聯系我們 網站導覽
台灣研發製造 Made in Taiwan
PChome線上購物-QNO專區
QnoDDNS服務申請入口
產品註冊
下載服務
購買方式
聯絡我們
HOME > 訊息快遞 > 焦點訊息 > 訊息內容
 
 
俠諾科技協助大同大學提供優質宿舍網路服務

刊登日期:2012/10/12 瀏覽次數:4969


俠諾科技協助大同大學提供優質宿舍網路服務

用戶背景:

大同大學,是一所位於臺灣台北市中山區的私立大學。原名為大同工學院,前身為大同工業專科學校。總校區位於中山北路三段,緊臨大同公司,提供莘莘學子先進之教學設備與絕佳之讀書環境,其壯麗之建築除為大同校園添一美景外,並已成為台北市之新地標,而創辦人高瞻遠矚之「建教合一研究發展、勞資一體工業自治、創造利潤分享顧客、社會投資公眾公司」經營理念,亦將與之永續發展。

pic
圖一:大同大學

需求分析:

隨著電腦多媒體和網路技術的不斷發展與普及,校園宿舍網路已經成為眾多學生實現提升學習、輔助教學、資源分享等等不可或缺的設施,從而擴展對電腦的應用,提高學生適應未來資訊社會的能力。大同大學為實現提供優質網路服務、合理地使用網路資源,重新規劃學校宿舍網路。該校電算中心網管胡老師指出,在考慮學校的情況,提出了以下幾點要求:

pic
圖二:大同大學原有的網路應用拓撲
  • 要能維持長時間優質的服務,最重要的是能防範內網的攻擊,有效降低內網被癱瘓的機會,避免造成網路服務被中斷等嚴重問題。之前每個宿舍內的PC都透過L3 Switch做IP /MAC綁定,但是如果學生發一些ARP攻擊及IP Spoofing 攻擊,都會由L3 Switch來承擔,無法第一時間做阻擋及管控。現在希望在每個房間的設備來做IP /MAC綁定,做為防制攻擊的第一道防線。
  • 依照樓層、房間號碼不同,每個房間的設備預先分配4個IP,透過學校系統(如下圖),學生住哪個房間就只能申請該房間的4個IP,只要哪個IP出問題,可以在最短時間找出該台PC的位置。
    pic
    電算中心的統一管理系統
  • 雖然強效防火牆可防止一般的攻擊,但目前許多病毒與攻擊層出不窮,校園網路又如此龐大,因此萬一不幸中毒,也希望可以儘量縮小感染的範圍,不致擴散到整體網路。因此學生宿舍都必須建置基礎的VLAN隔離,才不會導致某個學生中毒,造成整個宿舍網路全面感染中毒的狀況。使用VLAN功能將每個宿舍內的4台PC分為VLAN1、VLAN2、VLAN3、VLAN4作為隔離。如此一來,每台PC便不能互相在內網連線,進而可限制病毒與無用資訊流竄。也就是說,當一個VLAN(例如:一樓一號)有人不幸中毒,不會擴散到整個學生宿舍,可有效避免廣播及病毒封包迅速擴散全網,大大降低感染區域。
  • 學術網路線每天針對每個IP都有限制上傳、下載流量的大小,因為經常有同學進行P2P下載造成自己IP流量超過被斷線,去抗議自己無法上網。現在可以透過每個房間內的設備,當學校系統發現學生當日的流量已經超過設定,就連動房間內的設備下QoS規則,針對該學生進行流量控管,限制到只能正常上網的頻寬500K或是1Mbps,來取代已往斷線的做法。
  • 提供Syslog Server,收集每個房間的設備Syslog,系統針對設備的Syslog判斷是否同學惡意攻擊或是做非法動作,作一些紀錄,後續進一步來分析Syslog,藉由防火牆的機制,偵測過濾可疑的封包,跟學校系統做區域聯防的動作。

應用方案:

由於網路路由器產品型號眾多,功能也不盡相同,胡老師在與俠諾的工程師商議討論後,選擇俠諾科技的QVF系列網路安全路由器QVF8073,來架構大同大學的校園宿舍網路。

pic
圖三:大同大學修改後的網路應用拓撲

根據大同大學的實際情況,在做方案設計時以高性能、高智慧、高安全、易管理為設計目標,整個校園網採用如上圖所示拓撲結構。QVF8073接在L2交換器下方,提供Gigabit Port的高速網路連線,並依據電算中心的流量統計系統啟動流量門檻,自動設置內網QoS規則做彈性優化管理。根據每個房間的用戶分別規劃4個VLAN子網,實施VLAN的全局規劃並啟用IP /MAC綁定、ARP攻擊防制功能和分析Syslog作區域聯防等智慧化功能。

透過QVF8073的高級防火牆,可進行封包過濾,有效防止疾風、木馬等病毒。針對目前常見的DOS攻擊,具備小封包、ICMP、SynFlood、TCP/UDP協定過濾等功能。例如:一般觀看清晰度較高的線上電影,只需要每秒400-500筆封包,一旦單一來源IP封包每秒超過2000筆時,即被系統視為惡意攻擊,會給予立即阻擋。

pic
鐵殼設計的俠諾安全路由器,具良好的散熱機制

強效防火牆:俠諾QVF8073安全路由器,具備主動式封包檢測功能,只需單向啟動各式駭客攻擊、蠕蟲病毒防護功能,即可簡易完成配置,有效防止內外網惡意攻擊,確保宿舍網路安全;配合IP/MAC綁定,即可確保有效防止ARP病毒攻擊。而內網IP欺騙是在ARP攻擊普及後,另一個緊隨出現的攻擊方式。攻擊電腦會偽裝成一樣的IP,讓受攻擊的電腦產生IP衝突,無法上網。要有效解決內網IP欺騙,也可採用雙向綁定方式,先做好綁定配置的電腦,不會受到後來的偽裝電腦的影響;因此,等於一次防制ARP及內網IP欺騙解決。

虛擬區域網VLAN:利用這個功能,胡老師將學校每個房間的電腦劃分為不同的LAN,如VLAN1、VLAN2、VLAN3、VLAN4以進行特定的管理、隔離區域網和防止廣播風暴。在同一個網段內的成員(在同一個VLAN區域網路內)可互相溝通並看得到對方,若不在同一個VLAN群組內的成員則無法得知其他成員的存在,保證用戶絕對隔離。各個虛擬區域網路廣播包也互不相通,限制病毒與無用資訊流通,有效避免廣播及病毒封包迅速擴散全網,降低感染區域。

QoS管理:以QoS來講,QVF8073能夠設定連接埠、服務協定,以及上傳、下載的頻寬大小,來控管各服務在網路中的流量。而在QoS的服務協定方面,除了基本的HTTP、FTP外,也針對應用層服務,加入了L7 Web Page和L7 Web Video兩種設定。以L7 Web Video來說,IT人員能夠設定整體流量,讓使用者能夠瀏覽,但並不會影響到整體流量。

為了方便IT人員設定QoS,QVF8073也提供動態智慧QoS功能。該功能需設定的步驟較少,當學校系統發現學生當日的流量已經超過設定,就連動房間內設備的QoS規則,針對該學生進行流量控管。該功能預設網路總頻寬使用率達到60%時,就會自動啟用,並限制內部網路使用者的連線頻寬。Smart QoS功能中有一個懲罰機制非常特別,當使用者佔用頻寬持續達到設定上限時,會將該使用者的網路頻寬限制住。預設5分鐘偵測一次。若持續超過上限,這機制會將使用者的網路頻寬縮減至一半。俠諾獨有的Smart QoS智慧型頻寬管理功能,簡化用戶設定,自動針對實際網路頻寬使用情況管控頻寬佔用,有效的控制用戶越權佔用上/下載頻寬資源,可設置啟用時間及流量門檻,自動啟動智慧QoS,達成最大頻寬使用率。並可依據IP或應用服務連接埠分配頻寬或設定優先順序,優先傳送重要資訊資料不致延遲,網路連線的使用更有效率。

簡易系統管理:QVF8073全中文化配置及管理介面,所有設定參數與組態清楚明確、簡單易懂,輕鬆完成網路設置。還支援強大的系統日誌功能,搭配學校的控管系統,可透過完整得對日誌分析和查找,即時監控系統狀態及內外流量,進而作對應的配置,確保內網運作無誤。

彈性IP管理:QVF8073具IP /MAC綁定,它可以預先設定為內網用戶發放的4個IP位址,若是不同MAC的設備,則無法連接網路,建立第一層的防護措施,不需要L3 Switch對所有宿舍的PC進行IP位址配置,讓胡老師的管理更加簡單,只要哪個IP出問題,可以在最短時間找出該台PC的房間號碼,不需要對整棟宿舍進行大搜索。

電子白板功能:主要目的是實現宿舍管理者有效的向住戶傳達各種公告或即時資訊。電子佈告欄的功能,管理者能夠自行填入內容,讓內部網路的使用者連線時,在網頁上能看到公告資訊,而公告內容可以使用HTML語法去控制呈現。管理員在路由器對電子白板內容進行設定之後,當住戶開機第一次打開瀏覽器的時候,公告資訊就會以網頁的形式自動的顯示出來,就好像顯示出來的是使用者本人設置的瀏覽器主頁一樣。同時,為了提高資訊傳達的有效度,管理員也可以自由選擇設定時間,方便及時重新發送需要公告的資訊。除了顯示公告內容,該功能也具有導引網頁的功能,當使用者開啟瀏覽器時,就會重新自動導向IT人員設定的網頁。

效果評測:

大同大學資訊中心胡老師表示,應用QNO QVF8073安全路由器以來,網路運行穩定,受到廣大師生的好評,其靈活的策略和管理功能讓他感到很滿意。強效防火牆、自動的IP分配、VLAN劃分、系統日誌等功能,簡化了網管工作。沒想到的是,功能強大的安全路由器還擁有外型美觀的鐵殼設計,兼具熱傳導的散熱機制,省去風扇散熱,更能避免雜音干擾及較易故障問題,經久耐用。如此高效能的路由器,帶給了大同大學一個可靠、效率、安全和智慧化的校園網路。



相關連結(一):俠諾科技協助大同大學提供優質宿舍網路服務

發佈單位:產品行銷處

= 回上頁 =

  產品資訊   |   訊息快遞   |   應用案例   |   客戶服務   |   經銷專區   |   關於俠諾   |   回首頁
Qno Logo