臺南市新進資訊組長研習 -...
TRANSCRIPT
您在身份認證上俱備資訊組長職務了嗎? • 確認自己在身份認證系統上具有「資訊組長」職務, 以俱備權限操作以下服務平台:
• DNS雲端管理平台(https://webdns.tn.edu.tw/ )
• VoIP查號台(http://voip.tn.edu.tw/ )
• 無線網路帳號管理平台 (即將上線)
• 資訊組長e-mail會被加入資訊組長群組中。
資訊組長業務專區
http://web.tn.edu.tw/forum/
網路管理飛番雲端
電腦維運
無線網路
資訊系統
資訊安全
相關業務資詢窗口
http://www.tn.edu.tw/contact.htm
搜尋文章需登入身份證帳號,搜尋欄位在網頁
右上方。
校園網路流量觀測
• http://flow.tn.edu.tw 流量統計分析 (每日至少觀察一次)。
查詢各校IP流出量(上傳量)
查詢各校IP流入量(下載量)
學校IP上傳統計
學校單位 IPv4/IPv6 上傳至目的IP統計
學校IP下載統計
下載之來源IP統計
校園網路流量觀測小撇步
• 每日至少觀察流量一次。
• 熟悉平時的用量狀況,與前後做比較。
• 從協定的流量統計去分析是本身網站服務造成流量異常或是主機成為殭屍電腦對外發動攻擊。
• 從行為或IP的區域判斷是否合理。
• 從流量時間點判斷。
網站服務狀態監測及學校線路監測
• http://ping.tn.edu.tw 提供學校對外線路偵測、網站運作及IPv6支援偵測。 舊版Ping網站只提供線路偵測及WWW偵測。
網站服務狀態監測及學校線路監測
• 各校DNS目前統一由中心提供DNS雲端平台提供服務。 學校連通率(3426)用來偵測學校對外線路是否暢通,正常為100%。
DNS服務架設於中心雲端平台
學校首頁放置中心雲端
PAAS平台
偵測學校骨幹交換器
案例分享
• 學校區域網路發生擴播封包,導致交換器網路繁忙,影響正常封包傳遞。
https://www.youtube.com/watch?v=se-pVwapTic
大量廣播封包出現導致學校流量
趨勢圖大量流出
學校線路連通率受影響
線路連通率受影響
臺南市學校網路自動阻斷機制
• 目前設定自動阻斷的條件是: – [外對內]
• 外部主機連接相同的destination port,每10分鐘超過100台不同的內部主機。 – [內對外]
• 1.內部主機連接相同的destination port,每10分鐘超過1000台不同的主機。
• 2.內部主機連接tcp 25,每10分鐘超過100台不同的主機。 • 3.內部主機送出icmp封包,每10分鐘超過100台不同的主機。
– 有異常時會被阻斷10分鐘,若下一個10分鐘問題仍然存,則有問題的IP則繼續被阻擋。
– 被阻擋的IP,使用該IP的電腦會只能存取台南市網段的主機,無法存取Internet其他網站。
✽ 若上述狀況,請通知中心網路組協助檢查。
臺南市學校網路電話
• 市話撥打臺南市網路電話:06-7000818 再輸入網路電話號碼。
• 外縣市透過網路電話撥打臺南市網路電話請加921+網路電話號碼, ex: 92169094 , 921312010
• 目前學校使用話機已過保,若有新購話機需求請優先選用中心測試通過的D-Link DPH-168GE話。
• 加購方式請參閱查號台相關說明。
學校對外線路租用情形 • 目前提供線路速度 100M , 200M,線路種類FTTB(Fiber To The
Building)。
• 線路提供業者 : 有線電視(三冠王、雙子星)及中華電信。
• 東區、中西區、北區、南區、安南區、安平區使用有線電視業者線路,其餘學校為中華電信。
• 電路費用由各校自行支應。
速率 費用 線路集縮比
中華電信 100M 2500
2:1 200M 4000
有線電視 100M 2500
1:1 200M 3700
學校端網路架構
• DGS-3426 Port 1 統一接ISP業者的 光電轉換盒(Converter)。
• 骨幹交換器具備網路異常保護機制, 及提供中心偵測各校網路是否有異常 的重要節點,請勿任意更換。
• 若區域網路發生異常 大量封包,設備會自動將 有問題的埠關閉,此時 可請求中心協助。
• 骨幹交換器若有故障,請 通知中心網路組。
辦公室用PC
資訊中心
D-Link DGS-3426 SW
DNS、WWW、MAIL、DHCP
辦公室用PC
電腦教室PC
IPv6 IPv4
IPv6 IPv4
IPv6 IPv4
IPv6 IPv4
IPv6 IPv4
D-Link DGS-3426 SW設定 (Layer 2) Port 1 (接中華電信光纖轉換器)
學校對外網路異常簡易障礙排除
• 檢查是校內區網或對外線路中斷問題
– 從光電專換盒接電腦測試網路。
– 使用ping指令測試學校Gateway ,中心DNS IP 163.26.1.1。
– Ping Gatway 有回應,則對外線路正常。
• 若只能存取中心相關網站,其餘網站均無法存取,請連絡中心網路組協助檢查。
學校對外網路異常簡易障礙排除
• 判別是否為DNS服務異常或IPv6問題造成網站無法連線
– 當電腦同時備備IPv4/IPv6環境時,會優先透過IPv6連線。
– 在命令提示字元中輸「nslookup www.hinet.net 」指令,查詢瀏覽網域名稱對應IP,再試著從瀏覽器以IP連線。
DNS檢查指令-nslookup
• 本命令須在命令提示字元下執行 nslookup
• 查用查詢類型
– set type = A 查詢網域名稱對應IPv4紀錄
– set type= AAAA查詢網域名稱對應IPv6紀綠
– set type=CNAME 查詢主機
預設查詢類型為A及AAAA及CNAME
學校對外網路異常簡易障礙排除
• 判別是否為DNS服務異常或IPv6問題造成網站無法連線
IP連線能正常,表示DNS服務異常
IPv4連線正常,IPv6連線失敗,表示對方主機IPv6有問題,
請通知對方網站進行修正。
實際案例分享
• 同時有IPv4/IPv6環境的電腦,優先會透過IPv6連線。
• www.tainan.gov.tw 提供的IPv6位址主機網頁尚未完成設定 造成網頁顯示 異常。
透過dns解析出Hinet IP
嘗試以IPv6連線 網頁異常
嘗試以IPv4連線 網頁正常
問路異常反應
• 當網路發生異常時,請盡可能提供較多資訊供參考:
• 範例一
– 網路都連不出去,從中早上到現。
• 範例二
– 存取www.abc.gov.tw網站無法正常
已做下列故障排除
從3G網路連線正常
同一時間存取其他網站都正常。
學校防火牆開通申請-範例
• 廠商遠端維護學校系統, 來源IP建議固定。
• 俱備主機管理權限的服務 如:遠端桌面,SSH 不建議對任何來源開放。
• 網頁及FTP服務盡量使用標的 TCP埠號: 21(FTP),80(www)
• 不使用的規則應刪除。
跳板機的配置
• 臨時出門在外,學校系統出了問題,如何連回學校主機做維護:
1. 可在學校找1~2台主機,允許外部任何來源存取主機 遠端桌面(TCP:3389)及SSH(TCP:22)服務。
2. 若家中有固定IP,在可以在開埠申請書上特別註明,中心會設定允許家中固定IP存取學校所有IP所有服務。
DHCPv4建置
• DHCP 服務可用那些設備來建置?
– 主機
– 雲端IAAS平台
– IP 分享器
– NAS
✽建議平時做好主機MAC的登記,未來IP被通知有資安事件時,較容易找到設備使用地點。
現行學校IPv6配置
• Stateless Address Auto-configuration, SLAAC (無狀態位址自動配置)
• 學校端不需建置DHCPv6伺服器,由用戶端發送IP請由,學校網路閘道回應網路位址(IPv6 Prefix)、閘道位址及DNS資訊。
• 用戶端產生HostID (隨機/EUI-64)。
• IPv6 = IPv6 Prefix+HostID
現行學校IPv6配置
• 無狀態位址自動配置出的IPv6位址共下列幾種 – 亂數產生 : 電腦雖機產生(預設)
• netsh interface ipv6 set global randomizeidentifiers=enabled
– EUI-64 : 由電腦MAC轉換 • netsh interface ipv6 set global
randomizeidentifiers=disabled
– 使用手動指定IPv6 • Privacy Extensions, netsh interface ipv6 set privacy
state=enabled
圖片來源http://www.tcpipguide.com/free/diagrams/ipv6eui64.png
臺南市無線網路環境說明
• 校園內常見無線網路識別名稱(SSID)及差異如下:
SSID 功能差異
TANetRoaming TN-Teacher TN-學校網域縮寫
認證方式 iTaiwan
臺南市e-mail 臺南市學生帳號
臺南市e-mail 臺南市e-mail
漫遊範圍 跨縣市 跨校 跨校
網路環境 取得中心IP 取得中心IP 使用學校IP
基本網頁瀏覽功能 O O O
Outlook收信 O O O
Outlook發信 X O O
Telnet O O O
SSH及 遠端桌面
X O O
存取學校內部 印表機或NAS等
X X O
AD Radius Roaming
中心端Wifi 集中管理 設備
`
資訊中心網路
SSID: TANetRoaming
SSID: TN-Teacher SSID: SchoolDomain
TANet IPv6
TANet IPv4
TN-Teacher Vlan Pool
VFW VFW
PaloAlto
Switch
TANet Roaming Vlan Pool
SSID: TANetRoaming SSID: TN-Teacher
SSID: SchoolDomain
學校端
ASSID: TN-Teacher
SSID: TANetRoaming
HiveManager WinNOC Airwave
取得中心配發網段連上網路
取得中心配發網段連上網路
取得學校配發網段連上網路
AP 與Controller
建立Tunnel
WPA2驗證
臺南市學校無線網路架構圖
臺南市無線網路環境說明
臺南市e-mail帳號也可於其他參與漫遊單位使用
PS: 若使用[email protected]無法認證,請使改用[email protected]。
目前加入漫遊單位
https://roamingcenter.tanet.edu.tw/?page_id=1540
臺南市無線網路環境說明
• 臺南市學校常見AP
– 集中心式 (Aruba) • AP-60 、 AP-61 、AP-92 、AP-93 、AP-105 、RAP-5WN
– D-Link
• 傳統分散式架構 DW-3200AP
– 集中心式(Aerohive) • AP121
臺南市無線網路架構圖 (整合原南縣D-Link DW3200AP)
• 部份學校以Aruba RAP-5wn 做為無線 認證閘道器,整合原南縣 舊有D-Link AP以提供 TANetRoaming跨校漫遊 環境。
• 交換器port 19 、20專門接 Aruba RAP-5wn Port 1 ,勿 接其他設備。
• 相關線路請勿隨意更動 ,避免造成學校網路異 常。
區域 Port Untagged (VLAN) Tagged (VLAN) 介接設備 藍色區域 1~12,22~24 1 N/A 學校網路、RAP-5WN- Port 0 綠色區域 13 ~ 18 1 52 D-LINK DWL-3200AP 紅色區域 19 ~ 20 52 N/A RAP-5WN- Port 1 ~ 4
電腦無法連線TN-Teacher
• 無法連線TN-Teacher
– 確認安全性類型
• WPA2-Enterprise
– 確認加密類型
• AES
– 網路驗證方法
• Microsoft: Protected EAP(PEAP)
• 勾選每次登入時都記住我在 此連線的認證。
手機無法連線TN-Teacher
• 手機請確認下列設定
– EAP方法選用PEAP
– 階段2驗證選用MSCHAPv2
– 識別/匿名 輸入台南市完整e-mail 或輸入個人VoIP號碼
– 輸入密碼
– 儲存即可。
無線網路諮詢窗口
• 卓國興 – VoIP : 64096 – E-mail:
[email protected] – 中心電話: 2130669#35
• 郭子誠 – VoIP : 69094 – E-mail:
[email protected] – 中心電話: 2130669#28