校園網(wǎng)路管理機制經(jīng)驗分享.ppt

1、校園網(wǎng)路管理機制經(jīng)驗分享,報告人：陳昱仁,報告大綱,長庚大學簡介 校園網(wǎng)路架構(gòu)說明 線路備援機制規(guī)劃 網(wǎng)路管理機制說明 郵件系統(tǒng)架構(gòu)說明 網(wǎng)管面對的挑戰(zhàn),長庚大學簡介,沿革,本校創(chuàng)立於民國76年4月，原名為長庚醫(yī)學院 於82年更改校名為長庚醫(yī)學暨工程學院 於86年8月起正式改制為長庚大學 目前全校設置有醫(yī)學、工學、管理等三個學院 現(xiàn)有專任教師527人、兼任教師372人、學生6525人、職員164人，師生比約1:11,校訓,勤勞樸實是臺塑企業(yè)的創(chuàng)業(yè)精神，也是臺塑企業(yè)所創(chuàng)設三所學校的共同校訓及教育理念 由於是企業(yè)辦學，本校創(chuàng)辦人以他對此傳統(tǒng)美德身體力行和從根本作起的成功經(jīng)驗，期勉三校學子勤勉奮發(fā)，

2、務實穩(wěn)健,組織架構(gòu),校地與校舍建築,本校現(xiàn)有校地37.13公頃，現(xiàn)有校舍包括第一醫(yī)學大樓、工學大樓、管理大樓、第二醫(yī)學大樓、學生宿舍（五棟）、職員宿舍、學生活動中心、圖書館以及95學年度完成之第三學生宿舍（明德樓）等十三棟，每位學生平均校地面積65.1平方公尺,第一醫(yī)學大樓、工學大樓、管理大樓,學生宿舍、學生活動中心、運動場,校區(qū)平面配置圖,網(wǎng)路使用人數(shù),95學年度全校之師生人數(shù)約八千人 加上長庚技術(shù)學院八千五百人 共約一萬六千五百人,頻寬分配狀況,中央研究院出口(TANet) -供國內(nèi)網(wǎng)路存取 OC-48一條：2.5Gbps (上傳/下載) 中華電信出口(HiNet)-供國外網(wǎng)站存取(WWW

3、) ADSL五條：1.5Mbps*5=7.5Mbps(下載) +512Kbps*5=2.5Mbps(上傳) 中華電信出口(HiNet)-圖書館期刊特定需求服務 ADSL一條：1.5Mbps(下載)+512Kbps(上傳),節(jié)點與網(wǎng)段數(shù)量,節(jié)點數(shù)量現(xiàn)況 一萬四千多個節(jié)點 網(wǎng)段數(shù)量現(xiàn)況 包含實體與虛擬子網(wǎng)段以及企業(yè)網(wǎng)段有兩百多個子網(wǎng)段,符合教育部校園網(wǎng)路使用規(guī)範,明訂多項使用規(guī)範 教育部校園網(wǎng)路使用規(guī)範 校園網(wǎng)路使用管理辦法 WWW Server使用規(guī)則 宿舍網(wǎng)路使用規(guī)則 E-mail使用規(guī)則 網(wǎng)頁管理辦法 電腦教室使用管理辦法 .tw/ic/internet/i

4、nternet.htm,校園網(wǎng)路架構(gòu)說明,TANET backbone Architecture,中央 RNC,中興 RNC,中正 RNC,成大RNC,中山 RNC,MOE,國家高速 電腦中心,交大 RNC,政大RNC,臺北縣網(wǎng),Other CityNetwork,KAO City Network,臺大 RNC,固網(wǎng)業(yè)者之 Layer2網(wǎng)路,固網(wǎng)業(yè)者之 Layer2網(wǎng)路,固網(wǎng)業(yè)者之 Layer2網(wǎng)路,中央研究院,Taipei CityNetwork,桃園POI,新竹POI,嘉義POI,臺南POI,LH GE*3,LH GE * 3,LH GE * 3,LH GE * 3,LH GE * 3,L

5、H GE * 3,LH GE * 1,LH GE * 1,LH GE*5,LH GE *3,STM-16*2,STM-16*2,STM-16*2,STM-16*2,STM-16*2,STM-16*2,STM-16*2,STM-16*2,STM-16*2,LH GE*1,TaiChungPOI,KAOPOI,TaipeiPOI,校園網(wǎng)路架構(gòu)圖,醫(yī)學大樓,第三教學大樓,工學大樓,長庚技術(shù)學院,D 棟,6,（舊版）,宿網(wǎng)架構(gòu)圖（舊版）,各棟大樓網(wǎng)路昇位圖,校園網(wǎng)路架構(gòu)圖（新版）,宿網(wǎng)架構(gòu)圖（新版）,重要網(wǎng)路設備,Cisco GSR 12000 連接中央研究院 Radware LinkProof 聯(lián)外

6、路徑備援 Foundry BigIron 15000 核心交換器 Foundry BigIron 8000 x 2 Foundry BigIron 4000 x 2 Cisco Router 6509 x 3 3com CoreBuilder 9000 Juniper NetScreen 5200 x 2 IP NAT轉(zhuǎn)換 威播XKeeper網(wǎng)路濾淨器 不當網(wǎng)頁過濾 威播Gigabit NetKeeper (GNK)入侵偵測防禦系統(tǒng) x 2 Foundry ServerIron 400 HTTP流量重導 Cisco Router 7505 ADSL流量分配 ISS G2000入侵偵測防禦系統(tǒng)

7、x 2,機房規(guī)劃,電力 50KVA及20KVA之不斷電系統(tǒng)(UPS)所組成 空調(diào) 二臺15T之冷氣機 消防 神龍HFC-227ea(FM-200)自動滅火系統(tǒng)（氣體性滅火藥劑），無污染無毒性,線路備援機制規(guī)劃,對校內(nèi)各大樓,BigIron 15000,GSR 12000,ADSL ATUR,Cache Server,體育館,工學大樓,女生宿舍 BigIron 4000,男生宿舍,第一醫(yī)學大樓,長庚技術(shù)學院,Netscreen 5200,Netelligent For sflow,管理大樓,頻寬整合/負載 平衡器,對校外ISP線路,中央研究院,ADSL,BGP,網(wǎng)路骨幹雙備援路由架構(gòu),對外線路的

8、分流及備援機制,GSR 12000,LinkProof,ADSL ATUR,Layer 3 的路由備援機制處理,VRRP,Standby,Active,BigIron 15000,BigIron 8000,Trunk,整個核心交換器達到AA備援,VRRP,Active,Active,BigIron 15000,BigIron 8000,VRRP,Trunk,IEEE 802.1s,網(wǎng)路管理機制說明,校園簡易網(wǎng)路架構(gòu)圖,工學院,管理大樓,醫(yī)學大樓,第二醫(yī)學,女生宿舍,男生宿舍,資中機房 核心交換器 Cisco 6509,資中機房 核心交換器 Cisco 6509,資中機房 Net Screen

9、(NAT),資中機房 Link Proof,資中機房 GSR,中研院 機房,資中機房 Net Screen (NAT),第三宿舍,流量統(tǒng)計圖,網(wǎng)路使用流量表 (MRTG) 針對router及switch .tw/ic/internet/mrtg.htm 即時流量分析 (GenieNTC 2103) 統(tǒng)計項目包括：全校對校外流量、各子網(wǎng)路對校外流量、學生宿舍流量等 0,前128名IP Address使用量,每日總量分析 0 統(tǒng)計本校對外前128名IP Address使用量(IN/OUT)並可

10、查詢歷史資料 對於流量過大者鎖卡，並通知相關(guān)系所單位提出說明,工學院,管理大樓,醫(yī)學大樓,第二醫(yī)學,女生宿舍,男生宿舍,中研院 機房,第三宿舍,入侵偵測系統(tǒng),入侵偵測系統(tǒng),流量管制系統(tǒng),Session 鎖卡系統(tǒng),資中機房 核心交換器 Cisco 6509,資中機房 核心交換器 Cisco 6509,資中機房 Net Screen (NAT),資中機房 Link Proof,資中機房 GSR,資中機房 Net Screen (NAT),校園網(wǎng)路管制機制,現(xiàn)有管制措施 Nat 鎖卡系統(tǒng) 鎖卡7天 Session 1000 Port scan 100 次 IDP入侵偵測 防止病毒及阻擋P2P 流量管

11、制系統(tǒng) 管制每人單日流量 5G 偵測異常流量 阻擋異常過多連線 Session及主機連線數(shù)過多,校園網(wǎng)路管制機制,校園網(wǎng)路管制機制-NAT鎖IP系統(tǒng),女生宿舍,男生宿舍,資中機房 核心交換器 Cisco 6509,資中機房 Net Screen (NAT),第三宿舍,傳送LOG檔至鎖IP系統(tǒng),鎖IP系統(tǒng) 分析LOG檔,Session 1000 Port Scan 100,依照來源IP登入該棟核心交換器鎖該IP,校外IP Session 1000,資中機房 GSR,依照IP登入GSR鎖該IP,校園網(wǎng)路管制機制-NAT鎖IP系統(tǒng),同時連線數(shù)之即時管制,處理由NetScreen 5200產(chǎn)生之sys

12、log（程式由本校自行開發(fā)） Src IP session limit NS-5200: NetScreen device_id=NS-5200 Rootsystem-critical-00033: Src IP session limit! From 2:3480 to 38:9739, proto TCP (zone Trust, int ethernet2/25). Occurred 4 times. (2006-05-12 12:43:10) 該IP可能因中毒或不當使用P2P軟體造成同時連線數(shù)過多 以Static ARP設定在該大樓的Cor

13、e Switch上鎖IP，七天後自動解除 Dst IP session limit NS-5200: NetScreen device_id=NS-5200 Rootsystem-critical-00430: Dst IP session limit! From 35:2487 to 7:8081, proto TCP (zone Untrust, int ethernet2/26). Occurred 1 times. (2006-05-08 10:55:37) 該IP可能遭受來自校外之DDoS攻擊 以ACL設定在出口之GSR上鎖IP，該IP

14、仍可使用校內(nèi)網(wǎng)路，但無法連出校外，每兩小時會reset一次,校園網(wǎng)路管制機制-NAT鎖IP系統(tǒng),校園網(wǎng)路管制機制-IDP入侵偵測,女生宿舍,男生宿舍,資中機房 核心交換器 Cisco 6509,資中機房 Net Screen (NAT),第三宿舍,Link Proof,GSR,IDP入侵偵測系統(tǒng),偵測到病毒,進行阻擋,偵測到病毒,進行阻擋,IDP管理系統(tǒng),IDP入侵偵測系統(tǒng),通知,通知,校園網(wǎng)路管制機制-IDP入侵偵測,校園網(wǎng)路管制機制-流量管制系統(tǒng),女生宿舍,男生宿舍,資中機房 核心交換器 Cisco 6509,第三宿舍,流量超過 5 G,流量統(tǒng)計系統(tǒng),單一IP流量 5G,資中機房 行政區(qū)

15、核心交換器,單一IP流量 5G,Link Proof,GSR,校園網(wǎng)路管制機制-流量管制系統(tǒng),廣告信及網(wǎng)路攻擊行為處理機制,校內(nèi)公用之mail server已限制長庚所屬IP才能寄信 若有被抱怨管理不善之主機（例：open relay或中CodeRed、Nimda病毒），資訊中心會立即通知該IP所屬單位網(wǎng)管人員處理；若該單位未即時處理，則再次通知時將副知該單位主管，必要時由資訊中心管制該IP連接TANet 限制虛擬網(wǎng)段無法架設SMTP Server 使用Layer3-Layer7 switch（Foundry ServerIron 400）可將CodeRed及Nimda 攻擊導入專用收納主機作

16、隔離 目前正在建置兩臺In-line IDP (ISS Proventia G2000-E),色情及不當資訊過濾機制,過濾機制 不論使用者瀏覽器是否設定Proxy，透過Layer4 Switch將所有使用者的HTTP request先行導入網(wǎng)路過濾器，在網(wǎng)路過濾器中建立教育部提供的數(shù)十萬筆不當資訊網(wǎng)址，並且經(jīng)常更新資料庫，以保持最新最有效的過濾能力,郵件系統(tǒng)架構(gòu)說明,郵件系統(tǒng)架構(gòu),垃圾信（廣告信）處理,Spam Mail：廣告或垃圾郵件 本校處理方式 Access方式Discard Dynamic IP 灰名單(Greylist)機制，過濾程式大量寄信 以MailScanner進行掃毒及過濾垃

17、圾郵件 以ClamAV針對郵件內(nèi)容進行掃毒 以SpamAssassin針對郵件內(nèi)容判斷垃圾郵件 郵件標題加註*SPAM*作為區(qū)分,Access Filter,/etc/mail/access 將動態(tài)IP主機所寄來的信件，採用Discard方式，無聲無息將郵件刪除丟棄，不採用Reject，以免退信造成郵件主機負擔 EX: mailserver.idv.tw DISCARD .tw DISCARD .tw DISCARD DISCARD DISCARD,灰名單(一),Greylist概念：由於SPAM業(yè)者所擁有名單均為蒐集而來，不具可靠度，因此SPAM 所用的 MTA (Mail Transfer

18、 Agent) 寄信之後就不管遠方的 mail server 有沒有收到它所寄的信，以免造成郵件主機處理退信負擔；相反的，標準的 MTA 如果它寄信之後發(fā)生錯誤，它會保留信件，隔一段時間後重新寄送這封信到遠方的 mail server,灰名單(二),Greylist方法：第一次收到郵件就先拒絕這封郵件，等一段時間之後，如果又收到同樣的郵件就接收這封郵件 本校測試的結(jié)果 grey listing 約可以攔截 70% 的 SPAM 剩餘30%的使用SpamAssassin處理,GreyList處理流程,MailScanner,MailScanner是一個郵件通訊閘(Mail Gateway)的程式，並可以外加上掃毒引擎及廣告信判斷引擎來增加其過濾功能 MTA在接收到電子郵件後會都給MailScanner處理，MailScanner