臺南市新進資訊組長研習

• 網路組 : 郭子誠

• VoIP 69094

綱要

• 身份確認

• 臺南市網路架構介紹

• 防火牆開埠申請說明

• 網路觀測

• 網路電話

• 台南市無線網路環境說明

您在身份認證上俱備資訊組長職務了嗎? • 確認自己在身份認證系統上具有「資訊組長」職務， 以俱備權限操作以下服務平台:

• DNS雲端管理平台(https://webdns.tn.edu.tw/ )

• VoIP查號台(http://voip.tn.edu.tw/ )

• 無線網路帳號管理平台 (即將上線)

• 資訊組長e-mail會被加入資訊組長群組中。

資訊組長業務專區

http://web.tn.edu.tw/forum/

網路管理飛番雲端

電腦維運

無線網路

資訊系統

資訊安全

相關業務資詢窗口

http://www.tn.edu.tw/contact.htm

搜尋文章需登入身份證帳號，搜尋欄位在網頁

右上方。

網管工作維護重點

• 維持學校首頁主機正常運作，並支援IPv6 。

• 維持學校對外網路暢通。

• 無線網路支援跨校漫遊。

• 學校傳統分機可撥打網路電話。

IAAS網路架構

臺南市學校流量趨勢圖

• http://mrtg.tn.edu.tw 學校流量統計

• 每日至少觀察一次學校狀態。

校園網路流量觀測

• http://flow.tn.edu.tw 流量統計分析 (每日至少觀察一次)。

查詢各校IP流出量(上傳量)

查詢各校IP流入量(下載量)

學校IP上傳統計

學校單位 IPv4/IPv6 上傳至目的IP統計

學校IP下載統計

下載之來源IP統計

流量觀測案例分析-1

流量觀測案例分析-2

1000 bits /8 = 125KB/s

3000 bits/8 * 60 * 60 *24 / 1024= 31640MB

流量觀測案例分析-2

流量觀測案例分析-3

有看到流出量，但在IP統量統計看不到

學校有異常的廣播風爆，或網路設備故障。

流量觀測案例分析-4

持續的流出

從零晨開始

流量觀測案例分析-5

phpMyAdmin漏洞，成為駭客殭屍電腦對外發動攻擊。

流量觀測案例分析-6

校園網路流量觀測小撇步

• 每日至少觀察流量一次。

• 熟悉平時的用量狀況，與前後做比較。

• 從協定的流量統計去分析是本身網站服務造成流量異常或是主機成為殭屍電腦對外發動攻擊。

• 從行為或IP的區域判斷是否合理。

• 從流量時間點判斷。

網站服務狀態監測及學校線路監測

• http://ping.tn.edu.tw 提供學校對外線路偵測、網站運作及IPv6支援偵測。 舊版Ping網站只提供線路偵測及WWW偵測。

網站服務狀態監測及學校線路監測

• 學校首頁(WWW)需支援IPv6 。

• 學校對外線路連通率不佳或首頁無法連線，系統會自動發送E-MAIL通知，通知對象「資訊組長」。

網站服務狀態監測及學校線路監測

• 各校DNS目前統一由中心提供DNS雲端平台提供服務。 學校連通率(3426)用來偵測學校對外線路是否暢通，正常為100%。

DNS服務架設於中心雲端平台

學校首頁放置中心雲端

PAAS平台

偵測學校骨幹交換器

案例分享

• 因颱風電學校電力中斷， 網路中斷。

• 學校www主機放置在學校， 故主機連線也中斷。

綠色表示學校對外線路

綠色表示學校對外線路

蘇迪樂颱風電力中斷

案例分享

• 學校區域網路發生擴播封包，導致交換器網路繁忙，影響正常封包傳遞。

https://www.youtube.com/watch?v=se-pVwapTic

大量廣播封包出現導致學校流量

趨勢圖大量流出

學校線路連通率受影響

線路連通率受影響

案例分享

• 當學校網路設備故障，同樣會發廣播風爆，發送大量封包。

• 從學校骨幹交換器中， 可以看到Port 23收到大 量的封包，並傳送到交 換器所有連接埠上。 Port 23下接的

網路有問題

臺南市學校網路自動阻斷機制

• 目前設定自動阻斷的條件是： – [外對內]

• 外部主機連接相同的destination port，每10分鐘超過100台不同的內部主機。 – [內對外]

• 1.內部主機連接相同的destination port，每10分鐘超過1000台不同的主機。

• 2.內部主機連接tcp 25，每10分鐘超過100台不同的主機。 • 3.內部主機送出icmp封包，每10分鐘超過100台不同的主機。

– 有異常時會被阻斷10分鐘,若下一個10分鐘問題仍然存,則有問題的IP則繼續被阻擋。

– 被阻擋的IP,使用該IP的電腦會只能存取台南市網段的主機,無法存取Internet其他網站。

✽ 若上述狀況，請通知中心網路組協助檢查。

臺南市學校網路電話

• 市話撥打臺南市網路電話：06-7000818 再輸入網路電話號碼。

• 外縣市透過網路電話撥打臺南市網路電話請加921＋網路電話號碼, ex: 92169094 , 921312010

• 目前學校使用話機已過保，若有新購話機需求請優先選用中心測試通過的D-Link DPH-168GE話。

• 加購方式請參閱查號台相關說明。

臺南市學校網路電話

• 學校傳統分機連接網路電話優點

– 延申網路電話範圍

– 網路電話無人接聽 時可轉接至學校總機

– 撥打學校市話免費 (受話方學校總機必 須能撥打網路電話)

學校對外線路租用情形 • 目前提供線路速度 100M , 200M，線路種類FTTB(Fiber To The

Building)。

• 線路提供業者 : 有線電視(三冠王、雙子星)及中華電信。

• 東區、中西區、北區、南區、安南區、安平區使用有線電視業者線路，其餘學校為中華電信。

• 電路費用由各校自行支應。

速率 費用 線路集縮比

中華電信 100M 2500

2:1 200M 4000

有線電視 100M 2500

1:1 200M 3700

學校端網路架構

• DGS-3426 Port 1 統一接ISP業者的 光電轉換盒(Converter)。

• 骨幹交換器具備網路異常保護機制， 及提供中心偵測各校網路是否有異常 的重要節點，請勿任意更換。

• 若區域網路發生異常 大量封包，設備會自動將 有問題的埠關閉，此時 可請求中心協助。

• 骨幹交換器若有故障，請 通知中心網路組。

辦公室用PC

資訊中心

D-Link DGS-3426 SW

DNS、WWW、MAIL、DHCP

辦公室用PC

電腦教室PC

IPv6 IPv4

IPv6 IPv4

IPv6 IPv4

IPv6 IPv4

IPv6 IPv4

D-Link DGS-3426 SW設定 (Layer 2) Port 1 (接中華電信光纖轉換器)

學校對外網路異常簡易障礙排除

• 檢查是校內區網或對外線路中斷問題

– 從光電專換盒接電腦測試網路。

– 使用ping指令測試學校Gateway ，中心DNS IP 163.26.1.1。

– Ping Gatway 有回應，則對外線路正常。

• 若只能存取中心相關網站，其餘網站均無法存取，請連絡中心網路組協助檢查。

學校對外網路異常簡易障礙排除

• 判別是否為DNS服務異常或IPv6問題造成網站無法連線

– 當電腦同時備備IPv4/IPv6環境時，會優先透過IPv6連線。

– 在命令提示字元中輸「nslookup www.hinet.net 」指令，查詢瀏覽網域名稱對應IP，再試著從瀏覽器以IP連線。

DNS檢查指令-nslookup

• 本命令須在命令提示字元下執行 nslookup

• 查用查詢類型

– set type = A 查詢網域名稱對應IPv4紀錄

– set type= AAAA查詢網域名稱對應IPv6紀綠

– set type=CNAME 查詢主機

預設查詢類型為A及AAAA及CNAME

DNS檢查指令-nslookup

• 本命令須在命令提示字元下執行 nslookup

• 查用查詢類型

– set type=NS 查詢網域目前 由那個管理主機管理

學校對外網路異常簡易障礙排除

• 判別是否為DNS服務異常或IPv6問題造成網站無法連線

IP連線能正常，表示DNS服務異常

IPv4連線正常，IPv6連線失敗，表示對方主機IPv6有問題，

請通知對方網站進行修正。

實際案例分享

• 同時有IPv4/IPv6環境的電腦，優先會透過IPv6連線。

• www.tainan.gov.tw 提供的IPv6位址主機網頁尚未完成設定 造成網頁顯示 異常。

透過dns解析出Hinet IP

嘗試以IPv6連線 網頁異常

嘗試以IPv4連線 網頁正常

問路異常反應

• 當網路發生異常時，請盡可能提供較多資訊供參考:

• 範例一

– 網路都連不出去,從中早上到現。

• 範例二

– 存取www.abc.gov.tw網站無法正常

已做下列故障排除

從3G網路連線正常

同一時間存取其他網站都正常。

學校防火牆開通申請-範例

• 廠商遠端維護學校系統， 來源IP建議固定。

• 俱備主機管理權限的服務 如:遠端桌面,SSH 不建議對任何來源開放。

• 網頁及FTP服務盡量使用標的 TCP埠號: 21(FTP),80(www)

• 不使用的規則應刪除。

跳板機的配置

• 臨時出門在外，學校系統出了問題，如何連回學校主機做維護：

1. 可在學校找１～２台主機，允許外部任何來源存取主機 遠端桌面(TCP:3389)及SSH(TCP:22)服務。

2. 若家中有固定IP，在可以在開埠申請書上特別註明，中心會設定允許家中固定IP存取學校所有IP所有服務。

DHCPv4建置

• DHCP 服務可用那些設備來建置?

– 主機

– 雲端IAAS平台

– IP 分享器

– NAS

✽建議平時做好主機MAC的登記，未來IＰ被通知有資安事件時，較容易找到設備使用地點。

現行學校IPv6配置

• Stateless Address Auto-configuration, SLAAC (無狀態位址自動配置)

• 學校端不需建置DHCPv6伺服器，由用戶端發送IP請由，學校網路閘道回應網路位址(IPv6 Prefix)、閘道位址及DNS資訊。

• 用戶端產生ＨostID (隨機/EUI-64)。

• IPv6 = IPv6 Prefix+HostID

現行學校IPv6配置

• 無狀態位址自動配置出的IPv6位址共下列幾種 – 亂數產生 : 電腦雖機產生(預設)

• netsh interface ipv6 set global randomizeidentifiers=enabled

– EUI-64 : 由電腦MAC轉換 • netsh interface ipv6 set global

randomizeidentifiers=disabled

– 使用手動指定IPv6 • Privacy Extensions, netsh interface ipv6 set privacy

state=enabled

圖片來源http://www.tcpipguide.com/free/diagrams/ipv6eui64.png

臺南市無線網路環境說明

• 校園內常見無線網路識別名稱(SSID)及差異如下:

SSID 功能差異

TANetRoaming TN-Teacher TN-學校網域縮寫

認證方式 iTaiwan

臺南市e-mail 臺南市學生帳號

臺南市e-mail 臺南市e-mail

漫遊範圍 跨縣市 跨校 跨校

網路環境 取得中心IP 取得中心IP 使用學校IP

基本網頁瀏覽功能 O O O

Outlook收信 O O O

Outlook發信 X O O

Telnet O O O

SSH及 遠端桌面

X O O

存取學校內部 印表機或NAS等

X X O

AD Radius Roaming

中心端Wifi 集中管理 設備

`

資訊中心網路

SSID: TANetRoaming

SSID: TN-Teacher SSID: SchoolDomain

TANet IPv6

TANet IPv4

TN-Teacher Vlan Pool

VFW VFW

PaloAlto

Switch

TANet Roaming Vlan Pool

SSID: TANetRoaming SSID: TN-Teacher

SSID: SchoolDomain

學校端

ASSID: TN-Teacher

SSID: TANetRoaming

HiveManager WinNOC Airwave

取得中心配發網段連上網路

取得中心配發網段連上網路

取得學校配發網段連上網路

AP 與Controller

建立Tunnel

WPA2驗證

臺南市學校無線網路架構圖

臺南市無線網路環境說明

臺南市e-mail帳號也可於其他參與漫遊單位使用

PS: 若使用user@tn.edu.tw無法認證，請使改用user@mail.tn.edu.tw。

目前加入漫遊單位

https://roamingcenter.tanet.edu.tw/?page_id=1540

臺南市無線網路環境說明

• 臺南市學校常見AP

– 集中心式 (Aruba) • AP-60 、 AP-61 、AP-92 、AP-93 、AP-105 、RAP-5WN

– D-Link

• 傳統分散式架構 DW-3200AP

– 集中心式(Aerohive) • AP121

臺南市無線網路架構圖 (整合原南縣D-Link DW3200AP)

• 部份學校以Aruba RAP-5wn 做為無線 認證閘道器，整合原南縣 舊有D-Link AP以提供 TANetRoaming跨校漫遊 環境。

• 交換器port 19 、20專門接 Aruba RAP-5wn Port 1 ,勿 接其他設備。

• 相關線路請勿隨意更動 ，避免造成學校網路異 常。

區域 Port Untagged (VLAN) Tagged (VLAN) 介接設備 藍色區域 1~12,22~24 1 N/A 學校網路、RAP-5WN- Port 0 綠色區域 13 ~ 18 1 52 D-LINK DWL-3200AP 紅色區域 19 ~ 20 52 N/A RAP-5WN- Port 1 ~ 4

電腦無法連線TN-Teacher

• 無法連線TN-Teacher

– 確認安全性類型

• WPA2-Enterprise

– 確認加密類型

• AES

– 網路驗證方法

• Microsoft: Protected EAP(PEAP)

• 勾選每次登入時都記住我在 此連線的認證。

電腦無法連線TN-Teacher

• 確認驗證方法

– EAP-MSCHAP v2

• 取消勾選”自動使 使用我的Windows 登入名稱及密碼

手機無法連線TN-Teacher

• 手機請確認下列設定

– EAP方法選用PEAP

– 階段2驗證選用MSCHAPv2

– 識別/匿名 輸入台南市完整e-mail 或輸入個人VoIP號碼

– 輸入密碼

– 儲存即可。

• 密碼中請勿使用「+」及「&」符號，可透過電子郵件平台修改密碼。

• 無法登入無線路時，可先嘗試登入臺南市教育局E-mail，確認帳號是否正常。

帳號問題-無法登入無線網路

無線網路諮詢窗口

• 卓國興 – VoIP : 64096 – E-mail:

kawsing@tn.edu.tw – 中心電話: 2130669#35

• 郭子誠 – VoIP : 69094 – E-mail:

tzcheng@tn.edu.tw – 中心電話: 2130669#28