Post on 27-Oct-2019
東華大學 IPv6經驗 / 分層管理
2019/08/21 張瑛杰
ycc@ncnu.edu.tw
1
自我介紹
張瑛杰 任職於國立暨南國際大學
– 資訊工程學系兼任助理教授 – 計算機與網路中心技術員
學歷
– 國立暨南國際大學國際企業學系博士學位 – 國立暨南國際大學資訊管理學系碩士學位 – 長榮大學企業管理學系學士學位
2
92年任職於 國立暨南國際大學
TWAREN GigaPOP 專任助理
97年執行台灣學術網路(TANet)
南投區網中心成立與網路管理
多次承接 財團法人台灣網路資訊中心(TWNIC) IPv6 推廣與教育訓練計畫,對象包含政府與學術單位
3
上午場 09:00 ~ 12:00
學術與政府IPv6的升級經驗分享
下午場 13:00 ~ 16:00
校園網路的資安防護分享與分層防護要領
4
伴隨著 TANET / TWAREN 骨幹100G
的新世代發展
校園網路管理 比起十年前更加嚴峻
逐一介紹不同層面的挑戰
以及因應之道
5
多階層樹狀拓樸
6
單階層樹狀拓樸
7
單點故障風險 / 建構成本高
8
管理上須具備的功能
Layer 2 位階的 網管功能測試
9
17項網管功能
10
Syslog
SNMP
LOOP Detection
ARP Spoofing
Spanning tree
BPDU
IP & MAC & PORT
Multicast
Netflow / Sflow
ACL / Filter
IPv6
DHCP Snooping
Port Mirroring
Storm control
Commit Confirmed
Rollback
連線方式
12項參數設定
11
Storm
DHCP Snooping
DAI
icmp-limit
snmp limit
NTP limit
MAC Table
ARP
login limit
Gateway MAC – static
STP
History syslog
核心骨幹的備援機制
如何挑戰
傳統樹狀拓樸
12
Multi-Chassis Link Aggregation Group (MC-LAG)
Virtual Port-channel
(VPC)
13
改接前
改接後
核心骨幹路由器
機箱好 V.S. 單機好
16
• 觀察一般狀況下的 CPU Loading
• 測試 消耗 CPU Loading 的功能 –查詢 ARP Table 紀錄
–查詢 MAC Table 紀錄
–透過 SNMP 抓取 資料
• 測試Cacti 運作狀況
• 測試syslog是否可以正常收到資料
1. User 是否可以自動取得正確的 IPv4 / IPv6 address
2. User 是否可以正常上網
3. 檢視乘載 APR Table,以及CPU使用率
4. 檢視乘載 MAC Table,以及CPU使用率
4. 使用外部程式抓取設備上 IP address 與 MAC 對應資訊,並且抓取的同時檢視 CPU 使用率
5. 檢視是否可以與 TWAREN 的 IPv4 建立 OSPF ,並且交換路由資訊
6. 檢視學校使用 SNMP 網管軟體,是否可以正確抓到設備相關資訊 ( interface 流量 )
7. 檢視學校使用的 SYSLOG Server,是否可以正常收到 SYSLOG
設備型號 管理模組 CPU資訊 備註
Router 機箱
RE Intel Celeron M 1.3G
目前使用的模組
Layer3 Switch 機箱
RE Intel Xeon C5518 4 Cores, 1.73 GHz
RE2 6 Cores, 2 GHz
Layer3 Switch 1U 單機
RE Broadwell E5-2608-L V4 8 Core 1.6GHz
本次比較項目中 最新的CPU製程型號
Layer3 Switch 機箱
RE MPC8572 1.5Ghz
RE2 X86 Dual Core 2.5Ghz
20
設備型號 MAC Address ARP Entries Port
Layer3 Switch 1U 單機
64,000 * 24Port 10G
Layer3 Switch 機箱
128,000 125,000 32Port 10G
8Port 10 + 2Port 40G
Layer3 Switch 2U 單機
32,000 16,000 24Port + 2Port 10G
Layer3 Switch 機箱
256,000 1,000,000 32Port 10G
Layer3 Switch 1U 單機
512,000 1,000,000 8Port 10G + 4Port 40G
21
廠商1 廠商2 廠商3
廠牌1 廠牌2
管理模組 1片 1片 2片
卡版 1* 32 port 10GE 1* 32 port 10GE
電源 3 * 3000W 2 * 3000W 2*2520W
GBIC 22 * SR 副廠 10 * LX 副廠
non 22 * SR 副廠 10 * LX 副廠
保固-報價 3 年 1,396,500 5年分期
2,200,000
3 年 1,180,000 3 年 1,480,000 第二輪 最高規
5年 1,900,000左右
報價比較 – 你看到什麼?
22
機箱造型的設備
機箱使用的管理模組
1U空間大小的完整設備
機箱設備 1U大小的設備
管理模組 1
10G Port 8 Port
40G Port 2 Port 40G or 8 Port 10G 4 Port 40G or 16 Port 10G
CPU X86 Dual Core 2.5Ghz Broadwell E5-2608-L V4
8 Core 1.6GHz
Memory 4G 32G
使用空間 9U 1U
MAC address table 125,000 1,000,000
ARP table 125,000 256,000
耗電用量 僅管理模組本身會需要354W 整台運作需要300W
含五年保固 110(每年約20萬) 90 (每年約6.5萬)
以實際最低需求的最低價做比較
25
改接後
校園內部資安防禦?
27
內部 – 代表越接近使用者越有效
• 入侵偵測
• 防毒
• 還有….?
28
Gartner 企業網絡防火牆魔力象限
哪些是資安設備的 基本項目
1. Layer 4 Firewall
2. Threat Prevention
3. Application Control
4. New Session per second
5. Max Sessions
6. DNS
7. URL Filter
8. IP List
9. Others…….
30
請問貴單位 需要的是什麼?
如果上層已經有資安設備 貴單位還需要購買設備?
如果依舊需要
疊床架屋的問題怎麼解釋?
31
臺灣學術網路
(Taiwan Academic Network, TANet)
臺灣各級學校網路及資訊教育之平台
32
33
為了落實網路安全管理 在網路骨幹建構完整 偵測與通報機制
34
學術網路資訊安全通報機制
資安通報 重要單位
• 台灣學術網路危機處理中心
TANet Computer Emergency Response Team
• 學術資訊安全維運中心
Academic Security Opertion Center
• 區網中心
GigaPOP
35
36
DEF (Deface,網頁攻擊)
37
INT (Intrusion ,入侵攻擊)
38 您知道這有超重要的資訊嗎?
39
40
下載次數太少 表示太少人關注
IoT 設備資安防護指南
41
TANET 的 Last Mile
國中小 是 TANet 數量最多的連線單位
臺灣學術網路(TANet)為了落實網路安全管理
在網路骨幹建構完整偵測與通報機制
42
Last Mile 的問題
各校在資安管理的自主規劃
大多是將IPS或IDS建置在校園出口
這和 TANet 資訊安全架構 有重疊之處
到底該怎麼辦?
43
IP address黑名單
• IP address 黑名單是普遍的作法 – Gateway
– IPS
• 過濾異常黑名單 –降低 Router 和 IPS 的 Loading
–增加設定筆數
44
Domain name 過濾
• 過去 – 透過 IP address 黑名單降低 資安風險
• 現在 – 駭客使用 Domain name 可以不斷變更IP address
設定阻擋已知異常 Domain name
可有效抑制 更換 IP address 的攻擊行為
45
有許多現成的資源 可以多多運用
但資安就是雙面刃 不買資安設備? 不做控管嗎?
46
無線網路汰舊換新
該不該換? 怎麼換?
47
今年六月份紀錄
48
Wi-Fi Alliance
在 2018 年 10 月
正式宣布新的命名規範
802.11n → Wi-Fi 4
802.11ac → Wi-Fi 5
802.11ax → Wi-Fi 6
過去的標準
802.11
802.11b
802.11g/a
不再給予新的名稱
Wi-Fi 1 / 2 / 3
通訊協定標準 簡稱 2.4GHz 5GHz 6GHz 最高傳輸速度
802.11 ● 2Mbit/s
802.11b ● 11Mbit/s
802.11g/a ● (g) ● (a) 54Mbit/s
802.11n Wi-Fi 4 ● ●
72Mbit/s (20 MHz)
150Mbit/s (40 MHz)
802.11ac Wi-Fi 5 ● ●
802.11ax Wi-Fi 6 ● ● ●
2.4GHz 和 5GHz 有何差異?
資料來源:科技新報
無線電波 每秒流向改變次數
Hz 在 1 秒以下流向改變次數
G 為 1,000 的 3 次方
2.4GHz / 5GHz → 2400000000 / 5000000000
部分頻段無須額外特許證照或費用給三個類別使用
工業(Industrial)
科學(Scientific)
醫學(Medical)
2.4GHz / 5GHz 傳輸距離 → 1.0 倍 / 0.5 倍
仍受到空間影響
2.4 GHz 的問題
5 GHz 的問題
舊款支援 舊款僅少數設備支援 衛星訊號傳輸和機場氣象雷達
5 GHz 頻段
80MHz 160MHz 160MHz
2.4 GHz / 5GHz 整合問題
•是否設定相同SSID
•連線選擇上的問題
•韌體升版可否改善
•自動連線設定
高增益 / 主動式
高增益 主動式
被動 主動
方向性加強 電力放大訊號
魚與熊掌是否可以兼得?
MIMO
自802.11n 開始
出現一個新功能
可透過多組天線傳輸進行傳輸
Multi-Input Multi-Output (MIMO)
多輸入多輸出
MIMO
802.11n 單支天線 最高傳輸天線數量 最高傳輸速率
150 Mbps 4 600 Mbps
802.11ac 單支天線 最高傳輸天線數量 最高傳輸速率
867 Mbps 8 6.934 Gbps
AP
手機
2支天線
4支天線
AP
手機
加強傳輸品質 或穩定訊號
2支天線
2送 + 2收
802.11ac 802.11ax
頻帶 5 GHz 2.4 GHz 與 5 GHz
通道頻寬 20 MHz、40 MHz、80
MHz、80+80 MHz 與 160 MHz
20 MHz、40 MHz、80 MHz、80+80 MHz 與 160
MHz
FFT 大小 64, 128, 256, 512 256, 512, 1024, 2048
子載波間距 312.5 kHz 78.125 kHz
OFDM 符碼持續期間 3.2 us + 0.8/0.4 us CP 12.8 us + 0.8/1.6/3.2 us
CP
最高調變 256-QAM 1024-QAM
資料速率
433 Mbps (80 MHz,1 SS)
6933 Mbps (160 MHz,8 SS)
600.4 Mbps (80 MHz,1 SS)
9607.8 Mbps (160 MHz,8 SS)
Beamforming 波束成型
802.11n 開始成形,但因各家廠牌標準不一
尚未普及
802.11ac 趨近於統一運作模式
已經普及
Beamforming 波束成型
訊號彼此之間會有干擾、抵消等現象
Beamforming 波束成型
透過計算讓訊號傳輸方式改變
提升傳輸速率、品質、距離
802.11ax
資料來源
電腦王、每日頭條、PCM
MU-MIMO
以 MIMO 和 Beamforming 為基礎
提出了 MU-MIMO ( Multi-User )
Source:Ruckus
MU-MIMO的限制
下載 上傳
802.11ac √
802.11ax √ √
OFDM / OFDMA
為了讓相同通道 頻寬的 更多使用者 進行多工,802.11ax 標準 採用 了 4G 行動技術領域 的其中一項技術改進: 802.11ax 標準 使用廣 為 802.11ac 所用的正交頻分 多工 (OFDM) 數位 調變架構為基礎,會將特定 子載波 集進一步指派給個別 使用者 資料來源http://www.ni.com/zh-tw.html
Source:Wi-Fi Alliance
OFDM / OFDMA Source:Qorvo / Qualcomm
Resource Unit
QAM 調變技術
Source:ni.com
Source:Qorvo
BSS Coloring 假設在 Channel 36,要傳送資料,在 ac 舊制下,會聽到附近很多 Ch.36 的活動,因而暫止傳輸。但在 BSS Coloring 下,它會忽略黃、綠、紫色的 Ch. 36 干擾,照樣傳給黑色 Ch. 36。 Source:Aerohive 802.11 AX 裝置傳輸資料時,會在 Header 標記 BSS Color 。 Source:Aerohive
但是,對於管理者而言 如何提供穩定的服務環境
並且有效控制成本
這都是一大難題 買 或 不買 換 或 不換
74
2019/05 TANetRoaming 相關問題詢問
75
許多使用者會反映未加密的 TANetRoaming SSID會讓其他學校記錄到使用者的明碼帳號與密碼,這一件事情教育部的態度是?
教育部強力推廣EAP-802.1X暨eduroam服務,依漫遊中心與教育部之前開會的討論,後續建置跨校漫遊的部分全面採取,EAP-802.1X驗證,已建置學校也陸續開始進行輔導,當eduroam建置到一定程度後(目前約建置約11%),會將TANetRoaming服務名稱會修改成iTaiwan (依照校園服務資源對外開放政策)
76
漫遊中心網頁上提到「請加入漫遊中心的單位於新增或者修改SSID名稱為TANetRoaming」,這邊應該是針對Portal登入的SSID,想要請教的是,除了eduroam之外,有沒有針對802.1x建議的SSID名稱呢?
之前教育部有發函給各連線單位統一SSID為
TANetRoaming(網頁認證)和eduroam(EAP-802.1X)
• TANetRoaming
– 台灣當初再部署跨校漫遊的部分是採取網頁認證(Web Portal),為了讓台灣使用者知道哪個SSID可以使用跨校驗證,所以才建議全部都採取TANetRoaming這個名稱
• eduroam
– eduroam是一個為建立國際教育及科研機構間無線區域網路漫遊體系的計畫。所以外國使用者只會認得eduroam這個名稱。
– 如校內可以使用802.1X驗證,尊重各校的命名(niu-802.1X、nthu-802.1X等等),如要開放跨校漫遊就要命名為eduroam,並與漫遊中心完成雙線驗證測試。
– 另外漫遊中心也強烈建議,未來不管校內校外都統一使用eduroam名稱與國際接軌,漫遊中心也制定了一些使用和設定規範,已減少使用者和建制單位的負擔
77
2018/06/26公告的訊息Accounting Log一事,請問建議傳送給貴單位的方式,是否由Controller 直接送出? 或是 由syslog Server 進行轉送呢?
Accounting Log主要是因為個連線單位,會因為設備面,政策面或是資安要求的不同,會有儲存相關Log的一些問題,故統一發送到漫遊中心作集中儲存三年,各連線單位就依照自己的需求作相關設定既可。
一般來說Accounting Log都是由Controller直接送出,部分軟體是防火牆可以做到。syslog Server這部分應該都只是記錄自己當下的Accounting Log或是相關紀錄,漫遊中心這邊沒有聽說有這種的運作方式?
78
無線網路安全嗎?
2015
https://news.tvbs.com.tw/life/615399
2018
https://news.tvbs.com.tw/world/892678
79
IOT 設備怎麼辦
• 手動將 MAC 加入 Radius
–被動加入
–系統申請方式
–有其必要性 80
IOT
輕鬆打造創新物聯網│中華電信IoT大平台
中華電信IoT大平台,藉由提供感測資料之收集、處理、儲存、供應及管理等,建構出高可用性、高可靠性、高處理量且符合資訊安全標準的智慧感測資料中心,並透過物聯網技術收納各項設備資訊以進行監測,進而提供相關的加值服務;使您輕鬆地於平台上建立專屬應用服務、設備連結以及開發行動裝置APP,開拓您的 IoT 相關事業。
81
AIoT不可不知
30秒認識AIOT的價值
企業導入物聯網架構後,藉由數據的搜集和分析,就能擁有預防性維護、主動性預警的能力。
但是,企業人力資源有限,若想要在大數據之中,進一步找出所蘊藏的資料金礦,那就只能藉助人工智慧的力量,把IoT進一步升級為AIoT。
從IoT到AIoT,看似系統整合的一小步,但卻會是企業創新價值、超越自我的一大步。
82
(NHK)物聯網IOT的新興風險
百禾文化提供 Copyright by NHK
調查我們互聯網世界中的網絡威脅。
最新的家用電器可以使用智能手機和其他連接的設備在手指上操作。但是,究竟我們在物聯網(IoT)的傳播中暴露了什麼?駭客正在使用非法手段查看安全攝像機視頻或竊取個人信息。而這僅僅是個開始。日常家用電器可能成為全球互聯網犯罪更大更凶險的工具。為了便利要付出多少代價?對物聯網黑暗面的詳盡調查揭示了新興威脅的現實情況。
83
經驗分享
感謝您的參與
84