Fast og trådløst nettverk på skoler

[hedin]

Hei,

 

Jeg har nylig blitt ansatt som IT-driftsansvarlig for skolene i en kommune.

2 av skolene og 1 barnehage ligger vegg i vegg. En oversikt over nettverket slik det er i dag

er vist i figuren.

 

 

De fleste av maskinene kjører Linux. Alle lærere har bærbare maskiner. Elevutstyr er delvis stasjonært og delvis bærbart.

 

På skole 1 bruker de fleste lærere trådløst nettverk via 1 billig Dlink punkt. Dette fungerer

greit, men punktet har falt ned noen ganger. Noen lærere bruker også den trådløse broa mellom Skole1 og Skole2 for tilgang til nettverket.

 

Mitt ønske er å bygg et trådløst nett som dekker begge skolene og kanskje også barnehagen. Jeg har tidligere gode erfaringer med 3COM 3CRGPOE10075 (http://www.hardware.no/artikkel/13918), men bare i oppsett med 1 enkelt punkt.

Tanken min er å kjøpe 2-4 slike punkt som fungerer som ett trådløst nettverk. Punktene gir også muligheter for å kjøre virtuelle trådløse nett noe som gjør at jeg kan kjøre både lærer og elevnett på samme infrastruktur (vet noen om spesielle hensyn må tas her pga. at de fleste bruker Linux?). Som beskrevet i figuren er det ei tralle med 15 bærbare, skriver og et eget trådløst aksesspunkt på skole 1 og 2. Skriver og aksesspunkt kobles til etter behov (men brukes lite pr nå. Lærere synes det er tungvindt). For å redusere bry med oppkobling tenkte jeg kanskje på å kutte ut et dedikert aksesspunkt på hver tralle og heller bruke et fast trådløst nettverk.

 

Videre er det ei 802.11b trådløs bro mellom skolene. Dette fungerer greit, men jeg kunne ønske det var mere kapasitet. Pr nå er det ikke behov for mere kapasitet, men jeg ser for meg at det kan bli det etter hvert. Det er ikke implementert noe filserver for lærere / elever, de lagrer alt lokalt. Med et raskere nettverk kunne en server bli delt mellom skolene. En annen ting er felles utskrift, f.eks til mer avanserte fargeskrivere som kanskje kunne deles mellom skolene. Pga problemer med jordstrømmer ser jeg for meg at fiber er den beste løsningen mellom bygga.

 

Nettverket er forsåvidt nokså bra, med patchepanel i et rack på hver skole, rikelig med nettverkspunkt rundt om kring i bygga. Noe "rusk" er det. Bl. annet på et datarom med 18 stasjonære maskiner på Skole2 er det kobla til billige Dlink switcher pga. at det er for få nettverkspunkter i rommet til alle maskinene. Dette fører til at maksinene innenfor en switch deler 100Mps, det forverrer feilsøking, etc.

 

Så til poenget: En del nettverkspunkt rundt om kring i bygget er ikke kobla til pga at det er for få ledige switcheporter. Det er da ønske om å kjøpe et par nye switcher.

UninettABC (http://www.uninettabc.no/) anbefaler at nye switcher som kjøpes er av typen "managed". Ser at Komplett.no har f.eks 3Com SuperStack 3 Switch 3226 24P 10/100 + 2 1000BaseT/SFP til 4495. En tilsvarende enklere 24p switch (3Com Baseline Switch 2024 24P 10/100 ) koster 1695.

 

Med tanke på nåværende utstyr, hva slags switcher ville du anbefale meg å kjøpe?

Jeg synes selv at det ikke virker så fornuftig å ha et felles lærer/elev/admininistrasjonsnett og dette kommer vel egentlig på kant med anbefalinger/føringer fra datatilsynet. f.eks 3COm 3226 (eller 48p varianten) støtter

VLAN, PoE, QoS, er managed, og har Gbps porter. Jeg vil tro at f.eks IP-telefoni kan bli aktuelt innen et par års tid så med tanke på det er prisen verdt det. Uten en god og velfungerende infrastruktur er forsåvidt tidligere investeringer i maskinvare (1 mill i 2005) bortkasta (jeg forstår ikke hvorfor de ikke brukte mer av den potten på nettverk).

Er det noe vits å kjøpe 2 bedre switcher? Såvidt jeg forstår det må jeg ha f.eks VLAN støtte i alle switcher for å kunne implementere et delt elev/lærer nett på tvers av bygningene. 3COM aksesspunkta jeg nevnte støtter også VLAN så de kan integreres i en slik arkitektur.

 

Figuren viser et utkast til et mulig forbedra nettverk.

 

 

Bør ikke alle trådløse aksesspunkt operere innenfor samme lag 2 segment? (ikke delt

med router) for at "roaming" mellom aksesspunktene skal fungere. Kanskje et

eget VLAN for trådløst nettverk kan være en ide?

 

Dette ble mye tekst, håper noen tar seg tid til å lese det. Jeg setter stor pris på inspill siden jeg har lite praktisk erfaring med å legge opp et nettverk (men har en del teori på plass). Nåsituasjonen er forsåvidt grei nok, for å ikke forstyrre for mye kan jeg kanskje

vente til sommeren med å gjøre endringer og heller ta en mer omfattende endring da.

 

Erling

[lohelle]

uten å gå for mye inn i detaljene ennå så vil jeg anbefale noe ala dette (om det er økonomisk forsvarlig for dere)

 

forslaget ditt til "ny" løsning er ikke så verst..

 

 

Kjøp switcher som støtter VLAN (og VLAN tagging 802.1q)

Sett opp to separate nett, et for admin/lærere og ett for elever.

 

Dere trenger ikke managed switch til ALLE portene.. men om dere kobler en "vanlig" switch til en managed switch så bør alle punktene på den "vanlige" switchen brukes til enten elever eller lærere.

 

Den trådløse boksen du prater om er meget bra.

Det du kan gjøre er å sette opp flere slike rundtom i området. Sett disse med samme kryptering (og samme nøkler) samt samme SSID, så vil brukere "roame", dvs bytte til ny base etter hvert som en annen base blir svak osv..

 

Disse access-punktene må nesten kobles til en managed switch slik at man kan ha flere vlan på denne. Dvs et trådløst nett (SSID) for admin/lærere = admin vlan, og et for elever = elev-vlan på switch.. Disse access-punktene støtter dette..

 

Fordelen med vlan tagging er at disse "flyter" mellom switchene.. Dvs at flere vlan går via samme uplink.. admin vlan kan da være på port 2,5,10-15 på switch 1, på port 5-12 på switch 2 osv.. med bare en kabel mellom..

 

Switcher med vlan (tagging) støtte er nå relativt rimelige.

 

PM meg for spørsmål. (eller post spm i denne tråden)

Endret 20. januar 2006 av lohelle

[lohelle]

ser at disse switchene du ser på har simpel lag3 switching.. dvs at disse kan ta seg av routing mellom disse vlan-ene.. sannsynligvis med "regler" (ACLs) for trafikk mellom disse. Dette er fornuftig..

 

den støtter også SNMP overvåking slik at du/dere kan passe på hvor mye data som blir sendt på hver port til en hver tid osv..

Det finnes greie programpakker (noen gratis) som overvåker slikt og lager grafer for trafikk, oppetid mm..

Endret 20. januar 2006 av lohelle

[hedin]

Dere trenger ikke managed switch til ALLE portene.. men om dere kobler en "vanlig" switch til en managed switch så bør alle punktene på den "vanlige" switchen brukes til enten elever eller lærere.

 

5469182[/snapback]

 

Ah, jeg tenkte litt feil om dette. Da kan jeg bare koble de gamle switchene til den nye, samt å bruke de resterende portene på de nye til trådløse aksesspunkter og øvrige nettverkspunkter. På skole 1 er det størst mangel på switcheporter, kanskje jeg bør kjøpe en vanlig billig (ikke managed / VLAN ) 3COM 16471 switch i tillegg? (eventuelt kjøpe 48 port varianten av 3COM switchen med VLAN støtte).

 

Hvordan ville du håndtert DHCP?

 

Noen alternativer jeg ser for meg:

 

1. Putte to nettverkskort i DHCP'serveren og koble den til begge nettverk. lite minus sikkerhetsmessig.

2. Sette opp DHCP relay på elev og administrasjonsnettet og videresende DHCP forespørsler til en DHCP server som står på et eget VLAN for servere? (kan kjøre på filserver som er kobla til nettet uansett).

3. Sette opp DHCP relay på elevnettet og videresende DHCP forespørsler til en DHCP server som står på administrasjonsnettet

 

 

Takk for god hjelp sålangt.

[wsp]

Tror nok du må vurdere managed switcher mer enn bare i kjerne her. I et skolenettverk, og da spesielt elevnett, kan man forvente en del trafikk man ønsker å ha kontroll med. Tenker da spesielt i forbindelse med overvåkning, sikkerhet, Dos, osv. Med en ikke-managed switch har man ingen muligheter til å gjøre noe, verken fra eller til. Med en managed switch kan man overvåke trafikk pr port, ha kopling på hvilken MAC-adresse som er koplet til hvilken port på hvilken switch osv. Et annet problem er hvis en elev kopler til en dhcp server til nettverket. Med en ikke-managed switch har man ingen muligheter til å gjøre noe, og heller ikke med de billigste managed switchene. Det kan også være et ønske om å følge med på mengder data som lastes opp/ned og det er også enkelt å gjøre med en managed switch, men umulig med en ikke managed.

 

Men man er ikke helt låst, man kan jo overvåke trafikkmengder pr ip-adresse feks i proxyserver eller firewall. Men da må koplingen mellom dhcp/mac-adresse osv være med i beregningen.

[lohelle]

Tror nok du må vurdere managed switcher mer enn bare i kjerne her. I et skolenettverk, og da spesielt elevnett, kan man forvente en del trafikk man ønsker å ha kontroll med. Tenker da spesielt i forbindelse med overvåkning, sikkerhet, Dos, osv. Med en ikke-managed switch har man ingen muligheter til å gjøre noe, verken fra eller til. Med en managed switch kan man overvåke trafikk pr port, ha kopling på hvilken MAC-adresse som er koplet til hvilken port på hvilken switch osv. Et annet problem er hvis en elev kopler til en dhcp server til nettverket. Med en ikke-managed switch har man ingen muligheter til å gjøre noe, og heller ikke med de billigste managed switchene. Det kan også være et ønske om å følge med på mengder data som lastes opp/ned og det er også enkelt å gjøre med en managed switch, men umulig med en ikke managed.

 

Men man er ikke helt låst, man kan jo overvåke trafikkmengder pr ip-adresse feks i proxyserver eller firewall. Men da må koplingen mellom dhcp/mac-adresse osv være med i beregningen.

5489764[/snapback]

 

Helt enig i dette! Managed "all over" er så absolutt lurt i lengden! lett å finne "synderne" i nettet da. Kjenner ikke så godt til de 3com 32XX switchene, men de var jo "grisebillige" da..

 

Når det gjelder overvåking så har dette spart meg VELDIG mye tid og mas. Jeg får tekstmelding om noe er nede hele døgnet.. Vet som oftest om feilen FØR brukerne klager. (selv på dagtid)

 

Jeg har grafer over trafikk, antall pakker, nedetid osv over "alle" nettene hos de største kundene mine (den største har ca 400 managed punkt..)

Endret 24. januar 2006 av lohelle

[hedin]

Helt enig i dette! Managed "all over" er så absolutt lurt i lengden! lett å finne "synderne" i nettet da. Kjenner ikke så godt til de 3com 32XX switchene, men de var jo "grisebillige" da..

 

5490111[/snapback]

 

Ser at Dell har en managed 24p switch til ca 3500 inkl. mva. (PowerConnect 3424). Det er enda en del billigere enn 3COM 32XX. Har noen erfaring med Dell nettverksutstyr? Dersom det er mye kluss er det ikke verdt prisforskjellen.

[wsp]

Ser at Dell har en managed 24p switch til ca 3500 inkl. mva. (PowerConnect  3424). Det er enda en del billigere enn 3COM 32XX. Har noen erfaring med Dell nettverksutstyr? Dersom det er mye kluss er det ikke verdt prisforskjellen.

5494354[/snapback]

 

Har ingen erfaring med Dell-switcher selv, kun 3com, HP og Cisco. Alle disse produsentene har forsåvidt switcher som kan tilby det du er ute etter. Men det er ingen tvil om at det er Cisco som er best her og er de eneste (såvidt meg bekjent. HP har sagt de skal komme med dette senere) som kan settes opp med antispoofing på portnivå. Noe som gjør at en ukjent dhcp-server ikke kan ødelegge for de andre pc'ene på nettverket. Cisco har forøvrig vært i en prisklasse for seg selv, men har nå kommet med switcher for SMB-markedet som ligger i noenlunde samme prisklasse som de andre. Se om du får pris på Cisco Catalyst Express 500-24TT så kan du sammenlikne. Har forsåvidt ikke prøvd denne modellen selv, kun 29xx/35xx/37xx/45xx/65xx. De billigste managed-switchene tror jeg DLink har (i overkant av 2k+mva for 24porter), men de har jeg ingen erfaringer med.

 

Men husk: Det enkleste er å holde seg til en produsent. Da får du samme grensenitt for konfigurering på alle steder. Hvis du har mulighet, så hold deg til samme produsenten. Også her hvor jeg er ansatt bruker vi switcher fra flere produsenter. Vi bruker HP på kant og Cisco i kjerne, samt Cisco på risikoutsatte nettverk. Har også noe 3com på kant, men er i ferd med å fase det ut.

 

Det er rart hvordan switcheprisene har stupt. For få år siden var det umulig å få en managed 24 porters switch for under 10k.

[lohelle]

Ser at Dell har en managed 24p switch til ca 3500 inkl. mva. (PowerConnect  3424). Det er enda en del billigere enn 3COM 32XX. Har noen erfaring med Dell nettverksutstyr? Dersom det er mye kluss er det ikke verdt prisforskjellen.

5494354[/snapback]

 

Har ingen erfaring med Dell-switcher selv, kun 3com, HP og Cisco. Alle disse produsentene har forsåvidt switcher som kan tilby det du er ute etter. Men det er ingen tvil om at det er Cisco som er best her og er de eneste (såvidt meg bekjent. HP har sagt de skal komme med dette senere) som kan settes opp med antispoofing på portnivå. Noe som gjør at en ukjent dhcp-server ikke kan ødelegge for de andre pc'ene på nettverket. Cisco har forøvrig vært i en prisklasse for seg selv, men har nå kommet med switcher for SMB-markedet som ligger i noenlunde samme prisklasse som de andre. Se om du får pris på Cisco Catalyst Express 500-24TT så kan du sammenlikne. Har forsåvidt ikke prøvd denne modellen selv, kun 29xx/35xx/37xx/45xx/65xx. De billigste managed-switchene tror jeg DLink har (i overkant av 2k+mva for 24porter), men de har jeg ingen erfaringer med.

 

Men husk: Det enkleste er å holde seg til en produsent. Da får du samme grensenitt for konfigurering på alle steder. Hvis du har mulighet, så hold deg til samme produsenten. Også her hvor jeg er ansatt bruker vi switcher fra flere produsenter. Vi bruker HP på kant og Cisco i kjerne, samt Cisco på risikoutsatte nettverk. Har også noe 3com på kant, men er i ferd med å fase det ut.

 

Det er rart hvordan switcheprisene har stupt. For få år siden var det umulig å få en managed 24 porters switch for under 10k.

5494928[/snapback]

 

 

3com, HP, Cisco.. DISSE har det du trenger og er ALLTID sikre kjøp.

 

Pass på Layer3 funksjonalitet i kjerne. Da kan du route mellom VLAN på denne (tror denne 32XX-en skulle takle dette.

 

Ellers så er det viktig med vlan tagging for "flytende" vlan mellom switchene (og en uplink)

 

Cisco kan som nevnt blokke mye mer avansert på portnivå enn det de fleste andre kan.. sjekk gjerne opp pris på dette.

 

Cisco høres veldi vanskelig ut, men det er UTROLIG mye nyttig ang dette på nettet.. Google is your friend! Jeg har lært alle mine cisco-kunnskaper selv på nettet.. Og nå administrerer jeg STORE nettverk (syns jeg da) med massevis av switcher som kommuniserer med hverandre, redundante linker , filter på port og vlan nivå, alt mulig av routing osv..

Endret 25. januar 2006 av lohelle

[ryback]

Hvis det er slik at eneste grunnen til å oppgradere infrastrukturen din er for å få tatt i bruk VLAN vil jeg anbefale deg å vurdere VPN fremfor VLAN over hele linja.

 

Skill nettet i to VLAN. Wired og Wireless. Skill så elever og lærere/administrasjon ved hjelp av VPN.

Med denne løsningen trengre du kun 1 switch som støtter VLAN.

 

Såfremt du allerede har kapasiteten du trenger i nettet ditt kan du spare store penger på å slippe å oppgradere infrastrukturen kun for å få støtte for VLAN.

 

I mine øyne så kreves VPN når du skal bruke WLAN til annet enn å surfe uansett så dette er en investering som uansett bør gjøres. Det vil også gi elever og ansatte en mulighet til hjemmekontor.

 

Jeg vil uansett anbefale deg vurdere "wired" forbindelse mellom skolene/barnehagen. Som du selv nevner så er jording et problem så her må du nok bruke fiber. Dette er som alt annet en løsning du må vurdere selv ut i fra kost/nytte.

Endret 25. januar 2006 av ryback

[lohelle]

Hvis det er slik at eneste grunnen til å oppgradere infrastrukturen din er for å få tatt i bruk VLAN vil jeg anbefale deg å vurdere VPN fremfor VLAN over hele linja.

 

Skill nettet i to VLAN. Wired og Wireless. Skill så elever og lærere/administrasjon ved hjelp av VPN.

Med denne løsningen trengre du kun 1 switch som støtter VLAN.

 

Såfremt du allerede har kapasiteten du trenger i nettet ditt kan du spare store penger på å slippe å oppgradere infrastrukturen kun for å få støtte for VLAN.

 

I mine øyne så kreves VPN når du skal bruke WLAN til annet enn å surfe uansett så dette er en investering som uansett bør gjøres. Det vil også gi elever og ansatte en mulighet til hjemmekontor.

 

Jeg vil uansett anbefale deg vurdere "wired" forbindelse mellom skolene/barnehagen. Som du selv nevner så er jording et problem så her må du nok bruke fiber. Dette er som alt annet en løsning du må vurdere selv ut i fra kost/nytte.

5495514[/snapback]

 

VPN koster det også om det skal være på routernivå (site to site osv)

 

En VPN boks for tilgang til "viktige ting" gjennom trådløs er vel egentlig et must ja.. skulle nevnt det.. Men hvorfor gjøre det så "vanskelig" ? Og noen besparelse ved å bruke VPN kontra VLAN klarer jeg ikke å se! Inngangssummen for "bra" VPN er MYE høyere enn for "bra" VLAN.

 

Og hva med overvåkingen? bør være et must i skolesammenheng..

 

NB: jeg nevnte at VPN er "nødvendig" uansett.. Men om bare noen FÅ skal bruke dette av og til så vil en billig-løsning fungere OK (ev. bruke innebygget VPN i Windows Server 2000/2003 osv)

 

VLAN bare funker og funker.. VPN tjenester/routere har en tendens til å trenge restart av og til.. særlig løsningene som ikke koster (ti)tusenvis av kroner..

Endret 30. januar 2006 av lohelle