Schulnetz

Website: Bildungsportal der Stadt Magdeburg
Kurs: Schulnetz
Buch: Schulnetz
Gedruckt von: Gast
Datum: Freitag, 20. Mai 2022, 02:56

1. Verkabelung

Vom FB 40 wurden Vorgaben in Form einer Orientierungshilfe an den KGM gesendet (6.12.2021). Diese Vorgaben zur Inhouse-Verkabelung benennen, Anschlüsse in Unterrichts-, Vorbereitungsräumen, Verwaltungsbereich als auch Anforderungen an Kabelwege, Anschlüsse und Serverräume. Bezogen auf PC-Kabinette und FabLabs muss hier ggf. nachgesteuert werden.

Orientierungshilfen:

J:\Team 40.02\02_Förderung\01_DigitalPakt\Basis-Digitalpakt\01_Verkabelung

Workflow:

Kabelwegepläne sind bei uns dringend für jeden Schulstandort vorzuhalten, inkl. Ansprechpartner_innen (bspw. Objektmanager, umsetzende Elektrofirma). 

2. Hausanschlüsse (Internet)

Der Standardanschluss Fibre4EduLSA wurde 2019 beauftragt vom Ministerium für Finanzen des Landes Sachsen-Anhalt. Die Datenübertragungsraten sind wie folgt benannt:

  • Download max. 1000 MBit/s
  • Upload: max. 200 MBit/s
  • bedeutet: Download: Max. 1000 MBit/s, Normal 850 MBit/s, Min. 700 MBit/s
    Upload: Max. 200 MBit/s, Normal 200 MBit/s, Min. 200 MBit/s
  • Voraussetzung ist ein Glasfaser-Router
  • eine Messung der Datenübertragung kann bspw. über die Bundesnetzagentur erfolgen: https://www.breitbandmessung.de/ ;
  • nach Installation durch die Telekom sollte ein Messprotokoll erstellt werden (was kommt - vertraglich zugesichert und technisch - an?)

Auftrag an die Telekom:

  • landesweit für alle allgemein- und berufsbildenden Schulen ein Glasfaseranschluss mit einer Datenrate je Schule von 1 GBit/s,
  • Bau der Netzebene 3, also das Verlegen der Glasfaser bis ins Schulgebäude, 
  • die Verkabelung im Gebäude vom Hausanschluss bis zum Serverschrank (Netzebene 4) und 
  • eine Sicherheitsarchitektur (Firewall) für die Schulen (Palo Alto über SBSK)

Vertraglich zugesicherte Leistungen

  • Grundschulen haben idR CompanyStart-Vertrag (dynamische IP-Adresse)
  • weiterführende Schulen haben CompanyPro-Vertrag (feste IP-Adresse)

Eine feste IP-Adresse ist wichtig für den Zugriff von außen. Mit einer dynamischen IP-Adresse muss man ein Zusatzprogramm nutzen (idR bringen die meisten Router Workaround bereits mit, DynDNS), um die Fernwartung zu gewährleisten.

! ggf. ist die Bandbreite durch die Palo Alto zwischen Verwaltung und pädagogischen Bereich fest halbiert, bessere wäre dynamische Anpassung an Anforderungen. 

3. Glasfaseranschluss mit Palo Alto

Von der Telekom werden seit dem Jahreswechsel 2021 / 2022 keine Digitalisierungsboxen mehr verbaut, es kommt direkt die PaloAlto über SBSK. 


Port 2 – Anschluss der Verwaltungs-IT an das ITNXT

Port 5 – Anschluss der Schul-IT an das Internet

Initialkonfiguration

Die PA-820 terminiert den Glasfaseranschluss und stellt nach innen zwei Ports zur Anbindung der lokalen Netze zur Verfügung:

  • Ethernet1/2: Anbindung des Verwaltungsnetzes - individueller Adressbereich pro Schule, der sich aus der Schulkennzeichnung herleitet.

z.B.

    • Standort 1: 10.0.0.0/24
    • Standort 825: 10.3.56.0/24

  • Ethernet1/5: Anbindung des Schulnetzes
    • Die Vorgabe seitens der Telekom sieht hier für alle Schulen eine einheitliche Konfiguration vor:
      • Adressbereich: 192.168.199.0/24 -> angepasst
      • Default Gateway: 192.168.199.1
      • DHCP: 192.168.199.10 - 192.168.199.240
      • DNS: Zwei Server der Telekom, die per PPPoE zugewiesen werden
    • Diese Konfiguration kommt in dieser Form nur zum Einsatz, wenn der Glasfaseranschluss zum Zeitpunkt der Installation noch nicht in Benutzung ist. Ist bereits eine Digibox angeschlossen, wird deren interner Adressbereich übernommen.
      • Häufig 192.168.2.0/24 oder wie an der GS "Kritzmannstraße" 192.168.0.0/24
    • Die PA-820 hält in jedem Fall immer die .1 und agiert mit dieser Adresse als Default Gateway
ANPASSUNG päd. Netz

  • Security Policies
    • Für beide Netze, Verwaltung und Schule, existiert eine gemeinsame Regel, welche jeglichen ausgehenden Verkehr erlaubt. Es gibt keinerlei Einschränkungen hinsichtlich Portnummern oder Anwendungen.
    • Mit dieser Regel sind die folgenden Security Profiles assoziiert:
      • Antivirus
      • Anti-Spyware
      • Vulnerability Protection
  • NAT Policies
    • Es existiert eine gemeinsame Source NAT Policy, welche für Verbindungen ins Internet die internen Adressbereiche durch die öffentliche IP-Adresse der PA-820 ersetzt.

Sicherheitsregeln sind für das Verwaltungs- und pädagogisches Netz unterschiedlich konfigurierbar. 

Datenübertragung

Aktuell kommen in den angeschlossenen und freigeschalteten Glasfaserschulen nicht die richtigen Bandbreiten an. Erkenntnisse zu Engpässen, die die Geschwindigkeit der Datenübertragung drosseln:
  • mögliche Ursache: Konfiguration der Palo Alto (technisch mögliche Datenübertragung)
  • mögliche Ursache: vertraglich zugesicherte Datenübertragung


4. Server- und Netzwerkschränke



Abbildung: kein gutes Beispiel für einen Netzwerkschrank aus einer Schule

Übersichtlichkeit

Server- und Netzwerkschränke sollen alle aktiven und passiven Netzwerkkomponenten übersichtlich und für unterschiedliche Dienstleister und Kollegen nachvollziehbar beherbergen. Zudem sollen sie keine unnötig langen Kabel beherbergen und gut strukturiert sein.

Es ist überlegenswert, ein Einrichtungsschema zu besprechen (von oben nach unten).

Mit einem solchen Schema lassen sich bspw. unnötige Kabelwege vermeiden. Dies kann nur schrittweise nach Erfahrungen und über Dokumentationen entwickelt werden. So wäre beispielsweise der Hausanschluss/ Übergabepunkt der Glasfaser im vorhandenen (modularen) Patchpanel sinnvoll.


Zur nachvollziehbaren Anordnung der Komponenten gehört, dass zuverlässig in jedem Netzwerkschrank eine aktuelle!! Dokumentation der Patchfeldbelegung, der Komponenten und der Ansprechpartner liegt. Diese Dokumentation liegt auch digital in einer zwischen 40.22 und 40.02 geteilten Ablage ab. Die Dokumentation der durchgeführten Maßnahmen durch Telekom, SBSK, Dienstleister und Kollegen ist unabdingbar. Zugangsdaten zu WLAN- und Servern können getrennt abgelegt, müssen aber jederzeit tagesaktuell abrufbar sein.

Standort

Netzwerkkomponenten als auch Server als Großrechner (Ausnahme Puavo-Server) müssen in abschließbaren Schränken in temperierten Räumen stehen, die mit einer feuerfesten Tür verschlossen sind. Diese Räume sollten baulich und auch bezogen auf den Zugang gesichert sein. Die Netzwerkschränke sind vor Wasser, Staub, Erschütterungen und unbefugtem Zugriff zu schützen, auch indem der Schlüssel im Sekretariat aufbewahrt wird und nicht im Serverschrank steckt.

Größe

Die Größe ist abhängig von jeweilig unterzubringenden Servern. Teilweise passen die Schulserver nicht in die an den Standorten vorfindlichen Schränke. Ein Serverschrank ist tiefer und stabiler gebaut als ein Netzwerkschrank. Somit eignen sie sich zum Einbau von schweren und tieferen Servern. Allerdings werden Server auch leistungsfähiger und kleiner. Serverschränke sollten für das Aufstocken von Kapazitäten geplant sein.

Formular Zugang Netzwerk- und Serverschränke

Angaben für Zugangsbuch vorbereiten: wer, wann, was, wozu (verantwortlich: Schulsekretärin, alt. Koordinator / Schulleiter (Daniela in Abstimmung IuK) - grundsätzlich abgeschlossen


5. Netzkonzept

Das Netzkonzept muss aktuell spezifiziert werden.


Dienstgeräte im Lehrernetz

Kommunikation der Netzteilung an Schulen vorbereiten (Daniela in Abstimmung IuK)

Verkabelung - Orientierungshilfe in Bezug auf Amokvorrichtungen und Gebäudeleittechnik absprechen (40.22 & 40.02) 

6. WLAN

Das WLAN wird aktuell von Telcat als Unify-Netzwerk idR über eine Dreammachine umgesetzt. Aktuell wird ein 172.16.x.x.-Netz aufgesetzt (65.000 IP-Adressen). Die WLAN-Verwaltung wird schrittweise durch die Schulserver übernommen, aktuell wurden in Betrieb genommen:

  • Debianedu am Sportgymnasium
  • Puavo an der Weitlingschule
  • Linuxmuster am Hegelgymnasium
  • Linuxmuster an der A.W. Francke

Im WLAN wird die AP-Isolation deaktiviert, um Screenmirroring zu realisieren. Es werden schulfremde Geräte zugelassen. Die Schulen bekommen die Internetzugänge nach Unterzeichnung einer Vereinbarung zur Überlassung der Zugangsdaten. Schulen erhalten Vorlagen für schulinterne Nutzungsvereinbarungen.

7. Schulserver

Bis Ende 2022 werden drei Schulserver-Lösungen erprobt:

Linuxmuster

https://www.linuxmuster.net/de/dokumentation/

https://chemnitzer.linux-tage.de/2019/de/programm/beitrag/142

Linuxmuster hat viele Möglichkeiten, Anpassungen vorzunehmen, allerdings ist der administrative Aufwand schulseitig höher als bei bspw. Puavo (bspw. Zusammenstellung Image + Aktualisierung mobiler Endgeräte, Unterstützung durch unsere IT-Admins wird erfolgen)

Beispielschulen: Hegelgymnasium, GmS Francke ab 01/2022

DebianEdu

Auch bei DebianEdu gibt es einige Möglichkeiten, Anpassungen vorzunehmen, allerdings ist der administrative Aufwand schulseitig höher als bei Puavo (bspw. Zusammenstellung Image + Aktualsiierung mobiler Endgeräte, Unterstützung durch unsere IT-Admins wird erfolgen), Kopplung mit kostenfreiem Stunden- und Vertretungsplan, digitalem Klassenbuch, Abwesenheitsmanager usw. möglich (Aleksis)

Beispielschule: Sportgymnasium ab 01/2022

Puavo

https://www.amxa.ch/puavo/index-de.html

https://puavo.org/

https://www.amxa.ch/puavo/man/index.html

Puavo ist technisch sehr ausgereift, kein Aufwand schulseitig, dafür sehr eingeschränkte Anpassungsmöglichkeiten durch die jeweilige Schule. Funktionsumfang idR ausreichend.

Alle Schulserver verteilen ein Image, wobei wir das Image im Fall von DebianEdu und Linuxmuster schulformbezogen definieren. 

Aktuell wurden in Betrieb genommen:

  • Debianedu am Sportgymnasium
  • Puavo an der Weitlingschule
  • Linuxmuster am Hegelgymnasium
  • Linuxmuster an der A.W. Francke

Ab Februar 2022 folgen:

  • Linuxmuster am Editha-Gymnasium
  • Linuxmuster an der Oskar-Linke-Schule
  • Puavo an der GS Elbdamm
  • Linuxmuster an der Thomas Mann
  • vorauss. Puavo an der BBS Beims

8. Rechtemanagement

Die Nutzerverwaltung im pädagogischen Bereich wird schrittweise über Schulserver umgesetzt. Daher ist mit den Dienstleistern eine Auftragsdatenverarbeitung notwendig.

Mit den entsprechenden Nutzerdaten wird der Zugriff auf Netze, schuleigene (Peripherie-)Geräte als auch Schulserver und Plattformen geregelt. Dies erfolgt in Absprache mit der jeweiligen Schule. Eine Dokumentation liegt im Team 40.02 ab und kann bei Bedarf dem Bereich IuK zur Verfügung gestellt werden.