1 / 36

學校網路設備規畫與建置

學校網路設備規畫與建置. 報告人:莊斯凱. 教育局網路架構說明. 桃園縣教育網路中心 架構圖 (~91.1). 教育部 TANET. 中央大學. 中華電信 ATM 骨幹. 中華電信 ATM 骨幹. 北區中小學 ADSL 用戶. 南區中小學 ADSL 用戶. 縣內偏遠中小學 專線用戶. OC3 45MB T1 1.5MB. 建國國中 ( 舊縣網 中心 ). 桃園縣教育網路中心 架構圖 (91.2~92.4). 教育部 TANET. 中央大學. Hinet ADSL. 中華電信 ATM 骨幹. 縣內中小學 ADSL 用戶.

carson
Download Presentation

學校網路設備規畫與建置

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 學校網路設備規畫與建置 報告人:莊斯凱

  2. 教育局網路架構說明

  3. 桃園縣教育網路中心架構圖(~91.1) 教育部 TANET 中央大學 中華電信 ATM骨幹 中華電信 ATM骨幹 北區中小學 ADSL用戶 南區中小學 ADSL用戶 縣內偏遠中小學 專線用戶 OC3 45MB T1 1.5MB 建國國中(舊縣網中心)

  4. 桃園縣教育網路中心架構圖(91.2~92.4) 教育部 TANET 中央大學 Hinet ADSL 中華電信 ATM骨幹 縣內中小學 ADSL用戶 政府網際網路 GSN 負載平衡器 縣內偏遠中小學 專線用戶 縣網中心7513Router OC3 45MB FE 100MBGE 1000MB T1 1.5MB Wireless 11MB 縣網中心 2948G-L3 Switch 文化局 IBM SERVER IBM PROXY SERVER IBM PROXY SERVER IBM SERVER 縣府計畫室

  5. 桃園縣教育網路中心架構圖(92.5~10) 教育部 TANET 中央大學 Hinet ADSL 中華電信 ATM骨幹 縣內中小學 ADSL用戶 中華電信 東森寬頻 政府網際網路 GSN CISCO 6509 負載平衡器 CISCO 7513 縣內偏遠中小學 專線用戶 2948G-L3 Switch CISCO 3662 桃園市專線用戶 Gigabit Ethernet STM-1 155MB Fast Ethernet 100MB T1 1.5MB Wireless 11MB 文化局 IBM SERVER IBM PROXY SERVER IBM PROXY SERVER IBM SERVER 縣府計畫室

  6. 桃園縣教育網路中心架構圖(92.10~) 1G vai CHT 1G vai EBT CHT富國 CHT普義 縣內中小學 ADSL用戶 Hinet 縣內偏遠中小學 專線用戶 桃園市專線用戶

  7. 教育局網路機房備援機制 • 電源雙迴路電源加UPS • 空調雙套五噸氣冷式空調 • 網路頻寬對外中華、東森 • 對學校 中華 雙迴路光纖 • 網路設備雙套網路設備或雙模組

  8. 校園新世紀骨幹網路

  9. 中小學校園新世紀骨幹網路 • 光纖到學校電腦機房 • 介接介面RJ45 100Mb • 使用十比一集縮比 • 目前介接狀態 • ADSL:68間 • ADSL(FOT):14間 • 專線:14間 • FastEthernet:139間

  10. 光纖到學校電腦機房 CISCO 6509 第一類電信業者 B 第一類電信業者 A 學校電校電腦機房

  11. 校園網路設備規劃 與 管理策略

  12. 設備規劃 • 使用Vlan區隔不同使用者 • 運用IEEE802.1Q跨越單一線路的迷思 • 具備基礎IP routing的交換器 • 使用不同網段的區隔,阻隔網路的廣播風暴

  13. 管理策略 • 設備流量的監控 • 使用者連線的管制 • 網路安全的防護 • 線路備援的支持

  14. Vlan的規劃設計 • 依使用者狀況的不同,區分不同的環境 • 伺服器提供學校各類服務的區域Vlan1 • 行政電腦各類公務資料流通區域Vlan2 • 電腦教室一資訊課程教學區域Vlan3 • 電腦教室二資訊課程教學區域Vlan4 1 2 3 4 5 6 7 8 9 10 11 12 Access Port 1 Access Port 2 Access Port 3 Access Port 4 Access Port 5 Access Port 6 Access Port 7 Access Port 8 Access Port 9 Access Port 10 Access Port 11 Routed Port 12 VLAN 1 VLAN 2 VLAN 3

  15. IEEE802.1Q • 網段的區隔 • 網路彈性 • 安全性 一年級 二年級 行政 A VLAN = A Broadcast Domain = Logical Network (Subnet)

  16. IEEE802.1Q • Each logical VLAN is like a separate physical bridge. • VLANs can span across multiple switches. • Trunks carry traffic for multiple VLANs. • Trunks use special encapsulation to distinguish between different VLANs.

  17. IEEE802.1Q

  18. 基礎IP routing Routing Function SVI 1 RP 2 SVI 2 SVI 3 Access Port 1 Access Port 2 Access Port 3 Access Port 4 Access Port 5 Access Port 6 Access Port 7 Access Port 8 Access Port 9 Access Port 10 Access Port 11 Routed Port 12 VLAN 1 VLAN 2 VLAN 3

  19. 不同網段的區隔 210.62.64.0 / 24 (210.62.64.0~210.62.64.255) Access Port 1 Access Port 2 Access Port 3 Access Port 4 Access Port 5 Access Port 6 Access Port 7 Access Port 8 Access Port 9 Access Port 10 Access Port 11 Routed Port 12 VLAN 1 VLAN 2 VLAN 3 VLAN 4 對外出口網路 伺服器 可用IP 1 ~ 61 通訊閘 .62 行政電腦 可用IP 65 ~ 125 通訊閘 .126 電腦教室一 可用IP 129 ~ 189 通訊閘 .190 電腦教室二 可用IP 193 ~ 253 通訊閘 .254

  20. 不同網段的區隔 210.62.64.0 / 25 (210.62.64.0~210.62.64.127) Access Port 1 Access Port 2 Access Port 3 Access Port 4 Access Port 5 Access Port 6 Access Port 7 Access Port 8 Access Port 9 Access Port 10 Access Port 11 Routed Port 12 VLAN 1 VLAN 2 伺服器 可用IP 1 ~ 61 通訊閘 .62 對外出口網路 行政電腦 可用IP 65 ~ 125 通訊閘 .126 IP分享器 IP分享器 IP分享器 IP分享器 電腦教室 A 電腦教室 B 電腦教室 C 電腦教室 D

  21. 設備流量的監控

  22. 設備流量的監控

  23. 設備流量的監控 網路設備必須支援snmp

  24. 設備流量的監控 snmpwalk

  25. 設備流量的監控 • Netflow

  26. 網路的存取控制 • Router ACL (RACL) • Applied to SVI and routed ports • Standard and Extended IP ACLs • Can be applied to control plane or data plane traffic on all ports • 可過濾 來源/目的 的網路卡卡號,來源/目的 的IP,來源/目的 的TCP/UDP port • Port ACL (PACL) • Applied to specific switch port • 可過濾 來源/目的 的網路卡卡號,來源/目的 的IP,來源/目的 的TCP/UDP port • VLAN ACL (VACL) • Applied to all packets either bridged or routed within a VLAN, including all non- IP traffic • 可過濾 來源/目的 的網路卡卡號,來源/目的 的IP,來源/目的 的TCP/UDP por • ACL hierarchy: VLAN ACL gets applied first on ingress and last on egress • 以時間為基礎 ACLs: security settings for specific periods of the day

  27. 偵測學校狀態的來源IP • 163.25.170/24 • 163.16.1.29 • 163.16.1.37

  28. 教育局入侵偵系統 • Cisco Catalyst 6500 Series IntrusionDetection System (IDSM-2) Services Module

  29. 防火牆建議擺設位置 中華電信提供 光電轉換設備 10.12.15.254 10.12.15.1 172.16.0.1 172.16.0.2 210.62.64.0/24

  30. 網路設備代管 • 將可疑的IP自動寫入設備進行阻擋 • Vlan的分割規劃 • L2流量分析 • L3流量分析 • 備援線路的支援

  31. 線路備援的支持 使用OSPF完成 Layer 3的負載平衡及備援連接功能 RFC 2328 OSPF v2 (including MD5 authentication) CISCO 6509 第一類電信業者 B 第一類電信業者 A 學校電校電腦機房

  32. 哪些產品可以適用於學校的環境 • 小於80台電腦同時上網 • 中信局 • SMC-6724L3,D-LinK DES-3326S 決標價NT$16,000元 • 大於80台電腦同時上網 • 學生數小於800人 • Cisco-3550-24-SMI • 學生數大於800人 • 中信局 • Cisco-3750G-24TS-S 決標價 NT$167,353元

  33. PWR SYS Fail LINK/ACT FDX/COL 100 PWR SYS Fail LINK/ACT FDX/COL 100 TX TX Console Console FX FX 光纜不正常(通知中華電信) 正常 PWR SYS Fail LINK/ACT FDX/COL 100 TX Console FX 銅線不正常(檢查網路線及用戶設備) FTTB光轉換器燈號說明 PWR: 綠燈表示電源正常 SYS : 綠燈表示正常,黃燈表示不正常 Fail : 黃燈表示不正常,燈不亮正常 Link/Act: 綠燈表示連線,閃爍表示運作,不亮表示不正常 FDX/COL: 綠燈表示半雙工模式,燈不亮表示全雙工模式,閃爍綠色表示有衝突發生。 100: 綠燈表示連線速度100M,燈不亮表示連線速度10M 備註:TX代表銅線(FOT對用戶設備),FX代表光纜(FOT對局內設備)

  34. 全縣IP調整 • 163.31.0.0/16

  35. 謝謝指導

More Related