1、桃園區網中心年終報告,國立中央大學電算中心104/12/1,2018/9/24,2,報告大綱,1.桃園區網中心維運網路中心運作情形資訊安全環境整備推動網路資訊應用環境與導入辦理教育訓練及推廣活動情形2.年度計畫所提績效指標辦理情形 3.網路應用特色服務 4.105年度預計推動之重點工作(含區網特色推動)之說明5.綜合建議,2018/9/24,3,1 .桃園區網中心維運1.1網路中心運作情形-管理委員會-機房管理 -連線中斷監測 -mrtg 流量監控,3,2018/9/24,4,桃園區網維運-管理委員會,管理委員會至少每半年召開一次,輪流到各連線單位開會,達到觀摩交流之目的(本年度兩次),並邀請
2、4個連線單位分享該校網路管理經驗 育達高中 ,桃園創新學院 ,新生醫專 ,桃園高中 ,萬能科大 3位兼職人員, 3位專職人員,2018/9/24,5,桃園區網維運機房管理,桃園, 金門,馬祖地區 Internet的匯集連線維持連網機房正常運作電力供電,不斷電系統, 冷氣空調IPS 資源應用監看Router資源應用監看機房溫度監看網路應用分布監看,2018/9/24,6,2018/9/24,7,桃園區網維運機房管理,訊息公告機房工作日誌,Links 連線狀態偵測與通告網管通訊連線介面中斷處理紀錄,2018/9/24,8,桃園區網維運連線中斷監測,2018/9/24,9,桃園區網維運-mrtg 流
3、量監看(專線),2018/9/24,10,桃園區網維運mrtg 流量(大學,IPv4),http:/140.115.2.53/high-school.html,桃園區網維運mrtg 流量(高中職 IPv4),2018/9/24,12,桃園區網維運IPv6 mrtg 流量,2018/9/24,13,1.2資訊安全環境整備 - ISMS 認證 - P2P 訊務阻擋 - Botnet 自動通告查詢 - UDP flooding 偵測 - 金門/連江Mini Soc - 資安檢測服務 - 高中職不當資訊過濾,13,2018/9/24,14,資安整備-ISMS資安認證,桃園區網中心(中央大學)已連續五年
4、取得ISO27001認證,今年4/13拿到ISO 27001改版證書並依規定接受複查以保持證照有效性 提供本大學資訊技術及台灣學術網路桃園區域網路中心相關之服務 下連學校共有11個單位通過第三方認證本校共有22個LA證照, 1個CISSP,2個CEH積極參與教育體系觀察員,2018/9/24,15,15,資安整備-P2P訊務阻擋,IPS 偵測資料之應用Botnet 自動通告IPS 提供 Botnet 感染主機列表 實作簡單的中介系統,自動 email 通告負責之網管對整體連網的正常運作有相當的助益.Botnet 紀錄查詢http:/links.tyrc.ncu.edu.tw/Links/vie
5、wAllBotnets.do,2018/9/24,16,資安整備 Botnet 自動通告/查詢,2018/9/24,17,資安整備UDP flooding 偵測,2018/9/24,18,資安整備金門/連江MiniSOC平台,2018/9/24,20,資安整備Ewavs 網站弱點檢測,2018/9/24,21,資安整備Epdp防洩漏個資掃瞄,2018/9/24,22,資訊安全網站檢測系統提供桃園區網連線單位申請弱點掃描(IP)及網頁檢測(Web)檢測。使用APP Scan及LANguard做為檢測工具。檢測結果以E-mail加密方式通知申請者。申請網址(申請時間截止後會將網站關閉)http:/
6、www.tyrc.ncu.edu.tw/104ipsec/ 定期追蹤申請單位是否有針對弱點結果修正,修正後會再次執行掃描以確保弱點是否已修復.,2018/9/24,22,資安整備-中大提供的檢測,2018/9/24,23,資安防護-中大提供的網站弱點檢測,資安整備-高中職不當資訊過濾,2018/9/24,24,資安整備-高中職不當資訊過濾,2018/9/24,25,8e6 R3000 (content filter) Source link snooping 監聽 aggregate GE uplink traffic設定高中職校 IP網段位址 (排除大專院校) 8e6 ER3000 (blo
7、ck reporter) 上線日期: 2009年 10月 16日 分析阻攔的 web site (單日 /單月 Top N) 分析阻攔的 IP 主機 (單日 /單月 Top N) 分析被阻攔 web traffic 比率 ( 0.50%) 分析各類 web traffic 分布,2018/9/24,26,1.3推動網路資訊應用環境與導入- IPv6 推廣- 虛擬運算環境之建置- 雲端運算應用實例分享- i-Taiwan無線網路- SourceForge Mirror 服務,26,推動網路資訊應用環境與導入IPv6 推廣,IPv6研討課程DNS (IPv4/IPv6) Server 建置實務操作
8、(104/09/03)IPv6 連線學校桃園縣網,金門縣網,連江縣網中央大學,銘傳大學,健行科大,中壢高商開南大學,萬能科大,桃園啟智學校國防大學,新興高中,核能研究所中原大學,元智大學,2018/9/24,27,2018/9/24,28,推動網路資訊應用環境與導入IPv6 推廣,推動各校建置IPv6 dns & www,推動網路資訊應用環境與導入虛擬運算環境建置,虛擬運算環境Citrix Xen Server *Hyper-V, VMWare, KVM教材下載Xenserver 安裝管理Xenserver介紹/ 安裝/ 管理-XenCenterhttp:/www.tyrc.ncu.edu.t
9、w/index.php/%E6%AA%94%E6%A1%88:102081501.pdfHyper-V http:/www.tyrc.ncu.edu.tw/index.php/%E6%AA%94%E6%A1%88:103071701.pdf,2018/9/24,29,推動網路資訊應用環境與導入雲端運算應用實例,雲端運算Hadoop 簡介 / 安裝應用實例 Cloud-based 異常流量偵測Cloud-based UDP flooding 偵測教材下載Cloud computing frameworkhttp:/www.tyrc.ncu.edu.tw/index.php/%E6%AA%94%E
10、6%A1%88:103060602.pdf,2018/9/24,30,推動網路資訊應用環境與導入雲端運算應用實例,Hadoop Fdns TopN Traffic, TopN connectionPortScan/ Spam/ Password CrackTopN Traffic, TopN connectionUDP Flooding 超量攻擊(偵測)Notification (自動通告)掌握具體攻擊數據比對IPS資源應用使用狀態監看介面查詢UDP Flooding 超量攻擊 相關數據通告網管人員/追蹤處理狀況,2018/9/24,31,2018/9/24,32,推動網路資訊應用i-Taiw
11、an,100年10 月依教育部來文行政院推動中央政府主管公共區域提供免費無線上網服務試辦計畫中央大學 iTaiwan建置地點:共222點室內:全校各大樓ap接取點都支援Tanet/ iTaiwan 漫遊,2018/9/24,33,推動網路資訊應用i-Taiwan,中央大學 iTaiwan建置地點室外:,2018/9/24,34,推動網路資訊應用SourceForge,持續穩定提供 SourceForge Mirror 服務,2018/9/24,35,1.4 教育訓練及推廣活動-桃園區網研討會-離島研討會(金門)-OpenSource推廣及網管課程,35,2018/9/24,36,教育訓練推廣桃
12、園區網研討會(#1),2018/9/24,36,2018/9/24,37,教育訓練推廣桃園區網研討會(#2),2018/9/24,37,2018/9/24,38,教育訓練推廣離島研討會(金門),2018/9/24,38,2018/9/24,39,2.年度計畫所提績效指標辦理情形 2.1持續區網中心機房維運維持網路通順2.2資訊安全2.3雲端服務2.4OpenSource 自由軟體之推廣2.5軟體開發2.6辦理教育訓練及推廣活動,39,持續區網中心機房維運維持網路通順,持續機房維運建設(電力、空調),維持良好網路運作 450KVA發電機組及配電線路N+1不斷電系統及第二迴路不斷電系統30噸+10
13、噸+2台窗型冷氣空調系統 網路溫/濕度計,建置機房溫度/濕度監看網頁,持續區網中心機房維運維持網路通順,配合教育部頻寬管理政策,加強連線單位頻寬管理:頻寬管理-中小學ip白天優先使用權,持續區網中心機房維運維持網路通順,頻寬管理-過濾p2p,持續區網中心機房維運維持網路通順,配合教育部骨幹網路升級工程配合調查網路設備介面數量調查協助勘查機房及設備安裝,資訊安全,提供區域網路中心及連線學校網路資安實體環境防護機制Palo 5060 IPS log(Splunk)分析 ,p2p過濾協助連線學校降低疑似侵害著作權之問題事件fdns協助連線學校降低不當資訊的流竄、網路攻擊事件之發生,以提昇網路使用效率
14、,資訊安全,ISMS資安認證-桃園區網中心(中央大學)已連續五年取得ISO27001認證,今年4/13拿到ISO 27001改版證書並依規定接受複查以保持證照有效性持續協助連線學校進行網站掃描、建檢、演練等資安相關服務配合TACERT執行資安相關資通安全通報應變作業,並協助連線學校資安事件因應處理。,雲端服務,以本校現有雲端伺服器,提供連線學校相關服務Citrix Xen Server (節能、服務佈建、 備份、資源調度 )各校伺服器健檢系統,各連線單位連線狀態品質檢測系統, Flooding 異常流量偵測Asoc 事件轉通告/查詢介面, Botnet轉通告/查詢介面 DNS server,
15、Proxy Server, ,雲端服務,提供建置私有雲之經驗分享,建置教育雲服務Openstack 管理系統,Source forge 建置及推廣使用,軟體開發,Hadoop & Spark Fdns伺服主機檢查系統線路狀態偵測系統,辦理教育訓練及推廣活動,預計辦理8場教育訓練(包含網路管理及技術、最新資訊安全、流量管制、雲端應用、異常流量分析及偵測、IPv6技術等相關議題課程), 並規劃技術層面的實務操作類管控或管理技術教學。今年度共辦理11場教育訓練,2018/9/24,52,3.網路應用特色服務,52,Spark運算網路異常流量偵測系統,目的 以Spark架構偵測異常網路封包,改進原桃園
16、區網以Hadoop技術開發之FDNS系統。系統成效偵測port scan、spam、packet flooding 等異常網路攻擊並依據特徵辨識異常主機。阻擋惡意攻擊, 避免頻寬資源被大量耗損。以Spark架構其處理效能比起原Hadoop架構得到相當大的改進。,Spark運算網路異常流量偵測系統(cont.),系統改以速度更快的Spark模組處理,每10分鐘的即時網路流量偵測處理,針對Netflow 資料找出異常的攻擊行為特性,篩選出異常的來源主機,並將資料存入 Mongo DB。Hadoop 模組負責以每小時的頻率累計彙整異常的網路流量,並篩選TopN異常流量主機資料。,Spark運算網路異
17、常流量偵測系統(cont.),Spark運算網路異常流量偵測系統(cont.),桃園區網GGC服務,桃園區網於2015年3月9日正式啟用Google Global Cache(GGC)服務,這項服務使用者不需變更任何網路設定,就可以更有效率的使用google網路內容服務。Google Global Cache 優點:提升對桃園區網各連線學校的服務品質。減少桃園區網出口頻寬壅塞,使其他網路服務更加順暢。,57,桃園區網GGC服務-連線架構圖,三部Dell R720伺服器144TB的資料儲存空間10G的網路介面連接到桃園區網中心 Core Router 6509。,58,59,桃園區網GGC服務-
18、網路流量圖,3/9 桃園區網啟動GGC服務4/23 調高GGC頻寬至 6Gbps後,估計桃園區網到TANET骨幹流量減少了23%。,教育雲北區雲端資料中心,提供的資源CPU: 168 vCPU (84 core)RAM: 1008 GBHD: 可用 70TB (鏡像的備份)使用的軟體:雲端管理軟體: OpenStack (Icehouse 版本)虛擬化軟體: KVM (Kernel Virtual Machine)虛擬化儲存軟體: (共契採購)硬體的部份控制器 2台運算節點 7 台虛擬化節點 2 台4 座雙控制器儲存設備,60,雲端中心提供的服務,以 IaaS 服務為主, 提供虛擬機的租用採預
19、建虛擬機映像檔的方式, 隨申請隨用不需要安裝的方式提供 Linux, FreeBSD 及 Windows 等系統. 唯 Windows 為 180 天評估版, 長期使用需自行購買租用的資源包括vCPU 數, 虛擬機數, 記憶體大小, 磁碟容量, 實體 IP 數量支援 IPv6,61,Network as a Service 服務,使用 SDN 技術, 提供 Network as a Service 服務, 使用者可以自已定義自已的網路各租戶間的網路獨立, 不互相干擾,62,硬體的配置,電力的 HA伺服器均配有兩個 power supply, 分接到不同的PDU 使用不同的 UPS 迴路. PD
20、U 有數字顯示電流資訊.不具有雙電源的網路交換器,因 HA 架構下兩兩成對, 每一對交換器都分接不同的 PDU, 使用不同的 UPS 迴路網路的 HA網路設備採兩台一組, 做堆疊的設定.在電源上, 兩台設備分接不同的電力迴路伺服器網路兩個兩個一組, 分接到不同的網路交換器使用 802.3ad Link Aggregation儲存裝置的 HA使用雙控制器的儲存裝置,63,教育雲 OpenStack 環境使用簡介,64,採用 OpenStack 儀表板自助式的使用雲端資源提供標準 OpenStack API (類似 Amazon EC2), 可供自動配置及部署彈性運用 備有多種當用的作業系統,即開
21、即用免安裝能快速部署自動 IP 配發管理機制, 用戶間的網路隔離不會互相干擾,管理者及使用者建立出來的系統映像檔,隨開即用,運算資源使用現況,65,目前使用 69 vCPU, 141.5 G 的記憶體,儲存資源使用現況,66,目前使用 1.3T 為 VM 系統碟, 10.4T 為資料碟,教育雲上的服務系統,中華開放教育平台https:/www.openedu.tw/行動磨課師策展平台數學小學堂系統http:/www.emath.math.ncu.edu.tw/e_school/,67,教育部異質管理平台導入與未來,教育部異質管理平台已能透過 OpenStack API 使用北區雲端中心資源未來
22、直接透過異質管理平台做資源的調度將更便利,68,2018/9/24,69,4.104年度預計推動之重點工作-連線單位的滿意度調查/意見回饋-區網特色推動-其他預計之維運重點工作,69,2018/9/24,70,105年度預計推動之重點工作 -滿意度調查/意見回饋,104 年度連線單位的滿意度調查/意見回饋對桃園區網的服務滿意度評分 共21校回饋意見很滿意5 : 20校, 滿意4 : 1校 明年度感興趣的研討會題目或方向?資安技術、網路攻擊、流量控管、虛擬主機的資安管理資訊等 無線網路環境建置,網管工具類 ,ipv6及網管經驗分享ISMS , PIMS,2018/9/24,71,105年度預計推
23、動之重點工作,區網特色推動Cloud base fdns 系統Xen server建置Vm安裝Hadloop, Hadoop MongoDB ConnectorZK/Spring Data Framework建置ftp server儲存及分享 fdns-vm說明文件,2018/9/24,72,105年度預計推動之重點工作,105 年度預計工作重點區網主幹轉送封包之 監聽/分析/攻擊偵測強化Fdns 功能配合教育部連網設備及頻寬升級工程相關管理系統改善 加強雲端服務提供建置私有雲及教育雲服務之經驗分享/推廣 整合區網不同的服務系統區網入口網站,2018/9/24,73,綜合建議,明年骨幹網路頻寬提升後:中原大學, 元智大學,萬能科大等希望連接至區網可以提升至10G高中/職學校希望連接至區網可以提升至200M以上高中/職學校希望教育部可以統合全國各高中/職學校與固網公司協調優惠的連網頻寬價格目前50M 6000元/月, 100M 12000元/月區網連接至Tanet骨幹的頻寬管理器目前設備最大頻寬是20G, 未來希望增加設備,2018/9/24,74,Thank You!,
