Regionale Lehrerfortbildung

Regionale Lehrerfortbildung 

Notebooks und WLAN 

in der paedML Novell 

U. Frei 

16.04.2013 

Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN - 16.04.2013 

1

Inhalt der Fortbildung 

1. Anforderungen und Wünsche an Schulnetz 

2. Netzwerkstrukur 

Notwendige Erweiterungen 

3. Grundlagen VLAN 

4. Grundlagen WLAN 

AccessPoints 

5. Umsetzung in der paedML Novell 

6. Planung 

7. Szenarien 

Sicherheitsaspekte 

Bitte führen Sie an Ihrer Schule die Einrichtung von WLANS, notwendige 

Konfigurationen an Server und Firewall unbedingt nach den Anleitungen vom 

Support-Netz aus. Die Folien in dieser Präsentation sollen nur einen Überblick 

über die prinzipielle Vorgehensweise geben. 

Es ist ratsam, bereits im Vorfeld eine Fachfirma einzubinden. 

http://www.support-netz.de/fileadmin/tx_dcfiles/Kundenportal/Erweiterungen/Novell/WLAN_paedML_Novell3.pdf 


2

1. Anforderungen und Wünsche 

● 

● 

● 

● 

● 

● 

● 

● 

usw. 

Lehrernotebook im LAN 

z.B. im Fachraum mit Internetzugang und Beameranschluss 

Notebooks statt Desktop-PCs im Computerraum 

Notebookwagen im Klassenzimmer 

Schuleigene Notebooks im WLAN 

Gästenotebooks im LAN 

Gästenotebooks im WLAN 

Tablets und Smartphones 

BYOD 

Tabletts im Unterricht 


3

2. Netzwerkstruktur 

● 

In der paedML Novell sind für den kabelgebundenen Betrieb zunächst 

drei Netzwerke eingerichtet. 

● 

● 

● 

Paralleler Betrieb von privaten Endgeräten (auf denen die Schule keine Management 

Möglichkeiten hat) in LAN oder WLAN innerhalb dieser Netzwerkinfrastruktur wäre 

Sicherheitsrisiko. Zu groß ist die Gefahr, dass durch Gast-Systeme aktive 

Schadsoftware ins schulische Netzwerk eingeschleppt wird, oder von den Benutzern 

wissentlich oder unwissend durch fehlerhaft konfigurierte Geräte massivste 

Störungen im schulischen Netzwerk verursacht werden können. 

Zudem ist es auf keinen Fall ratsam, Gästen (Gast-PC) direkten Zugang zu 

schulischen Ressourcen zu gewähren. Auf keinen Fall sollen Sie direkten Zugriff auf 

das pädagogische Netzwerk (Internal und Internal-WLAN) haben. 

Deshalb gibt es in der paedML Novell ein erweitertes Zonenkonzept. 


4

2.1 Netzwerkstruktur paedML Novell 

Die Verbindung der Firewall ins Internal-Netz 

ist aus Gründen der Übersichtlichkeit nicht eingezeichnet. 


5

3. Grundlage VLAN 

Ein Virtual Local Area Network (VLAN) ist ein logisches Teilnetz innerhalb 

eines Switches oder eines gesamten physischen Netzwerks. Es kann sich 

über einen oder mehrere Switches hinweg ausdehnen. Ein VLAN trennt 

physische Netze in Teilnetze auf, indem es dafür sorgt, dass VLAN-fähige 

Switches die Frames (Datenpakete) eines VLANs nicht in ein anderes VLAN 

weiterleiten und das, obwohl die Teilnetze an gemeinsame Switches 

angeschlossen sein können. 

VLAN-Typen 

● 

● 

Quelle: Wikipedia 

Statische bzw. portbasierte VLANs 

Hier wird einem Port eines Switches fest eine VLAN-Konfiguration zugeordnet. 

Dynamische VLANs 

Bei der dynamischen Implementierung eines VLANs wird die Zugehörigkeit eines 

Frames zu einem VLAN anhand bestimmter Inhalte des Frames getroffen. Da sich 

alle Inhalte von Frames praktisch beliebig manipulieren lassen, sollte in 

sicherheitsrelevanten Einsatzbereichen auf den Einsatz von dynamischen VLANs 

verzichtet werden. 

● Tagged VLANs nach IEEE 802.1q 

Datenpakete tragen eine VLAN-Markierung (Tag - Anhänger) und werden anhand 

dieser Markierungen z.B. an bestimmte Switchports weitergeleitet. 

Quelle: Wikipedia 


6

3. Grundlage VLAN 

Allgemein gilt: 

● 

● 

● 

● 

● 

Jedem VLAN wird eine VLAN-ID (Zahl) zugeordnet. 

Switchports werden einem (oder mehrern VLANs bei tagged VLAN) 

zugeordnet. 

Nur über Ports im gleichen VLAN können Rechner miteinander 

kommunizieren. 

Es gibt keine direkte Verbindungsmöglichkeit von VLAN zu VLAN. 

Falls Verbindungen erforderlich sind, so müssen diese über Router 

hergestellt werden. 

VLANs verhalten sich also wie physikalisch getrennte Netze. 

● 

Wenn vom Gesetzgeber eine physikalische Netztrennung gefordert wird, so 

gilt diese beim Einsatz von VLANs (außer dynamisches VLAN) als erfüllt. 

http://de.wikipedia.org/wiki/Virtual_Local_Area_Network 

http://www.thomas-krenn.com/de/wiki/VLAN_Grundlagen 


7

3.1 statisches bzw. portbasiertes VLAN 

● 

● 

Beim portbasierten VLAN kann man 

Switchtports genau einem bestimmten VLAN 

zuordnen. 

Ein Switch kann somit in mehrere logische 

Switches unterteilt werden. 

● 

Wenn sich VLANs über mehrere Switches ausdehnen sollen, so muss jedes einzelne 

VLAN direkt per Leitung mit dem entsprechenden VLAN auf dem anderen Switch 

verbunden werden. 

Verwaltung VLAN-ID 11 

Produktion 

VLAN-ID 12 

RJ45-Ports 

Hier befinden sich die Rechner A-1, A-2, B-1 und B-2 im „grünen Netz“ mit der VLAN-ID 11, 

die Rechner A-5, A-6, B-5 und B-6 im „orangen Netz“ mit der VLAN-ID 12. 


8

3.2 tagged VLAN nach IEEE 802.1q 

● 

Bei tagged VLANs können mehrere VLANs über einen einzelnen Switch-Port 

genutzt werden. Die einzelnen Ethernet Frames bekommen dabei Tags angehängt, 

in dem jeweils die VLAN-ID vermerkt ist, zu dessen VLAN das Frame gehört. Wenn 

im gezeigten Beispiel beide Switches tagged VLANs beherrschen, kann damit die 

gegenseitige Verbindung mit einem einzelnen Kabel erfolgen: 

Trunk 

● 

● 

Auf der Verbindungsleitung sind Datenpakete mit verschiedenen VLAN-IDs im 

VLAN-TAG unterwegs. Im Beispiel Datenpakete mit VLAN-ID 11 und VLAN-ID 12. 

Der Ziel-Switch erkennt anhand der VLAN-ID im VLAN-Tag die Zugehörigkeit des 

Datenpakets zu einem bestimmten VLAN und leitet dieses an das passende VLAN 

weiter. 


Quelle Thomas Krenn 

9

3.2 tagged VLAN nach IEEE 802.1q 

RJ45-Ports 

● Default-VLAN VLAN-ID 1 

● Verwaltung VLAN-ID 11 

● Produktion VLAN-ID 12 


10

3.3 Tagging und Untagging 

● 

● 

Endgeräte können in der Regel nicht mit Datenpaketen mit VLAN-Tags umgehen, 

sondern nur mit sogenannten native Frames. Empfängt ein Switch auf einem seiner 

Ports z. B. von einem älteren Endgerät Pakete ohne VLAN-Tags, so muss der Switch 

das VLAN-Tag einfügen.Beim Ausliefern eines Pakets muss der Switch dann das 

VLAN-Tag wieder entfernen. 

Zu einem VLAN gehörende Switch-Ports, die so verfahren sollen, werden als 

untagged U konfiguriert. Trunk-Ports werden als tagged T konfiguriert. 

Switch A 

Switch fügt Tag an 

Ethernetpaket 

Ethernetpaket 

+ 

X 

Switch entfernt Tag 

Ethernetpaket 

X 

Switch B 

u u u u u u u u 

T T T T 

Ethernetpaket 

Ethernetpaket 

Ethernetpaket 

Endgerät 

Ethernetpaket 

Ethernetpaket 

Liefert Ethernetpaket 

mit Tag 

Astaro 

ESXi 

AP 

● 

● 

Es ist aber auch möglich, dass Endgeräte Frames mit VLAN-Tag verarbeiten können 

und so über eine einzige Netzwerkkarte Daten mit verschiedenen Netzen bzw. VLANs 

austauschen können. Sie fügen dazu selbst das VLAN-Tag ein oder entfernen es. 

Dies wird z.B. bei der Astaro-Firewall (ASG), ev. auch bei Access-Points und 

einem ESXi-Server benutzt. 


11

4. Grundlage WLAN 

● WLAN (engl. Wireless Local Area Network) 802.11 

Ein WLAN erweitert ein lokales Netzwerk über Funk zur mobilen Kommunikation. 

Der Netzzugriff erfolgt über Ethernet (Layer 2). 

● 

● 

● 

● 

● 

Ein Funknetz wird über einen eindeutigen Namen, den SSID (Service Set 

Identifier). Alle Teilnehmer, die über diese Funknetz kommunizieren wollen, 

müssen dieselbe SSID benutzen. 

Das Funknetz kann die SSID über SSID-Broadcast bekanntmachen – das Netz ist 

sichtbar. Ist diese Option deaktiviert, dann ist das Netz versteckt. Teilnehmer 

müssen die SSID kennen. 

Funknetze sind besonders leicht auszuspähen, da es für einen Lauscher genügt, in 

die Nähe zu kommen. Deshalb ist eine Verschlüsselung für vertrauliche Daten 

unerlässlich. Derzeit aktuelle Verschlüsselung ist WPA2 (AES 128 bit). 

Auch im WLAN können Clients per DHCP mit IP-Adresse versorgt werden. 

Gilt teilweise als Sicherheitsrisiko. 

Bei vielen Accesspoints kann man MAC-Adresslisten hinterlegen und den Zugriff auf 

Clients mit diesen MAC-Adressen beschränken. 

● Für WLANs gibt es verschiedene Standards: 802.11a, 802.11b, 802.11g, 802.11n 

In den Standards sind Datenrate, Frequenzbereich, Reichweite usw. festgelegt. 

Die Standards sind abwärtskompatibel. Aber Achtung: Ein Gerät mit einem 

langsameren Standard bremst möglicherweise das Netz aus. 


12

4.1 Accesspoints (AP) 

● 

Ein Wireless Access Point, auch Access Point (AP) oder Basisstation 

genannt, ist ein elektronisches Gerät, das als Schnittstelle für kabellose 

Kommunikationsgeräte fungiert 

Einfache Acces-Points 

+ Geringe Kosten (ab 30 €) 

- Jeder Access-Point muss separat konfiguriert werden. 

- Nur eine SSID. Für verschiedene aufzuspannende Netze 

(Internal-WLAN, Gaeste-WLAN) müssen separate AP eingerichtet werden. 

- Client bucht sich beim Accesspoint ein. 

Wenn ein Benutzer vom Funkbereich eines AP zum nächsten wechselt 

(roaming), wird er beim letzten ausgebucht und beim nächtens neu 

eingebucht. Dies entspricht einem Verbindungsabbruch und kann zu 

Netzwerkproblemen führen. 

● 

● 

Abhilfe für den letzten Punkt: 

WLAN-Access-Point mit Multi-SSID und VLAN 

Kann mehrere Funknetze aufspannen, die jeweils einem der 

angeschlossenen VLANs zugeordnet sind. 

Interessant ist für APs auch die Option Power over Ethernet (PoE), 

die eine Stromversorgung des AP über das Netzwerkkabel erlaubt und 

eine separate Leitung für den Stromanschluss erspart. 


13

4.2 Managed Accesspoints 

Managed Accesspoints (MAP) 

● 

● 

● 

● 

Bei Managed Accesspoints erfolgt die Konfiguration zentral. An den einzelnen 

Accesspoints muss nichts konfiguriert werden. 

Die Accesspoints kommunizieren mit ihrem zentralen System und bekommen von dort 

die Konfiguration. 

MAP sind immer Multi-SSID- und VLAN-fähig 

Vereinfachter Verwaltungsaufwand 

Verbessertes Roaming. 

Clients buchen sich nicht bei den einzelnen MAPs ein, sondern beim zentralen System. 

Bei Wechsel der Funkzelle werden sie (für den Client transparent) 

vom zentralen System an den nächsten MAP weitergegeben. 

● 

● 

Wird von vielen namhaften Herstellern angeboten. 

Cisco, HP, LANCom usw. 

In der paedML gibt es eine interessante Möglichkeit von Sophos/Astaro. 

Für die ASG muss Astaro Wireless Security lizensiert werden. 

Es werden Astaro- bzw. Sophos-Accesspoints AP10, AP30 oder AP50 verwendet. 


14

5. Umsetzung in der paedML Novell 

● 

In der paedML wird die Zonen- bzw. Netzwerkeinteilung hauptsächlich über die 

Firewall (ASG) realisiert. 

● Netze: Internal, DMZ, External, Internal-WLAN, Gaeste-LAN, Gaeste-WLAN 

● 

● 

● 

● 

Die Firewall (ASG) dient dabei als Router zwischen den 

verschiedenen Netzen. 

Für jedes Netz können Filterregeln definiert werden. 

Für den Netzwerkzugang ist eine Benutzerauthentifizieung 

erforderlich. 

Diese wird weiter hinten beschrieben. 

Bei der Auslieferung der paedML sind die Netze in der 

ASG-Konfiguration bereits vorbereitet. 

● 

● 

Die Verteilung der Netze über das Gebäude erfolgt vorzugsweise über VLANs. 

Einen Vorschlag sehen Sie in den folgenden Folien. 

Hinweis: Die WLAN- und VLAN-Infrastruktur einer Schule kann nicht Thema dieser 

Fortbildung und auch nicht der Anleitungen vom Support-Netz sein, weil sie zu sehr 

von den individuellen Gegebenheiten vor Ort abhängt. Eine solche Struktur 

aufzubauen fällt in das Aufgabengebiet einer Fachfirma. Zu empfehlen sind aber in 

jedem Fall Accesspoints, die zentral gemanaged werden können (u.a. auch von/für 

Sophos UTM/Astaro). 


15

5.1 Netzstruktur 


16

5.1 VLAN-Konfiguration 


17

5.1 VLAN-Konfiguration 

Beispielkonfiguration in einem HP Switch Procurve 2424M 


18

5.2 Schuleigene Notebooks 

● 

● 

● 

● 

● 

● 

Schuleigene Notebooks gehen über das Internal-WLAN ins Netz. 

WLAN ist mit SSID und WPA2-Key auf den Notebooks konfiguriert. 

Auf diesen Notebooks ist der Novell-Client installiert 

Anmeldung erfolgt wie im kabelgebundenen Netz über den Novell-Client. 

Alle Dienste, die im Internal-LAN zur Verfügung stehen, sind auch im 

Internal-WLAN verfügbar (Anwendungen über NAL usw.) 

Datenintensive Dienste sollten wegen der geringen zur Verfügung 

stehenden Bandbreite vermieden werden. Auf der Firewall (ASG) können 

für das Internal-WLAN entsprechende Filter eingerichtet werden. 

Für Imaging und die Verteilung großer Anwendungspakete sollten die 

Notebooks über Kabel im Internal_LAN betrieben werden. 


19

LDAP 

5.3 Gastgeräte 

● 

● 

● 

Aus Gaeste-LAN und Gaeste-WLAN können ausschließlich webbasierte Dienste in 

Anspruch genommen werden. Es ist kein Zugriff auf irgendwelche sonstigen 

Netzwerkressourcen bzw. in andere Netzwerkzonen möglich. 

Für den Zugriff ist eine Authentifizierung gegenüber einem eDirectory-Account 

erforderlich. Dieser muss für Gäste eventuell eingerichtet werden. Gaeste-LAN und 

Gaeste-WLAN werden mit privaten Geräten auch von schulischen Benutzern benutzt. 

Gaeste-WLAN können deshalb eventuell auch mit sichtbare SSID und ohne bzw. mit 

schwacher Verschlüsselung betrieben werden. Schlüssel kann im Intranet 

bereitgestellt werden. 

5.3.1 Authentifizierung am Squid (Proxy) des GServers03 

● 

Dieses Szenario wird empfohlen, wenn für die Firewall (ASG) keine erweiterten 

Funktionen (Web Security) lizensiert wurden. 

● 

Anfragen vom Gaeste-LAN und vom Gaeste-WLAN 

werden von der Firewall (ASG) über den Squid im 

GServer03 geleitet. 

Benutzer müssen 10.1.1.31:3128 als Proxy 

einstellen. 

Benutzer erhalten im Browser ein Anmeldefenster 

und müssen sich mit den Credentials ihres Novell- 

Netzwerkaccounts anmelden. 

GServer03 

edirectory 

Squid 

Internal 

DMZ 

Astaro 

WLAN LAN 

Gaeste 

external 


20

LDAP 

5.3 Gastgeräte 

5.3.2 Authentifizierung bei lizensierter WEBSecurity 

● 

● 

● 

Diese Variante wird verwendet, wenn Web Security für ASG linzensiert ist. 

Internetzugang erfolgt über WEB-Proxy (gehört zu Web Security) in der ASG. 

Ein Benutzer muss sich – bevor er mit seinem Browser den Proxy-Dienst der Firewall 

nutzen kann – erfolgreich gegenüber dieser authentifizieren. 

● 

● 

In der ASG kann man manuell Benutzer anlegen. 

Wir verwenden aber die Option eDirectory SSO. 

Die Anmeldung kann nun mit dem eDirectory- 

Benutzername und Passwort an der Firewall erfolgen. 

Die Benutzerkonten werden auf der Firewall bei 

Bedarf automatisch angelegt oder synchronisiert. 

Dafür ist auf dem GServer ein spezieller LDAP-User 

einzurichten. 

GServer03 

edirectory 

Internal 

+ Datenverkehr über GServer03 entfällt (nur noch LDAP-Anfrage). 

LDAP- 

Authentifizierung 

Astaro 

Security 

WLAN LAN 

Gaeste 

+ Möglichkeit zur Einrichtung von Benutzergruppen: 

Im eDirectory könnten z.B. Gruppen angelegt werden, denen bestimmte Benutzer als Mitglied 

zugewiesen werden. Für die Gruppen werden in der ASG verschiedene Zugriffsregeln definiert. 

+ Beispiel: 

Gruppe WLAN-Zugang. Nur Mitglieder dieser Gruppe erhalten über WLAN Internetzugang. 

+ Web Security bietet weitere Sicherheitsfeatures, wie z.B. Contentfiltering u.v.a.m 

external 


21

6. Planung und Ausführung 

Planung 

● 

● 

● 

● 

● 

Für die WLAN-Einrichtung in einer Schule ist eine gründliche Planung erforderlich. 

(Denken Sie dabei auch an etwaige Widerstände wegen Funkbelastung) 

Wer soll WLAN nutzen können? Mit welchen Geräten? Wo? 

WLAN-Planung 

Wahl der Accesspoints 

Ausleuchtung, Zahl der erforderlichen Accesspoints 

WLAN-Standard, Sichtbarkeit, Verschlüsselung 

VLAN-Planung 

Wie können Accesspoints ans Netzwerk angeschlossen werden ? 

Switche mit VLAN nach IEE 802.1q vorhanden? Ev. Beschaffung planen. 

Switchkonfiguration planen 

Firewall-Konfiguration planen 

Mit Websecurity? 

Ohne Websecurity? 

Ausführung 

● 

● 

● 

Übersichtliche Verkabelung (farbige Patchkabel) 

Dokumentation 

Sicherung der Switchkonfigurationen 


22

7. Szenarien 

1. Wir wollen das komplette Programm mit Internal-WLAN, Gaeste-LAN und Gaeste-WLAN 

Siehe Anleitung vom Support-Netz, in dieser LFB vorgestellt 

2. Einzelne Lehrer wollen ihr privates Notebook über Kabel am Lehrerplatz verwenden 

(Internet Beamer). 

MAC-Adresse des Notebooks ermitteln 

Am GServer02 in der dhcpd.conf dieser MAC-Adresse eine feste IP-Adresse 

zuweisen. 

IP-Adresse in intranetausnahmen.acl eintragen. 

Bei Browser im Notebook 10.1.1.31:3128 als Proxy eintragen. 

Sicherheit: Gering. Gefahr durch fehlkonfigurierte private Geräte für Internal-Netz. 

3. Wir haben einen Notebookwagen und wollen die Notebooks im Klassenzimmer über WLAN 

anbinden. In den Klassenzimmern gibt es Netzwerkdosen für das interne Netz. 

Weitere WLAN-Ambitionen haben wir nicht. 

Einen mobilen Access-Point mitführen und im Klassenzimmer ans interne Netz 

anschließen. 

Access-Point und Notebooks mit SSID (nicht sichtbar) und für WPA2 einrichten. 

WPA2 Schlüssel im Notebook fest eintragen. 

Sicherheit: Weitgehend ok, da Geräte von Schule zentral verwaltet werden. 

Für datenintensive Vorgänge wie Imaging und Verteilung großer Softwarepakete 

Notebooks am Kabel im Internal-Netz anschließen. 


23

7. Szenarien 

4. An allen Lehrerplätzen sollen Lehrer, Gäste ihr privates Notebook über Kabel anschließen können. 

(Internet, Beamer). 

Gäste-LAN einrichten. 

Gäste-LAN über VLAN zu den Raum-Switches führen. 

Netzwerkanschluss für Gäste-LAN installieren. Farblich und durch Beschriftung 

kennzeichnen. 

Für Gäste muss jeweils ein Novell-Account für die Authentisierung angelegt werden. 

Schulische Benutzer melden sich im Browser mit ihrem eDirectory-Benutzernamen und 

Passwort an. 

5. Wir wollen in der Schule private Tablets und Smartphon zulassen. Stichwort BYOD. 

Wie private Notebooks im Gäste-WLAN. 

Anmeldung im Browser mit der Netzwerkidentität (Novell Account) des Benutzers. 

Aber keine Möglichkeit zur Steuerung des Unterrichts. 

6. Tabletts im Unterricht. Zugriff auf eigene Dateien, Tauschverzeichnisse, Drucker usw. 

In Arbeit. Windows 8 –Tablets (nicht Windows 8 RT) 

7. Schulleiter möchte auf das Verwaltungsnetz mit seinem Notebook per WLAN zugreifen. 

CC by Dang Nguyen 

Ansonsten wünsche ich happy Networking 


CC by-nc-sa 

tomroberts101.com 

24

Regionale Lehrerfortbildung

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?