校園網(wǎng)路校園網(wǎng)路優(yōu)化ppt課件

1、產(chǎn)品經(jīng)理：林靖堯產(chǎn)品經(jīng)理：林靖堯 Lancelancellt.tw+886-916293915+886-21002458#8583Agendan 校園網(wǎng)路管理所面臨到的問題n 網(wǎng)路管了解決方案n 異常行為分析控管n 頻寬管理n 無線網(wǎng)路建置應(yīng)用n Q & A校園網(wǎng)路管理所面臨到的問題n 網(wǎng)路管理的目的-網(wǎng)路永遠(yuǎn)堅持暢通n 現(xiàn)有的做法n PC端：防毒軟體(AV/IPS)、運用者認(rèn)証、政策宣導(dǎo)n 網(wǎng)路出口端：防火牆(FW)、入侵偵測系統(tǒng)(IPS/IDS)、防毒閘道器(AV Gateway)n 以上確實解決了一些問題n 接下來的問題呢?n 新型病毒? 來自於網(wǎng)路或是移動式媒體。n 頻寬運用效

2、率? 如何得知頻寬被正確運用。n 無線網(wǎng)路佈建? 管理與平安的兩難。資訊平安投資與平衡點實用性投資額平安性資訊平安資訊平安我的單位需求何種程度的資訊平安保護(hù)?實用性, 開銷, 資料平安程度網(wǎng)路管了解決方案-異常行為控管網(wǎng)路環(huán)境現(xiàn)況n 現(xiàn)有網(wǎng)路環(huán)境的破綻n 內(nèi)部網(wǎng)路的控管n 從防火牆至PC端，完全轉(zhuǎn)送-交換器的任務(wù)。n 快速的交換器(L2/L3)加速了內(nèi)部網(wǎng)路的危害n 交換器無法檢查封包合法性或是內(nèi)容平安，n 分散式IPS/IDS?n 非常有效，但是價格與效能卻是個大問題。n 不能夠的任務(wù)：Security Box?n 檢查封包來源目的、重組封包還原附件。n 即時阻隔。n 還可以做到Non-Bl

3、ocking 線速交換。現(xiàn)有的解決方案n 知型/未知型病毒的共同行為方式：n 在最快時間內(nèi)散佈/感染n 大量的建立連線往往導(dǎo)致交換器效能滿載n 網(wǎng)路管理者在第一時間要做什麼?n 迅速找到問題點，並立刻隔離。n 等待/等待解毒往往是緩慢的解決方式n 現(xiàn)在的解決方式n 利用Sniffer方式找出流量異常主機(jī)n 交換器網(wǎng)管軟體協(xié)助。n 將被感染主機(jī)下線如何有效控管主機(jī)異常行為?監(jiān)控主機(jī)NetFlow /sFlow /SPANUTM Gateway如何有效控管主機(jī)異常行為?監(jiān)控主機(jī)NetFlow /sFlow /SPANUTM Gateway異常行為控管優(yōu)點n 行為方式導(dǎo)向n 未知型/知型病毒發(fā)作方式

4、n 即時阻擋n 減少災(zāi)情擴(kuò)大n 先自動阻擋, 再由網(wǎng)管人員解除n 不需利用交換器廠商網(wǎng)管軟體n 功能缺乏, 價格昂貴n 節(jié)省人力與時間n 有效節(jié)省網(wǎng)管人員人力n 堅持其他教職人員任務(wù)時間網(wǎng)路管了解決方案-頻寬管理頻寬管理目的與方式n 頻寬管理目的n 針對運用WAN資源控管。n 大部份的網(wǎng)路設(shè)備都有頻寬管理才干n 交換器-頻寬管理間距過大, 1M100Mbps, 不適合用在WAN端控管頻寬。n 防火牆-需以防火牆政策達(dá)成,添加防火牆負(fù)擔(dān)。n 幾乎一切現(xiàn)有網(wǎng)路設(shè)備僅能以服務(wù)埠做為控管依據(jù)n Layer 4 Only, 如WEB(80), FTP(21), SMTP(25)等。n 無法針對應(yīng)用程式做

5、控管。n 以上設(shè)備皆無法以時間或是流量制定頻寬政策。專屬頻寬管理器發(fā)展n L4頻寬管理器無法確實有效管理頻寬n 現(xiàn)在幾乎沒有廠商開發(fā)此類產(chǎn)品。n L7頻寬管理器價格落差大n 進(jìn)口/國產(chǎn)品牌價格差距大，約五倍價差。n 援助應(yīng)用程式數(shù)量不同n 進(jìn)口品牌援助較完好(約200種以上應(yīng)用程式)。n 國產(chǎn)品牌援助主要應(yīng)用為主。專屬頻寬管理器發(fā)展 (cont.)n 具備完好報表功能n 閘道端, NAT設(shè)備後方, 頻寬運用狀況分析與管理狀況。n 運用者頻寬分析。n 具備自動斷路功能n 閘道設(shè)備, 不易利用HA方式備援n 依據(jù)時間表與配額限制與管理運用者運用頻寬。架設(shè)頻寬管理器對校園的幫助n 節(jié)省不用要的頻寬浪

6、費n 存取正常資源運用者之運用權(quán)被保證。n 有限制開放能夠呵斥浪費頻寬的軟體, 如FTP, Web等。n 真正限制某應(yīng)用軟體應(yīng)用, 如BT, MXIE等。n 制定應(yīng)用程式運用政策n 如上課時間不能運用MSN或是SKYPE等。n 或是頻寬限制與保證某些軟體。n 報表系統(tǒng)記錄或分析頻寬運用現(xiàn)況n 永遠(yuǎn)不夠的頻寬究竟運用狀況如何?n 是誰不斷大量運用非必要頻寬?網(wǎng)路管了解決方案-無線網(wǎng)路建置應(yīng)用無線網(wǎng)路建置n THIN-AP? FAT-AP?802.11a/b/gAntennasPolicyMobilityForwardingEncryptionAuthenticationManagementPol

7、icyMobilityForwardingEncryptionAuthenticationManagement802.11a/b/gAntennas運用THIN-AP架構(gòu)優(yōu)點n 管理簡易, 設(shè)定快速n 完全由控制器設(shè)定, 不需個別設(shè)定AP。n 資料平安性佳n 一切加解密資料皆由控制器處理。n 建置速度快n 快速建立無線環(huán)境, 不需改變有線網(wǎng)路設(shè)定。n 效能較普通FAT-AP好n 僅轉(zhuǎn)送資料給控制器, 不做加解密動作。n 財產(chǎn)清點快速n 控制器可列出目前一切AP狀況與運用者。運用者管理問題-Role-Based管理依據(jù)n 按照要運用的資源按照要運用的資源 我是我是 Kevin, 正在以正在以no

8、tebook運用運用 VoIP.n 按照身分按照身分我是我是 Kevin, 身分是內(nèi)部身分是內(nèi)部正式員工正式員工.n 按照設(shè)備狀態(tài)按照設(shè)備狀態(tài) 我是我是 Kevin, 運用的運用的notebook沒有發(fā)現(xiàn)病毒沒有發(fā)現(xiàn)病毒或蠕蟲或蠕蟲.n 按照實體位置按照實體位置 我是我是Kevin, 在會議室運用在會議室運用notebook.n 按照時間表按照時間表 我是我是 Kevin, 登入的時間登入的時間是週三下午是週三下午1:40 p.m. 漫遊機(jī)制的重要-語音服務(wù)的不斷線Subnet 1Subnet 2DHCP server運用者按照規(guī)劃,於DHCP server獲得初始IP122.

9、運用者移動到新的網(wǎng)段並發(fā)出 DHCP request5. 不論是同switch下不同AP間的漫遊,或是不同switch間,跨 IP subnet的漫遊皆可援助,真正做到不須重新認(rèn)證,網(wǎng)路層與應(yīng)用層皆不中斷!33. 應(yīng)用 proxy DHCP, Wi-Fi switch 以IP-IP tunnel聯(lián)繫回此一client端的home switch44.Client 仍維持一樣的 IP address ,即使到了不同的網(wǎng)段.(異網(wǎng)漫遊)IP - IP TunnelAruba AP無線/有線網(wǎng)路運用者共同管理n 帳號管理與有線網(wǎng)路一樣n 利用LDAP、RADIUSn 無線交換器需能承載有線與無線運用者共同運用n 有線無線皆以同樣