Regionale Lehrerfortbildung
Regionale Lehrerfortbildung
Regionale Lehrerfortbildung
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
<strong>Regionale</strong> <strong>Lehrerfortbildung</strong><br />
Notebooks und WLAN<br />
in der paedML Novell<br />
U. Frei<br />
16.04.2013<br />
Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN - 16.04.2013<br />
1
Inhalt der Fortbildung<br />
1. Anforderungen und Wünsche an Schulnetz<br />
2. Netzwerkstrukur<br />
Notwendige Erweiterungen<br />
3. Grundlagen VLAN<br />
4. Grundlagen WLAN<br />
AccessPoints<br />
5. Umsetzung in der paedML Novell<br />
6. Planung<br />
7. Szenarien<br />
Sicherheitsaspekte<br />
Bitte führen Sie an Ihrer Schule die Einrichtung von WLANS, notwendige<br />
Konfigurationen an Server und Firewall unbedingt nach den Anleitungen vom<br />
Support-Netz aus. Die Folien in dieser Präsentation sollen nur einen Überblick<br />
über die prinzipielle Vorgehensweise geben.<br />
Es ist ratsam, bereits im Vorfeld eine Fachfirma einzubinden.<br />
http://www.support-netz.de/fileadmin/tx_dcfiles/Kundenportal/Erweiterungen/Novell/WLAN_paedML_Novell3.pdf<br />
Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN - 16.04.2013<br />
2
1. Anforderungen und Wünsche<br />
●<br />
●<br />
●<br />
●<br />
●<br />
●<br />
●<br />
●<br />
usw.<br />
Lehrernotebook im LAN<br />
z.B. im Fachraum mit Internetzugang und Beameranschluss<br />
Notebooks statt Desktop-PCs im Computerraum<br />
Notebookwagen im Klassenzimmer<br />
Schuleigene Notebooks im WLAN<br />
Gästenotebooks im LAN<br />
Gästenotebooks im WLAN<br />
Tablets und Smartphones<br />
BYOD<br />
Tabletts im Unterricht<br />
Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN - 16.04.2013<br />
3
2. Netzwerkstruktur<br />
●<br />
In der paedML Novell sind für den kabelgebundenen Betrieb zunächst<br />
drei Netzwerke eingerichtet.<br />
●<br />
●<br />
●<br />
Paralleler Betrieb von privaten Endgeräten (auf denen die Schule keine Management<br />
Möglichkeiten hat) in LAN oder WLAN innerhalb dieser Netzwerkinfrastruktur wäre<br />
Sicherheitsrisiko. Zu groß ist die Gefahr, dass durch Gast-Systeme aktive<br />
Schadsoftware ins schulische Netzwerk eingeschleppt wird, oder von den Benutzern<br />
wissentlich oder unwissend durch fehlerhaft konfigurierte Geräte massivste<br />
Störungen im schulischen Netzwerk verursacht werden können.<br />
Zudem ist es auf keinen Fall ratsam, Gästen (Gast-PC) direkten Zugang zu<br />
schulischen Ressourcen zu gewähren. Auf keinen Fall sollen Sie direkten Zugriff auf<br />
das pädagogische Netzwerk (Internal und Internal-WLAN) haben.<br />
Deshalb gibt es in der paedML Novell ein erweitertes Zonenkonzept.<br />
Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN - 16.04.2013<br />
4
2.1 Netzwerkstruktur paedML Novell<br />
Die Verbindung der Firewall ins Internal-Netz<br />
ist aus Gründen der Übersichtlichkeit nicht eingezeichnet.<br />
Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN - 16.04.2013<br />
5
3. Grundlage VLAN<br />
Ein Virtual Local Area Network (VLAN) ist ein logisches Teilnetz innerhalb<br />
eines Switches oder eines gesamten physischen Netzwerks. Es kann sich<br />
über einen oder mehrere Switches hinweg ausdehnen. Ein VLAN trennt<br />
physische Netze in Teilnetze auf, indem es dafür sorgt, dass VLAN-fähige<br />
Switches die Frames (Datenpakete) eines VLANs nicht in ein anderes VLAN<br />
weiterleiten und das, obwohl die Teilnetze an gemeinsame Switches<br />
angeschlossen sein können.<br />
VLAN-Typen<br />
●<br />
●<br />
Quelle: Wikipedia<br />
Statische bzw. portbasierte VLANs<br />
Hier wird einem Port eines Switches fest eine VLAN-Konfiguration zugeordnet.<br />
Dynamische VLANs<br />
Bei der dynamischen Implementierung eines VLANs wird die Zugehörigkeit eines<br />
Frames zu einem VLAN anhand bestimmter Inhalte des Frames getroffen. Da sich<br />
alle Inhalte von Frames praktisch beliebig manipulieren lassen, sollte in<br />
sicherheitsrelevanten Einsatzbereichen auf den Einsatz von dynamischen VLANs<br />
verzichtet werden.<br />
● Tagged VLANs nach IEEE 802.1q<br />
Datenpakete tragen eine VLAN-Markierung (Tag - Anhänger) und werden anhand<br />
dieser Markierungen z.B. an bestimmte Switchports weitergeleitet.<br />
Quelle: Wikipedia<br />
Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN - 16.04.2013<br />
6
3. Grundlage VLAN<br />
Allgemein gilt:<br />
●<br />
●<br />
●<br />
●<br />
●<br />
Jedem VLAN wird eine VLAN-ID (Zahl) zugeordnet.<br />
Switchports werden einem (oder mehrern VLANs bei tagged VLAN)<br />
zugeordnet.<br />
Nur über Ports im gleichen VLAN können Rechner miteinander<br />
kommunizieren.<br />
Es gibt keine direkte Verbindungsmöglichkeit von VLAN zu VLAN.<br />
Falls Verbindungen erforderlich sind, so müssen diese über Router<br />
hergestellt werden.<br />
VLANs verhalten sich also wie physikalisch getrennte Netze.<br />
●<br />
Wenn vom Gesetzgeber eine physikalische Netztrennung gefordert wird, so<br />
gilt diese beim Einsatz von VLANs (außer dynamisches VLAN) als erfüllt.<br />
http://de.wikipedia.org/wiki/Virtual_Local_Area_Network<br />
http://www.thomas-krenn.com/de/wiki/VLAN_Grundlagen<br />
Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN - 16.04.2013<br />
7
3.1 statisches bzw. portbasiertes VLAN<br />
●<br />
●<br />
Beim portbasierten VLAN kann man<br />
Switchtports genau einem bestimmten VLAN<br />
zuordnen.<br />
Ein Switch kann somit in mehrere logische<br />
Switches unterteilt werden.<br />
●<br />
Wenn sich VLANs über mehrere Switches ausdehnen sollen, so muss jedes einzelne<br />
VLAN direkt per Leitung mit dem entsprechenden VLAN auf dem anderen Switch<br />
verbunden werden.<br />
Verwaltung VLAN-ID 11<br />
Produktion<br />
VLAN-ID 12<br />
RJ45-Ports<br />
Hier befinden sich die Rechner A-1, A-2, B-1 und B-2 im „grünen Netz“ mit der VLAN-ID 11,<br />
die Rechner A-5, A-6, B-5 und B-6 im „orangen Netz“ mit der VLAN-ID 12.<br />
Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN - 16.04.2013<br />
8
3.2 tagged VLAN nach IEEE 802.1q<br />
●<br />
Bei tagged VLANs können mehrere VLANs über einen einzelnen Switch-Port<br />
genutzt werden. Die einzelnen Ethernet Frames bekommen dabei Tags angehängt,<br />
in dem jeweils die VLAN-ID vermerkt ist, zu dessen VLAN das Frame gehört. Wenn<br />
im gezeigten Beispiel beide Switches tagged VLANs beherrschen, kann damit die<br />
gegenseitige Verbindung mit einem einzelnen Kabel erfolgen:<br />
Trunk<br />
●<br />
●<br />
Auf der Verbindungsleitung sind Datenpakete mit verschiedenen VLAN-IDs im<br />
VLAN-TAG unterwegs. Im Beispiel Datenpakete mit VLAN-ID 11 und VLAN-ID 12.<br />
Der Ziel-Switch erkennt anhand der VLAN-ID im VLAN-Tag die Zugehörigkeit des<br />
Datenpakets zu einem bestimmten VLAN und leitet dieses an das passende VLAN<br />
weiter.<br />
Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN - 16.04.2013<br />
Quelle Thomas Krenn<br />
9
3.2 tagged VLAN nach IEEE 802.1q<br />
RJ45-Ports<br />
● Default-VLAN VLAN-ID 1<br />
● Verwaltung VLAN-ID 11<br />
● Produktion VLAN-ID 12<br />
Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN - 16.04.2013<br />
10
3.3 Tagging und Untagging<br />
●<br />
●<br />
Endgeräte können in der Regel nicht mit Datenpaketen mit VLAN-Tags umgehen,<br />
sondern nur mit sogenannten native Frames. Empfängt ein Switch auf einem seiner<br />
Ports z. B. von einem älteren Endgerät Pakete ohne VLAN-Tags, so muss der Switch<br />
das VLAN-Tag einfügen.Beim Ausliefern eines Pakets muss der Switch dann das<br />
VLAN-Tag wieder entfernen.<br />
Zu einem VLAN gehörende Switch-Ports, die so verfahren sollen, werden als<br />
untagged U konfiguriert. Trunk-Ports werden als tagged T konfiguriert.<br />
Switch A<br />
Switch fügt Tag an<br />
Ethernetpaket<br />
Ethernetpaket<br />
+<br />
X<br />
Switch entfernt Tag<br />
Ethernetpaket<br />
X<br />
Switch B<br />
u u u u u u u u<br />
T T T T<br />
Ethernetpaket<br />
Ethernetpaket<br />
Ethernetpaket<br />
Endgerät<br />
Ethernetpaket<br />
Ethernetpaket<br />
Liefert Ethernetpaket<br />
mit Tag<br />
Astaro<br />
ESXi<br />
AP<br />
●<br />
●<br />
Es ist aber auch möglich, dass Endgeräte Frames mit VLAN-Tag verarbeiten können<br />
und so über eine einzige Netzwerkkarte Daten mit verschiedenen Netzen bzw. VLANs<br />
austauschen können. Sie fügen dazu selbst das VLAN-Tag ein oder entfernen es.<br />
Dies wird z.B. bei der Astaro-Firewall (ASG), ev. auch bei Access-Points und<br />
einem ESXi-Server benutzt.<br />
Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN - 16.04.2013<br />
11
4. Grundlage WLAN<br />
● WLAN (engl. Wireless Local Area Network) 802.11<br />
Ein WLAN erweitert ein lokales Netzwerk über Funk zur mobilen Kommunikation.<br />
Der Netzzugriff erfolgt über Ethernet (Layer 2).<br />
●<br />
●<br />
●<br />
●<br />
●<br />
Ein Funknetz wird über einen eindeutigen Namen, den SSID (Service Set<br />
Identifier). Alle Teilnehmer, die über diese Funknetz kommunizieren wollen,<br />
müssen dieselbe SSID benutzen.<br />
Das Funknetz kann die SSID über SSID-Broadcast bekanntmachen – das Netz ist<br />
sichtbar. Ist diese Option deaktiviert, dann ist das Netz versteckt. Teilnehmer<br />
müssen die SSID kennen.<br />
Funknetze sind besonders leicht auszuspähen, da es für einen Lauscher genügt, in<br />
die Nähe zu kommen. Deshalb ist eine Verschlüsselung für vertrauliche Daten<br />
unerlässlich. Derzeit aktuelle Verschlüsselung ist WPA2 (AES 128 bit).<br />
Auch im WLAN können Clients per DHCP mit IP-Adresse versorgt werden.<br />
Gilt teilweise als Sicherheitsrisiko.<br />
Bei vielen Accesspoints kann man MAC-Adresslisten hinterlegen und den Zugriff auf<br />
Clients mit diesen MAC-Adressen beschränken.<br />
● Für WLANs gibt es verschiedene Standards: 802.11a, 802.11b, 802.11g, 802.11n<br />
In den Standards sind Datenrate, Frequenzbereich, Reichweite usw. festgelegt.<br />
Die Standards sind abwärtskompatibel. Aber Achtung: Ein Gerät mit einem<br />
langsameren Standard bremst möglicherweise das Netz aus.<br />
Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN - 16.04.2013<br />
12
4.1 Accesspoints (AP)<br />
●<br />
Ein Wireless Access Point, auch Access Point (AP) oder Basisstation<br />
genannt, ist ein elektronisches Gerät, das als Schnittstelle für kabellose<br />
Kommunikationsgeräte fungiert<br />
Einfache Acces-Points<br />
+ Geringe Kosten (ab 30 €)<br />
- Jeder Access-Point muss separat konfiguriert werden.<br />
- Nur eine SSID. Für verschiedene aufzuspannende Netze<br />
(Internal-WLAN, Gaeste-WLAN) müssen separate AP eingerichtet werden.<br />
- Client bucht sich beim Accesspoint ein.<br />
Wenn ein Benutzer vom Funkbereich eines AP zum nächsten wechselt<br />
(roaming), wird er beim letzten ausgebucht und beim nächtens neu<br />
eingebucht. Dies entspricht einem Verbindungsabbruch und kann zu<br />
Netzwerkproblemen führen.<br />
●<br />
●<br />
Abhilfe für den letzten Punkt:<br />
WLAN-Access-Point mit Multi-SSID und VLAN<br />
Kann mehrere Funknetze aufspannen, die jeweils einem der<br />
angeschlossenen VLANs zugeordnet sind.<br />
Interessant ist für APs auch die Option Power over Ethernet (PoE),<br />
die eine Stromversorgung des AP über das Netzwerkkabel erlaubt und<br />
eine separate Leitung für den Stromanschluss erspart.<br />
Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN - 16.04.2013<br />
13
4.2 Managed Accesspoints<br />
Managed Accesspoints (MAP)<br />
●<br />
●<br />
●<br />
●<br />
Bei Managed Accesspoints erfolgt die Konfiguration zentral. An den einzelnen<br />
Accesspoints muss nichts konfiguriert werden.<br />
Die Accesspoints kommunizieren mit ihrem zentralen System und bekommen von dort<br />
die Konfiguration.<br />
MAP sind immer Multi-SSID- und VLAN-fähig<br />
Vereinfachter Verwaltungsaufwand<br />
Verbessertes Roaming.<br />
Clients buchen sich nicht bei den einzelnen MAPs ein, sondern beim zentralen System.<br />
Bei Wechsel der Funkzelle werden sie (für den Client transparent)<br />
vom zentralen System an den nächsten MAP weitergegeben.<br />
●<br />
●<br />
Wird von vielen namhaften Herstellern angeboten.<br />
Cisco, HP, LANCom usw.<br />
In der paedML gibt es eine interessante Möglichkeit von Sophos/Astaro.<br />
Für die ASG muss Astaro Wireless Security lizensiert werden.<br />
Es werden Astaro- bzw. Sophos-Accesspoints AP10, AP30 oder AP50 verwendet.<br />
Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN - 16.04.2013<br />
14
5. Umsetzung in der paedML Novell<br />
●<br />
In der paedML wird die Zonen- bzw. Netzwerkeinteilung hauptsächlich über die<br />
Firewall (ASG) realisiert.<br />
● Netze: Internal, DMZ, External, Internal-WLAN, Gaeste-LAN, Gaeste-WLAN<br />
●<br />
●<br />
●<br />
●<br />
Die Firewall (ASG) dient dabei als Router zwischen den<br />
verschiedenen Netzen.<br />
Für jedes Netz können Filterregeln definiert werden.<br />
Für den Netzwerkzugang ist eine Benutzerauthentifizieung<br />
erforderlich.<br />
Diese wird weiter hinten beschrieben.<br />
Bei der Auslieferung der paedML sind die Netze in der<br />
ASG-Konfiguration bereits vorbereitet.<br />
●<br />
●<br />
Die Verteilung der Netze über das Gebäude erfolgt vorzugsweise über VLANs.<br />
Einen Vorschlag sehen Sie in den folgenden Folien.<br />
Hinweis: Die WLAN- und VLAN-Infrastruktur einer Schule kann nicht Thema dieser<br />
Fortbildung und auch nicht der Anleitungen vom Support-Netz sein, weil sie zu sehr<br />
von den individuellen Gegebenheiten vor Ort abhängt. Eine solche Struktur<br />
aufzubauen fällt in das Aufgabengebiet einer Fachfirma. Zu empfehlen sind aber in<br />
jedem Fall Accesspoints, die zentral gemanaged werden können (u.a. auch von/für<br />
Sophos UTM/Astaro).<br />
Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN - 16.04.2013<br />
15
5.1 Netzstruktur<br />
Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN - 16.04.2013<br />
16
5.1 VLAN-Konfiguration<br />
Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN - 16.04.2013<br />
17
5.1 VLAN-Konfiguration<br />
Beispielkonfiguration in einem HP Switch Procurve 2424M<br />
Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN - 16.04.2013<br />
18
5.2 Schuleigene Notebooks<br />
●<br />
●<br />
●<br />
●<br />
●<br />
●<br />
Schuleigene Notebooks gehen über das Internal-WLAN ins Netz.<br />
WLAN ist mit SSID und WPA2-Key auf den Notebooks konfiguriert.<br />
Auf diesen Notebooks ist der Novell-Client installiert<br />
Anmeldung erfolgt wie im kabelgebundenen Netz über den Novell-Client.<br />
Alle Dienste, die im Internal-LAN zur Verfügung stehen, sind auch im<br />
Internal-WLAN verfügbar (Anwendungen über NAL usw.)<br />
Datenintensive Dienste sollten wegen der geringen zur Verfügung<br />
stehenden Bandbreite vermieden werden. Auf der Firewall (ASG) können<br />
für das Internal-WLAN entsprechende Filter eingerichtet werden.<br />
Für Imaging und die Verteilung großer Anwendungspakete sollten die<br />
Notebooks über Kabel im Internal_LAN betrieben werden.<br />
Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN - 16.04.2013<br />
19
LDAP<br />
5.3 Gastgeräte<br />
●<br />
●<br />
●<br />
Aus Gaeste-LAN und Gaeste-WLAN können ausschließlich webbasierte Dienste in<br />
Anspruch genommen werden. Es ist kein Zugriff auf irgendwelche sonstigen<br />
Netzwerkressourcen bzw. in andere Netzwerkzonen möglich.<br />
Für den Zugriff ist eine Authentifizierung gegenüber einem eDirectory-Account<br />
erforderlich. Dieser muss für Gäste eventuell eingerichtet werden. Gaeste-LAN und<br />
Gaeste-WLAN werden mit privaten Geräten auch von schulischen Benutzern benutzt.<br />
Gaeste-WLAN können deshalb eventuell auch mit sichtbare SSID und ohne bzw. mit<br />
schwacher Verschlüsselung betrieben werden. Schlüssel kann im Intranet<br />
bereitgestellt werden.<br />
5.3.1 Authentifizierung am Squid (Proxy) des GServers03<br />
●<br />
Dieses Szenario wird empfohlen, wenn für die Firewall (ASG) keine erweiterten<br />
Funktionen (Web Security) lizensiert wurden.<br />
●<br />
Anfragen vom Gaeste-LAN und vom Gaeste-WLAN<br />
werden von der Firewall (ASG) über den Squid im<br />
GServer03 geleitet.<br />
Benutzer müssen 10.1.1.31:3128 als Proxy<br />
einstellen.<br />
Benutzer erhalten im Browser ein Anmeldefenster<br />
und müssen sich mit den Credentials ihres Novell-<br />
Netzwerkaccounts anmelden.<br />
GServer03<br />
edirectory<br />
Squid<br />
Internal<br />
DMZ<br />
Astaro<br />
WLAN LAN<br />
Gaeste<br />
external<br />
Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN - 16.04.2013<br />
20
LDAP<br />
5.3 Gastgeräte<br />
5.3.2 Authentifizierung bei lizensierter WEBSecurity<br />
●<br />
●<br />
●<br />
Diese Variante wird verwendet, wenn Web Security für ASG linzensiert ist.<br />
Internetzugang erfolgt über WEB-Proxy (gehört zu Web Security) in der ASG.<br />
Ein Benutzer muss sich – bevor er mit seinem Browser den Proxy-Dienst der Firewall<br />
nutzen kann – erfolgreich gegenüber dieser authentifizieren.<br />
●<br />
●<br />
In der ASG kann man manuell Benutzer anlegen.<br />
Wir verwenden aber die Option eDirectory SSO.<br />
Die Anmeldung kann nun mit dem eDirectory-<br />
Benutzername und Passwort an der Firewall erfolgen.<br />
Die Benutzerkonten werden auf der Firewall bei<br />
Bedarf automatisch angelegt oder synchronisiert.<br />
Dafür ist auf dem GServer ein spezieller LDAP-User<br />
einzurichten.<br />
GServer03<br />
edirectory<br />
Internal<br />
+ Datenverkehr über GServer03 entfällt (nur noch LDAP-Anfrage).<br />
LDAP-<br />
Authentifizierung<br />
Astaro<br />
Security<br />
WLAN LAN<br />
Gaeste<br />
+ Möglichkeit zur Einrichtung von Benutzergruppen:<br />
Im eDirectory könnten z.B. Gruppen angelegt werden, denen bestimmte Benutzer als Mitglied<br />
zugewiesen werden. Für die Gruppen werden in der ASG verschiedene Zugriffsregeln definiert.<br />
+ Beispiel:<br />
Gruppe WLAN-Zugang. Nur Mitglieder dieser Gruppe erhalten über WLAN Internetzugang.<br />
+ Web Security bietet weitere Sicherheitsfeatures, wie z.B. Contentfiltering u.v.a.m<br />
external<br />
Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN - 16.04.2013<br />
21
6. Planung und Ausführung<br />
Planung<br />
●<br />
●<br />
●<br />
●<br />
●<br />
Für die WLAN-Einrichtung in einer Schule ist eine gründliche Planung erforderlich.<br />
(Denken Sie dabei auch an etwaige Widerstände wegen Funkbelastung)<br />
Wer soll WLAN nutzen können? Mit welchen Geräten? Wo?<br />
WLAN-Planung<br />
Wahl der Accesspoints<br />
Ausleuchtung, Zahl der erforderlichen Accesspoints<br />
WLAN-Standard, Sichtbarkeit, Verschlüsselung<br />
VLAN-Planung<br />
Wie können Accesspoints ans Netzwerk angeschlossen werden ?<br />
Switche mit VLAN nach IEE 802.1q vorhanden? Ev. Beschaffung planen.<br />
Switchkonfiguration planen<br />
Firewall-Konfiguration planen<br />
Mit Websecurity?<br />
Ohne Websecurity?<br />
Ausführung<br />
●<br />
●<br />
●<br />
Übersichtliche Verkabelung (farbige Patchkabel)<br />
Dokumentation<br />
Sicherung der Switchkonfigurationen<br />
Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN - 16.04.2013<br />
22
7. Szenarien<br />
1. Wir wollen das komplette Programm mit Internal-WLAN, Gaeste-LAN und Gaeste-WLAN<br />
Siehe Anleitung vom Support-Netz, in dieser LFB vorgestellt<br />
2. Einzelne Lehrer wollen ihr privates Notebook über Kabel am Lehrerplatz verwenden<br />
(Internet Beamer).<br />
MAC-Adresse des Notebooks ermitteln<br />
Am GServer02 in der dhcpd.conf dieser MAC-Adresse eine feste IP-Adresse<br />
zuweisen.<br />
IP-Adresse in intranetausnahmen.acl eintragen.<br />
Bei Browser im Notebook 10.1.1.31:3128 als Proxy eintragen.<br />
Sicherheit: Gering. Gefahr durch fehlkonfigurierte private Geräte für Internal-Netz.<br />
3. Wir haben einen Notebookwagen und wollen die Notebooks im Klassenzimmer über WLAN<br />
anbinden. In den Klassenzimmern gibt es Netzwerkdosen für das interne Netz.<br />
Weitere WLAN-Ambitionen haben wir nicht.<br />
Einen mobilen Access-Point mitführen und im Klassenzimmer ans interne Netz<br />
anschließen.<br />
Access-Point und Notebooks mit SSID (nicht sichtbar) und für WPA2 einrichten.<br />
WPA2 Schlüssel im Notebook fest eintragen.<br />
Sicherheit: Weitgehend ok, da Geräte von Schule zentral verwaltet werden.<br />
Für datenintensive Vorgänge wie Imaging und Verteilung großer Softwarepakete<br />
Notebooks am Kabel im Internal-Netz anschließen.<br />
Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN - 16.04.2013<br />
23
7. Szenarien<br />
4. An allen Lehrerplätzen sollen Lehrer, Gäste ihr privates Notebook über Kabel anschließen können.<br />
(Internet, Beamer).<br />
Gäste-LAN einrichten.<br />
Gäste-LAN über VLAN zu den Raum-Switches führen.<br />
Netzwerkanschluss für Gäste-LAN installieren. Farblich und durch Beschriftung<br />
kennzeichnen.<br />
Für Gäste muss jeweils ein Novell-Account für die Authentisierung angelegt werden.<br />
Schulische Benutzer melden sich im Browser mit ihrem eDirectory-Benutzernamen und<br />
Passwort an.<br />
5. Wir wollen in der Schule private Tablets und Smartphon zulassen. Stichwort BYOD.<br />
Wie private Notebooks im Gäste-WLAN.<br />
Anmeldung im Browser mit der Netzwerkidentität (Novell Account) des Benutzers.<br />
Aber keine Möglichkeit zur Steuerung des Unterrichts.<br />
6. Tabletts im Unterricht. Zugriff auf eigene Dateien, Tauschverzeichnisse, Drucker usw.<br />
In Arbeit. Windows 8 –Tablets (nicht Windows 8 RT)<br />
7. Schulleiter möchte auf das Verwaltungsnetz mit seinem Notebook per WLAN zugreifen.<br />
CC by Dang Nguyen<br />
Ansonsten wünsche ich happy Networking<br />
Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN - 16.04.2013<br />
CC by-nc-sa<br />
tomroberts101.com<br />
24