校園網路
(已重新導向自 Mantis:Project:校園網路)
-
- 從民國78年起,校園乙太網路陸續建置,從教學區擴大到宿舍區。
- 隨著網路科技的發達,頻寬的需求日益提昇,本中心於93年3月完成校園高速網路骨幹規劃建置案,擴充全校光纖及網路Router/Switch設備以增加網路效能,各系所及學生宿舍網路已全面提昇頻寬為1G及切割class C子網路。
- 藉由新設備將更有效防止網路安全問題,並且提供本校相關資訊科系MPLS/IPv6新一代連網傳輸協定之研發及實習環境。
- 除了骨幹網路的建置外,學生宿舍樓內及教職員宿舍網路設備也已在同年9月份全面更新管控。
- 本年度正規劃校園10G高速網路,以因應地科pc cluster、高能物理Grid、資電院相關計算環境等高速傳輸需求。
- 全校系統網路管理小組 http://www.cc.ncu.edu.tw/sysmgr/
- 主要目的是協助維護整個校園網路的正常運作,成員分別由各單位幾位老師同學及計中人員組成。
- 各單位或各樓館有自己的網段(C class),由出各單位或各樓館的網路設備管控。
- 網路上發現某網段有異常,可利用全校系統網路管理系統(SNMG)的網頁資料可以直接(也可以透過電算中心幫忙)發信或打分機給該網段的負責老師及網管請求協助解決。若該網段的管理者無法及時解決,電算中心會先將該有異常的ip 鎖住,不讓其通行於網路。
- 各單位若有不能解決的問題或技術上的需求,電算中心會協助幫忙。
- 各單位有什麼設備或人員上的需求可以向資訊系統管理委員會提出。
- 網管由各單位自行負責找學生維護所屬的網段網路正常運作。學生如果需要訓練,可以自由參加電算中心不定期開的各種網路課:開課日期及內容可以上計中網站查詢!
- 各單位負責監督聘任網管的工作狀況(網管會將每月的工作狀況 post 到全校系統網路管理系統SNMG的網頁中),可以自行決定要不要發給或延遲發給該月的工讀金。
- 標準作業流程
- 資通安全環境
- 資通安全相關設備,已購置入侵偵測防禦系統(IPS ),提供網路安全保護機制,監控系統是否有入侵及其它濫用事件發生。並且能在偵測到入侵事件或違規存取時,立即根據預先建立的安全政策給予即時的回應處置,降低校園網路的安全風險,以及有效阻擋網路病毒之攻擊。
- 重要伺服器前端架設防火牆,提供多層保護Juniper Networks NetScreen204、NS-25 。
- 重要認證伺服器前端架設負載平衡器L4 Switch,提供負載平衡,避免服務中斷 。
- 研究開發異常訊務監測及通報系統(http://lisa.tyc.edu.tw ),提供校內及區網中心預警機制 。
- 對於個人電腦重灌或已中毒之 pc, 透過電算中心自建之 PPPoE 代理伺服器,提供以 Web 設定 proxy 的方式,可連線到中大及微軟的網站,線上更新作業系統漏洞,https://uncia.cc.ncu.edu.tw/dormnet/PPPoE/ 。
- 建置雙電源伺服器,不斷電系統、發電機備援電力 。
- 提供全校防毒軟體,防護個人電腦中毒 。
- 建置郵件伺服器掃毒gateway ,提供第一層郵件掃毒功能 。
- 建置校內個人化郵件過濾系統(http://spamconf.cc.ncu.edu.tw) ,協助使用者過濾不當資訊並建立 TANet Anti-Spam入口網站,提供各區縣網中心規劃管理經驗分享 。
- 建置校內 CA伺服器,提供安全憑證申請,推廣校內各伺服器(Mail、WWW、POP3、LDAP、Radius)及應用系統透過認證伺服器認證,提供SSL安全機制 。
- 網路服務品質
- 中央大學是ㄧ個集:科學、工程、管理、文學薈萃的綜合大學. 目前設有文、理、工、管理、資訊電機、地球科學、客家等七個學院,廿個學系,十一個研究中心和四十六個研究所,學生人數萬餘人。根據國際ISI資料庫顯示,中央大學在遙測技術、太空天文、光電科技、電漿技術、防災科技、軟體工程、奈米科技、生醫工程、大氣科學、戲曲研究……等領域均臻世界水準。不僅是國內重點研究型大學之一,近年更獲選教育部「發展國際一流大學與頂尖研究中心」之列。 為提供充裕網路頻寬與更高品質的連網環境,協助全校師生與研究人員快速掌握各學術領域之關鍵技術,進行跨國跨校的多領域研究與實驗。維護高品質的校園與連外網路是必然的前提. 中央大學除了建置高效率的 10 Gigabit Ethernet校園網路,與界接多重的寬頻連外網路外, 網管人員也建置了校園網路連線流量與品質(QoS)的監測,監看系所單位上連線路傳輸狀況與流量外,也與開發 Flood 異常訊務監測系統(Flood Detection System) ,協助量測 Spam, Portscan, 與超量封包 DDoS攻擊等異常訊務. 防止外部網路對單位內網的攻擊與網蟲感染外,檢測內部遭網蟲感染的主機,及早修補系統弱點,防止被誤用為掩護spamm散播或網路攻擊的傀儡工具.
- 中央大學校園網路訊務品質(QoS)監測網頁
- 壹. 10 Gigabit Ethernet 校園骨幹網路
- 為配合中央大學迅速成長的研究、教學連網需求,中央大學除了增購 Cisco 7609 教學區核心router, Juniper M160 router, Force-10 宿舍區核心router, 與各系所的 Cisco 3750 Edge router外,也發包校園光纖建置案,建置高效率的 10 Gigabit Ethernet校園網路http://ayang.tyc.edu.tw/NCU_Campus/NcuBone_index.htm.
- 此外,也透過 SNMG (System Network Manager Group)的常設性組織,緊密地結合負責校園各棟建築網路的網管人員與工讀同學,維護校園網路的高效率運作,提供網路問題諮詢服務,與迅速維修/解決網路問題.
- 貳. 多重的寬頻連外網路
- 隨著網路的快速擴展與應用的多元化,掌握全球各學術領域之關鍵技術,進行跨國跨校的多領域研究與實驗,已是必然趨勢。為提供中央大學在 : 衛星遙測,微電子研究,光電科技,奈米科技,電漿晶格研究,天文研究,大地電磁測勘研究,全球變遷研究,大氣雷達研究,橋梁管理系統,鋰離子陰極及陽極材料研究,磁浮線性馬達關鍵技術研究與地球科學等領域的領先研究,充裕的國內/國外連網頻寬都是非常需要的.
- (A) 國內學術連網部份
- 中央大學除了透過1 Gigabit Ethernet光纖連線界接台灣學術網路TANet 骨幹外,也藉由10 Gigabit光纖與先進寬頻學術研究網路(TaiWan Advanced Research & Education Network,TWAREN)界接.並與國家高速網路與計算中心的TWAREN 維護團隊,完成多項的網路管理, IPv6新ㄧ代網路協定,與 IEEE 802.16 WiMax無線寬頻網路的研究計畫.
- (B) 國外連網部份
- 由於大量網路用戶透過P2P交換 VCD/DVD的影片或歌曲, Internet訊務已嚴重失衡:少數P2P用戶的訊務耗盡連線頻寬; TANet國外連線頻寬早已因P2P訊務驟增呈現飽和,無法提供順暢的國外連網品質.因此,中央大學也透過與台聯大骨幹網路(2.5 Gigabit)的界接,加強中央大學,交通大學,清華大學,陽明醫學院四校的學術交流,並分享 1.6 Gigabit的充裕出國專線頻寬,快速與全球商業/研究網路接軌.
- (C)商業ISP的寬頻互連網路方面
- 隨著國內商業網路的蓬勃發展,單點介接早已不是轉送龐大商業網路交換訊務的途徑. 為減少TANet桃園區網與商業網路(Internet Service Provider,ISP)的連網介接瓶頸,中央大學乃透過 Cisco 7609 core router, 以 1 Gigabit Ethernet光纖 與 Hinet core 網路互連(國內最大的 ISP),提供順暢,快速的連網服務品質.
- 叁. 校園網路訊務流量與品質(QoS)的監測
- 為維持校園網路與連外網路的順暢運作,網管人員除了使用基本的 Internet偵錯工具: traceroute,ping, nslookup, 協助發現問題網段與連線延遲外,也非常需要更圖形化的網路監測系統,週期性地蒐集網路設備介接網卡的 S (SNMP MIB),計算流量並據以產出流量監看網頁 ,方便用戶隨時查看.
- 中央大學建置了 MRTG (Multi Router Traffic Grapher) 軟體,設定系統定時擷取主要連網界面的 ifInOctets / ifOutOctets SNMP MIB (轉送的輸入/輸出 Byte量), 與 ifInUcastPkts / ifOutUcastPkts SNMP MIB (轉送的輸入/輸出 packet封包量),提供並訓練校園網管人員藉由 MRTG 網頁監看及時的主要連線的總BYTE流量及封包量分布.
- (A) 網路流量監看網頁(http://mrtg.tanet.edu.tw/tanet/tanetbb/index2.html)
- (B) 網路封包量監看網頁(http://163.28.49.5/packet/index.html)
- 肆. Flood 異常訊務監測 (Flood Detection System)
- 隨著網路應用的多元化與快速擴展,網路駭客也持續挖掘諸多Internet網路應用協定的安全弱點,發展惡意的病蟲程式(worm),感染數以百萬計的 PCs.並利用感染的用戶系統持續掃瞄全球PC安全弱點、散播網蟲,發動組織性DDoS攻擊、轉寄大量spam 色情/廣告信,甚至用來詐騙/盜領銀行用戶金錢、勒索知名商業網站等.
- 依據網路安全報導[1]: 全球網路約有 6百萬部連網電腦正被網路駭客操縱建構 "bot network",並利用它們作為最佳掩護工具寄發大量廣告/色情/病毒 email. 而這些電腦的用戶大多是全然不知其電腦被誤用的事. 因此,各級單位除了訂定網路安全策略,確實推展網路安全教育訓練,告知網路使用者基本的安全防護步驟外,也積極建置入侵偵測系統 (Intrusion Detection System,IDS),防止外部網路對單位內網的攻擊與網蟲感染外,也檢測內部網路遭網蟲或病毒感染的主機,及早修補系統弱點, 防止無辜用戶的主機被誤用為掩護spammer散播廣告信的工具.
- 網管人員擷取校園核心Router的Netflow 轉送訊務紀錄, 進行網路與攻擊訊務的量測,實作超量攻擊訊務的自動通告系統。協助管理人員找出異常的PortScan 弱點掃瞄的用戶系統, 發送Spam廣告信的訊務,並據以email通知網路管理及用戶儘速修補系統,阻截DDoS攻擊或廣告信散播.
- 已購置頻寬管理器,透過QoS網路頻寬服務品質設定,可達到使用者所需要的保證頻寬與最佳上網品質,確保重要性、即時性的資料能順利的傳輸。自訂網路存取規則,加強組織內部網路安全的防護。以及P2P流量控管。
- 流量統計資料: http://cygnus.cc.ncu.edu.tw/netflow/