Manager (APM): Đây là một ứng dụng quản lý chính
sách mạng được cung cấp bởi F5 Networks. Nó cho phép quản trị viên thiết lập

và thực hiện các chính sách an ninh mạng, phân quyền truy cập cho người dùng
và thiết bị trên mạng, và giám sát các hoạt động trên mạng.
Những công cụ trên đây đều cho phép quản trị viên thiết lập và thực hiện các chính
sách an ninh mạng, phân quyền truy cập cho người dùng và thiết bị trên mạng, và giám
sát các hoạt động trên mạng, tùy thuộc vào nhu cầu và mục đích sử dụng của tổ chức.
I.3.2. Kho lưu trữ chính sách
Kho lưu trữ thơng tin chính sách: là một kho dữ liệu về thơng tin chính sách. Kho
dữ liệu này có thể dành riêng cho ứng dụng, dành riêng cho hệ điều hành hoặc kho lưu
trữ chung của doanh nghiệp. Kho thơng tin chính sách bao gồm các nhiệm vụ sau:
 Lưu thơng tin chính sách
 Tìm kiếm thơng tin chính sách
 Lấy lại thơng tin chính sách
Kho lưu trữ chính sách cịn được tham chiếu đến PIP (Policy Information Point Điểm
thơng tin chính sách), nơi lưu trữ các giá trị thuộc tính của các thực thể mạng (các nguồn
tài nguyên, các đối tượng, các mơi trường,...).

Nhóm

1


Tiểu luận môn học “Quản trị mạng”

Một số công cụ phổ biến để quản lý kho lưu trữ chính sách trong quản trị mạng
dựa trên chính sách là:
 Cisco Prime Infrastructure: Là một công cụ quản lý mạng tổng thể của Cisco,
bao gồm khả năng quản lý chính sách mạng.
 SolarWinds Network Configuration Manager: Là một công cụ quản lý cấu
hình mạng, bao gồm khả năng quản lý các chính sách mạng.
 NetIQ Identity Manager: Là một công cụ quản lý danh tính, bao gồm khả năng

quản lý các chính sách liên quan đến quyền truy cập và phân quyền.
Kho lưu trữ chính sách trong quản trị mạng dựa trên chính sách cần được cập nhật
thường xuyên để đảm bảo các chính sách được áp dụng đầy đủ và hiệu quả trong tồn bộ
mạng. Các chính sách mới cần được thêm vào kho lưu trữ và các chính sách cũ cần được
cập nhật để phù hợp với các yêu cầu mới.
I.3.3. Điểm quyết định chính sách
Điểm quyết định chính sách (PDP -Policy Decision Point ): Điểm đánh giá các
yêu cầu truy cập dựa trên các chính sách cấp quyền trước khi đưa ra quyết định truy cập.
PDP bao gồm các chức năng cụ thể sau:
 Định vị quy tắc .
 Điều hợp thiết bị.
 Xác nhận tài nguyên/ trạng thái khi có các yêu cầu kiểm tra để xác định quyền
truy cập.
 Biên dịch quy tắc chính sách.
 Chuyển đổi chính sách.
PDP là một thành phần của hệ thống quản lý chính sách, được sử dụng để xác định và
thực thi các chính sách liên quan đến mạng. Nó sử dụng các quy tắc và điều kiện để đưa
ra các quyết định liên quan đến việc cấp phép truy cập và quản lý mạng.
Các quyết định của PDP thường được đưa ra dựa trên các thông tin thu thập được từ
người dùng hoặc thiết bị truy cập mạng, thông tin về mạng và các chính sách đã được xác
định. PDP có thể được triển khai dưới dạng một ứng dụng hoặc một dịch vụ độc lập hoặc
như một phần của một giải pháp quản trị mạng tổng thể.
Việc sử dụng PDP trong quản trị mạng dựa trên chính sách giúp đảm bảo rằng các
hoạt động trên mạng được thực hiện đúng theo các chính sách đã được xác định trước đó.
Nó cũng giúp đảm bảo rằng các nguy cơ an ninh mạng được giảm thiểu và thông tin được
bảo vệ tốt hơn.
I.3.4. Điểm thực thi chính sách

Nhóm


1


Tiểu luận mơn học “Quản trị mạng”

Điểm thực thi chính sách PEP (Policy Enforcement Point): Điểm này có nhiệm vụ
nhận yêu cầu truy cập tài nguyên của người dùng sau đó đưa đến PDP để xác định yêu
cầu này có được chấp nhận hay khơng từ đó thực thi theo quyết định nhận được từ PDP.
PEP có thể là một thiết bị mạng, chẳng hạn như bộ định tuyến, thiết bị chuyển mạch hay
là một phần mềm, một ứng dụng, tường lửa hay máy trạm, ... Các chính sách được thực
thi thơng qua cấu hình động thay đổi các danh sách điều khiển truy cập, các hàng đợi ưu
tiên hoặc các tham số khác theo chỉ dẫn của điểm quyết định chính sách. Bên cạnh đó,
PEP có thể thực thi một số nhiệm vụ như:
 Chỉ định hoạt động (Operation) theo quy tắc chính sách
 Làm cho các quy tắc chính sách có hiệu lực
 Phản hồi lại hoạt động.
PEP được triển khai tại các điểm đầu cuối của mạng, nơi mà các người dùng hoặc các
thiết bị truy cập mạng thực hiện các hoạt động. PEP sử dụng thông tin được cung cấp bởi
PDP để xác định xem liệu hoạt động truy cập đó có được phép hay khơng. Nếu hoạt động
đó được phép, PEP sẽ thực hiện các hành động liên quan đến chính sách, bao gồm cấp
phép truy cập, giới hạn truy cập, bảo vệ dữ liệu và báo cáo các hoạt động.
PEP có thể được triển khai dưới dạng một phần của các ứng dụng, thiết bị mạng hoặc
các giải pháp quản trị mạng tổng thể. Việc sử dụng PEP trong quản trị mạng dựa trên
chính sách giúp đảm bảo rằng các hoạt động trên mạng được thực hiện đúng theo các
chính sách đã được xác định trước đó. Nó cũng giúp đảm bảo rằng các nguy cơ an ninh
mạng được giảm thiểu và thông tin được bảo vệ tốt hơn.
I.4. Ưu nhược điểm của quản trị mạng dựa trên chính sách
I.4.1. Ưu điểm
Sử dụng kỹ thuật quản trị dựa trên chính sách có thể có được các ưu điểm như:









Cung cấp dịch vụ tốt hơn dịch vụ best-effort cho một số người dùng nhất định.
Đơn giản hóa việc quản trị thiết bị, mạng và dịch vụ.
u cầu ít kỹ sư hơn để cấu hình mạng.
Có thể xác định được hành vi của mạng hoặc hệ thống phân tán.
Quản lý sự phức tạp ngày càng tăng của các thiết bị lập trình.
Sử dụng các yêu cầu và thủ tục kinh doanh để định hướng cấu hình của mạng.
Cải thiện tính an tồn và bảo mật: Chính sách quản trị mạng giúp đảm bảo tính
an tồn và bảo mật của mạng. Những chính sách như quản lý quyền truy cập và
chứng nhận số giúp ngăn chặn các cuộc tấn công mạng và giảm thiểu rủi ro bảo
mật.
 Tăng cường khả năng quản lý: Chính sách quản trị mạng giúp tăng cường khả
năng quản lý mạng của một tổ chức. Chính sách quản lý tài ngun mạng, quản
lý

Nhóm

1


Tiểu luận môn học “Quản trị mạng”






I.4.2.

tài khoản và quản lý thiết bị giúp tổ chức có được một cái nhìn tổng thể về
mạng và giúp quản lý tài nguyên hiệu quả hơn.
Giảm thiểu rủi ro: Chính sách quản trị mạng giúp giảm thiểu rủi ro cho tổ
chức. Những chính sách như quản lý đăng nhập, quản lý tài nguyên và giám sát
mạng giúp ngăn chặn các hoạt động xấu và đảm bảo tính khả dụng của mạng.
Nâng cao hiệu quả hoạt động: Chính sách quản trị mạng giúp tăng cường hiệu quả
hoạt động của mạng. Những chính sách như quản lý tài nguyên, quản lý thiết bị
và quản lý dịch vụ giúp tổ chức đảm bảo rằng mạng được sử dụng một cách hiệu
quả và tối ưu hóa các tài nguyên mạng.
Cải thiện khả năng phản ứng: Chính sách quản trị mạng giúp cải thiện khả
năng phản ứng của tổ chức trong trường hợp xảy ra sự cố.
Nhược điểm

Một số nhược điểm của quản trị mạng dựa trên chính sách có thể bao gồm:

II.

 Khả năng xung đột giữa các chính sách: Các chính sách có thể bao gồm các
quy định mâu thuẫn với nhau, dẫn đến việc tạo ra các xung đột và rào cản cho
việc triển khai các chính sách.
 Khơng linh hoạt: Quản trị mạng dựa trên chính sách thường rất cứng nhắc và
khơng linh hoạt trong việc đáp ứng các tình huống khẩn cấp hoặc thay đổi
nhanh chóng trong mơi trường mạng.
 Phức tạp: Các chính sách quản trị mạng có thể rất phức tạp và khó hiểu, đặc biệt
là đối với những người mới làm quen với quản trị mạng. Điều này có thể dẫn đến
những lỗi khơng đáng có và sự cố mạng.

 Độ trễ: Sử dụng chính sách có thể dẫn đến độ trễ trong việc triển khai các thay
đổi hoặc áp dụng các chính sách mới. Điều này có thể dẫn đến mất mát thời gian
và gián đoạn hoạt động của mạng.
 Khả năng giám sát kém: Một số chính sách quản trị mạng có thể gây khó khăn
trong việc giám sát hoạt động mạng, đặc biệt là khi sử dụng nhiều chính sách
khác nhau. Điều này có thể dẫn đến các vấn đề an ninh mạng và sự cố mạng
không được phát hiện kịp thời.
 Chi phí: Triển khai và duy trì các chính sách quản trị mạng có thể địi hỏi
một nguồn lực lớn, bao gồm cả chi phí đào tạo nhân viên để hiểu và triển
khai các chính sách này.

II.1.

Giải pháp Aruba ClearPass trong quản lý mạng không dây
Mơ hình mạng khơng dây Aruba

Aruba là một trong những nhà cung cấp lớn thế giới về giải pháp mạng không dây,
cung cấp các giải pháp về mạng không dây cho doanh nghiệp và tổ chức, với các mơ hình
mạng không dây khác nhau để đáp ứng nhu cầu của khách hàng. Dưới đây là 3 mơ hình
mạng khơng dây phổ biến của Aruba:

Nhóm

1


Tiểu luận mơn học “Quản trị mạng”

Hình 2.1: Các mơ hình mạng khơng dây của Aruba.


Tùy vào u cầu cũng như mục đích sử dụng của khách hàng sẽ triển khai theo các mơ
hình khác nhau.
II.1.1. Mơ hình Distributed – Standalone
Mơ hình mạng khơng dây Distributed-Standalone của Aruba là một kiến trúc
mạng mà trong đó các Access Point (AP) hoạt động độc lập với nhau, mỗi AP quản lý và
cấu hình địa phương. Mơ hình này được sử dụng khi có số lượng AP nhỏ và khơng cần
quản lý trung tâm.
Trong mơ hình này, mỗi AP có khả năng quản lý, cấu hình và xử lý các chức năng
mạng khơng dây như cung cấp địa chỉ IP, chuyển tiếp gói tin, điều khiển truy cập, chứng
thực người dùng, quản lý băng thơng, giám sát mạng và bảo mật. Mơ hình DistributedStandalone của Aruba được ứng dụng cho các tổ chức có nhiều chi nhánh hoặc cơ sở
phân tán, với mỗi chi nhánh hoặc văn phịng có số lượng AP nhỏ. Kiến trúc này cung cấp
khả năng linh hoạt và dễ dàng trong việc triển khai và mở rộng hệ thống mạng không
dây. Tuy nhiên, do các AP hoạt động độc lập nên việc quản lý và giám sát toàn bộ mạng
khơng dây sẽ gặp khó khăn hơn so với các kiến trúc khác của Aruba.
II.1.2. Mơ hình Controller – Based
Mơ hình Controller-Based là một trong những mơ hình của giải pháp mạng khơng
dây Aruba, trong đó một bộ điều khiển Aruba Controller được triển khai để quản lý toàn
bộ các Access Point trên mạng. Mơ hình này có thể áp dụng trong các doanh nghiệp, tổ
chức có quy mơ lớn, với số lượng Access Point nhiều và phân bố trong nhiều khu vực
khác nhau. Trong mơ hình Controller-Based, các Access Point của Aruba sẽ được triển
khai ở tất cả các vị trí cần thiết trong mạng khơng dây. Những Access Point này sẽ kết
nối với bộ điều khiển Aruba Controller để xác thực và phân bổ tài nguyên mạng theo các
chính sách bảo mật được thiết lập trước.

Nhóm

1


Tiểu luận môn học “Quản trị mạng”


Bộ điều khiển Aruba Controller nhận các yêu cầu từ các Access Point và đưa ra
các quyết định để hỗ trợ khả năng truy cập và chia sẻ tài nguyên trên mạng, giúp cho hệ
thống hoạt động một cách hiệu quả, ổn định, tốn ít tài ngun. Ngồi ra, bộ điều khiển
cịn cung cấp khả năng quản lý và giám sát các Access Point và phân tích mạng, giúp
người quản trị hệ thống có những quyết định bảo mật ảnh hưởng cả đến toàn bộ mạng
lẫn từng Access Point.
Ưu điểm của mơ hình Controller – Based:
 Hoạt động nhanh chóng, hiệu suất đáng tin cậy, vì tất cả các Access Point
được quản lý tập trung bởi bộ điều khiểu controller.
 Cải thiện khả năng quản lý và giám sát của mạng, giúp người quản trị có thể
điều khiển các Access Point ở nhiều địa điểm trong toàn bộ hệ thống một cách
trực quan hơn.
 Chính sách quản lý và bảo mật được áp dụng đồng bộ trên toàn bộ hệ thống,
giúp cải thiện bảo mật các dữ liệu truy cập trên mạng.
 Bộ điều khiển Aruba Controller cung cấp các tính năng phân tích và đánh giá
mạng không dây, giúp người quản trị mạng có thơng tin cho việc tối ưu hóa và
cải thiện hiệu suất mạng.
II.1.3. Mơ hình Cloud – Managed
Mơ hình Cloud-Managed trong giải pháp mạng không dây Aruba là một kiến trúc mạng
cho phép quản lý, hoạt động và triển khai mạng không dây từ bất kỳ nơi nào thông qua
internet.
Mô hình này bao gồm các thành phần sau:
 Aruba Central: nền tảng quản lý đám mây: Aruba Central là một trung tâm quản lý
đám mây giúp quản lý và kiểm sốt quy mơ mạng khơng dây của bạn. Qua trung
tâm này, bạn có thể theo dõi, điều khiển, cấu hình, triển khai và nâng cấp các
Access Point, Switch và các thiết bị mạng khác trong mạng không dây.
 Access Point (AP): Access Point trong mơ hình Cloud-Managed là thiết bị khơng
dây được triển khai trong tịa nhà, văn phịng và các địa điểm công cộng khác.
Access Point kết nối với mạng không dây để cung cấp dịch vụ truy cập Internet

và các dịch vụ trên mạng không dây.
 Switch: Switch trong mơ hình Cloud-Managed giúp chia sẻ kết nối điện thoại,
máy tính, laptop...và giúp các thiết bị kết nối được tương tác với nhau trên cùng
một mạng.
 Gateway (cổng mạng): Gateway trong mơ hình Cloud-Managed là trung tâm quản
lý kết nối cho các thiết bị kết nối vào mạng không dây. Nó cung cấp địa chỉ IP
cho các thiết bị và đảm bảo an tồn tính mạng.

Nhóm

1


Tiểu luận môn học “Quản trị mạng”

 ClearPass: ClearPass là một phần mềm quản lý, xác thực và kiểm soát truy cập
trên mạng khơng dây. Nó cho phép quản lý và áp dụng các chính sách bảo mật
trên mạng khơng dây của bạn.
Mơ hình Cloud-Managed trong giải pháp mạng khơng dây Aruba giúp quản lý mạng
từ xa, giảm thiểu chi phí và đáp ứng nhu cầu của các doanh nghiệp với một mơ-đun quản
lý tập trung, một tổng quan tình trạng mạng trực quan, giám sát tương tác cực đơn giản
và nâng cấp nhanh chóng và hiệu quả. Dưới đây là một ví dụ về mơ hình triển khai mạng
khơng dây Aruba.

Hình 2.2: Mơ hình triển khai mạng khơng dây Aruba.

II.2. Tổng quan về Aruba ClearPass
II.2.1. Giới thiệu về ClearPass
ClearPass là giải pháp quản lý, xác thực và kiểm soát truy cập trên mạng của hãng
Aruba. Giải pháp này giúp cung cấp một môi trường mạng không dây bảo mật cao, khả

năng quản lý đơn giản và đáng tin cậy để các tổ chức có thể tập trung vào trải nghiệm
người dùng, chứ không phải lo về bảo mật mạng. Bằng cách kết hợp các công nghệ xác
thực, giám sát và kiểm soát truy cập, ClearPass cung cấp một giải pháp toàn diện cho
việc quản lý truy cập vào mạng khơng dây.
Dưới đây là một vài tính năng và ưu điểm của giải pháp ClearPass của Aruba:
 Xác thực đa yếu tố: ClearPass hỗ trợ các phương pháp xác thực đa yếu tố như
xác thực từ xa, xác thực mật khẩu thông qua các thiết bị di động, SMS, email và
thẻ.

Nhóm

1


Tiểu luận mơn học “Quản trị mạng”

 Kiểm sốt truy cập: ClearPass cung cấp một cơ chế kiểm soát độc lập cho
từng người dùng và thiết bị, giúp nhận diện và ngăn chặn sự xâm nhập của
những ai không được phép truy cập vào mạng.
 Điều khiển độc lập: ClearPass giúp chấp nhận các loại thiết bị khác nhau trên
cùng một mạng, dựa trên các chính sách tổng thể. Bên cạnh đó cịn giúp quản lý
các thiết bị một cách trung tâm, đơn giản.
 Phân tích và báo cáo: ClearPass giúp tự động phát hiện và giải quyết các vấn đề
liên quan đến bảo mật mạng. Nó cũng cung cấp báo cáo chi tiết về các vấn đề
liên quan đến mạng, giúp người dùng dễ dàng theo dõi và kiểm sốt họ.
 Dễ triển khai và tích hợp: ClearPass cung cấp các giao diện lập trình ứng dụng
(API) để tích hợp với các giải pháp khác, giúp dễ dàng hơn trong việc đồng bộ
với các ứng dụng khác.
 Bảo mật mạng: ClearPass giúp ngăn chặn sự xâm nhập, tấn công và các hoạt động
độc hại trên mạng. Điều này giúp tăng cường bảo mật của mạng và giữ cho thiết

bị của bạn ln an tồn.
ClearPass là một giải pháp tồn diện và đa năng cho việc quản lý truy cập vào mạng
khơng dây. Nó giúp các doanh nghiệp quản lý mạng một cách dễ dàng và hiệu quả để
đảm bảo rằng người dùng chỉ truy cập vào các tài nguyên hợp lệ.
II.2.2. Các phương thức triển khai ClearPass
ClearPass của Aruba cung cấp ba phương thức triển khai khác nhau như sau:
 On-premises deployment: Trong phương thức triển khai này, ClearPass được đặt
trên các máy chủ doanh nghiệp của khách hàng và được quản lý và bảo trì trực
tiếp bởi nhân viên IT của tổ chức đó. On-premises sử dụng giải pháp giấy phép,
nghĩa là khách hàng phải mua giấy phép cho danh sách người dùng hợp lệ tổng
thể và quản lý giấy phép trong toàn bộ khối lượng.
 ClearPass as-a-Service: Trong phương thức này, ClearPass triển khai trên đám
mây và được quản lý bởi Aruba. Khách hàng sử dụng giải pháp được xây dựng
trên mơ hình theo dõi, thanh tốn theo số người dùng và sẵn sàng sử dụng để
hỗ trợ những yêu cầu điện tử đáp ứng.
 Hybrid deployment: Kết hợp cả hai phương thức triển khai nêu trên để cung
cấp cho người dùng lựa chọn tối ưu giữa nhu cầu phù hợp với chính sách cơng
ty và u cầu doanh nghiệp của khách hàng. Trong phương thức triển khai này,
ClearPass được triển khai trên nhiều địa điểm khác nhau, bao gồm cả trên đám
mây và trên máy chủ của khách hàng.
Các phương thức triển khai ClearPass cung cấp tính linh hoạt và lựa chọn cho khách hàng
và doanh nghiệp trong việc triển khai hệ thống quản lý xác thực và quản lý truy cập mạng
cho tổ chức của họ. Khách hàng có thể chọn phương thức triển khai phù hợp với yêu cầu
cụ thể của họ về quản lý, chi phí và độ tin cậy của hệ thống.

Nhóm

1



Tiểu luận môn học “Quản trị mạng”

II.3.

Các module của Aruba ClearPass

Aruba ClearPass có nhiều module khác nhau để hỗ trợ quản lý và bảo mật mạng, bao
gồm:





ClearPass Policy Management
Aruba ClearPass Guest
Auruba ClearPass OnGuard
Auruba ClearPass Onboard

Hình 2.3: Các module của Aruba ClearPass.

II.3.1. ClearPass Policy Management
ClearPass Policy Manager là một mô-đun quản lý chính sách truy cập mạng của
ClearPass, cung cấp một giải pháp tập trung để quản lý quyền truy cập mạng của
người dùng và thiết bị. Với Policy Manager, các tổ chức có thể xác định và thực thi
các chính sách truy cập mạng cho các loại người dùng và thiết bị khác nhau trên toàn
bộ mạng.
Policy Manager cung cấp một số tính năng quản lý chính sách, bao gồm:
 Xác thực người dùng và thiết bị: Policy Manager cho phép các tổ chức xác thực
người dùng và thiết bị trước khi cho phép truy cập mạng. Các phương thức xác
thực bao gồm xác thực bằng tài khoản AD, xác thực bằng giấy chứng nhận số, xác

thực bằng chuỗi đăng nhập, xác thực bằng mã thông báo, v.v.
 Quản lý chính sách dựa trên người dùng và thiết bị: Policy Manager cho phép
các tổ chức xác định các chính sách truy cập mạng dựa trên người dùng và thiết
bị.

Nhóm

2