聖約翰科技大學-網路管理經驗分享.pptVIP

報告人：網路組 簡雲天 2010年3月23日 簡報大綱 現況說明 校園網路概況 主幹網路架構 網路管理機制 宿網架構管理機制 無線網路 網路電話 未來努力方向 現況說明 - 組織與人力 系統開發組(E化系統開發)：組長1人、組員4人 技術支援組(遠距教學、教育訓練 )：組員2人 網路系統組(校園網路管理)：組長1人、組員1人 校園網路概況 對外頻寬：500M bps光纖 連接政大區網 校園骨幹：建築均以Giga光纖連接 無線網路：公共區域已達70%涵蓋率 宿舍網路：6棟宿舍，約1300名住宿生，共用學校對外頻寬 郵件服務：Mail2000+Barracuda 帳號認證：LDAP+Radius作為全校E化系統統一帳號驗證 校園網路概況 入侵防禦系統：Redware DefensePro 防火牆: Fortinet 機房:約18坪、2套空調、異常溫度mail/SMS通知、使用單顆氣霧式滅火器。(成本低、配置靈活) 主幹網路架構 網路管理機制 自動化網管系統控管全校IP發放、異常封鎖： 初次連網須以校內e-mail帳號註冊MAC，方能對外連線。 系統可自動封鎖「異常流量」、「超過可用流量Quota」IP。 可自行定義「異常流量」行為，如：5分鐘內session或packet到達設定值即警告或封鎖。 網路管理機制 於電腦教室或使用公用電腦，要連外網路時，需輸入校內E-mail帳號密碼，作身份驗證。 特定網段於出口防火牆(Fortinet)開啟Web 驗證即可。 網路管理機制 宿網架構管理機制 配合半夜斷網政策，98年7月撤除ADSL線路(註)，宿網統一使用學校對外頻寬，以便管理。 學生於宿網系統註冊後，分配一組固定public IP(方便日後追查IP使用者)，並自動於相關設備鎖定IP/MAC/Port資訊，避免盜用IP 。 Cisco 3750作為宿網主交換器(做ip/mac綁定) Edge交換器使用Cisco 2960(做mac/port綁定) 2960啟用DAI(Dynamic ARP Inspection)，防制ARP Spoofing攻擊(ex:netcut) 每人每日可用流量2GB，超過後無法連外。 宿網架構管理機制 無線網路 98年10月導入Thin AP(Aruba)架構，目前Fat AP/Thin AP並存，逐步汰換掉Fat AP。 身份驗證後分配Public IP，便於日後追查IP使用人。 Aruba WIP(Wireless Intrusion Protection) License可阻擋ARP Spoofing 攻擊。(註：他牌測試結果) 網路電話 節費效果：97學年起將全校話務導至網路電話做節費，98年度節費效果約43%~56%(一年約可節省話費70萬) 網路話機：支援傳統話機不足或臨時需要話機之單位 有線話機：40隻(頗受好評、ex:校友流向調查) 無線話機：40隻(wifi收訊差) 教育部Enum：傳統話機、網路話機均可直撥他校Enum，撥本校Eum代表號可直接進入總機。 網路電話 網頁電話(webcall):透過網路，免費撥入校內分機。 方式1：內嵌至瀏覽器： 優點：方便與網頁搭配，直撥至分機 缺點：瀏覽器限制、封鎖彈出視窗、 ie安全性不允許元件安裝、 防毒軟體封鎖元件安裝… 都可能造成無法通話。 方式2：下載撥號軟體： 優點：下載後免安裝，可直接撥號， 亦可查詢分機後直接接通該分機。 網路電話 網路電話規劃建議： 能一併提供「節費、IP-PBX、IP話機」的廠商。 優點：通話品質不良時，避免上述廠商互踢皮球。 缺點：廠商自認被取代性低後，日後新增需求可能被獅子大開口。 未來方向 P2P/頻寬控管設備 垃圾郵件過濾設備更新 ISO27001 簡報完畢敬請指教 * * * 聖約翰科技大學網路管理經驗分享 .tw/mrtg/ping/index.html MRTG PING 迅速瞭解出問題節點所在 * * *