zentrale konzeptionsgruppe (zkn) notebooks und wlan - 16.04.2013 1 regionale lehrerfortbildung...

24
Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN - 16.04.2013 1 Regionale Lehrerfortbildung Notebooks und WLAN in der paedML Novell U. Frei 16.04.2013

Upload: heinz-engel

Post on 06-Apr-2016

222 views

Category:

Documents


5 download

TRANSCRIPT

Page 1: Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN - 16.04.2013 1 Regionale Lehrerfortbildung Notebooks und WLAN in der paedML Novell U. Frei 16.04.2013

Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN - 16.04.2013 1

Regionale Lehrerfortbildung

Notebooks und WLANin der paedML Novell

U. Frei

16.04.2013

Page 2: Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN - 16.04.2013 1 Regionale Lehrerfortbildung Notebooks und WLAN in der paedML Novell U. Frei 16.04.2013

Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN - 16.04.2013 2

Inhalt der Fortbildung

1. Anforderungen und Wünsche an Schulnetz2. Netzwerkstrukur

Notwendige Erweiterungen3. Grundlagen VLAN4. Grundlagen WLAN

AccessPoints5. Umsetzung in der paedML Novell6. Planung7. SzenarienSicherheitsaspekte

Bitte führen Sie an Ihrer Schule die Einrichtung von WLANS, notwendige Konfigurationen an Server und Firewall unbedingt nach den Anleitungen vom Support-Netz aus. Die Folien in dieser Präsentation sollen nur einen Überblick über die prinzipielle Vorgehensweise geben.Es ist ratsam, bereits im Vorfeld eine Fachfirma einzubinden.

http://www.support-netz.de/fileadmin/tx_dcfiles/Kundenportal/Erweiterungen/Novell/WLAN_paedML_Novell3.pdf

Page 3: Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN - 16.04.2013 1 Regionale Lehrerfortbildung Notebooks und WLAN in der paedML Novell U. Frei 16.04.2013

Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN - 16.04.2013 3

1. Anforderungen und Wünsche

● Lehrernotebook im LANz.B. im Fachraum mit Internetzugang und Beameranschluss

● Notebooks statt Desktop-PCs im Computerraum● Notebookwagen im Klassenzimmer● Schuleigene Notebooks im WLAN● Gästenotebooks im LAN● Gästenotebooks im WLAN● Tablets und Smartphones

BYOD● Tabletts im Unterrichtusw.

Page 4: Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN - 16.04.2013 1 Regionale Lehrerfortbildung Notebooks und WLAN in der paedML Novell U. Frei 16.04.2013

Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN - 16.04.2013 4

2. Netzwerkstruktur

● Paralleler Betrieb von privaten Endgeräten (auf denen die Schule keine Management Möglichkeiten hat) in LAN oder WLAN innerhalb dieser Netzwerkinfrastruktur wäre Sicherheitsrisiko. Zu groß ist die Gefahr, dass durch Gast-Systeme aktive Schadsoftware ins schulische Netzwerk eingeschleppt wird, oder von den Benutzern wissentlich oder unwissend durch fehlerhaft konfigurierte Geräte massivste Störungen im schulischen Netzwerk verursacht werden können.

● Zudem ist es auf keinen Fall ratsam, Gästen (Gast-PC) direkten Zugang zu schulischen Ressourcen zu gewähren. Auf keinen Fall sollen Sie direkten Zugriff auf das pädagogische Netzwerk (Internal und Internal-WLAN) haben.

● Deshalb gibt es in der paedML Novell ein erweitertes Zonenkonzept.

● In der paedML Novell sind für den kabelgebundenen Betrieb zunächstdrei Netzwerke eingerichtet.

Page 5: Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN - 16.04.2013 1 Regionale Lehrerfortbildung Notebooks und WLAN in der paedML Novell U. Frei 16.04.2013

Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN - 16.04.2013 5

2.1 Netzwerkstruktur paedML Novell

Die Verbindung der Firewall ins Internal-Netz ist aus Gründen der Übersichtlichkeit nicht eingezeichnet.

Page 6: Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN - 16.04.2013 1 Regionale Lehrerfortbildung Notebooks und WLAN in der paedML Novell U. Frei 16.04.2013

Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN - 16.04.2013 6

3. Grundlage VLAN

VLAN-Typen● Statische bzw. portbasierte VLANs

Hier wird einem Port eines Switches fest eine VLAN-Konfiguration zugeordnet.

● Dynamische VLANsBei der dynamischen Implementierung eines VLANs wird die Zugehörigkeit eines Frames zu einem VLAN anhand bestimmter Inhalte des Frames getroffen. Da sich alle Inhalte von Frames praktisch beliebig manipulieren lassen, sollte in sicherheitsrelevanten Einsatzbereichen auf den Einsatz von dynamischen VLANs verzichtet werden.

● Tagged VLANs nach IEEE 802.1qDatenpakete tragen eine VLAN-Markierung (Tag - Anhänger) und werden anhand dieser Markierungen z.B. an bestimmte Switchports weitergeleitet.Quelle: Wikipedia

Ein Virtual Local Area Network (VLAN) ist ein logisches Teilnetz innerhalb eines Switches oder eines gesamten physischen Netzwerks. Es kann sich über einen oder mehrere Switches hinweg ausdehnen. Ein VLAN trennt physische Netze in Teilnetze auf, indem es dafür sorgt, dass VLAN-fähige Switches die Frames (Datenpakete) eines VLANs nicht in ein anderes VLAN weiterleiten und das, obwohl die Teilnetze an gemeinsame Switches angeschlossen sein können.

Quelle: Wikipedia

Page 7: Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN - 16.04.2013 1 Regionale Lehrerfortbildung Notebooks und WLAN in der paedML Novell U. Frei 16.04.2013

Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN - 16.04.2013 7

3. Grundlage VLAN

Allgemein gilt:● Jedem VLAN wird eine VLAN-ID (Zahl) zugeordnet.● Switchports werden einem (oder mehrern VLANs bei tagged VLAN)

zugeordnet.● Nur über Ports im gleichen VLAN können Rechner miteinander

kommunizieren.● Es gibt keine direkte Verbindungsmöglichkeit von VLAN zu VLAN.

Falls Verbindungen erforderlich sind, so müssen diese über Router hergestellt werden.

● VLANs verhalten sich also wie physikalisch getrennte Netze.

● Wenn vom Gesetzgeber eine physikalische Netztrennung gefordert wird, so gilt diese beim Einsatz von VLANs (außer dynamisches VLAN) als erfüllt.

http://de.wikipedia.org/wiki/Virtual_Local_Area_Network http://www.thomas-krenn.com/de/wiki/VLAN_Grundlagen

Page 8: Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN - 16.04.2013 1 Regionale Lehrerfortbildung Notebooks und WLAN in der paedML Novell U. Frei 16.04.2013

Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN - 16.04.2013 8

3.1 statisches bzw. portbasiertes VLAN

● Beim portbasierten VLAN kann man Switchtports genau einem bestimmten VLAN zuordnen.

● Ein Switch kann somit in mehrere logische Switches unterteilt werden.

● Wenn sich VLANs über mehrere Switches ausdehnen sollen, so muss jedes einzelne VLAN direkt per Leitung mit dem entsprechenden VLAN auf dem anderen Switch verbunden werden.

Hier befinden sich die Rechner A-1, A-2, B-1 und B-2 im „grünen Netz“ mit der VLAN-ID 11, die Rechner A-5, A-6, B-5 und B-6 im „orangen Netz“ mit der VLAN-ID 12.

Verwaltung VLAN-ID 11 ProduktionVLAN-ID 12

RJ45-Ports

Page 9: Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN - 16.04.2013 1 Regionale Lehrerfortbildung Notebooks und WLAN in der paedML Novell U. Frei 16.04.2013

Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN - 16.04.2013 9

3.2 tagged VLAN nach IEEE 802.1q● Bei tagged VLANs können mehrere VLANs über einen einzelnen Switch-Port

genutzt werden. Die einzelnen Ethernet Frames bekommen dabei Tags angehängt, in dem jeweils die VLAN-ID vermerkt ist, zu dessen VLAN das Frame gehört. Wenn im gezeigten Beispiel beide Switches tagged VLANs beherrschen, kann damit die gegenseitige Verbindung mit einem einzelnen Kabel erfolgen:

● Auf der Verbindungsleitung sind Datenpakete mit verschiedenen VLAN-IDs im VLAN-TAG unterwegs. Im Beispiel Datenpakete mit VLAN-ID 11 und VLAN-ID 12.

● Der Ziel-Switch erkennt anhand der VLAN-ID im VLAN-Tag die Zugehörigkeit des Datenpakets zu einem bestimmten VLAN und leitet dieses an das passende VLAN weiter.

Quelle Thomas Krenn

Trunk

Page 10: Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN - 16.04.2013 1 Regionale Lehrerfortbildung Notebooks und WLAN in der paedML Novell U. Frei 16.04.2013

Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN - 16.04.2013 10

3.2 tagged VLAN nach IEEE 802.1q

● Default-VLANVLAN-ID 1● Verwaltung VLAN-ID 11● Produktion VLAN-ID 12

RJ45-Ports

Page 11: Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN - 16.04.2013 1 Regionale Lehrerfortbildung Notebooks und WLAN in der paedML Novell U. Frei 16.04.2013

Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN - 16.04.2013 11

Ethernetpaket

3.3 Tagging und Untagging● Endgeräte können in der Regel nicht mit Datenpaketen mit VLAN-Tags

umgehen, sondern nur mit sogenannten native Frames. Empfängt ein Switch auf einem seiner Ports z. B. von einem älteren Endgerät Pakete ohne VLAN-Tags, so muss der Switch das VLAN-Tag einfügen.Beim Ausliefern eines Pakets muss der Switch dann das VLAN-Tag wieder entfernen.

● Zu einem VLAN gehörende Switch-Ports, die so verfahren sollen, werden als untagged U konfiguriert. Trunk-Ports werden als tagged T konfiguriert.

Ethernetpaket

Ethernetpaket

Ethernetpaket

Ethernetpaket

Switch fügt Tag an

Ethernetpaket

+

Ethernetpaket

EthernetpaketSwitch entfernt Tag XX

EndgerätLiefert Ethernet-paket mit Tag

AstaroESXiAP

● Es ist aber auch möglich, dass Endgeräte Frames mit VLAN-Tag verarbeiten können und so über eine einzige Netzwerkkarte Daten mit verschiedenen Netzen bzw. VLANs austauschen können. Sie fügen dazu selbst das VLAN-Tag ein oder entfernen es.

● Dies wird z.B. bei der Astaro-Firewall (ASG), ev. auch bei Access-Points und einem ESXi-Server benutzt.

Switch A Switch B

u u u u u u u uT T TT

Page 12: Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN - 16.04.2013 1 Regionale Lehrerfortbildung Notebooks und WLAN in der paedML Novell U. Frei 16.04.2013

Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN - 16.04.2013 12

4. Grundlage WLAN● WLAN (engl. Wireless Local Area Network) 802.11

Ein WLAN erweitert ein lokales Netzwerk über Funk zur mobilen Kommunikation.Der Netzzugriff erfolgt über Ethernet (Layer 2).

● Ein Funknetz wird über einen eindeutigen Namen, den SSID (Service Set Identifier). Alle Teilnehmer, die über diese Funknetz kommunizieren wollen, müssen dieselbe SSID benutzen.

● Das Funknetz kann die SSID über SSID-Broadcast bekanntmachen – das Netz ist sichtbar. Ist diese Option deaktiviert, dann ist das Netz versteckt. Teilnehmer müssen die SSID kennen.

● Funknetze sind besonders leicht auszuspähen, da es für einen Lauscher genügt, in die Nähe zu kommen. Deshalb ist eine Verschlüsselung für vertrauliche Daten unerlässlich. Derzeit aktuelle Verschlüsselung ist WPA2 (AES 128 bit).

● Auch im WLAN können Clients per DHCP mit IP-Adresse versorgt werden.Gilt teilweise als Sicherheitsrisiko.

● Bei vielen Accesspoints kann man MAC-Adresslisten hinterlegen und den Zugriff auf Clients mit diesen MAC-Adressen beschränken.

● Für WLANs gibt es verschiedene Standards: 802.11a, 802.11b, 802.11g, 802.11nIn den Standards sind Datenrate, Frequenzbereich, Reichweite usw. festgelegt.Die Standards sind abwärtskompatibel. Aber Achtung: Ein Gerät mit einem langsameren Standard bremst möglicherweise das Netz aus.

Page 13: Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN - 16.04.2013 1 Regionale Lehrerfortbildung Notebooks und WLAN in der paedML Novell U. Frei 16.04.2013

Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN - 16.04.2013 13

4.1 Accesspoints (AP)● Ein Wireless Access Point, auch Access Point (AP) oder

Basisstation genannt, ist ein elektronisches Gerät, das als Schnittstelle für kabellose Kommunikationsgeräte fungiert

● Abhilfe für den letzten Punkt:WLAN-Access-Point mit Multi-SSID und VLANKann mehrere Funknetze aufspannen, die jeweils einem der angeschlossenen VLANs zugeordnet sind.

● Interessant ist für APs auch die Option Power over Ethernet (PoE),die eine Stromversorgung des AP über das Netzwerkkabel erlaubt und eine separate Leitung für den Stromanschluss erspart.

Einfache Acces-Points+ Geringe Kosten (ab 30 €)- Jeder Access-Point muss separat konfiguriert werden.- Nur eine SSID. Für verschiedene aufzuspannende Netze

(Internal-WLAN, Gaeste-WLAN) müssen separate AP eingerichtet werden.

- Client bucht sich beim Accesspoint ein.Wenn ein Benutzer vom Funkbereich eines AP zum nächsten

wechselt (roaming), wird er beim letzten ausgebucht und beim nächtens neu eingebucht. Dies entspricht einem Verbindungsabbruch und kann zu Netzwerkproblemen führen.

Page 14: Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN - 16.04.2013 1 Regionale Lehrerfortbildung Notebooks und WLAN in der paedML Novell U. Frei 16.04.2013

Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN - 16.04.2013 14

4.2 Managed Accesspoints

Managed Accesspoints (MAP)● Bei Managed Accesspoints erfolgt die Konfiguration zentral. An den

einzelnen Accesspoints muss nichts konfiguriert werden.Die Accesspoints kommunizieren mit ihrem zentralen System und bekommen von dort die Konfiguration.

● MAP sind immer Multi-SSID- und VLAN-fähig● Vereinfachter Verwaltungsaufwand● Verbessertes Roaming.

Clients buchen sich nicht bei den einzelnen MAPs ein, sondern beim zentralen System.Bei Wechsel der Funkzelle werden sie (für den Client transparent)vom zentralen System an den nächsten MAP weitergegeben.

● Wird von vielen namhaften Herstellern angeboten.Cisco, HP, LANCom usw.

● In der paedML gibt es eine interessante Möglichkeit von Sophos/Astaro.Für die ASG muss Astaro Wireless Security lizensiert werden.Es werden Astaro- bzw. Sophos-Accesspoints AP10, AP30 oder AP50 verwendet.

Page 15: Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN - 16.04.2013 1 Regionale Lehrerfortbildung Notebooks und WLAN in der paedML Novell U. Frei 16.04.2013

Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN - 16.04.2013 15

5. Umsetzung in der paedML Novell

● Die Firewall (ASG) dient dabei als Router zwischen den verschiedenen Netzen.

● Für jedes Netz können Filterregeln definiert werden. ● Für den Netzwerkzugang ist eine

Benutzerauthentifizieung erforderlich.Diese wird weiter hinten beschrieben.

● Bei der Auslieferung der paedML sind die Netze in der ASG-Konfiguration bereits vorbereitet.

● Die Verteilung der Netze über das Gebäude erfolgt vorzugsweise über VLANs.Einen Vorschlag sehen Sie in den folgenden Folien.

● Hinweis: Die WLAN- und VLAN-Infrastruktur einer Schule kann nicht Thema dieser Fortbildung und auch nicht der Anleitungen vom Support-Netz sein, weil sie zu sehr von den individuellen Gegebenheiten vor Ort abhängt. Eine solche Struktur aufzubauen fällt in das Aufgabengebiet einer Fachfirma. Zu empfehlen sind aber in jedem Fall Accesspoints, die zentral gemanaged werden können (u.a. auch von/für Sophos UTM/Astaro).

● In der paedML wird die Zonen- bzw. Netzwerkeinteilung hauptsächlich über die Firewall (ASG) realisiert.

● Netze: Internal, DMZ, External, Internal-WLAN, Gaeste-LAN, Gaeste-WLAN

Page 16: Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN - 16.04.2013 1 Regionale Lehrerfortbildung Notebooks und WLAN in der paedML Novell U. Frei 16.04.2013

Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN - 16.04.2013 16

5.1 Netzstruktur

Page 17: Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN - 16.04.2013 1 Regionale Lehrerfortbildung Notebooks und WLAN in der paedML Novell U. Frei 16.04.2013

Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN - 16.04.2013 17

5.1 VLAN-Konfiguration

Page 18: Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN - 16.04.2013 1 Regionale Lehrerfortbildung Notebooks und WLAN in der paedML Novell U. Frei 16.04.2013

Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN - 16.04.2013 18

5.1 VLAN-Konfiguration

Beispielkonfiguration in einem HP Switch Procurve 2424M

Page 19: Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN - 16.04.2013 1 Regionale Lehrerfortbildung Notebooks und WLAN in der paedML Novell U. Frei 16.04.2013

Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN - 16.04.2013 19

5.2 Schuleigene Notebooks

● Schuleigene Notebooks gehen über das Internal-WLAN ins Netz.● WLAN ist mit SSID und WPA2-Key auf den Notebooks konfiguriert. ● Auf diesen Notebooks ist der Novell-Client installiert

Anmeldung erfolgt wie im kabelgebundenen Netz über den Novell-Client.

● Alle Dienste, die im Internal-LAN zur Verfügung stehen, sind auch im Internal-WLAN verfügbar (Anwendungen über NAL usw.)

● Datenintensive Dienste sollten wegen der geringen zur Verfügung stehenden Bandbreite vermieden werden. Auf der Firewall (ASG) können für das Internal-WLAN entsprechende Filter eingerichtet werden.

● Für Imaging und die Verteilung großer Anwendungspakete sollten die Notebooks über Kabel im Internal_LAN betrieben werden.

Page 20: Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN - 16.04.2013 1 Regionale Lehrerfortbildung Notebooks und WLAN in der paedML Novell U. Frei 16.04.2013

Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN - 16.04.2013 20

5.3 Gastgeräte

5.3.1 Authentifizierung am Squid (Proxy) des GServers03 ● Dieses Szenario wird empfohlen, wenn für die Firewall (ASG) keine

erweiterten Funktionen (Web Security) lizensiert wurden.

GServer03 Astaro

LDA

P

edirectory

Squid

DMZ

Internal

external

WLAN LANGaeste

● Anfragen vom Gaeste-LAN und vom Gaeste-WLAN werden von der Firewall (ASG) über den Squid im GServer03 geleitet. Benutzer müssen 10.1.1.31:3128 als Proxy einstellen. Benutzer erhalten im Browser ein Anmeldefenster und müssen sich mit den Credentials ihres Novell-Netzwerkaccounts anmelden.

● Aus Gaeste-LAN und Gaeste-WLAN können ausschließlich webbasierte Dienste in Anspruch genommen werden. Es ist kein Zugriff auf irgendwelche sonstigen Netzwerkressourcen bzw. in andere Netzwerkzonen möglich.

● Für den Zugriff ist eine Authentifizierung gegenüber einem eDirectory-Account erforderlich. Dieser muss für Gäste eventuell eingerichtet werden. Gaeste-LAN und Gaeste-WLAN werden mit privaten Geräten auch von schulischen Benutzern benutzt.

● Gaeste-WLAN können deshalb eventuell auch mit sichtbare SSID und ohne bzw. mit schwacher Verschlüsselung betrieben werden. Schlüssel kann im Intranet bereitgestellt werden.

Page 21: Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN - 16.04.2013 1 Regionale Lehrerfortbildung Notebooks und WLAN in der paedML Novell U. Frei 16.04.2013

Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN - 16.04.2013 21

5.3 Gastgeräte

5.3.2 Authentifizierung bei lizensierter WEBSecurity● Diese Variante wird verwendet, wenn Web Security für ASG linzensiert ist.● Internetzugang erfolgt über WEB-Proxy (gehört zu Web Security) in der ASG.● Ein Benutzer muss sich – bevor er mit seinem Browser den Proxy-Dienst der

Firewall nutzen kann – erfolgreich gegenüber dieser authentifizieren.GServer03 Astaro

LDA

P

edirectory

Internal

external

WLAN LANGaeste

Security

LDAP-Authentifizierung

● In der ASG kann man manuell Benutzer anlegen.

● Wir verwenden aber die Option eDirectory SSO. Die Anmeldung kann nun mit dem eDirectory-Benutzername und Passwort an der Firewall erfolgen. Die Benutzerkonten werden auf der Firewall bei Bedarf automatisch angelegt oder synchronisiert.Dafür ist auf dem GServer ein spezieller LDAP-User einzurichten.

+ Datenverkehr über GServer03 entfällt (nur noch LDAP-Anfrage).+ Möglichkeit zur Einrichtung von Benutzergruppen:

Im eDirectory könnten z.B. Gruppen angelegt werden, denen bestimmte Benutzer als Mitglied zugewiesen werden. Für die Gruppen werden in der ASG verschiedene Zugriffsregeln definiert.

+ Beispiel:Gruppe WLAN-Zugang. Nur Mitglieder dieser Gruppe erhalten über WLAN Internetzugang.

+ Web Security bietet weitere Sicherheitsfeatures, wie z.B. Contentfiltering u.v.a.m

Page 22: Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN - 16.04.2013 1 Regionale Lehrerfortbildung Notebooks und WLAN in der paedML Novell U. Frei 16.04.2013

Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN - 16.04.2013 22

6. Planung und Ausführung

Planung● Für die WLAN-Einrichtung in einer Schule ist eine gründliche Planung

erforderlich.(Denken Sie dabei auch an etwaige Widerstände wegen Funkbelastung)

● Wer soll WLAN nutzen können? Mit welchen Geräten? Wo?● WLAN-Planung

Wahl der AccesspointsAusleuchtung, Zahl der erforderlichen AccesspointsWLAN-Standard, Sichtbarkeit, Verschlüsselung

● VLAN-PlanungWie können Accesspoints ans Netzwerk angeschlossen werden ?Switche mit VLAN nach IEE 802.1q vorhanden? Ev. Beschaffung planen.Switchkonfiguration planen

● Firewall-Konfiguration planenMit Websecurity?Ohne Websecurity?

Ausführung● Übersichtliche Verkabelung (farbige Patchkabel)● Dokumentation● Sicherung der Switchkonfigurationen

Page 23: Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN - 16.04.2013 1 Regionale Lehrerfortbildung Notebooks und WLAN in der paedML Novell U. Frei 16.04.2013

Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN - 16.04.2013 23

7. Szenarien

1. Wir wollen das komplette Programm mit Internal-WLAN, Gaeste-LAN und Gaeste-WLANSiehe Anleitung vom Support-Netz, in dieser LFB vorgestellt

2. Einzelne Lehrer wollen ihr privates Notebook über Kabel am Lehrerplatz verwenden (Internet Beamer).

MAC-Adresse des Notebooks ermitteln Am GServer02 in der dhcpd.conf dieser MAC-Adresse eine feste IP-Adresse zuweisen.IP-Adresse in intranetausnahmen.acl eintragen.Bei Browser im Notebook 10.1.1.31:3128 als Proxy eintragen.Sicherheit: Gering. Gefahr durch fehlkonfigurierte private Geräte für Internal-Netz.

3. Wir haben einen Notebookwagen und wollen die Notebooks im Klassenzimmer über WLAN anbinden. In den Klassenzimmern gibt es Netzwerkdosen für das interne Netz.Weitere WLAN-Ambitionen haben wir nicht.

Einen mobilen Access-Point mitführen und im Klassenzimmer ans interne Netz anschließen.Access-Point und Notebooks mit SSID (nicht sichtbar) und für WPA2 einrichten. WPA2 Schlüssel im Notebook fest eintragen.Sicherheit: Weitgehend ok, da Geräte von Schule zentral verwaltet werden.Für datenintensive Vorgänge wie Imaging und Verteilung großer Softwarepakete Notebooks am Kabel im Internal-Netz anschließen.

Page 24: Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN - 16.04.2013 1 Regionale Lehrerfortbildung Notebooks und WLAN in der paedML Novell U. Frei 16.04.2013

Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN - 16.04.2013 24

7. Szenarien

4. An allen Lehrerplätzen sollen Lehrer, Gäste ihr privates Notebook über Kabel anschließen können. (Internet, Beamer).

Gäste-LAN einrichten. Gäste-LAN über VLAN zu den Raum-Switches führen.Netzwerkanschluss für Gäste-LAN installieren. Farblich und durch Beschriftung kennzeichnen. Für Gäste muss jeweils ein Novell-Account für die Authentisierung angelegt werden.Schulische Benutzer melden sich im Browser mit ihrem eDirectory-Benutzernamen und Passwort an.

5. Wir wollen in der Schule private Tablets und Smartphon zulassen. Stichwort BYOD.Wie private Notebooks im Gäste-WLAN.Anmeldung im Browser mit der Netzwerkidentität (Novell Account) des Benutzers.Aber keine Möglichkeit zur Steuerung des Unterrichts.

6. Tabletts im Unterricht. Zugriff auf eigene Dateien, Tauschverzeichnisse, Drucker usw.In Arbeit. Windows 8 –Tablets (nicht Windows 8 RT)

7. Schulleiter möchte auf das Verwaltungsnetz mit seinem Notebook per WLAN zugreifen.

Ansonsten wünsche ich happy NetworkingCC by-nc-sa

tomroberts101.com

CC by Dang Nguyen

CC by-nc-satomroberts101.com