教研中心研習:校園骨幹架構網路實作

日期:106年1月9日

地點:教研中心

主題:校園骨幹架構網路實作

講師:李煒

講義:1060109新北市教育校園網路架構實作研習講義

個人PC網路設定測試:

  1. ipconfig /all
  2. arp -a
  3. ping 自己 IP (ipv4)
  4. ping 預設閘道 (ipv4)
  5. ping 自己 IP (ipv6)
  6. ping 預設閘道 (ipv6)
  7. ping 教研中心DNS
  8. ping www.google.com
  9. tracert -d www.google.com
  10. 安裝 telnet
    • telnet esa.ntpc.edu.tw 443

課程相關參考網頁:

Cisco Packet Tracer Lab 實作練習

程式:PacketTracer533_setup.exe

範例檔:1060109新北市教育校園網路架構實作test.pkt

L3 Switch 路由設定:

Switch>enable
Switch#config t
Switch(config)#inter vlan5
Switch(config-if)#ip address 163.20.66.254 255.255.255.0
Switch(config-if)#inter vlan10
Switch(config-if)#ip address 10.231.56.254 255.255.255.0
Switch(config-if)#inter vlan20
Switch(config-if)#ip address 10.241.56.254 255.255.255.0
Switch(config-if)#exit
Switch(config)#ip routing
Switch(config)#ip route 0.0.0.0 0.0.0.0 163.20.202.190
  • L3 網路交換器須設定 ip routing,才會提供路由功能。

網路資源:

教研中心研習:無線網路實作(1061128)

日期:106年11月28日

地點:新北市教研中心

主題:無線網路實作

講師:李煒老師

公文:

講義:

重大公告:

  • 每個月第二個週三為 Microsoft Update 日,教研中心為做流量管制。
  • 往政大網路有 1 條 1 G的骨幹線路,平日沒在用,各校如有需求,可向教研中心申請,將學校的流量導向此線路,可確保網路平穩。
  • 大同駐點工程師:分機 531、532,教研中心網管工程師:分機 542。

Packet Tracer

  1. 設備種類清單:這個區域是選擇設備種類,點選後 “2區" 也會改變成該設備的型號。
  2. 各設備型號清單:先顯示出該版本可模擬的設備型號。
  3. 封包模擬區:可進行各種封包模擬得區域。
  4. 主要工作區
  5. 選單區
  6. 主要工具區
  7. 次要工具區:由上而下分別為選取、複製、刪除、查詢、繪圖、編輯選取及新增封包測試。

教學影片:

參考網站與資料:

FortiGate 防火牆:

FortiAP 無線基地台:

無線行動箱:

碧華國小新校舍二階教室網路工程

12月21日(四):

  • 下午,與星崴工程師一行人至綜合活動中心實地現場勘查網路佈線情形。
    • 二樓機櫃已調整位置至輕鋼架上方。
    • 實際至各樓層依竣工圖檢測網點:共8個AP點、12個PC網點、24個C網點,合計44個網點,已一一檢測,全數測通。
      • 註:PC為網路電話點、C為一般網點,其實都一樣。
      • 地下一樓的網點數比竣工圖多了2點。
    • 要求將12個PC網點及AP點,連接至POE交換器上,按B1、1F…的順序排列,PC網點:1-12埠,AP點:17-24埠。
    • 24個C網點,B1、1F接至第一台交換器、2F、3F接至第二台交換器,按樓層順序從第1個埠開始接。
    • 光纖跳接線合約數為48條,少2條,請其補上。
    • 機架上的交換器、Patch Panel、理線槽、光纖收容箱,4個鏍絲,要求全數鎖上。
    • 其他缺失,於會議紀錄記載,要求限期改善。

12月20日(三):

  • 上午,於校長室召開綜合活動中心網路佈線檢討會,預計於本週四下午 1:30做實地現場勘查。
  • 在教研中心大同駐點工程師的協助下,完成綜合活動中心3台網路交換器的網路環境設定(網管IP、VLAN、SNMP),並加入新北市校園網路管理平台中。

12月18日(一):

  • 向校長反應綜合活動中心網路交換器設定問題。

12月15日(五):

  • 四年2班原教室電腦 Acer Z430故障,替換為 Acer L480 電腦 1 套。
  • 上午9:30,夥同校長、星崴工程師及其他工程人員一起到綜合活動中心勘查網路,結果如下:
    • 廠商僅提供 1 組光纖短跳線給本校,為了網路連通,本校另提供2組舊的光纖短跳線,讓廠商能把3台網路交換器全都接上光纖。
    • 上午,3台網路交換器兩端都接上光纖短跳線後,網路連線燈號全都不會亮。
    • 下午,廠商發現是光纖短跳線接到錯誤的光籤收容箱,改接後,已恢復正常連線。
    • 活動中心交換器網路環境尚未設定。

12月5日(二):

  • 檢視綜合活動中心置於舞蹈教室天花板的網路機櫃內網路佈線情形:
    • 天花板輕鋼架未配合機櫃門重新施工,機櫃門仍舊無法打開。(必須先把輕鋼架拆下來才開得了門。)
    • 線路同11月24日(五),未曾改變。

11月30日(四):

  • 送出電腦機房新採購 2 台 DLink DGS-3420-26SC 請購單。

11月29日(三):

  • 整理中菱視聽昨日送來的設備、線路。

11月28日(二):

  • 中菱視聽送來 2 台 SMC 網路交換器、數支 Patch Panel、數條連接網路交換器 Console 埠的連接線及3條2米網路線。

11月24日(五):

  • 檢視綜合活動中心置於舞蹈教室天花板的網路機櫃:
    • 機櫃門已可打開,但天花板輕鋼架的施工未完工。
    • 機櫃內共有 3 台網路交換器:2台 Dlink DGS 1510-28x、1台 Dlink DGS 1510-28p:
      • 目前2台 Dlink DGS 1510-28x 第1-24埠皆插了CAT 6 短跳線,共 48 條CAT 6 短跳線,其中第2台第25埠插了1個 miniGBIC,接了1條光纖短跳線至光纖收容箱,
      • Dlink DGS 1510-28p 未插任何一條線。
    • 經比對網路佈線圖:共計 57 點。(AP網點:8 點、網路電話網點:16點、教室網點:33點)
    • 預計規劃:
      • 3 台網路交換器應各插了1個 miniGBIC,並各接了1條光纖短跳線至光纖收容箱,電腦機房端也須接 3 條光纖至網路交換器。
      • AP及網路電話網點共24點,插在 Dlink DGS 1510-28p 第1-24埠。
      • 教室網點共33點,分插在 2 台Dlink DGS 1510-28x 第1-20埠,21-24埠保留給串接其他交換器用。

11月22日(三):

  • 檢視綜合活動中心置於舞蹈教室天花板的網路機櫃,至今門仍被輕鋼架檔住,開不了。

11月15日(三):

  • 將 D 棟教室網路都設為教室網段。
  • 星崴許工程師為使 D 棟一樓教室能連上網路,拉了一條臨時線路。

11月13日(一):

  • 新校舍 A棟2樓、B棟1、2、3樓網路機櫃第二台交換器,uplink 埠全改接為光纖,直接接到電腦機房。
  • 夥同星崴許工程師,修復五年11班網路問題。
    • 原五年11班網路短線故障,測線器測試 8 芯都是通的,但通訊仍然不正常。
    • 右側網路埠第8芯不通。
    • 左側網路埠在機櫃瑞網路短跳線重插拔後,恢復正常。

11月10日(五):

  • 檢視全校網路:
    • D棟一樓教室網路仍舊不通。
    • D棟506教室(五年11班),兩個網點皆不通。
    • 綜合活動中心至電腦機房光纖網路缺短跳線,無法連交換器。
    • 綜合活動中心網路機櫃置於舞蹈教室天花板,門被輕鋼架檔住,開不了。
    • 綜合活動中心網路機櫃中的網路交換器皆未做任何網路設定。
  • 原 D棟大樓一樓管道間,拉 2 條網路線經由地下室至 A 棟一樓機櫃,但因長度過長,通訊不良,改經由二樓管道,拉至 A 棟二樓機櫃。
  • 星崴工程師送來 2 個 1G miniGBIC 及 1 條 1G 光纖短跳線。

11月8日(三):

  • 下午,升級新採購的 5 台 Dlink DGS 1210-52 網路交換器韌體,使其能正常透過網路管理。
    • 剛升級後,仍舊無法透過網路管理,後將其連線的埠關閉後再重開,就可正常使用了。
  • D棟一樓教室網路仍舊不通,已向總務主任反應。

11月7日(二):

  • 檢視A棟機櫃中D棟網路跳接線安裝情形:
    • 五樓多了 8 條跳接線,預備接二至五樓各樓層的無線網點。(一層樓 2 點)
    • 四樓多了 10 條網路線,來自何處,待查。
    • 一樓來自D棟的網路僅有 2 條,線路未接。
  • 針對D棟一樓教室網路不通問題,星崴許工程師今日先處理D棟教室廁所污水查驗工程,待其完成後,持續追蹤。

11月6日(一):

  • 更換科任辦公室網路交換器。
  • 配合二階教室及綜合活動中心網路環境設定,重新調整電腦機房網路線路及光纖埠位置。
  • 下午約5點,全校網路癱瘓,經查為D棟五樓某一間教室網點發生網路風暴所致,已將其網路暫時關閉,以維全校網路正常運作。
  • 星崴公司無法將二階教室一樓的網路線全數拉到A棟一樓機櫃,折衷方法,將 1 台網路交換器安裝在D棟大樓一樓管道間,二階教室一樓的網路線全數拉到這一台交換器,再從這一台交換器拉 2 條網路線至A棟一樓機櫃,1 條當作骨幹,1 條備用。

11月5日(日):

  • 檢視可能造成A棟五樓交換器網路風暴的每一間教室,發現位於D棟教室五年6班教室交換器產生迴圈,立即將其拆離,網路恢復正常。(註:D棟教室,每間都提供 2 個網路埠,且都位於教室前,黑板旁,可一次連 2 部電腦上網,不必再額外使用交換器。)
  • 將新採購的兩台 DLink DGS-3420-26SC 網路交換器上架,並重新調整校內網路。
  • 星崴將綜合活動中心連電腦機房的光纖網路重拉,從上午 9:30開始至下午約 2 點多完工。
    • 目前仍缺光纖跳接線,無法連線上網。
    • 規劃將綜合活動中心的光纖網路集中在另一台交換器上。

11月4日(六):

  • 與中菱工程師確認二階教室網路佈線及處理情形:
    • D棟教室一樓所有網路線皆尚未施工,會預留跳接線於A棟一樓機櫃中。
    • D棟教室二~五樓教室網點,每樓各 12 點,網路線拉至A棟各樓層機櫃。
    • 新校舍D棟教室二~五樓 AP 網點,每樓各 2 點,網路線全集中拉至A棟五樓機櫃。
    • 綜合活動中心連電腦機房光纖網路兩端已各熔接24芯,但中間有斷點,預計明日熔接。
  • A棟五樓機櫃共含下列線路:
    • 至電腦機房光纖 2 點,目前僅用其中 1 點。
    • A棟五樓教室網點 8 點、D棟教室網點 12 點,共計 20 點。
    • A棟五樓 AP 網點 2 點、D棟二~五樓 AP 網點,每樓各 2 點,共 8 點,合計 10 點。目前A棟五樓有一台 AP,僅用 1 點。未接交換器的跳接線,會留在機櫃中。

11月3日(五):

  • 上午,向校長反應新校舍網路問題:
    • 綜合活動中心連電腦機房光纖網路未通。(中間有斷點)
    • 二階教室一樓網路未拉、二~五樓教室網路已拉好,但機櫃內的短跳線未接。(星崴許工程師承諾會立即派人將二~五樓機櫃內的短跳線接好。)
    • 會議室連接至機櫃內的30幾條網路線接頭施工不當,須重做。
  • 下午,全校網路癱瘓,在教研中心大同駐點工程師協助下,查出網路風暴來自於A棟5樓交換器,已暫時將其隔離,全校網路恢復正常。

11月2日(四):

  • 安裝在電腦教室(一)、(三) Dlink DGS 1210-52 網路交換器,直接連線 Dlink DGS 3620,無法正常透過網路與其連線,但將其接在第二層 DGS 1510-28XMP下,卻可正常連線,此問題已向大同公司駐點工程師與合志工程師反應,目前尚不知原因。

11月1日(三):

  • 設定並安裝上架 4 台 Dlink DGS 1210-52 網路交換器:
    • 更換電腦教室(一)、(三)、A棟二樓機櫃、B棟三樓機櫃網路交換器。
    • A棟二樓機櫃原 24 埠  Dlink DGS 3120-24PC 網路交換器移到A棟一樓機櫃,換裝 Dlink DGS 1210-52 網路交換器。
    • A棟一樓機櫃加裝第 2 台網路交換器並重整內部網路線。(加裝 1 支理線槽、拆除 1支多餘的 Patch Panel。)

10月30日(一):

  • 第一位合志工程師送 4 台網路交換器 Dlink DGS 1210-52 到校
  • 第二位合志工程師協助設定 4 台網路交換器。
    • 預設IP:10.90.90.90
    • 預設密碼:admin

10月25日(三):

  • 上午,夥同中菱工程師、合志工程師小廖勘查新校舍二階工程網路佈線情形,規劃網路設備採購事宜。

資安事件:新北市教育網路中斷(1060919-0928)

日期:106年9月28日(四):

教育局來信:

(一) 因應DNS放大攻擊相關資安措施10月1日上午10時起執行,並請DNS自管學校依信件內容設定。

  1. 因應近期DNS放大攻擊,持續掃描及追蹤各校網段後,發現學校網段中,不定期會有不同IP回應外部網段的DNS遞迴查詢(recursive query),變成放大攻擊的跳板。
  2. 本科將針對所有連線學校網段,設定DNS白名單,僅開放各校在本科登記之授權DNS IP進行TCP/UDP Port 53連線,其餘所有網段將封鎖外部網段對校內網段TCP/UDP Port 53連線,校內網段對外部網段使用TCP/UDP Port 53連線不受影響,本項措施將於10月1日上午10時起執行。
  3. DNS伺服器自管的學校,請設定限制DNS遞迴查詢的來源IP或網段,僅供自已學校網段進行DNS遞迴查詢使用,如再發現DNS未設定限制外部IP進行遞迴查詢者,將逕予封鎖該IP之網路存取權限,至貴校改善為止。
  4. 除各校在本科登記之授權DNS IP外,如另有特殊需求須開放外部網段對校內IP進行TCP/UDP Port 53連線時,請另洽本科申請,電話 (02)80723456#506 陳思維、(02)80723456#516 林璟豐

(二) [網路中斷通知]9/28晚間2200-2400進行骨幹備援交換器維修。

下午 5:30 進行備援系統上線切換時,備援系統無法順利進行網路系統備援。

為維持穩定可靠的網路服務,晚間2200-2400將進行備援系統維修。

維修期間將造成網路中斷。

造成不便,請見諒。

新北市教育局教資科輔導員

李煒

0912456898


日期:106年9月25日(一):

教育局來信:請於今日中午12時前關閉recursive query功能

  1. 本市教育網路連線學校,近來頻頻遭受DNS放大攻擊,請有自架DNS伺服主機的學校注意,通知DNS管理人員,務必於今日中午12時前關閉recursive query功能。
  2. 此後中心如再發現DNS放大攻擊,將依資安事件SOP處理,直接阻擋或封鎖來源IP或MAC。
  3. 如學校有自架DNS伺服主機,且有管理及資訊安全疑慮者,建議儘速採取集中託管措施,申請學校請填寫「新北市政府教育局網路服務啟用暨異動申請表」(附件),並依表單備註說明辦理申請。本表單可自行於「教育網路服務網」(http://enctc.ntpc.edu.tw)>「下載專區」>「網路服務申請暨異動表」中下載。
  4. DNS 放大攻擊簡介與防制及如何關閉recursive query功能,請參考臺大計算機及資訊網路中心文章— DNS 放大攻擊簡介與防制(http://www.cc.ntu.edu.tw/chinese/epaper/0028/20140320_2808.html)。

日期:106年9月19日(二):

今天新北南轄內自架DNS都被一個ip各做1024個連線。因此累計加放大貢獻了90萬session給防水牆,因此防水牆session table無法重建session.造成學校網路異常。