Cấu hình quản lý người dùng bằng tính năng Client-Tracking

Thảo luận trong 'Firewall Cisco Meraki' bắt đầu bởi khoaTGM, 19/7/23.

  1. khoaTGM

    khoaTGM Member

    - Với xu hướng bảo mật ngày nay là hướng đến việc quản trị hệ tầng mạng và cả endpoint/client người dùng. Các thiết bị mạng đều được tích hợp cách tính năng theo dấu người dùng (Client-Track), nhằm tăng tích bảo mật và giúp quản trị viên có thể tối ưu trải nghiệm người dùng trong mạng.

    - Có ba cách dành cho thiết bị Meraki để xác định các client: Unique client identifier (Cấp số định danh riêng cho client), Track by MAC (Theo dấu bằng MAC), và Track by IP (Theo dấu bằng IP). Các phương pháp theo dấu này là cách thông tin chính như danh sách client và dữ kiện sử dụng mạng được đưa vào bảng điều khiển.

    - Bài viết này sẽ trình bày cách tính năng theo dấu client thay đổi trong Dashboard, sự khác biệt giữa ba tùy chọn này và các trường hợp áp dụng tốt nhất cho từng tùy chọn trong các mô hình khác nhau.

    ! Lưu ý: Tùy chọn Unique Client Identifier hoặc Ttrack by IP chỉ có trên các thiết bị MX Security Appliance. Tất cả các thiết bị Cisco Meraki khác sẽ chỉ phân biệt clients dựa trên địa chỉ MAC.

    CẤU HÌNH CLIENT TRACKING:
    - Các hướng dẫn sau đây phác thảo cách thay đổi phương pháp theo dấu khách hàng:

    1. Trong Dashboard, vào đường dẫn Security & SD-WAN > Configure > Addressing & VLANs.

    2. Bên dưới Deployment Settings, thay đổi Client tracking theo mong muốn của bạn.
    [​IMG]

    3. Click nút Save Changes dưới cuối trang.

    !-Khi thay đổi cách Client Tracking hệ thống sẽ reset lại số liệu lịch sử sử dụng của client.

    Client Tracking sử dụng trong các trường hợp:
    - Cách Tracking tốt nhất để sử dụng tùy vào bất kỳ thiết bị Layer 3 đạng được định tuyến giữa thiết bị MX và Client cuối, nơi quảng bá nhiều broadcast domain. Các đề xuất chi tiết như sau:
    [​IMG]
    UNIQUE CLIENT IDENTIFIER – Cấp định danh cho từng Client
    - Unique Client Identifier là một công nghệ mà Meraki tận dụng mô hình mạng và thông tin thiết bị để xác định và theo dấu client một cách riêng biệt. Hệ thống sử dụng một thuật toán tương quan thông minh các địa chỉ MAC và IP của client được nhìn thấy trên Meraki stack, cho phép thiết bị bảo mật tạo mã định danh độc nhất cho mỗi client trong mạng có kết nối với các thiết bị Meraki khác. Điều này đặc biệt hữu ích khi có các switch Meraki MS định tuyến lớp 3 giữa các client và thiết bị MX, giúp tách lưu lượng quảng bá có chứa địa chỉ MAC của client.

    - Phương pháp này 'chỉ nên được sử dụng' nếu mạng có các thiết bị bên dưới layer 3 là tất cả các thiết bị của Meraki. Trong trường hợp triển khai này, Tracking IP nếu không được sẽ yêu cầu tách thiết bị MX thành một mạng bảng điều khiển riêng vì Tracking IP không được hỗ trợ trong các mạng hỗn hợp. Tracking MAC sẽ không xác định được thiết bị client do ranh giới L3, liên kết lưu lượng downstream client với routing switch và ảnh hưởng tiêu cực đến số lượng sử dụng mạng trong Dashboard.

    - Theo dõi bằng số định danh client cũng vô hiệu hóa việc thu mẫu uplink cho clients, điều này có thể hữu ích trong một số trường hợp nhất định khi các giải pháp NAC non-Meraki được triển khai trong môi trường có nhiều nhà cung cấp.

    !- Lưu ý 1: Unique client identifier không cho phép MX xác định các client đã kết nối vào một SSID sử dụng NAT mode với Meraki DHCP, ngay cả đối với Meraki MR trong cùng mạng dashboard.

    !- Lưu ý 2: Một số công cụ, như cảnh báo kết nối client và client ping, được đặt trên ARP và sẽ không còn khả dụng khi sử dụng Unique client identifier.

    Yêu cầu và Điều kiện:
    - Hãy xem các yêu cầu và điều kiện dưới đây trước khi bật tính năng này trong mạng.

    - Để thấy tùy chọn Unique Client Identifier trong Addressing & VLAN, các điều kiện sau phải có:
    • Phải có một thiết bị bảo vệ Meraki MX với tối thiểu một Switch Meraki MS Layer 3 trong cùng mạng và cùng dashboard. Để tránh dữ liệu tracking không đúng, các thiết bị trong mạng dashboard cũng nên được đặt trong cùng một mạng vật lý.
    • Tùy chọn này chỉ hiển thị nếu firmware MX có phiên bản '9+' và MS firmware là '10+'.
    • Không sử dụng Unique Client Identifier trong một mạng dashboard nơi mà WAN port của MX được kết nối tới Meraki switch trong cùng mạng Dashboard. Nếu bạn cần sử dụng Meraki switch giữa ISP và MX WAN hãy tách switch thành hai mạng Dashboard riêng.
    !- Lưu ý: Nếu hiện tại bạn đang Tracking bằng IP, bạn sẽ cần thay đổi tạm thời sang Track bằng MAC để chuyển sang mạng hỗn hợp. Khi mạng đã được hỗn hợp, bạn sẽ thấy tùy chọn ‘Unique Client Identifier’ bên dưới "Addressing & VLAN" trên MX của bạn.

    [​IMG]
    - Hãy nhớ rằng chuyển từ Unique Client Identifier sang Track by IP hoặc Track by MAC có thể lấy đến 30 ngày thông tin theo dấu client để cập nhật trên danh sách thiết bị hoạt động, việc này có thẻ dẫn đến trùng lặp phần tử với chi tiết các client khác. Chuyển từ Track by IP hoặc Track by MAC sang Unique Client Identifier nên cập trong 24 giờ thiết bị hoạt động. Các thiết bị không hoạt động có thể mất tới 30 ngày để xóa mất khỏi tất cả các tùy chọn theo dấu .

    TRACK BY MAC – (Theo dấu bằng địa chỉ MAC)
    - Trong nhiều trường hợp triển khai, thiết bị bảo vệ MX được sử dụng như là gateway cho mạng và thực hiện định tuyến inter-VLAN cho mạng nếu cần thiết. Trong hoàn cảnh này, MX ở trong cùng vùng broadcast domain với tất cả client có trong mạng, do đó địa chỉ MAC của client sẽ được tìm trong toàn bộ lưu lượng được thấy bởi MX.

    - Mô hình dưới đây mô tả cách mà MX có thể thấy địa MAC của client trong mô hình liên kết.
    [​IMG]
    TRACK BY IP – (Theo dấu bằng địa chỉ IP)
    Lưu ý: Track by IP không hỗ trợ trong mạng dashboard hỗn hợp. Để hỗn hợp một MX để tracking client bằng IP, switch đó trước tiên phải theo dấu bằng địa chỉ MAC hoặc Unique Client Identifier trước khi tiến hành.

    Lưu ý: Giống như Track by Unique client identifier, một số công cụ như cảnh báo kết nối client và client ping, được đặt trên ARP và sẽ không thể dùng khi sử dụng Track by IP.

    - Tùy chọn này là khả dụng nhất trong hai trường hợp:
    • Trường hợp 1: Chia mạng, nơi toàn bộ thiết bị Layer 3 là các thiết bị Meraki nhưng chúng nằm tách biệt trong các mạng dashboard.
    • Trường hợp 2: Khi gặp tình huống có một switch lớp 3 là non-Meraki thực hiện inter-VLAN routing luồng dữ liệu downstream của MX. Nếu bạn đang sử dụng Switch Cisco Meraki L3, bật Unique Client Identifier thay thế. Khi đó switch L3 non-Meraki sẽ thay đổi Source MAC của client traffic, MX không thể xác định các client bằng MAC của chúng như hình dưới.
    [​IMG]
    - Để xác định các client bên dưới của switch L3 non-Meraki, MX có thể được thay đổi để tracking các client theo IP của chúng. Vì switch L3 non-Meraki sẽ không sửa đổi Source IP client traffic, nên MX có thể xác định các client khác nhau theo IP:
    [​IMG]

    - Khi một Cisco Meraki MX Security Appliances được đặt để theo dấu các client bằng IP, địa chỉ MAC client được hiển thị trên danh sách Client List có thể không còn chính xác.
     
    khoaTGM, 19/7/23
    #1

trang này