聖約翰科技大學-網路管理經驗分享文件下載
Download
Report
Transcript 聖約翰科技大學-網路管理經驗分享文件下載
聖約翰科技大學
網路管理經驗分享
報告人:網路組 簡雲天
2010年3月23日
1
簡報大綱
現況說明
校園網路概況
主幹網路架構
網路管理機制
宿網架構&管理機制
無線網路
網路電話
未來努力方向
現況說明 - 組織與人力
系統開發組(E化系統開發):組長1人、組員4人
技術支援組(遠距教學、教育訓練 ):組員2人
網路系統組(校園網路管理):組長1人、組員1人
校園網路概況
對外頻寬:500M bps光纖 連接政大區網
校園骨幹:建築均以Giga光纖連接
無線網路:公共區域已達70%涵蓋率
宿舍網路:6棟宿舍,約1300名住宿生,共用學校對外頻
寬
郵件服務:Mail2000+Barracuda
帳號認證:LDAP+Radius作為全校E化系統統一帳號驗證
校園網路概況
入侵防禦系統:Redware DefensePro
防火牆: Fortinet
機房:約18坪、2套空調、異常溫度mail/SMS通知、使用單
顆氣霧式滅火器。(成本低、配置靈活)
主幹網路架構
網路管理機制
自動化網管系統控管全校IP發放、異常封鎖:
初次連網須以校內e-mail帳號註冊MAC,方能對外連線。
系統可自動封鎖「異常流量」、「超過可用流量Quota」IP。
可自行定義「異常流量」行為,如:5分鐘內session或
packet到達設定值即警告或封鎖。
網路管理機制
於電腦教室或使用公用電腦,要連外網路時,需輸入校內
E-mail帳號密碼,作身份驗證。
特定網段於出口防火牆(Fortinet)開啟Web 驗證即可。
網路管理機制
MRTG PING 迅速瞭解出問題節點所在
http://mrtg20.sju.edu.tw/mrtg/ping/index.html
宿網架構&管理機制
配合半夜斷網政策,98年7月撤除ADSL線路(註),宿網統
一使用學校對外頻寬,以便管理。
學生於宿網系統註冊後,分配一組固定public IP(方便日
後追查IP使用者),並自動於相關設備鎖定IP/MAC/Port資
訊,避免盜用IP 。
Cisco 3750作為宿網主交換器(做ip/mac綁定)
Edge交換器使用Cisco 2960(做mac/port綁定)
2960啟用DAI(Dynamic ARP Inspection),防制ARP
Spoofing攻擊(ex:netcut)
每人每日可用流量2GB,超過後無法連外。
宿網架構&管理機制
無線網路
98年10月導入Thin AP(Aruba)
架構,目前Fat AP/Thin AP並
存,逐步汰換掉Fat AP。
身份驗證後分配Public IP,
便於日後追查IP使用人。
Aruba WIP(Wireless
Intrusion Protection)
License可阻擋ARP Spoofing
攻擊。(註:他牌測試結果)
網路電話
節費效果:97學年起將全校話務導至網路電話做節費,98
年度節費效果約43%~56%(一年約可節省話費70萬)
網路話機:支援傳統話機不足或臨時需要話機之單位
有線話機:40隻(頗受好評、ex:校友流向調查)
無線話機:40隻(wifi收訊差)
教育部Enum:傳統話機、網路話機均可直撥他校Enum,撥
本校Eum代表號可直接進入總機。
網路電話
網頁電話(webcall):透過網路,免費撥入校
內分機。
方式1:內嵌至瀏覽器:
優點:方便與網頁搭配,直撥至分機
缺點:瀏覽器限制、封鎖彈出視窗、
ie安全性不允許元件安裝、
防毒軟體封鎖元件安裝…
都可能造成無法通話。
方式2:下載撥號軟體:
優點:下載後免安裝,可直接撥號,
亦可查詢分機後直接接通該分機。
網路電話
網路電話規劃建議:
能一併提供「節費、IP-PBX、IP話機」的廠商。
優點:通話品質不良時,避免上述廠商互踢皮球。
缺點:廠商自認被取代性低後,日後新增需求可能
被獅子大開口。
未來方向
P2P/頻寬控管設備
垃圾郵件過濾設備更新
ISO27001
簡報完畢
敬請指教
17