網路組 張維世 paul@cc.hfu.edu.tw 華梵大學 電子計算機中心簡介 網路組 張維世 paul@cc.hfu.edu.tw
組織架構 主任 系統組四人 行政助理 網路組二人
近三年經費 九十一年度總經費共計壹仟貮佰餘萬元 九十二年度總經費共計壹仟參佰餘萬元 九十三年度總預算共計捌佰玖拾萬元 網路建設部份約 七佰萬元 九十二年度總經費共計壹仟參佰餘萬元 網路部份約 九佰餘萬元 九十三年度總預算共計捌佰玖拾萬元 網路部份約 伍佰萬元
電腦教室 因空間限制目前僅一間60人電腦教室 未來新大樓完工,將提供100人教室二間 主要支援上課使用 其餘時間提供自由上機 可彈性調整為四間50人教室 提供24小時上機教室
校園網路設備 核心交換器 第二層交換器 Foundry BigIron 8000 Jetcore 32Port miniGBIC + 16Port 100/1000 GBEthernet 第二層交換器 Foundry FastIron 4802 8 台 3Com 3300, 4250 SMC 6750, 8624
校園網路設備 防火牆 負載平衡設備 Fortigate 3000 提供全校對外電路防火防毒 Netscreen 208, 100 提供宿網進行流量管制及NAT 使用 負載平衡設備 F5 BigIP 5000 提供對外電路負載平衡及政策路由使用
校園網路設備 無線網路 VPN 服務 遠端撥入 SMC 安全閘道設備 Gemtek Wireless Access Points Fortigate 3000 提供PPTP服務 予UNIX平台建立PPTP伺服器,供教職員生使用 遠端撥入 Lucent PRI-ISDN 設備 Telebit + 國產數據機
網址分配 全校共有18個Class C 宿舍網路使用 Private IP 無線網路使用 Private IP (Any IP) 210.59.110.0 ~ 210.59.127.0 宿舍網路使用 Private IP 172.16.11.0/24 ~ 172.16.42.0/24 無線網路使用 Private IP (Any IP) 172.18.0.0
華梵大學網路架構圖 - 20040501 HFU BI-8000 FES4802 行政大樓 警衛室 調度室 華梵堂 慈蓮苑 文化村 SMC6750 3Com 般若堂 環設實驗室 工設系 建築系 中文系 外文系 東研所 哲學系 圖書館 機械系 FWS4802 資管系 社團 體育室 教官室 3Com4250 學務處 明鏡樓宿舍 明月樓宿舍 覺照樓宿舍 國際會議廳 覺照樓 六度樓 環設系 美術系 通識中心 電子系 工管系 計算機中心 PCI-24K F5-Bi5000 TANet Hinet 200Mbps 五條 2M/384K Fortigate 華梵大學網路架構圖 - 20040501 1000LX 100FX
校園網路對外電路 TANet 電路 ADSL 電路 撥接電路 連接政大 200Mbps 連接 Hinet 2M/384K固一式 * 五條 提供 33.6K * 16 線(附掛ADSL之用)
校園網路管制政策 對外電路禁止以下協定 以下協定予以限流 ICMP UDP : 137-139, 445, 1434 TCP : 137-139, 445, 1434 以下協定予以限流 UDP : 4660-4800, 8880-8890, 6666, 6677, 6688, 6699 TCP : 4660-4800, 8880-8890, 6666, 6677, 6688, 6699
校園網路管制政策 WWW, DNS 採正面表列 SSH 僅允許台灣地區IP連線 在TANET電路故障時,停止傳輸量大的協定 禁止校外以SNMP連接本校設備 限制本校流量大戶連外頻寬
網路服務 電子郵件/個人網頁 代理伺服器 教職員200MB, 學生 40MB 伺服器 postfix + procmail + amavis + uvscan + openwebmail + spamassassin 代理伺服器 Proxy for TANet Proxy for Hinet Socks5 for Hinet
宿舍網路 以樓層分配一組Class C,使用Private IP 每間分配六個IP位置(4 人房) 每個節點以Layer2 Switch 進行限流 上/下載頻宽為 2 / 3Mbps 目前宿舍共有 4 棟 11個樓層 約 1000 個床位 宿網對校內採靜態路由,對外必須進行NAT轉址,才能連線。
無線網路 基礎建設 目前已申請加入校際漫遊計劃 分三期施作 以目前第二期完工後,校園涵蓋率超過85% 佈建112台無線設備,含室外專用13台 第一期為各教學大樓為主-九十二年九月完工 第二期為各宿舍及操場馬路等空壙地區-九十三年一月完工 第三期為校外建築-預計九十三年十一月完工 以目前第二期完工後,校園涵蓋率超過85% 佈建112台無線設備,含室外專用13台 目前已申請加入校際漫遊計劃
無線網路 網路架構 AP佈建於各大樓之樓層,以POE方式供電及網路接取,連入各大樓第二層交換器後,以Virtual LAN連接核心交換器。在此收容後,再連接SMC安全閘道器進行認證及管制工作 由於使用SMC安全閘道器,全校漫遊不斷線。 認證方式採用個人電子郵件帳號登入,以Radius方式處理。 訪客也可不經認證,以Guest 上線(但僅提供校內流覽服務)
網路管理 流量監測 採用世新范組長的Netmon系統,進行細部監控 配合MRTG/RRDTool 的定時監測,僅可能提早發現問題 網頁流量監控,以避免放置違反智財權的內容
伺服器管理 網路伺服器架構 主要伺服器介紹 伺服器記錄分析統計 伺服器安全措施 伺服器備份機制
網路伺服器架構 主要伺服器簡介 目前提供http、ftp、smtp、pop3、dns等網路服務。 伺服器架構 伺服器組成 主要由IBM、compaq及Sun組成。 主要網路作業系統 Linux(Trustix及RedHat),Sun Solaris 7。 伺服器架構 目前分為教職員及學生兩個domain(見架構圖)。
網路伺服器架構圖
主要伺服器介紹 網頁伺服器(WWW Server) 作業平台:Linux及Solaris 網頁伺服器:Apache + PHP 資料庫伺服器:MySQL 運作說明: 用apache+php+mysql建構整套網頁伺服器系統,網頁資料等存放於NFS伺服器上。
域名伺服器(DNS Server) 作業系統:Solaris 7 域名伺服器:Bind 運作說明: 建置兩部DNS Server,分別作為Primary及Secondary,各系亦可建置自有之Sub-domain name Server。
電子郵件伺服器 作業平台:Linux SMTP伺服器:Postfix POP3伺服器:Qpopper 網頁郵件:Openwebmail 運作說明: 郵件系統包含病毒及廣告信件過濾,同時並限制保留郵件天數為100天。 在relay管制方面,僅校內IP可以relay,另支援SASL機制,方便校外使用者使用。 詳細架構圖見下頁。
電子郵件系統架構
將通過smtp伺服器的信件執行病毒掃瞄,中毒信件將被隔離,同時寄發警告信通知系統管理員。 AntiVirus For SMTP 將通過smtp伺服器的信件執行病毒掃瞄,中毒信件將被隔離,同時寄發警告信通知系統管理員。 被隔離的病毒信
廣告信件過濾機制 使用Open source的軟體Spamassassin。
廣告信Header
廣告信內容 Subject會被替換成 *****[垃圾郵件通知 SPAM Hits:XX.XX]*****
檔案傳輸伺服器 作業系統:Linux FTP伺服器:Proftpd 運作說明: 提供續傳功能,另設定限制,限定連線數目、閒置時間、CPU使用率等。
伺服器記錄分析統計 系統負載
電子郵件伺服器郵件及病毒統計 利用rrdtool及配合分析amavis log的程式,每5分鐘更新一次。
網頁伺服器分析 使用awstats做apache之log分析,使用cron table每6小時作一次。
使用Openssh、SNP加密連線,telnet功能則已關閉停用。 伺服器安全措施 連線管理 使用Openssh、SNP加密連線,telnet功能則已關閉停用。 本機防火牆 採正面表列,Linux使用iptables,Sun使用ipfilter,開放固定port。
Security Scanner 利用nessus執行系統弱點掃瞄分析,並依據其結果更新系統程式。
系統更新 Redhat利用Red-Carpet自動下載更新程式,Trustix則內建SWUP(The Secure SoftWare UPdater )系統更新程式,每天自動檢查更新,其餘則配合TWCERT做更新動作。
伺服器備份機制 每日定時備份 備份工具rsync ufsdump dump等。
ufsdump dump 備份機制 利用NFS將Server端的資料存放置備份伺服器,備份的資料保存2天。
Rsync備份架構 利用rsync備份軟體將資料傳送至備份伺服器。