Transcript 聖約翰科技大學-網路管理經驗分享文件下載

聖約翰科技大學
網路管理經驗分享
報告人：網路組 簡雲天
2010年3月23日
1
簡報大綱








現況說明
校園網路概況
主幹網路架構
網路管理機制
宿網架構&管理機制
無線網路
網路電話
未來努力方向
現況說明 - 組織與人力

系統開發組(E化系統開發)：組長1人、組員4人

技術支援組(遠距教學、教育訓練 )：組員2人

網路系統組(校園網路管理)：組長1人、組員1人
校園網路概況






對外頻寬：500M bps光纖 連接政大區網
校園骨幹：建築均以Giga光纖連接
無線網路：公共區域已達70%涵蓋率
宿舍網路：6棟宿舍，約1300名住宿生，共用學校對外頻
寬
郵件服務：Mail2000+Barracuda
帳號認證：LDAP+Radius作為全校E化系統統一帳號驗證
校園網路概況



入侵防禦系統：Redware DefensePro
防火牆: Fortinet
機房:約18坪、2套空調、異常溫度mail/SMS通知、使用單
顆氣霧式滅火器。(成本低、配置靈活)
主幹網路架構
網路管理機制




自動化網管系統控管全校IP發放、異常封鎖：
初次連網須以校內e-mail帳號註冊MAC，方能對外連線。
系統可自動封鎖「異常流量」、「超過可用流量Quota」IP。
可自行定義「異常流量」行為，如：5分鐘內session或
packet到達設定值即警告或封鎖。
網路管理機制


於電腦教室或使用公用電腦，要連外網路時，需輸入校內
E-mail帳號密碼，作身份驗證。
特定網段於出口防火牆(Fortinet)開啟Web 驗證即可。
網路管理機制

MRTG PING 迅速瞭解出問題節點所在
http://mrtg20.sju.edu.tw/mrtg/ping/index.html
宿網架構&管理機制

配合半夜斷網政策，98年7月撤除ADSL線路(註)，宿網統
一使用學校對外頻寬，以便管理。

學生於宿網系統註冊後，分配一組固定public IP(方便日
後追查IP使用者)，並自動於相關設備鎖定IP/MAC/Port資
訊，避免盜用IP 。

Cisco 3750作為宿網主交換器(做ip/mac綁定)

Edge交換器使用Cisco 2960(做mac/port綁定)

2960啟用DAI(Dynamic ARP Inspection)，防制ARP
Spoofing攻擊(ex:netcut)

每人每日可用流量2GB，超過後無法連外。
宿網架構&管理機制
無線網路

98年10月導入Thin AP(Aruba)
架構，目前Fat AP/Thin AP並
存，逐步汰換掉Fat AP。

身份驗證後分配Public IP，
便於日後追查IP使用人。

Aruba WIP(Wireless
Intrusion Protection)
License可阻擋ARP Spoofing
攻擊。(註：他牌測試結果)
網路電話


節費效果：97學年起將全校話務導至網路電話做節費，98
年度節費效果約43%~56%(一年約可節省話費70萬)
網路話機：支援傳統話機不足或臨時需要話機之單位
 有線話機：40隻(頗受好評、ex:校友流向調查)
 無線話機：40隻(wifi收訊差)

教育部Enum：傳統話機、網路話機均可直撥他校Enum，撥
本校Eum代表號可直接進入總機。
網路電話

網頁電話(webcall):透過網路，免費撥入校
內分機。
 方式1：內嵌至瀏覽器：
優點：方便與網頁搭配，直撥至分機
缺點：瀏覽器限制、封鎖彈出視窗、
ie安全性不允許元件安裝、
防毒軟體封鎖元件安裝…
都可能造成無法通話。
 方式2：下載撥號軟體：
 優點：下載後免安裝，可直接撥號，
亦可查詢分機後直接接通該分機。
網路電話

網路電話規劃建議：
 能一併提供「節費、IP-PBX、IP話機」的廠商。
 優點：通話品質不良時，避免上述廠商互踢皮球。
 缺點：廠商自認被取代性低後，日後新增需求可能
被獅子大開口。
未來方向



P2P/頻寬控管設備
垃圾郵件過濾設備更新
ISO27001
簡報完畢
敬請指教
17