校園網(wǎng)路管理機(jī)制經(jīng)驗(yàn)分享.ppt_第1頁(yè)
校園網(wǎng)路管理機(jī)制經(jīng)驗(yàn)分享.ppt_第2頁(yè)
校園網(wǎng)路管理機(jī)制經(jīng)驗(yàn)分享.ppt_第3頁(yè)
校園網(wǎng)路管理機(jī)制經(jīng)驗(yàn)分享.ppt_第4頁(yè)
校園網(wǎng)路管理機(jī)制經(jīng)驗(yàn)分享.ppt_第5頁(yè)
已閱讀5頁(yè),還剩66頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶(hù)提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、校園網(wǎng)路管理機(jī)制經(jīng)驗(yàn)分享,報(bào)告人:陳昱仁,報(bào)告大綱,長(zhǎng)庚大學(xué)簡(jiǎn)介 校園網(wǎng)路架構(gòu)說(shuō)明 線路備援機(jī)制規(guī)劃 網(wǎng)路管理機(jī)制說(shuō)明 郵件系統(tǒng)架構(gòu)說(shuō)明 網(wǎng)管面對(duì)的挑戰(zhàn),長(zhǎng)庚大學(xué)簡(jiǎn)介,沿革,本校創(chuàng)立於民國(guó)76年4月,原名為長(zhǎng)庚醫(yī)學(xué)院 於82年更改校名為長(zhǎng)庚醫(yī)學(xué)暨工程學(xué)院 於86年8月起正式改制為長(zhǎng)庚大學(xué) 目前全校設(shè)置有醫(yī)學(xué)、工學(xué)、管理等三個(gè)學(xué)院 現(xiàn)有專(zhuān)任教師527人、兼任教師372人、學(xué)生6525人、職員164人,師生比約1:11,校訓(xùn),勤勞樸實(shí)是臺(tái)塑企業(yè)的創(chuàng)業(yè)精神,也是臺(tái)塑企業(yè)所創(chuàng)設(shè)三所學(xué)校的共同校訓(xùn)及教育理念 由於是企業(yè)辦學(xué),本校創(chuàng)辦人以他對(duì)此傳統(tǒng)美德身體力行和從根本作起的成功經(jīng)驗(yàn),期勉三校學(xué)子勤勉奮發(fā),

2、務(wù)實(shí)穩(wěn)健,組織架構(gòu),校地與校舍建築,本校現(xiàn)有校地37.13公頃,現(xiàn)有校舍包括第一醫(yī)學(xué)大樓、工學(xué)大樓、管理大樓、第二醫(yī)學(xué)大樓、學(xué)生宿舍(五棟)、職員宿舍、學(xué)生活動(dòng)中心、圖書(shū)館以及95學(xué)年度完成之第三學(xué)生宿舍(明德樓)等十三棟,每位學(xué)生平均校地面積65.1平方公尺,第一醫(yī)學(xué)大樓、工學(xué)大樓、管理大樓,學(xué)生宿舍、學(xué)生活動(dòng)中心、運(yùn)動(dòng)場(chǎng),校區(qū)平面配置圖,網(wǎng)路使用人數(shù),95學(xué)年度全校之師生人數(shù)約八千人 加上長(zhǎng)庚技術(shù)學(xué)院八千五百人 共約一萬(wàn)六千五百人,頻寬分配狀況,中央研究院出口(TANet) -供國(guó)內(nèi)網(wǎng)路存取 OC-48一條:2.5Gbps (上傳/下載) 中華電信出口(HiNet)-供國(guó)外網(wǎng)站存取(WWW

3、) ADSL五條:1.5Mbps*5=7.5Mbps(下載) +512Kbps*5=2.5Mbps(上傳) 中華電信出口(HiNet)-圖書(shū)館期刊特定需求服務(wù) ADSL一條:1.5Mbps(下載)+512Kbps(上傳),節(jié)點(diǎn)與網(wǎng)段數(shù)量,節(jié)點(diǎn)數(shù)量現(xiàn)況 一萬(wàn)四千多個(gè)節(jié)點(diǎn) 網(wǎng)段數(shù)量現(xiàn)況 包含實(shí)體與虛擬子網(wǎng)段以及企業(yè)網(wǎng)段有兩百多個(gè)子網(wǎng)段,符合教育部校園網(wǎng)路使用規(guī)範(fàn),明訂多項(xiàng)使用規(guī)範(fàn) 教育部校園網(wǎng)路使用規(guī)範(fàn) 校園網(wǎng)路使用管理辦法 WWW Server使用規(guī)則 宿舍網(wǎng)路使用規(guī)則 E-mail使用規(guī)則 網(wǎng)頁(yè)管理辦法 電腦教室使用管理辦法 .tw/ic/internet/i

4、nternet.htm,校園網(wǎng)路架構(gòu)說(shuō)明,TANET backbone Architecture,中央 RNC,中興 RNC,中正 RNC,成大RNC,中山 RNC,MOE,國(guó)家高速 電腦中心,交大 RNC,政大RNC,臺(tái)北縣網(wǎng),Other CityNetwork,KAO City Network,臺(tái)大 RNC,固網(wǎng)業(yè)者之 Layer2網(wǎng)路,固網(wǎng)業(yè)者之 Layer2網(wǎng)路,固網(wǎng)業(yè)者之 Layer2網(wǎng)路,中央研究院,Taipei CityNetwork,桃園POI,新竹POI,嘉義POI,臺(tái)南POI,LH GE*3,LH GE * 3,LH GE * 3,LH GE * 3,LH GE * 3,L

5、H GE * 3,LH GE * 1,LH GE * 1,LH GE*5,LH GE *3,STM-16*2,STM-16*2,STM-16*2,STM-16*2,STM-16*2,STM-16*2,STM-16*2,STM-16*2,STM-16*2,LH GE*1,TaiChungPOI,KAOPOI,TaipeiPOI,校園網(wǎng)路架構(gòu)圖,醫(yī)學(xué)大樓,第三教學(xué)大樓,工學(xué)大樓,長(zhǎng)庚技術(shù)學(xué)院,D 棟,6,(舊版),宿網(wǎng)架構(gòu)圖(舊版),各棟大樓網(wǎng)路昇位圖,校園網(wǎng)路架構(gòu)圖(新版),宿網(wǎng)架構(gòu)圖(新版),重要網(wǎng)路設(shè)備,Cisco GSR 12000 連接中央研究院 Radware LinkProof 聯(lián)外

6、路徑備援 Foundry BigIron 15000 核心交換器 Foundry BigIron 8000 x 2 Foundry BigIron 4000 x 2 Cisco Router 6509 x 3 3com CoreBuilder 9000 Juniper NetScreen 5200 x 2 IP NAT轉(zhuǎn)換 威播XKeeper網(wǎng)路濾淨(jìng)器 不當(dāng)網(wǎng)頁(yè)過(guò)濾 威播Gigabit NetKeeper (GNK)入侵偵測(cè)防禦系統(tǒng) x 2 Foundry ServerIron 400 HTTP流量重導(dǎo) Cisco Router 7505 ADSL流量分配 ISS G2000入侵偵測(cè)防禦系統(tǒng)

7、x 2,機(jī)房規(guī)劃,電力 50KVA及20KVA之不斷電系統(tǒng)(UPS)所組成 空調(diào) 二臺(tái)15T之冷氣機(jī) 消防 神龍HFC-227ea(FM-200)自動(dòng)滅火系統(tǒng)(氣體性滅火藥劑),無(wú)污染無(wú)毒性,線路備援機(jī)制規(guī)劃,對(duì)校內(nèi)各大樓,BigIron 15000,GSR 12000,ADSL ATUR,Cache Server,體育館,工學(xué)大樓,女生宿舍 BigIron 4000,男生宿舍,第一醫(yī)學(xué)大樓,長(zhǎng)庚技術(shù)學(xué)院,Netscreen 5200,Netelligent For sflow,管理大樓,頻寬整合/負(fù)載 平衡器,對(duì)校外ISP線路,中央研究院,ADSL,BGP,網(wǎng)路骨幹雙備援路由架構(gòu),對(duì)外線路的

8、分流及備援機(jī)制,GSR 12000,LinkProof,ADSL ATUR,Layer 3 的路由備援機(jī)制處理,VRRP,Standby,Active,BigIron 15000,BigIron 8000,Trunk,整個(gè)核心交換器達(dá)到AA備援,VRRP,Active,Active,BigIron 15000,BigIron 8000,VRRP,Trunk,IEEE 802.1s,網(wǎng)路管理機(jī)制說(shuō)明,校園簡(jiǎn)易網(wǎng)路架構(gòu)圖,工學(xué)院,管理大樓,醫(yī)學(xué)大樓,第二醫(yī)學(xué),女生宿舍,男生宿舍,資中機(jī)房 核心交換器 Cisco 6509,資中機(jī)房 核心交換器 Cisco 6509,資中機(jī)房 Net Screen

9、(NAT),資中機(jī)房 Link Proof,資中機(jī)房 GSR,中研院 機(jī)房,資中機(jī)房 Net Screen (NAT),第三宿舍,流量統(tǒng)計(jì)圖,網(wǎng)路使用流量表 (MRTG) 針對(duì)router及switch .tw/ic/internet/mrtg.htm 即時(shí)流量分析 (GenieNTC 2103) 統(tǒng)計(jì)項(xiàng)目包括:全校對(duì)校外流量、各子網(wǎng)路對(duì)校外流量、學(xué)生宿舍流量等 0,前128名IP Address使用量,每日總量分析 0 統(tǒng)計(jì)本校對(duì)外前128名IP Address使用量(IN/OUT)並可

10、查詢(xún)歷史資料 對(duì)於流量過(guò)大者鎖卡,並通知相關(guān)系所單位提出說(shuō)明,工學(xué)院,管理大樓,醫(yī)學(xué)大樓,第二醫(yī)學(xué),女生宿舍,男生宿舍,中研院 機(jī)房,第三宿舍,入侵偵測(cè)系統(tǒng),入侵偵測(cè)系統(tǒng),流量管制系統(tǒng),Session 鎖卡系統(tǒng),資中機(jī)房 核心交換器 Cisco 6509,資中機(jī)房 核心交換器 Cisco 6509,資中機(jī)房 Net Screen (NAT),資中機(jī)房 Link Proof,資中機(jī)房 GSR,資中機(jī)房 Net Screen (NAT),校園網(wǎng)路管制機(jī)制,現(xiàn)有管制措施 Nat 鎖卡系統(tǒng) 鎖卡7天 Session 1000 Port scan 100 次 IDP入侵偵測(cè) 防止病毒及阻擋P2P 流量管

11、制系統(tǒng) 管制每人單日流量 5G 偵測(cè)異常流量 阻擋異常過(guò)多連線 Session及主機(jī)連線數(shù)過(guò)多,校園網(wǎng)路管制機(jī)制,校園網(wǎng)路管制機(jī)制-NAT鎖IP系統(tǒng),女生宿舍,男生宿舍,資中機(jī)房 核心交換器 Cisco 6509,資中機(jī)房 Net Screen (NAT),第三宿舍,傳送LOG檔至鎖IP系統(tǒng),鎖IP系統(tǒng) 分析LOG檔,Session 1000 Port Scan 100,依照來(lái)源IP登入該棟核心交換器鎖該IP,校外IP Session 1000,資中機(jī)房 GSR,依照IP登入GSR鎖該IP,校園網(wǎng)路管制機(jī)制-NAT鎖IP系統(tǒng),同時(shí)連線數(shù)之即時(shí)管制,處理由NetScreen 5200產(chǎn)生之sys

12、log(程式由本校自行開(kāi)發(fā)) Src IP session limit NS-5200: NetScreen device_id=NS-5200 Rootsystem-critical-00033: Src IP session limit! From 2:3480 to 38:9739, proto TCP (zone Trust, int ethernet2/25). Occurred 4 times. (2006-05-12 12:43:10) 該IP可能因中毒或不當(dāng)使用P2P軟體造成同時(shí)連線數(shù)過(guò)多 以Static ARP設(shè)定在該大樓的Cor

13、e Switch上鎖IP,七天後自動(dòng)解除 Dst IP session limit NS-5200: NetScreen device_id=NS-5200 Rootsystem-critical-00430: Dst IP session limit! From 35:2487 to 7:8081, proto TCP (zone Untrust, int ethernet2/26). Occurred 1 times. (2006-05-08 10:55:37) 該IP可能遭受來(lái)自校外之DDoS攻擊 以ACL設(shè)定在出口之GSR上鎖IP,該IP

14、仍可使用校內(nèi)網(wǎng)路,但無(wú)法連出校外,每?jī)尚r(shí)會(huì)reset一次,校園網(wǎng)路管制機(jī)制-NAT鎖IP系統(tǒng),校園網(wǎng)路管制機(jī)制-IDP入侵偵測(cè),女生宿舍,男生宿舍,資中機(jī)房 核心交換器 Cisco 6509,資中機(jī)房 Net Screen (NAT),第三宿舍,Link Proof,GSR,IDP入侵偵測(cè)系統(tǒng),偵測(cè)到病毒,進(jìn)行阻擋,偵測(cè)到病毒,進(jìn)行阻擋,IDP管理系統(tǒng),IDP入侵偵測(cè)系統(tǒng),通知,通知,校園網(wǎng)路管制機(jī)制-IDP入侵偵測(cè),校園網(wǎng)路管制機(jī)制-流量管制系統(tǒng),女生宿舍,男生宿舍,資中機(jī)房 核心交換器 Cisco 6509,第三宿舍,流量超過(guò) 5 G,流量統(tǒng)計(jì)系統(tǒng),單一IP流量 5G,資中機(jī)房 行政區(qū)

15、核心交換器,單一IP流量 5G,Link Proof,GSR,校園網(wǎng)路管制機(jī)制-流量管制系統(tǒng),廣告信及網(wǎng)路攻擊行為處理機(jī)制,校內(nèi)公用之mail server已限制長(zhǎng)庚所屬I(mǎi)P才能寄信 若有被抱怨管理不善之主機(jī)(例:open relay或中CodeRed、Nimda病毒),資訊中心會(huì)立即通知該IP所屬單位網(wǎng)管人員處理;若該單位未即時(shí)處理,則再次通知時(shí)將副知該單位主管,必要時(shí)由資訊中心管制該IP連接TANet 限制虛擬網(wǎng)段無(wú)法架設(shè)SMTP Server 使用Layer3-Layer7 switch(Foundry ServerIron 400)可將CodeRed及Nimda 攻擊導(dǎo)入專(zhuān)用收納主機(jī)作

16、隔離 目前正在建置兩臺(tái)In-line IDP (ISS Proventia G2000-E),色情及不當(dāng)資訊過(guò)濾機(jī)制,過(guò)濾機(jī)制 不論使用者瀏覽器是否設(shè)定Proxy,透過(guò)Layer4 Switch將所有使用者的HTTP request先行導(dǎo)入網(wǎng)路過(guò)濾器,在網(wǎng)路過(guò)濾器中建立教育部提供的數(shù)十萬(wàn)筆不當(dāng)資訊網(wǎng)址,並且經(jīng)常更新資料庫(kù),以保持最新最有效的過(guò)濾能力,郵件系統(tǒng)架構(gòu)說(shuō)明,郵件系統(tǒng)架構(gòu),垃圾信(廣告信)處理,Spam Mail:廣告或垃圾郵件 本校處理方式 Access方式Discard Dynamic IP 灰名單(Greylist)機(jī)制,過(guò)濾程式大量寄信 以MailScanner進(jìn)行掃毒及過(guò)濾垃

17、圾郵件 以ClamAV針對(duì)郵件內(nèi)容進(jìn)行掃毒 以SpamAssassin針對(duì)郵件內(nèi)容判斷垃圾郵件 郵件標(biāo)題加註*SPAM*作為區(qū)分,Access Filter,/etc/mail/access 將動(dòng)態(tài)IP主機(jī)所寄來(lái)的信件,採(cǎi)用Discard方式,無(wú)聲無(wú)息將郵件刪除丟棄,不採(cǎi)用Reject,以免退信造成郵件主機(jī)負(fù)擔(dān) EX: mailserver.idv.tw DISCARD .tw DISCARD .tw DISCARD DISCARD DISCARD,灰名單(一),Greylist概念:由於SPAM業(yè)者所擁有名單均為蒐集而來(lái),不具可靠度,因此SPAM 所用的 MTA (Mail Transfer

18、 Agent) 寄信之後就不管遠(yuǎn)方的 mail server 有沒(méi)有收到它所寄的信,以免造成郵件主機(jī)處理退信負(fù)擔(dān);相反的,標(biāo)準(zhǔn)的 MTA 如果它寄信之後發(fā)生錯(cuò)誤,它會(huì)保留信件,隔一段時(shí)間後重新寄送這封信到遠(yuǎn)方的 mail server,灰名單(二),Greylist方法:第一次收到郵件就先拒絕這封郵件,等一段時(shí)間之後,如果又收到同樣的郵件就接收這封郵件 本校測(cè)試的結(jié)果 grey listing 約可以攔截 70% 的 SPAM 剩餘30%的使用SpamAssassin處理,GreyList處理流程,MailScanner,MailScanner是一個(gè)郵件通訊閘(Mail Gateway)的程式,並可以外加上掃毒引擎及廣告信判斷引擎來(lái)增加其過(guò)濾功能 MTA在接收到電子郵件後會(huì)都給MailScanner處理,MailScanner

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶(hù)所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶(hù)上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶(hù)上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶(hù)因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論