新一代校園網路管理 中華電信系統整合 108.03.22.

Presentation on theme: "新一代校園網路管理 中華電信系統整合 108.03.22."— Presentation transcript:

1 新一代校園網路管理 中華電信系統整合

2 大綱 校園網路現況 新一代校園網路管理-EyeLAN網路解決方案 EyeLAN應用案例 EyeLAN管理介面

3 校園網路現況 系統眾多，各有管理系統 ?? 個人設備 IoT設備 終端設備接入 網管系統 安管系統 雲管系統 資安設備 資料中心設備
交換器 WiFi GW WiFi AP 路由器 資安設備 防火牆 DPI IPS/IDS 資料中心設備 SLB Server Storage VM 網路設備 IoT設備 接入終端設備眾多, 需要管理??

4 網路印表機勒索威脅 2017年2月開始，全國至少46所大院校及國中小學遭駭客入侵，以網路印表機傳送恐嚇信，勒索3個比特幣、約10萬台幣，揚言不付款，將會癱瘓網路 事件觀察: IoT設備多使用Public IP，易於從外網連入 多數設備並無管控存取連線(Access Control)，任何IP皆可連入 設備多為預設管理密碼，易遭駭客破解

5 IoT 攻擊逐年激增 誰的IoT設備?

6 企業網路面對的資安威脅 攻擊手法： 外對內  DDoS攻擊 (購買防火牆無效) 內對內 外部遙控內對內攻擊 (透過Ethernet網路)
資料來源: iThome 2016/07 攻擊手法： 外對內  DDoS攻擊 (購買防火牆無效) 內對內 外部遙控內對內攻擊 (透過Ethernet網路)

7 台積電抓出魔鬼：裝新機台未掃毒 蒸發78億！ 台積電抓出魔鬼：裝新機台未掃毒 電腦病毒會主動擴散
消息人士透露，台積電是在上周五（二日）傍晚約五、六時遭電腦病毒入侵，並於當晚十時許擴散至三大廠區。依台積電昨天的公告推算，事件發生後約四十小時，已恢復八成機台生產作業，預計在關鍵的六十小時「排毒行動」後，可望全數排除電腦病毒；但比原先預期慢了約一天，受衝擊營收也比預期大 台積電昨天下午發布重大訊息指出，針對事件發生原因，主要是出於「新機台在安裝軟體的過程中操作失誤」，病毒在新機台連接到台積電內部電腦網路時，發生病毒擴散，但公司資料的完整性和機密資訊皆未受影響 電腦病毒會主動擴散 資料來源:

8 (中華電信自主研發的新一代智慧網路管理系統)
EyeLAN企業網路解決方案 (中華電信自主研發的新一代智慧網路管理系統)

9 EyeLAN 五大面向 終端設備連網管理 集中化網路管理 與資安設備聯防 機房網路管理 第三方管理系統聯動 5 3 4 2 1 SOC平台
SDN 控制器 交換器 2 SDN網路管理 3 4 訊務分析設備 資安設備聯防 機房網路管理 訊務過濾設備 資料中心端 資安防護專區 1 終端設備連網管理 Phone pad Printer PC NB IP camera IPTV 個人終端設備 IoT設備

10 EyeLAN 設備元件 EyeLAN組成元件 可與現有網路設備互運 NAPA控制器+ OpenFlow 交換器
(選配) SD-BOX, GPro, DPI.. 等 可與現有網路設備互運 加值應用(選配) SD-BOX L3 Routing、連線加密、 安全功能) HiGate維運管控 EyeLAN產品基本組合 NAPA控制器 Open Flow交換器 GPro 訊務側錄分析 EyeSee 網管企業版 EyeQuila APT潛伏威脅的偵測

11 EyeLAN網路架構建議 架構1 架構2 不改變原有網路架構 OpenFlow交換器取代L2交換器 增加OpenFlow交換器
實名制可視化管理 無法防止ARP偵測其他設備的IP/MAC資料 無法防止東西向攻擊 架構2 OpenFlow交換器取代L2交換器 實名制可視化管理 端對端隔離管理 可以防治ARP攻擊/偽造 CHTNet 2.0 架構

12 EyeLAN應用案例

13 案例一: 校園網路應用 架構1 已執行 網路使用設備實名制管理 非註冊設備不可以使用網路 流量監控
管控IoT設備連網，避免被攻擊或操控 (6/4已裝機) 新需求 跨校園管理 (3個校區) 進出校園接口網路架構調整(導入SDN執行訊務工程) 情境說明 員工 學校資訊系統 SDN控制器 設備資訊 SD-LAN產品 行政人員登入資訊 自動完成設定 ④ ⑤ 流量監控 SDN交換器 取得學校設備資訊 (Radius) 需求 網路設備實名制管理 IoT設備隔離 多校園管理

14 案例二: 宿舍網路 架構1 可以綁定床位，可支援同學更換宿舍房間(有時幾 週、有時每月) 可以提供使用者網路使用時數與網路流量的報表
案例二: 宿舍網路 架構1 可以綁定床位，可支援同學更換宿舍房間(有時幾 週、有時每月) 可以提供使用者網路使用時數與網路流量的報表 可提供認證網頁，跟學校LDAP整合 可進行0-2點限制網速 (研究生例外) 需求 綁定位置 限時限頻寬管理 管理網頁Portal

15 案例三: xx大學SDN建設案 架構2 校園網路替換成SDN網路 主要需求 需求
Micro-segmentation: Isolation upon infection Autoconfig of switches: 換設備自動供裝、自動偵測設備、自動訊務蒐集、自動網路拓樸 Centralized management of 300+ switches 需求 網路隔離 自動化 集中管理 segment 2 NAPA Controller OpenFlow Switch Segment 1 1 2 3 In normal situation Host infected by virus

16 案例四: 校園多WAN POC架構圖 運用SD-BOX 2.0，滿足客戶需求 支援多個WAN介面，並且作分流
支援Static Routing、Policy Routing Thin AP改為Fat AP架構 POC架構圖

17 案例五: SDN輔助骨幹防火牆 架構 OpenFlow Switch旁掛防火牆 進行防火牆流量offload 防火牆障礙時，Bypass用途
需求 防火牆流量offload 降低防火牆負載 x x

18 案例六: xx公司 架構2 舊網路 新網路 設計原則 安全 供裝維運 費用 強化網路安全、易管理、自動化
容易連線及使用(Default開通) ，隨插隨用 增購防火牆進行接取管理 網路24小時全開通 單一VPN網路 網路嚴格管理(Default不通)，沒有申請即無法使用 進行設備管理(無須額外設備) 上班時段網路開通，非上班時段需申請 多個VPN網路 安全 無內部防護機制 可布建防火牆進行網段隔離 可加購資安設備 無法用ARP偵測其他設備的IP/MAC資料 特定網段/特殊連線(業務會議)可進行隔離 供裝維運 人工操作 個別設定 人員異動須人工作業網路設定 資訊系統自動供裝設定 統一GUI集中設定/管理 人員異動由資訊系統自動變更 費用 整體費用低於舊網路

19 xx公司大樓網路架構 特色 由資訊系統(IPAM)管理網 路的使用者
SDN-VPN Cisco C3850 資訊機房 SDDC SDN- VPN SD-LAN 維運終端 印表機 會議室終端 OA 會議室 OA終端 維運 nMAN Core 委外 委外人員終端 vMX /24 /24 /24 /24 1 3 2 隔離 特色 由資訊系統(IPAM)管理網 路的使用者 資訊系統可動態調整設備屬 性 ，網路接收指令自動調 整設定(無人工介入) NAPA依據屬性將設備導到 不同路徑，彼此隔離 網管人員透過NAPA管理網 路 骨幹網路確實隔離(各自有 路由器) 四個VPN 正職 專屬維運終端 委外 會議室終端

20 案例七: xx社區智慧路燈 架構2 IoT設備可視化(實名制)管理 訊務監控 IoT設備設 主動偵測IoT設備是否存活 QoS
Multicasting 需求 IoT設備實名制管理 主動偵測IoT設備狀況 點對多點傳送視訊 簡化維運負擔

21 EyeLAN導入管理功能介紹

22 EyeLAN 介面 集中管理 SDN網路拓樸 設定週期備份還原 快速排除網路障礙 1 功能列表 2 事件告警紀錄 3 控制器使用率 4
服務網路 5 最新登入列表 1 2 3 集中管理 SDN網路拓樸 設定週期備份還原 快速排除網路障礙 4 5

23 EyeLAN網路架構拓樸圖

24 終端設備連網管理 實名制管理: 以使用者與身份特性管理誰可以使用網路 IP+MAC管控 僅允許合法IP/MAC使用網路
自動禁止未授權 IP 位址 (IPv4/IPv6)或MAC位址連網 避免 IP 衝突及防止 IP 、MAC 竄改 實名制管理 IP+MAC管控 王曉明 謝美美 謝美美5樓辦公室PC 王曉明6樓辦公室PC 實驗室F201伺服器 Enable

25 自動偵測終端位置 自動偵測連網主機的IP、MAC位址資訊 紀錄連網主機接入交換器及實體埠 整合拓樸顯示 (3) 2 1 3

26 設備狀態顯示 交換器管理 顯示實體埠狀態，確認線路是否鬆脫 快速檢視實體埠流量 依實體埠數呈現 快速檢視實體埠流量 快速檢視示狀態
綠色：正常 灰色：無連線 黑色：管理者設定為port down 綠色 灰色 黑色

27 連網時間管理 新增連網時間管理服務 對終端設備事先設定網路啟用及終止時段
允許使用網路的時間範圍內，自動開通設備連網；非允許連網的時段，當偵測設備嘗試上網則自動阻斷開通路徑

28 流量監控 實體埠或指定訊務(By MAC/ IP/ VLAN) 即時流量監控
顯示查詢結果 輸入監控條件 目標IP 顯示單位 偵測間隔

29 整體網路流量監看 顯示整體網路拓樸, 包括OpenFlow交換器資訊, 相連的實體埠(port)及相關Flow設定等
提供鏈路流量監看,易於網路管理者掌握目前網路全貌 流量分級 閒置 壅塞

30 網路設定備份及還原(1/2) 資料庫備份 提供手動/定期備份資料庫 1 新增備份排程 2 設定備份週期 3 顯示備份排程列表

31 網路設定備份及還原(2/2) 資料庫還原 提供手動還原資料庫，當系統發生問題或人為操作不當時，可優先恢復系統數據，維持服務正常運作 2 1
還原資料庫備份 2 檢視當前備份列表 1

32 感謝聆聽 敬請指教