Download presentation
Presentation is loading. Please wait.
1
學校網路設備規畫與建置 報告人:莊斯凱
2
教育局網路架構說明
3
桃園縣教育網路中心 架構圖(~91.1) 教育部 中央大學 TANET 北區中小學 ADSL用戶 南區中小學 ADSL用戶 中華電信
ATM骨幹 中華電信 ATM骨幹 北區中小學 ADSL用戶 南區中小學 ADSL用戶 縣內偏遠中小學 專線用戶 OC3 45MB T1 1.5MB 建國國中(舊縣網中心)
4
桃園縣教育網路中心 架構圖(91.2~92.4) 教育部 中央大學 TANET Hinet ADSL 縣內中小學 ADSL用戶 中華電信
ATM骨幹 縣內中小學 ADSL用戶 政府網際網路 GSN 負載平衡器 縣內偏遠中小學 專線用戶 縣網中心7513Router OC3 45MB FE 100MB GE 1000MB T1 1.5MB Wireless 11MB 縣網中心 2948G-L3 Switch 文化局 IBM PROXY SERVER IBM PROXY SERVER IBM SERVER IBM SERVER 縣府計畫室
5
桃園縣教育網路中心 架構圖(92.5~10) 教育部 中央大學 TANET Hinet ADSL 縣內中小學 ADSL用戶 中華電信
ATM骨幹 縣內中小學 ADSL用戶 中華電信 東森寬頻 政府網際網路 GSN CISCO 6509 負載平衡器 CISCO 7513 縣內偏遠中小學 專線用戶 2948G-L3 Switch CISCO 3662 桃園市專線用戶 Gigabit Ethernet STM-1 155MB Fast Ethernet 100MB T1 1.5MB Wireless 11MB 文化局 IBM PROXY SERVER IBM PROXY SERVER IBM SERVER IBM SERVER 縣府計畫室
6
桃園縣教育網路中心 架構圖(92.10~) 縣內中小學 ADSL用戶 Hinet 縣內偏遠中小學 專線用戶 桃園市 專線用戶
1G vai CHT 1G vai EBT CHT富國 CHT普義 縣內中小學 ADSL用戶 Hinet 縣內偏遠中小學 專線用戶 桃園市 專線用戶
7
教育局網路機房備援機制 電源雙迴路電源加UPS 空調雙套五噸氣冷式空調 網路頻寬對外中華、東森 對學校 中華 雙迴路光纖
網路設備雙套網路設備或雙模組
8
校園新世紀骨幹網路
9
中小學校園新世紀骨幹網路 光纖到學校電腦機房 介接介面RJ45 100Mb 使用十比一集縮比 目前介接狀態 ADSL:68間
ADSL(FOT):14間 專線:14間 FastEthernet:139間
10
光纖到學校電腦機房 CISCO 6509 第一類電信業者 B 第一類電信業者 A 學校電校電腦機房
11
校園網路 設備規劃 與 管理策略
12
設備規劃 使用Vlan區隔不同使用者 運用IEEE802.1Q跨越單一線路的迷思 具備基礎IP routing的交換器
使用不同網段的區隔,阻隔網路的廣播風暴
13
管理策略 設備流量的監控 使用者連線的管制 網路安全的防護 線路備援的支持
14
Vlan的規劃設計 依使用者狀況的不同,區分不同的環境 伺服器提供學校各類服務的區域Vlan1
2 3 4 5 6 7 8 9 10 11 12 Access Port 1 Access Port 2 Access Port 3 Access Port 4 Access Port 5 Access Port 6 Access Port 7 Access Port 8 Access Port 9 Access Port 10 Access Port 11 Routed Port 12 VLAN 1 VLAN 2 VLAN 3
15
A VLAN = A Broadcast Domain = Logical Network (Subnet)
IEEE802.1Q 網段的區隔 網路彈性 安全性 行政 一年級 二年級 A VLAN = A Broadcast Domain = Logical Network (Subnet)
16
IEEE802.1Q Each logical VLAN is like a separate physical bridge.
VLANs can span across multiple switches. Trunks carry traffic for multiple VLANs. Trunks use special encapsulation to distinguish between different VLANs.
18
IEEE802.1Q
19
基礎IP routing Routing Function VLAN 1 VLAN 2 VLAN 3 SVI 1 RP 2 SVI 2
Access Port 1 Access Port 2 Access Port 3 Access Port 4 Access Port 5 Access Port 6 Access Port 7 Access Port 8 Access Port 9 Access Port 10 Access Port 11 Routed Port 12 VLAN 1 VLAN 2 VLAN 3
20
不同網段的區隔 對外出口網路 伺服器 可用IP 行政電腦 1 ~ 61 可用IP 電腦教室一 通訊閘 .62 65 ~ 125 可用IP
/ 24 ( ~ ) Access Port 1 Access Port 2 Access Port 3 Access Port 4 Access Port 5 Access Port 6 Access Port 7 Access Port 8 Access Port 9 Access Port 10 Access Port 11 Routed Port 12 VLAN 1 VLAN 2 VLAN 3 VLAN 4 對外出口網路 伺服器 可用IP 1 ~ 61 通訊閘 .62 行政電腦 可用IP 65 ~ 125 通訊閘 .126 電腦教室一 可用IP 129 ~ 189 通訊閘 .190 電腦教室二 可用IP 193 ~ 253 通訊閘 .254
21
不同網段的區隔 伺服器 可用IP 對外出口網路 1 ~ 61 通訊閘 .62 行政電腦 可用IP 65 ~ 125 通訊閘 .126
/ 25 ( ~ ) Access Port 1 Access Port 2 Access Port 3 Access Port 4 Access Port 5 Access Port 6 Access Port 7 Access Port 8 Access Port 9 Access Port 10 Access Port 11 Routed Port 12 VLAN 1 VLAN 2 伺服器 可用IP 1 ~ 61 通訊閘 .62 對外出口網路 行政電腦 可用IP 65 ~ 125 通訊閘 .126 IP分享器 IP分享器 IP分享器 IP分享器 電腦教室 A 電腦教室 B 電腦教室 C 電腦教室 D
22
設備流量的監控
23
設備流量的監控
24
設備流量的監控 網路設備必須支援snmp
25
設備流量的監控 snmpwalk
26
設備流量的監控 Netflow
27
網路的存取控制 Router ACL (RACL) Port ACL (PACL) VLAN ACL (VACL)
Applied to SVI and routed ports Standard and Extended IP ACLs Can be applied to control plane or data plane traffic on all ports 可過濾 來源/目的 的網路卡卡號,來源/目的 的IP,來源/目的 的TCP/UDP port Port ACL (PACL) Applied to specific switch port VLAN ACL (VACL) Applied to all packets either bridged or routed within a VLAN, including all non- IP traffic 可過濾 來源/目的 的網路卡卡號,來源/目的 的IP,來源/目的 的TCP/UDP por ACL hierarchy: VLAN ACL gets applied first on ingress and last on egress 以時間為基礎 ACLs: security settings for specific periods of the day
28
偵測學校狀態的來源IP /24
29
教育局入侵偵系統 Cisco Catalyst 6500 Series Intrusion Detection System (IDSM-2) Services Module
30
防火牆建議擺設位置 中華電信提供 光電轉換設備 /24
31
網路設備代管 將可疑的IP自動寫入設備進行阻擋 Vlan的分割規劃 L2流量分析 L3流量分析 備援線路的支援
32
使用OSPF完成 Layer 3的 負載平衡 及 備援連接功能
線路備援的支持 使用OSPF完成 Layer 3的 負載平衡 及 備援連接功能 RFC 2328 OSPF v2 (including MD5 authentication) CISCO 6509 第一類電信業者 B 第一類電信業者 A 學校電校電腦機房
33
哪些產品可以適用於學校的環境 小於80台電腦同時上網 大於80台電腦同時上網 中信局 學生數小於800人 學生數大於800人
SMC-6724L3,D-LinK DES-3326S 決標價NT$ 16,000元 大於80台電腦同時上網 學生數小於800人 Cisco SMI 學生數大於800人 Cisco-3750G-24TS-S 決標價 NT$ 167,353元
34
FTTB光轉換器燈號說明 正常 光纜不正常(通知中華電信) 銅線不正常(檢查網路線及用戶設備) PWR: 綠燈表示電源正常
SYS Console Fail LINK/ACT FDX/COL 100 TX FX 正常 PWR SYS Console Fail LINK/ACT FDX/COL 100 TX FX 光纜不正常(通知中華電信) PWR SYS Console Fail LINK/ACT FDX/COL 100 TX FX 銅線不正常(檢查網路線及用戶設備) PWR: 綠燈表示電源正常 SYS : 綠燈表示正常,黃燈表示不正常 Fail : 黃燈表示不正常,燈不亮正常 Link/Act: 綠燈表示連線,閃爍表示運作,不亮表示不正常 FDX/COL: 綠燈表示半雙工模式,燈不亮表示全雙工模式,閃爍綠色表示有衝突發生。 100: 綠燈表示連線速度100M,燈不亮表示連線速度10M 備註:TX代表銅線(FOT對用戶設備),FX代表光纜(FOT對局內設備)
35
全縣IP調整 /16
36
謝謝指導
Similar presentations