校园网路校园网路优化ppt课件

1、產品經理：林靖堯產品經理：林靖堯 Lancelancellt.tw+886-916293915+886-21002458#8583Agendan 校園網路管理所面臨到的問題n 網路管了解決方案n 異常行為分析控管n 頻寬管理n 無線網路建置應用n Q & A校園網路管理所面臨到的問題n 網路管理的目的-網路永遠坚持暢通n 現有的做法n PC端：防毒軟體(AV/IPS)、运用者認証、政策宣導n 網路出口端：防火牆(FW)、入侵偵測系統(IPS/IDS)、防毒閘道器(AV Gateway)n 以上確實解決了一些問題n 接下來的問題呢?n 新型病毒? 來自於網路或是移動式媒體。n 頻寬运用效

2、率? 如何得知頻寬被正確运用。n 無線網路佈建? 管理與平安的兩難。資訊平安投資與平衡點實用性投資額平安性資訊平安資訊平安我的單位需求何種程度的資訊平安保護?實用性, 開銷, 資料平安程度網路管了解決方案-異常行為控管網路環境現況n 現有網路環境的破绽n 內部網路的控管n 從防火牆至PC端，完全轉送-交換器的任务。n 快速的交換器(L2/L3)加速了內部網路的危害n 交換器無法檢查封包合法性或是內容平安，n 分散式IPS/IDS?n 非常有效，但是價格與效能卻是個大問題。n 不能够的任務：Security Box?n 檢查封包來源目的、重組封包還原附件。n 即時阻隔。n 還可以做到Non-Bl

3、ocking 線速交換。現有的解決方案n 知型/未知型病毒的共同行為方式：n 在最快時間內散佈/感染n 大量的建立連線往往導致交換器效能滿載n 網路管理者在第一時間要做什麼?n 迅速找到問題點，並立刻隔離。n 等待/等待解毒往往是緩慢的解決方式n 現在的解決方式n 利用Sniffer方式找出流量異常主機n 交換器網管軟體協助。n 將被感染主機下線如何有效控管主機異常行為?監控主機NetFlow /sFlow /SPANUTM Gateway如何有效控管主機異常行為?監控主機NetFlow /sFlow /SPANUTM Gateway異常行為控管優點n 行為方式導向n 未知型/知型病毒發作方式

4、n 即時阻擋n 減少災情擴大n 先自動阻擋, 再由網管人員解除n 不需利用交換器廠商網管軟體n 功能缺乏, 價格昂貴n 節省人力與時間n 有效節省網管人員人力n 坚持其他教職人員任务時間網路管了解決方案-頻寬管理頻寬管理目的與方式n 頻寬管理目的n 針對运用WAN資源控管。n 大部份的網路設備都有頻寬管理才干n 交換器-頻寬管理間距過大, 1M100Mbps, 不適合用在WAN端控管頻寬。n 防火牆-需以防火牆政策達成,添加防火牆負擔。n 幾乎一切現有網路設備僅能以服務埠做為控管依據n Layer 4 Only, 如WEB(80), FTP(21), SMTP(25)等。n 無法針對應用程式做

5、控管。n 以上設備皆無法以時間或是流量制定頻寬政策。專屬頻寬管理器發展n L4頻寬管理器無法確實有效管理頻寬n 現在幾乎沒有廠商開發此類產品。n L7頻寬管理器價格落差大n 進口/國產品牌價格差距大，約五倍價差。n 援助應用程式數量不同n 進口品牌援助較完好(約200種以上應用程式)。n 國產品牌援助主要應用為主。專屬頻寬管理器發展 (cont.)n 具備完好報表功能n 閘道端, NAT設備後方, 頻寬运用狀況分析與管理狀況。n 运用者頻寬分析。n 具備自動斷路功能n 閘道設備, 不易利用HA方式備援n 依據時間表與配額限制與管理运用者运用頻寬。架設頻寬管理器對校園的幫助n 節省不用要的頻寬浪

6、費n 存取正常資源运用者之运用權被保证。n 有限制開放能够呵斥浪費頻寬的軟體, 如FTP, Web等。n 真正限制某應用軟體應用, 如BT, MXIE等。n 制定應用程式运用政策n 如上課時間不能运用MSN或是SKYPE等。n 或是頻寬限制與保证某些軟體。n 報表系統記錄或分析頻寬运用現況n 永遠不夠的頻寬究竟运用狀況如何?n 是誰不断大量运用非必要頻寬?網路管了解決方案-無線網路建置應用無線網路建置n THIN-AP? FAT-AP?802.11a/b/gAntennasPolicyMobilityForwardingEncryptionAuthenticationManagementPol

7、icyMobilityForwardingEncryptionAuthenticationManagement802.11a/b/gAntennas运用THIN-AP架構優點n 管理簡易, 設定快速n 完全由控制器設定, 不需個別設定AP。n 資料平安性佳n 一切加解密資料皆由控制器處理。n 建置速度快n 快速建立無線環境, 不需改變有線網路設定。n 效能較普通FAT-AP好n 僅轉送資料給控制器, 不做加解密動作。n 財產清點快速n 控制器可列出目前一切AP狀況與运用者。运用者管理問題-Role-Based管理依據n 按照要运用的資源按照要运用的資源 我是我是 Kevin, 正在以正在以no

8、tebook运用运用 VoIP.n 按照身分按照身分我是我是 Kevin, 身分是內部身分是內部正式員工正式員工.n 按照設備狀態按照設備狀態 我是我是 Kevin, 运用的运用的notebook沒有發現病毒沒有發現病毒或蠕蟲或蠕蟲.n 按照實體位置按照實體位置 我是我是Kevin, 在會議室运用在會議室运用notebook.n 按照時間表按照時間表 我是我是 Kevin, 登入的時間登入的時間是週三下午是週三下午1:40 p.m. 漫遊機制的重要-語音服務的不斷線Subnet 1Subnet 2DHCP server运用者按照規劃,於DHCP server获得初始IP122.

9、运用者移動到新的網段並發出 DHCP request5. 不論是同switch下不同AP間的漫遊,或是不同switch間,跨 IP subnet的漫遊皆可援助,真正做到不須重新認證,網路層與應用層皆不中斷!33. 應用 proxy DHCP, Wi-Fi switch 以IP-IP tunnel聯繫回此一client端的home switch44.Client 仍維持一样的 IP address ,即使到了不同的網段.(異網漫遊)IP - IP TunnelAruba AP無線/有線網路运用者共同管理n 帳號管理與有線網路一样n 利用LDAP、RADIUSn 無線交換器需能承載有線與無線运用者共同运用n 有線無線皆以同樣