學校網路設備規畫與建置

Download Report

Transcript 學校網路設備規畫與建置 

學校網路設備規畫與建置
報告人:莊斯凱
桃園縣九十二年度中小學資訊組長業務研討會
桃園縣教育網路資源中心
1
教育局網路架構說明
桃園縣九十二年度中小學資訊組長業務研討會
桃園縣教育網路資源中心
2
桃園縣教育網路中心
架構圖(~91.1)
北區中小學
ADSL用戶
教育部
TANET
中央大學
中華電信
ATM骨幹
中華電信
ATM骨幹
南區中小學
ADSL用戶
縣內偏遠中小學
專線用戶
OC3 45MB
建國國中(舊縣網中心)
T1 1.5MB
桃園縣九十二年度中小學資訊組長業務研討會
桃園縣教育網路資源中心
3
桃園縣教育網路中心
架構圖(91.2~92.4)
Hinet
ADSL
教育部
TANET
中央大學
中華電信
ATM骨幹
縣內中小學
ADSL用戶
政府網際網路
GSN
負載平衡器
縣內偏遠中小學
專線用戶
縣網中心7513Router
OC3 45MB
FE 100MB
GE 1000MB
T1 1.5MB
Wireless 11MB
縣網中心
2948G-L3 Switch
文化局
IBM PROXY
SERVER
IBM
IBM PROXY
SERVER
SERVER
桃園縣九十二年度中小學資訊組長業務研討會
IBM
SERVER
縣府計畫室
桃園縣教育網路資源中心
4
桃園縣教育網路中心
架構圖(92.5~10)
Hinet
ADSL
教育部
TANET
中央大學
中華電信
ATM骨幹
縣內中小學
ADSL用戶
中華電信
東森寬頻
CISCO 6509
負載平衡器
CISCO 7513
2948G-L3 Switch
政府網際網路
GSN
縣內偏遠中小學
專線用戶
CISCO 3662
桃園市專線用戶
文化局
IBM PROXY
SERVER
IBM
IBM PROXY
SERVER
SERVER
桃園縣九十二年度中小學資訊組長業務研討會
IBM
SERVER
縣府計畫室
Gigabit Ethernet
STM-1 155MB
Fast Ethernet
100MB
T1 1.5MB
Wireless 11MB
桃園縣教育網路資源中心
5
CHT富國
1G vai EBT
.1 Q
802
Gi
g3
/2
/2
Giga
Hinet
Gig 3/4
Cisco 7513
Gig
3 /3
G
/5 3
4 ig 3
3/ Gig
i /3 5/0/0
g s
F
a G
12
G G
i
0/
ig 1 g 1 ig
/0/2 /0/2 G
7 8
0/1
Gig
<=Gig 1/0/23
Fas 5/1/0=>
Bigip 2000
Gig 0/10
OSPF
Area 0
Gig 1/0/1
Cisco 3750G-24TS-E
1/
0/
6 Gi g1 /0/ 5
/2
3 Fa
s
0/1
G
ig
Gi
g1
/0/
Gi
g0
0/0
0
ig 1/
G
-T)
Base
Fa
s
(1000
/6
g0
Gi
/5
0/1 Fas
Giga
0
Gig
/2
Giga (1000Base-T)
Cisco 3550-12T
縣內偏遠中小學
專線用戶
T1
Gig 0/11
2.2 Gig 3/5
2.1
ATM
<=Gig 3/7
Gig 10/0/0=>
Gig 3/16
Cisco 6509
縣內中小學
ADSL用戶
Gi Master
g3
/ 15
Gi
g3
Gi
g3
/ 15
桃園縣教育網路中心
架構圖(92.10~)
CHT普義
802
.1 Q
1G vai CHT
s
Fa
0/
23
Cisco 2948G-L3
Fa
s
3
0/2
Cisco 2924M-XL-A
4
0/2
桃園縣九十二年度中小學資訊組長業務研討會
Cisco 26XX
s
Fa
桃園市
專線用戶
Cisco 7206
Fa
s
Cisco 3662
4
0/2
E1
Cisco 2924-XL
桃園縣教育網路資源中心
6
教育局網路機房備援機制
 電源雙迴路電源加UPS
 空調雙套五噸氣冷式空調
 網路頻寬對外中華、東森
對學校 中華 雙迴路光纖
 網路設備雙套網路設備或雙模組

桃園縣九十二年度中小學資訊組長業務研討會
桃園縣教育網路資源中心
7
校園新世紀骨幹網路
桃園縣九十二年度中小學資訊組長業務研討會
桃園縣教育網路資源中心
8
中小學校園新世紀骨幹網路
 光纖到學校電腦機房
 介接介面RJ45 100Mb
 使用十比一集縮比
 目前介接狀態
 ADSL:68間
 ADSL(FOT):14間
 專線:14間
 FastEthernet:139間
桃園縣九十二年度中小學資訊組長業務研討會
ADSL
ADSL(FOT)
專線
FastEthernet
桃園縣教育網路資源中心
9
光纖到學校電腦機房
CISCO 6509
第一類電信業者
第一類電信業者
A
B
學校電校電腦機房
桃園縣九十二年度中小學資訊組長業務研討會
桃園縣教育網路資源中心
10
校園網路
設備規劃 與 管理策略
桃園縣九十二年度中小學資訊組長業務研討會
桃園縣教育網路資源中心
11
設備規劃
 使用Vlan區隔不同使用者
 運用IEEE802.1Q跨越單一線路的迷思
 具備基礎IP routing的交換器
 使用不同網段的區隔,阻隔網路的廣播風暴
桃園縣九十二年度中小學資訊組長業務研討會
桃園縣教育網路資源中心
12
管理策略
 設備流量的監控
 使用者連線的管制
 網路安全的防護
 線路備援的支持
桃園縣九十二年度中小學資訊組長業務研討會
桃園縣教育網路資源中心
13
Vlan的規劃設計
 依使用者狀況的不同,區分不同的環境
 伺服器提供學校各類服務的區域Vlan1
 行政電腦各類公務資料流通區域Vlan2
 電腦教室一資訊課程教學區域Vlan3
 電腦教室二資訊課程教學區域Vlan4
1
2
3
4
5
6
7
8
9
10
11
12
Access Access Access Access Access Access Access Access Access Access Access Routed
Port 1 Port 2 Port 3
Port 4 Port 5
Port 6
Port 7
Port 8
Port 9 Port 10 Port 11 Port 12
VLAN 1
VLAN 2
桃園縣九十二年度中小學資訊組長業務研討會
VLAN 3
桃園縣教育網路資源中心
14
IEEE802.1Q
• 網段的區隔
• 網路彈性
• 安全性
行政
一年
級
二年
級
A VLAN = A Broadcast Domain = Logical Network (Subnet)
桃園縣九十二年度中小學資訊組長業務研討會
桃園縣教育網路資源中心
15
IEEE802.1Q
• Each logical VLAN is like a separate physical bridge.
• VLANs can span across multiple switches.
• Trunks carry traffic for multiple VLANs.
• Trunks use special encapsulation to distinguish between
different VLANs.
桃園縣九十二年度中小學資訊組長業務研討會
桃園縣教育網路資源中心
16
一樓
二樓
三樓
104
教室
204
教室
304
教室
103
教室
203
教室
303
教室
四樓
校園網路分佈圖
電腦教室
一
四樓
100MB UTP
102
教室
202
教室
302
教室
電腦教室
二
電
腦
教
室
1GB SX 光纖
連外網路
101
教室
201
教室
301
教室
電腦主機房
三樓
二樓
一樓
教
室
教
室
教
室
教
室
行
政
辦
公
室
管道間
管道間
廁
所
四
樓
廁
所
三
樓
廁
所
廁
所
電腦教室
專科教室
專科教室
教師
辦公室
教師
辦公室
行政辦公室
行政辦公室
二
樓
教師
辦公室
教師
辦公室
一
樓
教師
辦公室
教師
辦公室
圍牆
桃園縣九十二年度中小學資訊組長業務研討會
儲
藏
室
休
息
室
川堂
行政辦公室
校門
警衛室
四
樓
廁
所
三
樓
廁
所
二
樓
廁
所
一
樓
廁
所
圍牆
桃園縣教育網路資源中心
17
IEEE802.1Q
桃園縣九十二年度中小學資訊組長業務研討會
桃園縣教育網路資源中心
18
基礎IP routing
Routing Function
Si
SVI 1
RP 2
SVI 2
SVI 3
Access Access Access Access Access Access Access Access Access Access Access Routed
Port 1 Port 2 Port 3
Port 4 Port 5
Port 6
Port 7
Port 8
Port 9 Port 10 Port 11 Port 12
VLAN 1
VLAN 2
桃園縣九十二年度中小學資訊組長業務研討會
VLAN 3
桃園縣教育網路資源中心
19
不同網段的區隔
210.62.64.0 / 24 (210.62.64.0~210.62.64.255)
Access Access Access Access Access Access Access Access Access Access Access Routed
Port 1 Port 2 Port 3
Port 4 Port 5
Port 6
Port 7
Port 8
Port 9 Port 10 Port 11 Port 12
VLAN 1
VLAN 2
伺服器
可用IP
1 ~ 61
通訊閘 .62
VLAN 3
VLAN 4
行政電腦
電腦教室一
可用IP
可用IP 電腦教室二
65 ~ 125
129 ~ 189 可用IP
通訊閘 .126
通訊閘 .190193 ~ 253
通訊閘 .254
桃園縣九十二年度中小學資訊組長業務研討會
桃園縣教育網路資源中心
對
外
出
口
網
路
20
不同網段的區隔
210.62.64.0 / 25 (210.62.64.0~210.62.64.127)
Access Access Access Access Access Access Access Access Access Access Access Routed
Port 1 Port 2 Port 3
Port 4 Port 5
Port 6
Port 7
Port 8
Port 9 Port 10 Port 11 Port 12
VLAN 1
VLAN 2
伺服器 可用IP
1 ~ 61
通訊閘 .62
IP分享器
IP分享器
IP分享器
IP分享器
電腦教室
電腦教室
電腦教室
電腦教室
A
B
C
D
桃園縣九十二年度中小學資訊組長業務研討會
行政電腦
可用IP
65 ~ 125
通訊閘 .126
桃園縣教育網路資源中心
對
外
出
口
網
路
21
設備流量的監控
桃園縣九十二年度中小學資訊組長業務研討會
桃園縣教育網路資源中心
22
設備流量的監控
桃園縣九十二年度中小學資訊組長業務研討會
桃園縣教育網路資源中心
23
設備流量的監控
網路設備必須支援snmp
桃園縣九十二年度中小學資訊組長業務研討會
桃園縣教育網路資源中心
24
設備流量的監控
snmpwalk
桃園縣九十二年度中小學資訊組長業務研討會
桃園縣教育網路資源中心
25
設備流量的監控
 Netflow
桃園縣九十二年度中小學資訊組長業務研討會
桃園縣教育網路資源中心
26
網路的存取控制

Router ACL (RACL)





Port ACL (PACL)



Applied to SVI and routed ports
Standard and Extended IP ACLs
Can be applied to control plane or data plane traffic on all ports
可過濾 來源/目的 的網路卡卡號,來源/目的 的IP,來源/目的 的TCP/UDP port
Applied to specific switch port
可過濾 來源/目的 的網路卡卡號,來源/目的 的IP,來源/目的 的TCP/UDP port
VLAN ACL (VACL)
Applied to all packets either bridged or routed within a VLAN, including all
non- IP traffic
 可過濾 來源/目的 的網路卡卡號,來源/目的 的IP,來源/目的 的TCP/UDP por



ACL hierarchy: VLAN ACL gets applied first on ingress and last on egress
以時間為基礎 ACLs: security settings for specific periods of the day
桃園縣九十二年度中小學資訊組長業務研討會
桃園縣教育網路資源中心
27
偵測學校狀態的來源IP
 163.25.170/24
 163.16.1.29
 163.16.1.37
桃園縣九十二年度中小學資訊組長業務研討會
桃園縣教育網路資源中心
28
教育局入侵偵系統
 Cisco Catalyst 6500 Series Intrusion
Detection System (IDSM-2) Services
Module
桃園縣九十二年度中小學資訊組長業務研討會
桃園縣教育網路資源中心
29
防火牆建議擺設位置
中華電信提供
10.12.15.254
光電轉換設備
10.12.15.1
172.16.0.1
172.16.0.2
210.62.64.0/24
桃園縣九十二年度中小學資訊組長業務研討會
桃園縣教育網路資源中心
30
網路設備代管
 將可疑的IP自動寫入設備進行阻擋
 Vlan的分割規劃
 L2流量分析
 L3流量分析
 備援線路的支援
桃園縣九十二年度中小學資訊組長業務研討會
桃園縣教育網路資源中心
31
線路備援的支持
RFC 2328 OSPF v2
(including MD5
authentication)
使用OSPF完成
Layer 3的
負載平衡
及
備援連接功能
CISCO 6509
第一類電信業者
第一類電信業者
A
B
學校電校電腦機房
桃園縣九十二年度中小學資訊組長業務研討會
桃園縣教育網路資源中心
32
哪些產品可以適用於學校的環境
 小於80台電腦同時上網
 中信局
 SMC-6724L3,D-LinK DES-3326S 決標價NT$ 16,000元
 大於80台電腦同時上網
 學生數小於800人
 Cisco-3550-24-SMI
 學生數大於800人
 中信局
 Cisco-3750G-24TS-S 決標價 NT$ 167,353元
桃園縣九十二年度中小學資訊組長業務研討會
桃園縣教育網路資源中心
33
FTTB光轉換器燈號說明
PWR
SYS
Fail
PWR
LINK/ACT FDX/COL 100
SYS
Fail
LINK/ACT FDX/COL 100
TX
Console
TX
Console
FX
正常
PWR
SYS
Fail
FX
光纜不正常(通知中華電信)
LINK/ACT FDX/COL 100
TX
Console
FX
銅線不正常(檢查網路線及用戶設備)
PWR: 綠燈表示電源正常
SYS : 綠燈表示正常,黃燈表示不正常
Fail : 黃燈表示不正常,燈不亮正常
Link/Act: 綠燈表示連線,閃爍表示運作,不亮表示不正常
FDX/COL: 綠燈表示半雙工模式,燈不亮表示全雙工模式,閃爍綠色表示有衝突發生。
100: 綠燈表示連線速度100M,燈不亮表示連線速度10M
備註:TX代表銅線(FOT對用戶設備),FX代表光纜(FOT對局內設備)
桃園縣九十二年度中小學資訊組長業務研討會
桃園縣教育網路資源中心
34
全縣IP調整
 163.31.0.0/16
桃園縣九十二年度中小學資訊組長業務研討會
桃園縣教育網路資源中心
35
桃園縣九十二年度中小學資訊組長業務研討會
桃園縣教育網路資源中心
36