Budowa sieci w szkole

Sie! w szkole, szko"a w sieciExpert sieciowy

www.fen.pl

2

Stworzenie przemy!lanej, dobrze dzia"aj#cej i bezpiecznej sieci w szkole to nie zadanie dla opiekuna szkolnej pracowni komputerowej. $eby si% uda"o, niezb%dne jest zaanga&owanie i dobra wola dyrektora. Opiekun mo&e tylko pomóc.

!"cza, has#a, filtry i monitoring, czyli planujemy budow! szkolnej sieci

Sie! w szkole, szko"a w sieci

Trudno wyobrazi! sobie wspó"czesn# szko"$ bez dost$pu do sieci internet. Wi$kszo%! z& nas codziennie korzysta

z& sieciowych us"ug – szukaj#c informacji, p"a-c#c rachunki czy komunikuj#c si$ ze znajomymi na&portalach sieciowych, poczt# elektroniczn# czy us"ugami takimi jak skype. Jako nauczyciele dys-ponujemy w&pracy systemami, które nas wspoma-gaj# – cho!by dziennikiem elektronicznym. Co-raz cz$%ciej systemy te dzia"aj# w&modelu chmury (serwer nie pracuje w&szkole, lecz mamy do nie-go dost$p przez internet). Zdarza si$ nam rów-nie' korzysta! z& systemów nauczania zdalnego czy elektronicznych podr$czników a&tendencja ta si$ rozwija. W&tym kontek%cie dost$p do szybkiej i&bezpiecznej sieci w&szkole, zarówno dla uczniów, jak i&nauczycieli, powinien by! jednym z&prioryte-tów rozwoju szkolnej infrastruktury technicznej.

PLANOWANIEUzyskanie wydajnej – a& jednocze%nie bez-

piecznej – sieci wymaga jej odpowiedniego za-planowania. Przemy%lenia, jakie cele chcemy osi#gn#! i& co dla nas oznacza bezpiecze(stwo. Zastanówmy si$ wi$c nad tymi aspektami.

Planowane cele a$wydajno%& szkolnej sieci Na&pocz#tek warto si$ zastanowi!, do czego szkol-

na sie! ma by! u'ywana – zarówno dzisiaj, jak i&w&naj-bli'szej przysz"o%ci. Jakie s# g"ówne cele jej istnienia – z& jakich us"ug korzystamy i&b$dziemy korzysta!? Je%li wi$kszo%! systemów, takich jak: dziennik elek-troniczny, obs"uga sekretariatu, magazyn z&dokumen-tami administracji szko"y, nauczycieli i&uczniów jest zainstalowana na&serwerze szkolnym, to&w&dost$pie

do tych us"ug kluczowa b$dzie sie! lokalna. Nie b$d# one tak'e obci#'a! "#cza internetowego.

W& przypadku gdy wykorzystujemy w& szkole dziennik pracuj#cy w&modelu chmury lub wdro'y-li%my us"ugi (takie jak O)ce 365 czy Google Apps), to&kluczowy b$dzie dost$p do internetu. Oczywi%cie im szybsze "#cze, tym lepiej. Nie zawsze jednak ma-my mo'liwo%! *nansow# czy techniczn# kupienia us"ugi o&lepszych parametrach. W&takim wypadku odpowiednio opracowana polityka szko"y, dotycz#-ca podzia"u przepustowo%ci "#cza, i&przyznanie prio-rytetów w& dost$pie poszczególnym grupom u'yt-kowników b$d# mia"y ogromne znaczenie. Do tego jednak potrzebujemy zarówno dobrego, przemy%la-nego planu, jak i&urz#dze( (np. routera i&prze"#czni-ków sieciowych), które pozwol# go wdro'y!. Dzi$ki dobremu projektowi i&wdro'eniu, dysponuj#c nawet s"abszym po"#czeniem do internetu, mo'emy osi#-gn#! lepsze efekty ni' w&przypadku szybkiego "#cza i&+le zorganizowanej sieci lokalnej.

Przygotowuj#c plan warto rozwa'y!, jakim wy-posa'eniem dysponujemy w&szkole i&jak si$ ta sytu-acja zmienia. Nawet je%li wi$kszo%! stanowi# kom-putery stacjonarne, najprawdopodobniej kolejne zakupy b$d# dotyczy"y urz#dze( mobilnych – pra-cowni notebooków czy tabletów. Analizuj#c sytuacj$ zapewne zauwa'ymy równie', 'e&wielu nauczycie-li i&uczniów dysponuje prywatnymi urz#dzeniami przeno%nymi. W&zale'no%ci od etapu szkolnego s# to&smartfony lub tablety, które przynosz# ze sob# do szko"y uczniowie. Dobrym pomys"em jest umo'li-wienie tym urz#dzeniom dost$pu do szkolnej sie-ci. Determinuje to&kierunek rozwoju sieci lokalnej w& kierunku sieci bezprzewodowej. W& niektórych przypadkach nie b$dziemy chcieli udost$pni! szkol-

2 !"cza, has#a, filtry i monito-ring, czyli planujemy budo-w$ szkolnej sieci

8 Prze#"czniki i routery

15 Bezpieczna i wydajna sie% bezprzewodowa

Spis tre!ci:

3

nej sieci dla urz#dze( prywatnych lub udost$pnimy j# tylko nauczycielom. Powód mo'e by! prozaiczny – brak mo'liwo%ci technicznych: zbyt s"abe po"#cze-nie z&internetem lub brak mo'liwo%ci wprowadzenia skutecznych mechanizmów zabezpiecze(.

Mimo to, aby korzystanie z&pracowni mobil-nych – sprz$tu nale'#cego do szko"y – mia"o sens, nale'y zapewni! pokrycie sieci# Wi-Fi praktycz-nie ca"ej szko"y. W&wersji minimum – wszystkich pracowni, pokoju nauczycielskiego oraz pomiesz-cze( biurowych i&sal gimnastycznych. To&za% wy-maga doprowadzenia w&odpowiednie miejsca sie-ci przewodowej i&pod"#czenia do niej urz#dze( dost$powych.

Jednak je%li mówimy o& pracowniach licz#-cych 15–30 komputerów czy tabletów, popu-larny sprz$t (Access Point) przeznaczony do u'ytku domowego, oka'e si$ niewystarczaj#-cy. W&domu pod"#czamy nie wi$cej ni' kilka, wyj#tkowo kilkana%cie urz#dze( jednocze%nie. W& przypadku szko"y b$dzie ich kilkadziesi#t. Sprz$t przeznaczony na& rynek konsumenc-ki nie poradzi sobie z&tak# liczb#. Nawet przy szybkim "#czu internetowym b$dziemy od-czuwali, 'e& sie! dzia"a wolno, a& w& skrajnych przypadkach w&ogóle przestanie dzia"a!. Ewi-dentnie potrzebne oka'# si$ rozwi#zania pro-fesjonalne. A& ich dobór b$dzie zale'a" od ak-tualnego wyposa'enia szko"y i&planów rozwoju infrastruktury w&przysz"o%ci.

Istniej# urz#dzenia dost%powe (AP – Access Point), które mog# wspó"pracowa' korzystaj#c tylko z(sieci bezprzewodowej. Oznacza to, &e("#cz# si% mi%dzy sob# przez sie' Wi–Fi, a( nast%pnie sygna" ten udost%pniaj# u&ytkownikom. Jednak po"#czenie punktów dost%powych sieci# przewo-dow# mo&e by' lepszym rozwi#zaniem. Je!li nast#pi awaria, istnieje wi%ksza szansa, &e(admini-strator zdalnie b%dzie móg" sprawdzi' jej przyczy-n% a(nawet dokona' naprawy. W(przypadku gdy urz#dzenia "#cz# si% sieci# bezprzewodow#, mo&e nie by' takiej mo&liwo!ci. Dodatkowym atutem po"#czenia przewodowego urz#dze) dost%po-wych jest zwi%kszenie wydajno!ci sieci. AP nie zu&ywaj# zasobów do "#czenia si% mi%dzy sob# – w(pe"ni mog# je wykorzysta' do obs"ugi klientów. Ma to( olbrzymie znaczenie, gdy do sieci pod"#-czonych jest kilkadziesi#t urz#dze).

Wskazówka

W(niektórych regulaminach szkolnych nadal mo&na spotka' zapisy zabraniaj#ce u&ywania telefonów komórkowych na( terenie szko"y przewiduj#ce ró&-norodne sankcje za z"amanie zakazu. Na( pytanie o( to, dlaczego wprowadzono takie zapisy, najcz%-!ciej padaj# dwie odpowiedzi. Po( pierwsze, zakaz ma zapobiec sytuacji nagrywania przez uczniów filmów i(ich publikacji w(internecie. Po(drugie, dzwo-ni#ce telefony uniemo&liwiaj# prowadzenie zaj%'. Je!li chodzi o( pierwsz# z( nich – zazwyczaj zadaje-my pytanie pomocnicze: czy regulamin zabrania pos"ugiwania si% tak&e d"ugopisami lub zegarkami? Bo przecie& dzisiaj mo&na kupi' takie urz#dzenia z( wbudowan# kamer# i( mikrofonem ju& za kilka-dziesi#t z"otych. Zakaz dotycz#cy u&ywania komórek w( tej kwestii jest wi%c co najmniej nieskuteczny. Ba, mo&e wr%cz zach%ci' do tego, by spróbowa' go obej!'. Rozwi#zaniem jest tutaj raczej rozmo-wa z( uczniami i( omówienie konsekwencji takich publikacji, ni& wprowadzanie martwego prawa. Znalezienie panaceum na(drugi problem mo&e by' znacznie prostsze. Zamiast zakazu, w( regulaminie mo&na okre!li' sposoby zg"aszania si% uczniów do odpowiedzi. Poza przyj%tymi ogólnie (podniesienie r%ki) mo&emy dopisa' dzwoni#cy telefon. Bardzo szybko dzwonki zostan# wyciszone. Zakaz mo&e dotyczy' u!ywania telefonu na"lekcji bez pozwo-lenia nauczyciela, ale nie ogólnie – terenu szko"y.

Wskazówka

4


4

Warto wi$c okre%li! cele, których realizacj$ ma zapewni! szkolna sie!, a&nast$pnie opracowa! odpowiednie priorytety w&dost$pie dla niej dla po-szczególnych grup u'ytkowników i&urz#dze(. Gru-py u'ytkowników to&na&przyk"ad:

Urz#dzenia to:

na&biurkach w&salach lekcyjnych, w&bibliotece),

Cele to&cho!by zapewnienie dost$pu do dzien-nika dla nauczycieli na&ka'dej lekcji, mo'liwo%ci korzystania z& dokumentów przechowywanych w&sieci, korzystania z&us"ug podczas zaj$! dydak-tycznych – do pokazów dla nauczycieli, do pracy w"asnej uczniów: !wicze( na&zaj$ciach z&wykorzy-staniem komputerów.

Podzia# dost'pu do #"czaJe'eli pod uwag$ we+miemy priorytet w&do-

st$pie do sieci tylko pod k#tem u'ytkowników, to&mo'emy wyci#gn#! wniosek, 'e&pierwsze(-stwo powinni mie! nauczyciele i& pracownicy administracji. Jednak czy da si$ poprowadzi! lekcje z& uczniami bez dost$pu do internetu? Czasem tak, a&czasem nie. Z&naciskiem na&nie, je%li mamy wdro'on# us"ug$ pozwalaj#c# np. uczniom przechowywa! dokumenty w& chmu-rze. Nie wystarczy wi$c okre%li!, kto ma pierw-sze(stwo. Lepszym rozwi#zaniem jest podzie-li! dost$pne pasmo dla poszczególnych grup. Takie podej%cie uwzgl$dni równie' cele, ja-kim ma s"u'y! szkolna sie! i& internet. Mo'e-my np. przyj#!, 'e&do 20&proc. przepustowo%ci "#cza przeznaczamy dla szkolnej administracji, w& tym na&dost$p do dziennika elektroniczne-go online, 60& proc. na& cele edukacyjne, czy-li wykorzystanie przez uczniów podczas lek-cji na&szkolnych urz#dzeniach, a&maksymalnie 20& proc. na& dowolny u'ytek na& urz#dzeniach prywatnych. Odpowiednie podzielenie dost$p-nego "#cza zapewni sprawn# prac$ wszystkim,

W&podziale sieci pomog" odpowiednio dobrany router,

prze#"czniki i&profesjonal-na sie% bezprzewodowa,

a&wszystko to&wyposa'one w&mechanizm tworzenia

wirtualnych sieci lokalnych VLAN w&standardzie 802.1q. Dobra wiadomo(% jest taka,

'e&w&szko#ach cz$sto znajduje si$ ju' infrastruktura, która

ma odpowiednie mo'liwo(ci, ale które nie s" w&pe#ni wyko-

rzystane. Aspekt ten mo'na wzi"% pod uwag$ podczas

planowania rozbudowy sieci.

Technikalia – podzia" sieci a#wybór urz$dze%

Pami%tajmy, &e wprowadzenie automatycznych mechanizmów zabezpiecze) w szkolnej sieci jest niezb%dne, ale nie wystarczaj#ce. Konieczna jest praca z m"odzie&# i u!wiadamianie zagro&e) zwi#-zanych z korzystaniem z internetu, sposobów ich unikania oraz uczenie odpowiedzialnego porusza-nia si% w sieci. To jednak temat na oddzielny arty-ku". W tym wskazujemy tylko powi#zania mi%dzy uczeniem odpowiedzialno!ci, a wykorzystywany-mi mechanizmami bezpiecze)stwa, które mo&na wdro&y' w szkolnej sieci.

Wskazówka

którym dost$p do sieci jest niezb$dny. Zapobiegnie sytuacji, gdy jedna osoba obci#'a "#cze pobieraj#c oprogramowanie czy inne du'e pliki uniemo'liwia-j#c pozosta"ym prac$. Odpowiedni podzia" "#cza odseparuje tak'e poszczególne grupy. Nawet je%li pasmo przydzielone pracowni mobilnej zostanie wysycone na&skutek pracy uczniów (np. podczas pu-blikacji prac w&internecie), to&wysycenie b$dzie do-tyczy"o tylko pasma przydzielonego tej grupie. Dla niej sie! b$dzie dzia"a"a wolniej, ale pozosta"e grupy nie odczuj# problemu.

BEZPIECZE!STWO W&planowaniu szkolnej sieci, oprócz wydaj-

no%ci, bardzo wa'nym problemem jest bezpie-cze(stwo. Oczywi%cie – to&temat bardzo szero-ki i&wielow#tkowy. Tym razem nie b$dziemy si$ skupia! na&BHP czy pro*laktyce antywirusowej. Chodzi raczej o&bezpieczny dost$p do sieci – za-równo z&punktu widzenia ucznia i&jego rodziców, nauczyciela, a& tak'e szko"y jako instytucji. Ta problematyka tak'e sk"ada si$ z&wielu w#tków. Obejmuje bowiem bezpiecze(stwo danych wra'-liwych (w&rozumieniu Generalnego Inspektora Ochrony Danych Osobowych), ochron$ przed dost$pem do materia"ów niepo'#danych (dla m"odszych uczniów cz$%ciej przypadkowym, dla starszych – celowym), dzia"ania szkodliwe (np. publikacje nagra( o%mieszaj#cych uczniów i&na-uczycieli) itp.

Indywidualne has#a dla ka(degoWiele problemów zwi#zanych z& bezpiecze(-

stwem da si$ rozwi#za! wprowadzaj#c ujedno-licony i& zindywidualizowany dost$p do sieci. Ujednolicony, czyli to&samo has"o powinno s"u'y! do logowania si$ do szkolnej sieci i&umo'liwia! do-

Niektóre szko#y korzystaj" z&wi$cej ni' jednej us#ugi

dost$powej – na&przyk#ad w&ka'dej pracowni kom-

puterowej zainstalowano oddzieln" neostrad$.

W&takich wypadkach warto rozwa'y% konsolidacj$

tych po#"cze). Mo'e w&tym pomóc zastosowanie tzw.

routera modularnego. Dzi$ki niemu po#"czymy niezale'ne us#ugi dost$powe i&b$dziemy

mogli nimi centralnie zarz"-dza% – obni'aj"c tym samym koszty (m.in. czas potrzebny

na&aktualizacj$ filtrów).

Technikalia – "$cz i rz$d&

5

st$p do us"ug na&szkolnych serwerach, na&przy-k"ad do dokumentów tam przechowywanych. Upro%ci to&ca"# procedur$ i& jednocze%nie u"atwi 'ycie. Wystarczy pami$ta! tylko jedno has"o. Zin-dywidualizowany, bo ka'dy u'ytkownik loguje si$ do sieci z&u'yciem w"asnej nazwy i indywidual-nego has"a, za które odpowiada. Trudnego do z"amania, lecz "atwego do zapami$tania – a&wi$c ustalonego przez samego u'ytkownika. Pami$taj-my, 'e&najs"abszym ogniwem wszelkich zabezpie-cze( jeste%my my – ludzie. Zbyt restrykcyjna po-lityka hase" (wymuszone d"ugie, zawieraj#ce wiele znaków specjalnych) mo'e spowodowa!, 'e&b$d# zapisywane w& ró'nych miejscach, co zwi$ksza prawdopodobie(stwo ich zgubienia lub podej-rzenia przez osoby nieupowa'nione. Zbyt trudne has"a powoduj# tak'e, 'e&u'ytkownicy wpisuj# je bardzo wolno, co u"atwia podpatrzenie ich przez osoby postronne. Zbyt trywialne has"a natomiast bardzo "atwo z"ama!. Warto w&tej kwestii u%wia-domi! u'ytkowników. Mo'na tak'e wprowadzi! zasad$, 'e&gdy nauczyciel loguje si$ do systemu zawieraj#cego dane wra'liwe, nie pozwala prze-bywa! w&pobli'u uczniom.

Odpowied+ na pytanie, na jakim etapie edu-kacyjnym wprowadza! has"a, jest prosta: im wcze%niej, tym lepiej. Ró'ne odmiany hase" w&postaci pinów, puków itp. zabezpiecze( spoty-kamy w&codziennym 'yciu od dawna. Im wcze-%niej nasi uczniowie przyzwyczaj# si$ do dbania o& ich bezpiecze(stwo, tym lepiej. Oczywi%cie na&wczesnym etapie has"a powinny by! proste. Im uczniowie starsi, tym polityka mo'e by! bar-dziej restrykcyjna.

5

Cz%sto zg"aszanym problem podczas ró&nych szkole) czy warsztatów jest zapominanie hase" przez uczniów i konieczno!' ich ci#g"ej zmiany przez uprawnion# osob%. Rozwi#zaniem mo&e by' w tym przypadku wprowadzenie uci#&liwej procedury odzyskania has"a. Na przyk"ad ucze), by zosta"o mu przyporz#dkowane nowe has"o, musi pobra' z sekretariatu specjalny formularz. Nast%pnie wype"ni' w nim rubryki zawieraj#ce imi%, nazwisko, dat% urodzenia, adres zamieszka-nia, imiona rodziców oraz odpowiedzie' na pytanie dlaczego nie pami%ta has"a – nie krócej ni& w stu s"owach. Do tego ucze) musi uzyska'

Wskazówka

podpis rodziców na formularzu i z"o&y' go w sekretariacie. Zapomnienie has"a powinno by' traktowane podczas lekcji, gdzie jest ono nie-zb%dne (informatyka), jako nieprzygotowanie. Im mniej wygodna procedura, tym pami%' naszych uczniów lepsza a przypadki jej zaników rzadsze.

Monitoring sieciNie jeste%my anonimowi w&internecie. Nigdy.

Zawsze mo'na nas zidenty*kowa!. Jak szybko si$ to&uda, to&kwestia uprawnie( odpowiednich w"adz, czasem umów mi$dzynarodowych – nie problemów technicznych. Dobrze, 'eby szko"a tak'e mog"a zidenty*kowa! to, co dzieje si$ w&jej sieci. I&pokaza"a to&uczniom. B$dzie to&mo'liwe pod warunkiem wprowadzenia indywidualnych hase" oraz monitoringu sieci. Wówczas wszystko, co u'ytkownicy robi#, b$dzie odnotowane w&tzw. logach. Sk#d (z&jakiego urz#dzenia), kiedy, gdzie, z&pomoc# jakiego protoko"u si$ "#czyli.

Zabezpiecza to& nas – nauczycieli i& szko"$ na& wypadek wybryków naszych podopiecz-nych. Je%li kto% ze szkolnej sieci opublikuje obra+liwy tekst czy film podczas wyborów do sejmu i&obrazi tym jednego z&kandydatów, wów-czas odpowiednie w"adze dotr# do szko"y bardo szybko. Je%li mamy szkolny system monitorin-gu sieci – b$dziemy w&stanie wskaza! winnego. Je%li nie – za wybryk odpowie dyrektor szko-"y. Innym przyk"adem mo'e by! publikacja przez uczniów o%mieszaj#cego koleg$ filmu na&YouTube. Do takich sytuacji nie dojdzie, lub b$d# to&przypadki sporadyczne, je%li zademon-strujemy naszym uczniom, 'e&szkolna sie! mo-nitoruje ich poczynania. Mo'na nawet przes"a! im logi (zapis ich aktywno%ci w& szkolnej sie-ci) – 'eby zobaczyli, jak szczegó"owe informa-cje s# zbierane na&ten temat. Najwi$ksze wra'e-nie robi na&nich fakt, 'e&nauczyciel nikogo nie musi z"apa! za r$k$ na&przegl#daniu zabronio-nych tre%ci. Wystarczy, 'e&zajrzy w&logi lub po-prosi o&to&administratora sieci. Cz$sto dopiero taka demonstracja u%wiadamia uczniom brak anonimowo%ci w&sieci i&zwi#zane z&tym konse-kwencje. Zdecydowanie lepiej wówczas pilnuj# swoich hase". Jednocze%nie „w"#cza im si$” au-tocenzura powstrzymuj#ca przed dzia"aniami, których by nie zaryzykowali, gdyby byli %wia-domi, 'e&s# obserwowani.

W zale'no(ci od tego, z&jakie-go serwera korzysta szko#a, mo'e on by% wyposa'ony w&mechanizmy pozwalaj"ce tworzy% konta u'ytkowników i&nimi zarz"dza%. Przyk#adem takiego systemu jest Windows Server, w&którym po#"czenie kont u'ytkowników zawar-tych w&AD (Active Directory) z&us#ugami autoryzacji u'yt-kowników mo'e pos#u'y% jako centralna baza wszystkich uczniów i&pracowników szko#y. Z&niej urz"dzenia sieciowe b$d" pobiera#y informacje, gdy u'ytkownik b$dzie chcia# z&sieci skorzysta% i&które b$d" przydziela#y u'ytkownikom okre(lone uprawnienia (np. wirtualn" sie% lokaln" w&zale'-no(ci od tego, do jakiej grupy u'ytkownik b$dzie nale'a#), a&tak'e b$d" mog#y s#u'y% do pó*niejszego zbierania infor-macji, takich jak: kto (nazwa u'ytkownika i&has#o), w&jakim czasie (czas rozpocz$cia i&zako)czenia po#"czenia) i&z& jakiego urz"dzenia (adres IP, MAC) korzysta# z&zasobów. Na&podstawie danych z&tzw. accountingu, bo tak nazywa-my gromadzenie powy'szych informacji, administrator dysponuj"c odpowiednim urz"dzeniem na&styku sieci szkolnej z&sieci" internet b$dzie móg# przeanalizowa% ruch i&zachowanie poszcze-gólnych u'ytkowników.

Technikalia – monitoring

i indywidualny dost'p

6


6

Automatyczne filtry tre%ci oraz bia#e i$czarne listy

Wprowadzenie monitoringu i& u%wiadomie-nie m"odzie'y jego istnienia %wietnie si$ sprawdza w& gimnazjum czy w& szkole ponadgimnazjalnej. Wystarczy w& regulaminie szko"y wprowadzi! za-pisy dotycz#ce tego, czego nie wolno robi! w&sieci. Nale'y te' okre%li!, 'e& ucze(, który przypadkowo wszed" na&strony zakazane (np. pornogra*czne) po-winien zg"osi! ten fakt nauczycielowi. Inaczej b$dzie to&traktowane jak dzia"anie celowe.

Jednak nie zawsze jest to&wystarczaj#ce. Szcze-gólnie, gdy mamy do czynienia z& m"odszymi dzie!mi. Powinni%my zabezpieczy! wówczas na-szych uczniów na&wypadek przypadkowego wej-%cia na&tego typu strony. Mo'liwo%ci jest kilka. Jed-n# z&nich s# *ltry tre%ci instalowane na&szkolnych komputerach. Rozwi#zanie to& jednak ma swoje wady. Swego czasu jeden z&programów blokowa" skutecznie wej%cie na&stron$ Episkopatu Polski. Za-licza" j# bowiem do tre%ci pornogra*cznych (sic!). Wszystko dlatego, 'e& zbyt cz$sto wyst$powa"o tam s"owo stosunki w&kontek%cie stosunków pa(-stwo – ko%ció". Podobnie mo'e dzia! si$ z&wielo-ma serwisami, np. medycznymi. Drug# wad# takie-go rozwi#zania jest fakt, 'e&instalowane jest na&ka'dym komputerze, co powoduje, 'e&trudniej nim zarz#dza!, dba! o&aktualizacj$ i&potencjalnie "atwiej jest je obej%! sprytnemu uczniowi. Zdecydowanie lepiej wdra'a! rozwi#zania obejmuj#ce ca"# sie!, ni' poszczególne komputery czy tablety. ,atwiej nimi zarz#dza!, dba! o&aktualizacj$ i&rozwi#zywa! pojawiaj#ce si$ problemy.

Innym rozwi#zaniem mo'e by! wykorzystanie mechanizmów wbudowanych w&system operacyj-ny komputera lub tabletu (tzw. funkcji bezpiecze(-stwa rodzinnego). Jednak ka'dy system operacyjny ma nieco inne rozwi#zania i&przy zró'nicowanej

infrastrukturze mo'e stanowi! problem. Nie za-wsze mo'na nimi równie' zarz#dza! centralnie, wi$c wraca problem kon*gurowania ka'dego urz#-dzenia osobno. Dlatego lepsze rozwi#zanie mo'e stanowi! zabezpieczenie wprowadzone na& styku sieci lokalnej i&dost$pu do internetu – np. na&ro-uterze lub dedykowanej zaporze. Przyk"ad mog# stanowi! tzw. bia"e lub czarne listy stron (White / Black Lists). Bia"a lista to&lista adresów interneto-wych dozwolonych dla uczniów, czarna – to&adre-sy zabronione. Takie listy i&ich aktualizacje mo'na znale+! w&internecie. Wdro'enie ich na&poziomie styku sieci lokalnej i&internetu spowoduje, 'e&obej-m# swym zasi$giem wszystkie (lub wybrane przez administratora) a& pod"#czone do szkolnej sieci urz#dzenia. Listy tworzone s# pod ró'nym kontem – pornogra*a, 'arty, niebezpieczne tre%ci. Mo'e-my wybra! te, które s# dla nas istotne. Oczywi%cie to&rozwi#zanie równie' nie jest idealne. Codzien-nie pojawiaj# si$ nowe serwisy, wi$c si"# rzeczy li-sty nigdy nie s# w&stu procentach aktualne. Ma ono jednak zalety. Przede wszystkim zarz#dzamy nim centralnie – wi$c znacznie "atwiej. Musimy tylko pami$ta! o&aktualizacjach. Wraz z&monitoringiem sieci odpowiednio skon*gurowane i&aktualizowa-ne listy mog# stanowi! ca"kiem dobre rozwi#zanie. Wystarczaj#ce do zabezpieczenia najm"odszych uczniów, a&uzupe"niaj#ce monitoring i&autocenzu-r$ w&przypadku starszych.

Zaawansowane rozwi#zania sprz$towo-programo-we pozwalaj# przyporz#dkowa! poziom zabezpiecze-nia okre%lonym grupom u'ytkowników i& urz#dze(. Oznacza to, 'e& bardziej mo'emy chroni! m"odszych uczniów lub pozwala! na&wi$cej, gdy u'ytkownik pracu-je na&urz#dzeniu nale'#cym do szko"y a&bardziej restryk-cyjne ograniczenia stosowa! w&przypadku telefonów czy tabletów prywatnych. Mo'emy tak'e nie wprowadza! ogranicze( np. dla nauczycieli.

Monitoring sieci pozwala równie& wykry' przypad-ki, gdy uczniowie udost%pniaj# sobie nawzajem has"a, gdy kto! z(nich zapomni swojego – by unik-n#' konsekwencji nieprzygotowania do lekcji. Sama !wiadomo!', &e( sytuacja taka mo&e zosta' wykryta, zmniejsza ch%' udzielenia *le poj%tej pomocy. Zmniejsza j# tak&e !wiadomo!', &e(udo-st%pniaj#cy bierze pe"n# odpowiedzialno!' za czyny swojego kolegi lub kole&anki. Jest to( wi%c tak&e lekcja odpowiedzialno!ci.

Wskazówka

Je!li w(szkole do sieci pod"#-czony jest serwer przechowu-j#cy wra&liwe dane, to(dost%p do niego powinien by' ogra-niczony tylko do osób, które musz# mie' z(nim fizyczny kontakt. Pami%tajmy, &e(dost%p do fizycznego komputera umo&liwia o(wiele "atwiejsze z"amanie jego zabezpiecze) – np. zmian% has"a dost%pu. Je!li stosunko-wo "atwo dosta' si% fizycznie do serwera, to(dane na(nim przechowywane powinny zosta' tak&e zaszyfrowane, co dodatkowo je zabezpieczy.

Uwaga!

Niektóre rozwi#zania sprz%towe dedykowane dla edu-kacji s# dostarczane wraz z(oprogramowaniem s"u&#-cym do zarz#dzania pracowni#. Dotyczy to( zarówno komputerów przeno!nych, jak równie& tabletów. Wówczas zdarza si%, &e(funkcje ochrony s# wbudowa-ne w(oprogramowanie. Na(przyk"ad nauczyciel mo&e okre!li' z(jakich stron lub programów uczniowie pod-czas lekcji mog# korzysta'. Jednak rozwi#zania te dotycz# wybranej, konkretnej platformy. Nie rozwi#zu-j# wi%c problemu dla ca"ej szko"y.

Wskazówka

77

Zabezpieczenie danych wra(liwych Ochrona danych osobowych to temat bardzo

szeroki. Skupimy si$ zatem na tym, co dotyczy tech-nicznej strony dzia"ania naszej sieci zwi#zanej z&bez-piecze(stwem.

Dane wra'liwe musz# by! chronione has"em do-st$pu. Wszystkie zasady opisane wcze%niej maj# tutaj zastosowanie. Has"a osób maj#cych dost$p do danych wra'liwych musz# by! szczególnie chronione. Dlate-go zasada nielogowania si$ do systemów, gdy osoby postronne mog# podpatrzy! has"o, powinna doty-czy! wszystkich, którzy taki dost$p maj#. Odnosi si$ to&nie tylko do systemów dedykowanych do ich prze-chowywania, takich jak dziennik, ale cho!by folde-rów, w&których szkolny psycholog trzyma dokumenty Worda z&opiniami o&uczniach. Je%li to&mo'liwe, dost$p do takich danych powinien by! monitorowany – kto, kiedy i&w&jaki sposób z&nich korzysta". To&jednak funk-cjonalno%! przyporz#dkowana serwerom, na&których dane si$ znajduj# – nie sieci jako takiej.

Drugim wa'nym aspektem bezpiecze(stwa w&kontek%cie danych wra'liwych jest rozdzielenie sieci administracyjnej od sieci edukacyjnej. Dzi$-ki temu trudniej b$dzie np. przechwyci! has"o, a&dost$p do szkolnego serwera lub komputerów przechowuj#cych dokumenty rady pedagogicznej nie b$dzie w&ogóle mo'liwy z&sieci edukacyjnej. Powinni%my wzi#! to& pod uwag$ na& etapie pla-nowania sieci i&wyboru odpowiednich urz#dze(, które na&taki podzia" pozwol#.

WDRO"ENIE I#UTRZYMANIE Dzisiaj nawet w&ma"ej szkole funkcjonuje kilka-

dziesi#t komputerów (i/lub tabletów). W& du'ych zespo"ach niekiedy liczba ta przekracza 200. Nie uwzgl$dniaj#c urz#dze( prywatnych. Zaprojekto-wanie sieci, która b$dzie w&stanie obs"u'y! tak# licz-b$ urz#dze( i&zapewni! adekwatny poziom bezpie-cze(stwa nie jest banalne. Podobnie jak pó+niejsze utrzymanie jej dzia"ania i&zarz#dzanie. Min$"y ju' czasy, gdy szkoln# sieci# „dorywczo” i&„z doskoku” mia" zarz#dza! nauczyciel informatyki. Po& prostu nie jest w&stanie, bo jego podstawowym zadaniem jest uczy!. Przy tej liczbie urz#dze( trudno oczeki-wa!, by znalaz" na&wszystko czas – skon*gurowa" serwer i& naprawi" komputer, gdy zdarzy si$ awa-ria, zarz#dza" sieci#, zak"ada" konta, zmienia" zapo-mniane has"a czy wyjmowa" zaci$ty w&drukarce pa-pier. Czy nauczyciel biologii zajmuje si$ piel$gnacj# kwiatków na& szkolnym korytarzu? Dlaczego wi$c

nauczyciel informatyki ma zajmowa! si$ kompute-rem w&sekretariacie lub pokoju nauczycielskim?

Nadszed" czas, by w&placówkach o%wiatowych zatrudnia! osob$ delegowan# tylko do zarz#dza-nia sieci#. I&tylko ni#. Do rozwi#zania problemów u'ytkowników, takich jak wymiana tonera w&dru-karce, wystarczy odpowiednie przygotowanie osób korzystaj#cych z&tych urz#dze(. W&ko(cu to&takie samo zadanie, jak wymiana *ltru w&ekspresie przele-wowym po&zaparzeniu kawy. W&razie konieczno%ci, do drobnych napraw, reinstalacji systemu czy kon-taktów z&serwisem komputerowym mo'na zatrud-ni! studenta informatyki lub technika-informatyka. Na&pewno sobie poradzi. To&etat podobny do etatu konserwatora, który istnia" i&nadal istnieje w&wielu placówkach. Do zarz#dzania rozbudowan# sieci# komputerow# potrzebny jest specjalista, który przy odpowiednio zaplanowanej sieci mo'e pracowa! zdalnie. Gdy zostanie zatrudniony np. przez gmin$ – spokojnie obs"u'y jednocze%nie kilka szkó". W&tym kierunku powinno i%! my%lenie nie tylko dyrektora, ale tak'e w"adz zwierzchnich. Zapewni to&sprawne i&bezpieczne funkcjonowanie sieci w&szkole i&szko"y w&sieci. Przy docelowo najni'szych kosztach. Nawet je%li dzisiaj takie rozwi#zanie wydaje si$ niemo'liwe, dobrze jest szkoln# sie! planowa! w&taki sposób, by w&przysz"o%ci mo'na by"o j# odda! pod opiek$ bar-dziej scentralizowan#, np. na&poziomie gminy. Przy tworzeniu projektu warto zatrudni! profesjonaln# *r-m$, która b$dzie w&stanie doradzi! szkole optymalne rozwi#zania. Nigdy jednak nie powinni%my odda! w&jej r$ce projektu ca"kowicie. Wspólnie z&ni# powin-ni%my omówi! cele, jakim ma sprosta! szkolna sie! i&dobra! najlepsze rozwi#zania techniczne. W&kolej-nych numerach podpowiemy, jak opracowa! plany i&jak wybra! odpowiednie urz#dzenia.

Trudno(ci" mo'e by% rozró'-nienie przez system urz"dze) szkolnych i&prywatnych. Nie jest to&jednak problem, któ-rego nie mo'na rozwi"za%. Traktuj"c sie% bezprzewodo-w" jako warstw$ dost$pow" u'ytkownika do szkolnej sieci, mo'na si$ pokusi% o&stworze-nie kilku SSID – wirtualnych sieci bezprzewodowych korzystaj"cych z&ró'nych mechanizmów zabezpie-cze) – 802.1x lub WPA-ENT wspó#pracuj"cych z&serwe-rem autoryzacji (np. us#uga radius na&Windows Server lub Freeradius na&Linuxie). Mo'na w&tym wypadku wykorzysta% certyfikaty w&celu uwierzy-telniania urz"dze) szkolnych oraz z&mechanizmów zabez-piecze) typu personal ze wspó#dzielonym kluczem lub autoryzacj" u'ytkownika tylko poprzez stron$ wy(wie-tlan" na&kontrolerze sieci bezprzewodowej dla urz"dze) prywatnych. W&ten sposób urz"dzenia szkolne mo'na wyizolowa% do innej podsieci wirtualnej daj"c im wi$ksze uprawnienia. Alternatywnie mo'na zabroni% dost$pu do danej sieci bezprzewodowej korzystaj"c z&listy adresów MAC urz"dze), pozwalaj"c do#"cza% si$ do sieci szkolnej tylko urz"dzeniom, które przez administratora na&tak" list$ zosta#y wprowadzone.

Technikalia – rozró(nienie urz$dze%

Planuj#c sie' nale&y bra' pod uwag% rozwój techno-logii, która bardzo szybko si% zmienia. Projektuj#c sie' i( wybieraj#c rozwi#zania nie powinni!my sku-pia' si% tylko na(tym, co dzisiaj w(szkole jest potrzeb-ne, lecz my!le' perspektywicznie. Projekt powinien uwzgl%dnia' rozwój – do"#czanie kolejnych urz#-dze) i(grup u&ytkowników. Nie musimy wszystkiego kupowa' od razu, lecz powinni!my przewidywa', co mo&e by' potrzebne. Twórzmy sie' tak, by najmniej-szym kosztem – finansowym i( organizacyjnym – móc w(prosty sposób rozszerzy' jej funkcjonalno!'.

Wskazówka

Sie! w szkole, szko"a w sieci, cz. 1

8

8

W pierwszej cz!"ci Sie' w(szkole, szko"a w(sieci omówili"my ogólnie, jak planowa# sie#, co wtedy bra# pod uwag! oraz jak zapewni# bezpiecze$stwo naszym uczniom i szkole podczas korzystania z sieci – zarówno lokalnej, jak i z internetu. W drugim odcinku przedstawiamy charakterystyk! elementów sieci – routerów oraz prze%&czników. Opisujemy, w jakie mecha-nizmy powinny by# wyposa'one te urz&dzenia, by zapewni# mo'liwo"# budowy bezpiecz-nej i wydajnej sieci przewodowej. Stanowi ona bowiem baz! do tego, by zbudowa# w szkole dost!p bezprzewodowy WiFi, na którym skupimy si! w trzeciej cz!"ci cyklu.

Prze#"czniki i routerySie! w szkole, szko"a w sieci

UTM (ang. Uni+ed Threat Management) – wielofunkcyjne zapory sieciowe zintegrowane w& postaci jednego urz"-dzenia. Wi$kszo(% urz"dze) klasy UTM oferuje nast$puj"-ce funkcje:

Powy'sze us#ugi s" oferowane wraz z&subskrypcj" na&ak-tualizacje baz danych obejmuj"cych +ltry tre(ci, antywi-rus oraz system detekcji w#ama). Urz"dzenia klasy UTM upraszczaj" zarz"dzanie bezpiecze)stwem sieci oraz obni'aj" koszty w&stosunku do stosowania oddzielnych urz"dze) lub rozwi"za) realizuj"cych funkcje wbudowa-ne w&te urz"dzenia.

LAN (ang. Local Area Network) – lokalna sie% komputero-wa, np. na&obszarze szko#y, +rmy czy innej instytucji.

WAN (ang. Wide Area Network) – rozleg#a sie% kompute-rowa, najcz$(ciej rozumiana jako sie% wykraczaj"ca poza obszar pojedynczego miasta lub kompleksu miejskiego. Port oznaczony jako WAN na& urz"dzeniach sieciowych oznacza miejsce po#"czenia z&sieci" zewn$trzn", najcz$-(ciej z&sieci" dostawcy po#"czenia z&internetem.

NAT (ang. Network Address Translation) – us#uga polegaj"-ca na&t#umaczeniu adresów IP u'ywanych w&prywatnej sieci lokalnej (LAN) na&adresy obs#ugiwane w&sieci zewn$trznej (WAN, internet). W&wi$kszo(ci przypadków system NAT ma na& celu umo'liwienie dost$pu wielu urz"dzeniom pod#"-czonym do sieci lokalnej (prywatnej) do internetu przy wy-korzystaniu pojedynczego publicznego adresu IP.

VLAN (ang. Virtual Local Area Network) – wirtualna sie% lokalna, sie% komputerowa wydzielona logicznie w& ra-mach innej, wi$kszej sieci +zycznej. Na& przyk#ad w& ra-mach jednej sieci lokalnej (LAN) mo'emy wyodr$bni% sieci VLAN oddzielne dla uczniów, nauczycieli i& admi-nistracji w& taki sposób, by urz"dzenia pod#"czone do dwóch ró' nych sieci wirtualnych nie mia#y do siebie bezpo(redniego dost$pu.

QoS (ang. Quality of Service) – jako(% us#ug. Urz"dze-nia posiadaj"ce mo'liwo(% implementacji QoS pozwa-laj" na& m.in. podzia# pasma dost$pu do sieci internet na& grupy w& taki sposób, by np. uczniowie korzystaj"cy z& internetu nie spowodowali braku mo'liwo(ci dost$pu do us#ug (np. dziennika elektronicznego) pracownikom administracji lub nauczycielom.

IPS (ang. Intrusion Prevention System) – systemy wykry-wania i& zapobiegania w#amaniom. Urz"dzenia sieciowe z& wbudowanym IPS zwi$kszaj" bezpiecze)stwo sieci komputerowych przez wykrywanie i&blokowanie ataków w&czasie rzeczywistym.

ICMP (ang. Internet Control Message Protocol) – interne-towy protokó# komunikatów kontrolnych. Pe#ni przede wszystkim funkcj$ kontroli transmisji w& sieci. Jest wyko-rzystywany w&programach ping oraz traceroute. Pozwala sprawdzi% m.in. czy istnieje (odpowiada) urz"dzenie sie-ciowe o&danym adresie IP.

SYSLOG – standard pozwalaj"cy na&przekazywanie i&gro-madzenie informacji z&ró'nych *róde#. Je'eli urz"dzenie sieciowe obs#uguje ten standard, wówczas mo'e przeka-zywa% informacje na&temat pracy sieci i&jej u'ytkowników celem gromadzenia i&pó*niejszego audytu, np. na&kom-puter obs#uguj"cy baz$ zgodn" z&tym standardem. Dzi$-ki temu mo'liwy jest monitoring sieci.

PoE (ang. Power over Ethernet) – technologia przesy#u energii elektrycznej za pomoc" okablowania sieci kompu-terowej do urz"dze) peryferyjnych b$d"cych jej elemen-tami. Mog" to& by% np. adaptery sieci bezprzewodowej i& punkty dost$powe, kamery monitoringu IP czy telefony internetowe.

DoS (ang. Denial of Service, odmowa us#ugi) – atak na&sys-tem komputerowy lub us#ug$ sieciow" w&celu uniemo'-liwienia dzia#ania. Podczas ataku (np. na& serwer WWW) atakowana us#uga przestaje odpowiada% na&'"dania u'yt-kowników poniewa' wszystkie jej zasoby s" u'ywane do obs#ugi atakuj"cych.

Zrozumie$ sie$

99

Funkcjonalno%& szkolnej sieciBezpieczna i&wydajna sie! przewodowa w&nowo-czesnej szkole powinna umo'liwia!: podzia" u'ytkowników na&grupy, przypisanie poszczególnym grupom u'ytkow-ników ró'nych uprawnie( dotycz#cych dost$pu do zasobów oraz ograniczenia przep"ywno%ci w&dost$pie do sieci internet, udzielanie dost$pu do sieci przewodowej tylko dla urz#dze( szkolnych, blokowanie dost$pu dla urz#dze( prywatnych, zabezpieczenie u'ytkowników przed niebez-piecznymi tre%ciami w&internecie, zabezpieczenie sieci szkolnej przed atakami z&zewn#trz, audyt aktywno%ci u'ytkownika i&logowanie ruchu.

Na&rysunku 1 przedstawiono jak powinna wygl#-da! przyk"adowa przewodowa sie! w& nowocze-snej szkole.W&typowej szkole najcz$%ciej b$dziemy mogli wy-ró'ni! przynajmniej takie grupy u'ytkowników, jak pokazano na& rysunku 2 (administracja/ser-wery, nauczyciele, uczniowie, pracownia, go%cie), a&pó+niej, w&zale'no%ci od preferencji, nada! im ró'ne uprawnienia – zarówno do dost$pu we-wn#trz, jak i&na&zewn#trz szkolnej sieci.

Realizacja funkcjonalno%ci urz"dze)Realizacja powy'szych za"o'e( b$dzie mo'liwa tylko w&wypadku wykorzystania w&szkolnej sieci odpowiednich urz#dze( i&zaimplementowanych w&nich mechanizmów. W%ród niezb$dnych elementów sieci przewodo-wej realizuj#cej takie funkcje znajd# si$: router z&wbudowanym *rewallem lub urz#dze-nie klasy UTM (Uni*ed Treat Management), zarz#dzane prze"#czniki sieciowe.

Opcjonalny element stanowi! mo'e serwer uwie-rzytelniania i& monitoringu (tzw. Accounting –gromadzenie danych), czyli system, który pozwo-li jednoznacznie zidenty*kowa! u'ytkownika, nada! mu odpowiednie uprawnienia oraz pó+niej przeprowadzi! audyt tego, co u'ytkownik robi".

Routery lub urz"dzenia UTMRouter z&*rewallem lub rozwi#zanie zintegrowane klasy UTM w&naszej sieci powinien spe"nia! na-st$puj#ce funkcje:

Rysunek 1. Przyk!adowy podzia! szkolnej sieci na"sieci VLAN (odseparowane podsieci wirtualne)

Rysunek 2. Przyk!adowe wyró#nione grupy u#ytkowników i"urz$dze% w"szkolnej sieci z"opisanymi uprawnieniami przy ka#dym z"po!$cze% (czy jest dost&p do internetu, pe!ny, ograniczony co do przepustowo'ci i/lub filtrowania, czy tylko z"urz$dze% szkolnych, czy tak#e z"prywatnych)


10


10

1. Zapewnia! dost"p do internetu, czyli #$czy! interfejs dostarczony przez operatora us#ug ze szkoln$ sieci$. W&szczególno%ci zapewnia! translacje adresów (NAT – Network Aadress Translation) z& klas adresów prywatnych umieszczonych wewn#trz szko"y, czyli sieci lo-kalnej (LAN – Local Area Network) na&adresy publiczne czyli do sieci internet (WAN – Wide Area Network). Sam# funkcj$ translacji zapew-ni praktycznie ka'dy router dost$pny na&rynku. Planuj#c szkoln# sie! nale'y jednak upewni! si$, 'e&wybrany model podo"a wydajno%ciowo w&szkole, gdzie jednocze%nie z&internetu mo'e korzysta! nawet kilkuset u'ytkowników. Wy-dajno%! routerów mierzy si$ w& przepustowo-%ci wbudowanego w&router Firewalla (systemu zabezpieczaj#cego przed atakami z&zewn#trz). Cz$sto okre%la ona równie' wydajno%! transla-cji NAT danego routera. Stosowan# miar# jest najcz$%ciej przepustowo%! okre%lana w& Mb/s (megabity na& sekund$) lub liczba mo'liwych jednocze%nie sesji (czyli realizowanych po"#-cze().

2. Pozwala! na% pod#$czenie szkolnej sieci do internetu wi"cej ni& jednym #$czem WAN. Router powinien mie! wbudowany wi$cej ni' jeden interfejs WAN lub by! modularny, czyli mie! mo'liwo%! doinstalowania odpowiednie-go modu"u, który zapewni "#czno%! przed dru-gie (lub kolejne) "#cze. Zastosowanie w&szkole dwóch "#czy pozwoli na&zapewnienie wi$kszej przep"ywno%ci w&dost$pie do sieci. Cz$sto dwa "#cza o&gorszych parametrach s# ta(sze ni' jed-no "#cze odpowiadaj#ce parametrami dwóm po"#czonym interfejsom. W&wielu wypadkach nie ma tak'e mo'liwo%ci technicznych pozwa-laj#cych uzyska! lepsze parametry po"#cze-nia i&zestawienie kilku po"#cze( jest jedynym rozwi#zaniem. Wykorzystanie dwóch "#czy pozwoli te' na& zapewnienie szkole po"#cze-nia z&sieci# internet nawet w&przypadku awarii u&jednego z&operatorów. Funkcje umo'liwiaj#c# po"#czenie dwóch "#czy w&celu ich równocze-snego wykorzystania do komunikacji z& inter-netem nazywa si$ równowa'eniem obci#'enia (Load Balancing).

3. Umo&liwia! podzielenie sieci lokalnej LAN na% segmenty. Patrz#c na& problem separacji u'ytkowników z&perspektywy cz"owieka, "atwo jest nam wyró'ni! poszczególne grupy na&pod-

stawie pe"nionych przez nie funkcji. W&szko-le mog# to&by! pracownicy administracji, na-uczyciele, uczniowie, a&by! mo'e – je'eli szko"a dzia"a zgodnie z& duchem tendencji polegaj#-cej na& przynoszeniu w"asnych urz#dze( (BY-OD – Bring Your Own Device) – równie' go-%cie. Z&perspektywy sieci podzia"u dokona! jest trudniej, ale nie jest on niemo'liwy. Urz#dze-nia sieciowe nie mog# same z&siebie wywnio-skowa!, który u'ytkownik jest nauczycielem, a&który uczniem, mog# jednak przeprowadzi! tak# klasy*kacj$ na&podstawie cech charaktery-stycznych dla sieci – np. na&podstawie adresów IP przyporz#dkowanych poszczególnym urz#-dzeniom lub u'ytkownikom. Funkcj# umo'li-wiaj#c# wydzielenie segmentów sieci z& naszej sieci lokalnej s# wirtualne sieci lokalne (VLAN – Virtual Lacal Area Network). Sieci VLAN po-zwalaj# stworzy! odr$bne wirtualne segmenty sieci w&ramach jednej, *zycznej sieci lokalnej. Ich zastosowanie mo'liwe jest ju' na&prze"#cz-nikach zarz#dzanych, jednak dopiero zastoso-wanie routera – jako po%rednika w&komunika-cji pomi$dzy segmentami – pozwala je w&pe"ni wykorzysta!. Router z&obs"ug# funkcji VLAN 802.1q (najbardziej rozpowszechniony stan-dard) daje nam mo'liwo%! stworzenia odr$b-nych sieci z& odr$bnymi pulami adresów dla poszczególnych grup u'ytkowników. Mo'e-my w&ten sposób wyodr$bni! podsie! dla ad-ministracji i&serwerów, dla uczniów, a&tak'e dla go%ci. Dzi$ki oddzielnej adresacji urz#dzenia sieciowe s# w&stanie rozpoznawa! po&IP grupy u'ytkowników i&dawa! im dost$p do okre%lo-nych zasobów lub ogranicza! dost$pne dla nich pasmo – czyli zapewni! odpowiedni# jako%! obs"ugi (QoS – Quality of Service). Dost$p do okre%lonych zasobów mo'na ogranicza! stosu-j#c pomi$dzy poszczególnymi sieciami VLAN tzw. ACL (Access Control List), czyli listy de-*niuj#ce, który ruch ma zosta! dopuszczony, a&który zablokowany. W&wypadku komunika-cji mi$dzy sieciami VLAN uczestniczy w&niej zawsze router lub UTM. Dlatego ograniczenia dla u'ytkowników mo'emy wprowadzi! nawet przy komunikacji pomi$dzy poszczególnymi segmentami sieci lokalnej, a&nie tylko przy po-"#czeniach z&sieci# internet. Router odpowied-ni dla szko"y powinien z&pewno%ci# posiada! mo'liwo%! obs"ugi przynajmniej kilku/kilku-

1111

listopad 2012

11

nastu sieci VLAN 802.1q, poniewa' nigdy nie wiadomo, jakie grupy u'ytkowników b$dziemy chcieli wydzieli! w&przysz"o%ci. Na&przyk"ad ja-ko oddzielne grupy mog# zosta! wydzielone nowe pracownie stacjonarne lub mobilne – sk"adaj#ce si$ z&notebooków lub tabletów.

4. Umo&liwia! sterowanie pasmem tak, aby ka&da z% grup u&ytkowników mog#a otrzy-ma! dedykowan$ dla siebie przep#ywno'!. W& przypadku aplikacji wykorzystuj#cych za-soby w& internecie najbardziej newralgicznym punktem jest z&regu"y dost$pna przep"ywno%! na& "#czu WAN routera. Nie maj#c urz#dze( z& mechanizmami QoS (Quality of Service) nara'amy si$ na& niebezpiecze(stwo wysyce-nia "#cza nadmiernie przez uczniów lub go%ci, przez co dost$p z&sieci administracyjnej – np. do dziennika elektronicznego – b$dzie niemo'-liwy. Wdra'aj#c w&sieci najpierw segmentacje a& potem podzia" pasma dla poszczególnych u'ytkowników mo'emy dowolnie podzieli! nasze "#cze internetowe mi$dzy pracowników administracji, nauczycieli, uczniów oraz go%ci. Na&rysunku 3 pokazano, jak móg"by wygl#da! podzia" takiego "#cza pomi$dzy poszczególny-mi grupami u'ytkowników.

5. Zabezpiecza! u&ytkowników, czyli (ltro-wa! strony internetowe. Filtrowanie powinno by! mo'liwe pod k#tem tego, czy umieszczo-ne na&nich odno%niki i&pliki nie s# szkodliwe (funkcja *ltrowania reputacji stron WWW), a&tak'e pod k#tem tre%ci. Dobry router z&syste-mem *rewall lub UTM powinien by! wyposa-'ony w&dynamiczne *ltry, które b$d# si$ auto-matycznie aktualizowa"y, a&jedynym zadaniem administratora b$dzie wybór poziomu zaufa-nia stron oraz okre%lenie kategorii tre%ci, które maj# by! od*ltrowane (np. pornogra*a). Urz#-dzenie powinno pozwala! równie' tworzy! wyj#tki, aby w&razie b"$dnego sklasy*kowania strony mo'na by"o j# jednak wy%wietli!. Bar-dziej zaawansowane rozwi#zania klasy UTM *ltruj# nie tylko strony, ale równie' konkretne aplikacje. Dzi$ki temu w&swojej szkole mo'e-my zdecydowa! czy okre%lona grupa u'ytkow-ników ma mie! dost$p np. do komunikato-rów internetowych (co jest raczej niepo'#dane w&trakcie prowadzenia zaj$!) lub aplikacji po-zwalaj#cych %ci#ga! z&internetu pliki. Kolejnym mechanizmem zabezpieczaj#cym nas przed de

facto nami samymi (czyli u'ytkownikami sieci lokalnej), jest – cz$sto wbudowany w&systemy klasy UTM – system IPS (Intrusion Prevention System). Jego dzia"anie polega na& wery*kacji czy ruch pochodz#cy z& naszej stacji roboczej lub ze stacji, z&którymi si$ komunikujemy, nie jest szkodliwy. Mo'e to&dotyczy! np. luk zabez-piecze( w&systemach operacyjnych, które mo-g# sprawi!, 'e& komputer stanie si$ tzw. zom-bie. Komputer taki generuje niepo'#dany ruch w&sieci i& jej urz#dzeniach. Systemy IPS odpo-wiadaj# za zablokowanie takiego ruchu, 'eby niepotrzebnie nie obci#'a" naszej sieci.

6. Zabezpiecza! sie! lokaln$ przed zewn"trzny-mi atakami. Rozwi#zanie przeznaczone do wy-korzystania na&brzegu szkolnej sieci nie powin-no wy"#cznie *ltrowa! ruchu u'ytkowników i& internetowych tre%ci, ale równie' zabezpie-cza! nasz# sie! przed atakami z&zewn#trz. Do najcz$%ciej wyst$puj#cych ataków przeprowa-dzanych na&urz#dzenia brzegowe nale'# ataki typu DoS (Denial of Service) – np. TCP Flood, których g"ównym celem jest obci#'anie urz#-dze( sieciowych, jak routery i&serwery WWW, do tego stopnia, 'e&przestaj# realizowa! swoje funkcje lub zaczynaj# dzia"a! mniej wydajnie. Dobre routery lub urz#dzenia klasy UTM po-tra*# rozpoznawa! takie ataki i& ignorowa! je, by niepotrzebnie nie obci#'a! swoich zaso-bów. Innym przyk"adem zabezpieczaj#cym na-sz# sie! przed atakami z&zewn#trz s# specjalne

Rysunek 3. Przyk!adowe regu!y podzia!u !$cza


12


12

tryby pracy systemu Firewall routera, które za-pewniaj#, 'e&urz#dzenie nie jest widoczne od strony sieci internet dla atakuj#cego. Najprost-szym mechanizmem zapobiegawczym w& tym wypadku jest nieodpowiadanie na& wiadomo-%ci ICMP – Internet Control Message Proto-col, czyli popularne pingi. Atakuj#cy cz$sto wy-korzystuj# mechanizm wysy"ania wiadomo%ci ICMP przy wyborze „o*ary”, poniewa' gdy urz#dzenie w&sieci internet odpowiada na&po-lecenie ping to&najpewniej znaczy to, i' stoi za nim jaka% sie!, której mo'emy zaszkodzi!. Je'e-li jednak takiego urz#dzenia z&zewn#trz nie wi-da!, to&nie ma powodu, by przeprowadza! atak.

7. Monitorowa! sie!. Je'eli planujemy w& swojej sieci prowadzi! audyt aktywno%ci, to&wybrane rozwi#zanie powinno mie! mo'liwo%! groma-dzenia lub wysy"ania informacji o&tym, z&jaki-mi adresami zewn$trznymi komunikowali si$ u'ytkownicy. Mechanizm, który na&to&pozwa-la dzia"a stosunkowo prosto. Niektóre route-ry lub urz#dzenia klasy UTM maj# mo'liwo%! wysy"ania na& tzw. serwery SYSLOG informa-cji o&tym, co przechodzi"o przez Firewall urz#-dzenia. SYSLOG to&otwarty protokó" pozwala-j#cy na&przesy"anie i&gromadzenie logów, czyli dzienników aktywno%ci sieciowych, wykorzy-stywanych przez wiele urz#dze( i& wielu pro-ducentów. W%ród tych informacji znajdziemy +ród"owe i&docelowe adresy IP, a&tak'e +ród"o-we i&docelowe numery portów dla protoko"ów transportowych, czyli TCP oraz UDP. Dzi$-ki nim mo'emy okre%li!, które urz#dzenia si$ komunikowa"y. Je%li do tego gromadzimy in-formacje o&tym, kto pracowa" na&danym kom-puterze – "atwo wska'emy kto, co i&kiedy ro-bi" w&sieci. Gromadzenie informacji na& temat pracy u'ytkowników na&poszczególnych kom-puterach mo'na zrobi! zarówno r$cznie, przy-pisuj#c np. ucznia do danego komputera pod-czas zaj$!, jak i&automatycznie – korzystaj#c np. z&Windows Active Directory (lub innego kata-logu u'ytkowników) i&tworz#c odr$bne konto dla ka'dego z&nich.

Zarz"dzane prze#"czniki sieciowe Kupuj#c wyposa'enie sieciowe powinni%my zwróci! uwag$ na&funkcjonalno%! prze"#czników sieciowych (switch), które b$d# funkcjonowa"y w&szkolnej sieci. Powinny to&by! prze"#czniki za-

rz#dzane, a&wbudowane w&nie mechanizmy po-winny umo'liwia!:

1. Podzia# sieci na%segmenty, czyli wsparcie sieci VLAN zgodnie z%protoko#em 802.1q. Podzia" na&sieci VLAN na&samym routerze nic nam nie da, musimy jeszcze okre%li!, które urz#dzenia do których sieci VLAN b$d# nale'a"y. Je%li roz-wa'amy sie! przewodow# – mechanizm ten jest stosunkowo prosty. W&ramach kon*guracji za-rz#dzanych prze"#czników sieciowych, po&zde-*niowaniu sieci VLAN, okre%la si$ dwa podsta-wowe parametry: Tryb, w% jakim ma pracowa! port. U'ywane s# dwa g"ówne tryby: Access oraz Trunk. Por-ty w&trybie Trunk wykorzystuje si$ do "#czenia urz#dze( sieciowych ze sob#, np. dwóch prze-"#czników lub prze"#cznika z&routerem. W&ra-mach portów w&trybie Trunk pomi$dzy route-rem a&prze"#cznikiem przenoszony mo'e by! ruch pochodz#cy z&wielu sieci VLAN. Do por-tów pracuj#cych w& trybie Access pod"#czane s# urz#dzenia klienckie, takie jak komputery, serwery czy np. kamery IP monitoringu wideo, a&ruch odbywa si$ w&ramach pojedynczej sieci wirtualnej, do której port zosta" przydzielony. Przynale&no'! portu do okre'lonej sieci VLAN. O&ile port w&trybie Trunk mo'e prze-nosi! ruch z&wielu sieci wirtualnych (pod wa-runkiem, 'e&port zosta" do nich przyporz#d-kowany), o& tyle dla portów w& trybie Access nale'y okre%li! konkretn# sie! VLAN, do któ-rej urz#dzenie klienckie b$dzie pod"#czone. Je-%li wi$c pod"#czymy dany komputer do portu w&trybie Access z&okre%lon# sieci# VLAN, jego ruch zawsze b$dzie transmitowany tylko w&tej sieci, chyba 'e&administrator pozwoli na&ko-munikacj$ mi$dzy ró'nymi sieciami VLAN. Wtedy jednak b$dziemy mieli do czynienia z&transmisj# przez router, na&którym mo'emy zastosowa! regu"y limituj#ce pasmo (np. gdy chodzi o&ruch do sieci internet) lub blokuj#ce dost$p do okre%lonych us"ug. Wirtualne sieci – zarówno na& prze"#cznikach jak i&na&routerze – dzia"aj# na&takiej samej za-sadzie. Do ka'dej porcji informacji (czyli ram-ki Ethernet) dodawany jest specjalny nag"ówek informuj#cy urz#dzenia sieciowe o&tym, do któ-rej sieci VLAN dana informacja nale'y. To&de-*niuje jednoznacznie, mi$dzy którymi portami

1313

listopad 2012

13

prze"#cznika lub routera informacja mo'e by! przes"ana. Dzi$ki temu oddzielony zostaje ruch w&poszczególnych sieciach VLAN, czyli nie ma bezpo%redniej mo'liwo%ci wys"ania informacji np. mi$dzy sieci# przypisan# dla szkolnej ad-ministracji a&sieci# dla uczniów. Ruch mi$dzy sieciami VLAN mo'e zachodzi! jedynie za po-%rednictwem rutera. Na& ruterze za% mo'emy okre%li!, czy ruch taki jest dozwolony, czy za-broniony dla danego u'ytkownika i/lub sieci.

2. Identy(kacj" urz$dze) sieciowych. Kolejny-mi funkcjami, jakie powinny realizowa! dobre prze"#czniki zarz#dzane jest klasy*kacja urz#-dze( i&dopuszczenie do danego portu prze"#cz-nika tylko tych o& okre%lonym, rozpoznanym adresie sprz$towym MAC (ka'de urz#dzenie sieciowe ma przyporz#dkowany przez produ-centa domy%lny niepowtarzalny adres Media Access Control). Funkcja, która pozwala na&ta-kie zachowanie w&sieci przewodowej nazywa si$ najcz$%ciej Port Security i&wyst$puje w&dwóch trybach: zamka dynamicznego oraz zamka kla-sycznego. Funkcja, jako podstawowy parametr identy*kuj#cy urz#dzenie, wykorzystuje adres MAC. Poniewa' adres MAC jest unikatowy dla ka'dego urz#dzenia, pozwala je jednoznacznie zidenty*kowa!. Wraz z& funkcj# Port Security na& prze"#cznikach zarz#dzanych mamy mo'-liwo%! okre%lenia, które urz#dzenie ma prawo korzysta! z&danego portu *zycznego prze"#cz-nika, a&tym samym, do której sieci VLAN mo-'e zosta! do"#czone. Tryb zamka dynamiczne-go pozwala okre%li! liczb$ urz#dze( z&ró'nymi adresami MAC, których prze"#cznik ma prawo „nauczy! si$“ na&danym porcie. Po&jej przekro-czeniu prze"#cznik nie b$dzie móg" przekazy-wa! ruchu z&kolejnych, wcze%niej nierozpozna-nych urz#dze( do niego pod"#czonych (zamek dynamiczny sprawdzi si$ w&miejscach, gdzie do jednego portu prze"#cznika pod"#czamy wiele urz#dze(). Tryb zamka klasycznego pozwa-la zamkn#! administracyjnie port – tak, aby prze"#cznik komunikowa" si$ tylko z&urz#dze-niami, które ju' na& tym porcie zna. Stosuj#c funkcj$ Port Security po& pod"#czeniu do sie-ci wszystkich szkolnych urz#dze( mo'na za-mkn#! zamek klasyczny. Od tej pory, nawet gdy kto% pod"#czy urz#dzenie prywatne, nie b$dzie móg" go wykorzysta! do komunikacji ze szkol-n# sieci#.

3. Ograniczanie dost"pu do us#ug oraz QoS. Do-bry prze"#cznik zarz#dzany powinien – oprócz wspomnianych wy'ej funkcji – pozwala! two-rzy! listy kontroli dost$pu ACL oraz zarz#dza! pasmem bezpo%rednio na&prze"#czniku. Dzi$ki temu nawet w&sieci bez routera b$dziemy mogli wprowadzi! ograniczenia us"ug lub pasma na-wet per urz#dzenie na&poziomie portów prze-"#cznika.

4. Power of Ethernet (PoE), czyli zasilanie z%sie-ci komputerowej. Jest to&opcjonalna funkcja, która coraz cz$%ciej znajduje zastosowanie w&sieciach Ethernet. Prze"#czniki w&ni# wypo-sa'one pozwalaj# zasila! urz#dzenia (np. punk-ty dost$powe sieci bezprzewodowej, kamery, telefony IP) bezpo%rednio z& przewodu Ether-net. Zastosowanie PoE znacznie upraszcza pro-ces wdro'enia nowych urz#dze(, poniewa' nie trzeba do nich doprowadza! osobnych kabli z&zasilaniem 230V, co cz$sto wymaga stworze-nia odr$bnego projektu sieci i&podnosi koszty wdro'enia.

Wybór optymalnego rozwi"zaniaKa'da szko"a jest inna, zarówno pod wzgl$dem liczby uczniów, jak i& dost$pnych pracowni oraz komputerów. Jednak niezale'nie od tego, z& jak# sieci# mamy do czynienia, mo'na okre%li! wspól-ne cechy, którymi powinny si$ charakteryzowa! wykorzystane w&niej urz#dzenia. Dobry router/UTM dla szko"y powinien by! mo-dularny lub mie! przynajmniej dwa "#cza WAN oraz wbudowan# funkcj$ Firewall zapewniaj#-c# ochron$ przed atakami zewn$trznymi. Je'eli jednocze%nie ma pe"ni! funkcj$ zabezpieczania u'ytkowników przed szkodliwymi tre%ciami z&in-ternetu, to&przydadz# si$ funkcje dynamicznego *ltrowania reputacji stron WWW oraz zawartych na&tych stronach tre%ci, a&tak'e wbudowany sys-tem IPS. Dobry router powinien wspiera! sieci VLAN w&standardzie 802.1q, aby nasz# sie! mo'-na by"o podzieli! na& segmenty, a& tak'e mecha-nizmy QoS, aby umo'liwi! podzia" dost$pnego pasma pomi$dzy poszczególne grupy u'ytkow-ników. Je'eli zale'y nam na&tym, aby prowadzi! audyt aktywno%ci u'ytkowników, zwró!my uwa-g$ na& funkcj$ logowania ruchu bezpo%rednio na&urz#dzeniu lub mo'liwo%! jego zapisu na&ze-wn$trznym serwerze zgodnym ze standardem SYSLOG.


14


14

Dobry prze#$cznik powinien dawa! mo'liwo%! wykorzystania wszystkich funkcji routera, czyli rów-nie' posiada! obs"ug$ sieci wirtualnych (VLAN) w&standardzie 802.1q. Przydatna zapewne b$dzie rów-nie' funkcja Port Security, aby zabezpieczy! nasz# sie! przed pod"#czaniem zewn$trznych, nieupraw-nionych urz#dze( – np. prywatnych notebooków.

Przyk#adami rozwi"za) które (wietnie sprawdz" si$ w&szkolnych sieciach przewodowych s" produkty Cyberoam CR50iNG.

Do ich cech charakterystycznych nale'y zaliczy%:– CR50iNG to&najwydajniejsze w&swojej klasie rozwi"zanie klasy UTM, czyli po#"czenie routera i&zapory siecio-

wej nowej generacji oferuj"ce przep#ywno(% do 3250&Mbps.– 8 portów GE dzia#aj"cych z&pr$dko(ci" 10/100/1000&Mbps– Obs#uga wielu interfejsów WAN, w&tym modemów USB 3G/4G– Obs#uga sieci VLAN zgodnie z&IEEE 802.1q– Obs#uga Quality of Service.– Wbudowany wielostrefowy Firewall oraz z#o'ony system filtrowania ruchu:

Anty-wirusFiltr anty-spamowyGranularna kontrola aplikacjiFiltrowanie reputacji i&zawarto(ci stron WWWIntrusion Prevention System

– Wbudowany Captive Portal, czyli mo'liwo(% autoryzacji u'ytkowników na&stronie WWW routera zanim uzy-skaj" dost$p do internetu.

– Wewn$trzna baza u'ytkowników lub integracja bazy u'ytkowników z&RADIUS lub AD– Zarz"dzanie przez wbudowany interfejs WWW.

Szczegó#owe dane pod adresem:www.cyberoam.com/downloads/datasheet/CyberoamCR50iNG.pdfwww.cyberoam.pl

1515

W trzeciej cz!"ci cyklu omawiamy, jak stworzy# przemy"lan& sie# bezprzewodow& bazuj&c na istniej&cej w szkole sieci przewodowej.

Bezpieczna i wydajna sie" bezprzewodowa

WLAN (ang. Wireless Lokal Area Network) – bezprzewodowa sie% lokalna cz$sto okre(lana mianem sieci Wi-Fi. Termin Wi-Fi znajdu-je zastosowanie równie' w& okre(leniu instytucji (Wi-Fi Alliance) odpowiadaj"cej za testowanie i&certy+kowanie urz"dze) bezprze-wodowych pod k"tem zgodno(ci ze standardami IEEE (Institute of Electrical and Electronics Engineers), takimi jak 802.11a/b/g/n okre(laj"cymi szczegó#owo cechy urz"dze) bezprzewodowych i& protoko#ów, m.in. po& to, aby urz"dzenia ró'nych producentów (np. karty sieciowe) mog#y ze sob" bezproblemowo wspó#pracowa%. BSS (ang. Basic Service Set) – zbiór minimum dwóch urz"dze) bezprzewodowych komunikuj"cych si$ ze sob". W& jednym zbio-rze BSS mo'e wyst$powa% maksymalnie jeden punkt dost$powy, który w& jego ramach identy+kowany jest przez stacje klienckie na&podstawie BSSID, czyli niepowtarzalnego identy+katora.ESS (ang. Extended Service Set) – zbiór dwóch lub wi$cej urz"-dze) bezprzewodowych komunikuj"cych si$ ze sob". W& ramach zbioru ESS mo'e wyst$powa% wiele punktów dost$powych, a&ich parametrem wspólnym w&obr$bie zbioru ESS jest nazwa sieci bez-przewodowej, czyli SSID. Dzi$ki temu klienci mog" prze#"cza% si$ pomi$dzy punktami dost$powymi w& obr$bie danej sieci, a& sie% jest w&stanie zapewni% u'ytkownikom odpowiednie parametry – np. pr$dko(% transmisji. Mówi"c najpro(ciej: ESS to& pojedynczy pro+l sieci bezprzewodowej o&wybranej nazwie dost$pny na&wy-branym terenie – np. na&terenie ca#ej szko#y. U'ytkownik pod#"cza swoje urz"dzenie do najbli'szego punktu dost$powego, ale z&jego punktu widzenia wygl"da to& tak, jakby zawsze przy#"czony by# to&tego samego – niezale'nie od +zycznego po#o'enia – gdy' za-wsze #"czy si$ z&sieci" o&tej samej nazwie. SSID (ang. Service Set Identi+er) – nazwa sieci bezprzewodowej, któr" widzi karta, gdy skanuje medium bezprzewodowe w&poszu-kiwaniu sieci, do których mo'e si$ pod#"czy%. W&szczególnym wy-padku SSID danej sieci mo'e nie by% przez ni" rozg#aszane (forma zabezpieczenia przed próbami do#"czenia si$ do sieci nieautory-zowanych u'ytkowników). Wówczas stacja, chc"c si$ pod#"czy% do takiej sieci, musi zna% SSID – jej u'ytkownik musi wpisa% je r$cznie. IEEE 802.11 – grupa standardów charakteryzuj"ca sieci bezprze-wodowe w&ogólnie dost$pnych pasmach cz$stotliwo(ci. Do naj-popularniejszych zaliczamy (w&pa(mie 2,4 GHz): 802.11b (oferuj"cy transmisje z&no(n" na&poziomie do 11&Mb/s), 802.11g (oferuj"cy transmisj$ z& no(n" na& poziomie do 54& Mb/s), 802.11n (oferuj"-cy transmisj$ na&poziomie do 450&Mb/s) oraz (w&pa(mie 5 GHz): 802.11a (oferuj"cy transmisj$ z& no(n" na& poziomie do 54& Mb/s), 802.11n (oferuj"cy transmisj$ z&no(n" na&poziomie do 450&Mb/s). Unicast – mechanizm transmisji, w&której wyst$puje jeden nadaw-ca i&jeden odbiorca, np. u'ytkownik otwieraj"cy stron$ w&interne-cie. Form$ takiej transmisji przedstawiono na&poni'szym rysunku.

(ród!o: http://en.wikipedia.org/wiki/Unicast

Multicast – mechanizm transmisji, w& którym wyst$puje je-den nadawca oraz kilku odbiorców. Dane przesy#ane przez nadawc$ kierowane s" na& jeden z& adresów z& puli 224.0.0.0 do 239.255.255.255 (niektóre z&nich s" zarezerwowane). Taki strumie) danych nazywamy strumieniem multicastowym. W& sieciach wy-posa'onych w& mechanizm IGMP Snooping odbiorcy chc"cy od-biera% dane, na&podstawie informacji o&dost$pnych strumieniach, zg#aszaj" swoj" ch$% odbioru danego strumienia multicastowego, który wtedy jest do nich kierowany przez urz"dzenia sieciowe. Przyk#adem wykorzystuj"cym ten typ ruchu s" aplikacje typu e-learning, gdzie nadawc" jest nauczyciel a&odbiorcami – kompu-tery uczniów.

(ród!o: http://en.wikipedia.org/wiki/Multicast

Broadcast – mechanizm transmisji, w& którym wyst$puje jeden nadawca oraz wielu odbiorców. W&odró'nieniu od transmisji mul-ticastowej, broadcast kierowany jest zawsze do wszystkich u'yt-kowników danego segmentu sieci. Sposobem na& ograniczanie broadcastów jest dzielenie sieci na&tzw. sieci wirtualne (VLAN), po-niewa' ruch taki nie jest standardowo przepuszczany mi$dzy nimi. Ruch typu broadcast generuj" aplikacje pozwalaj"ce na&wykrywa-nie urz"dze) w&sieci, np. drukarek. Ruch typu broadcast mo'e by% nadu'ywany w&celu przeprowadzania ataków DoS lub zapychania sieci, dlatego dobre rozwi"zania bezprzewodowe standardowo blokuj" ruch tego typu, a& jego w#"czenie jest z& regu#y mo'liwe przez zmian$ kon+guracji sprz$tu.

http://en.wikipedia.org/wiki/Broadcasting_(networking)

BYOD (ang. Bring Your Own Device)–tendencja zach$caj"ca u'yt-kowników do przynoszenia do pracy/szko#y prywatnych urz"dze) bezprzewodowych i&wykorzystywania ich w&trakcie codziennych zaj$%. Jego pojawienie si$ podyktowane jest dynamicznym rozwo-jem sieci bezprzewodowych i&wyposa'aniem w&interfejsy bezprze-wodowe coraz wi$kszej liczby urz"dze)(laptopy, telefony, tablety, urz"dzenia do ods#uchiwania muzyki).

S"owniczek


16

16


Za#o(enia dotycz"ce sieci bezprzewodowej w$nowoczesnej szkole

Bezpieczna i& wydajna bezprzewodowa sie! szkolna powinna oferowa! nast$puj#c# funkcjo-nalno%!: – dost$p w&dowolnym miejscu placówki – pokry-cie zasi$giem sieci bezprzewodowej obszaru ca-"ej szko"y,– rozdzielenie sieci bezprzewodowych od siebie, np. wydzielenie sieci przeznaczonych do wykorzy-stania przez urz#dzenia szkolne i&prywatne,– uwierzytelnianie u'ytkowników i&rozpoznawa-nie, np. czy jest to&ucze(, czy nauczyciel, na&bazie jego indywidualnego konta, gwarantuj#ce jego jed-noznaczn# identy*kacj$,– autoryzacja, czyli zapewnienie dost$pu do zaso-bów szkolnych i&internetu w&zale'no%ci od przypi-sanych dla u'ytkownika (indywidualnych lub gru-powych) uprawnie(,– accounting, czyli prowadzenie audytu aktyw-no%ci u'ytkownika oraz zapisywanie (logowanie) jego ruchu, czyli: sk#d, o&której, dok#d, za pomo-c# jakiego protoko"u u'ytkownik "#czy" si$ z& in-nym komputerem,– zapewnienie dost$pu do sieci bezprzewodowej dla wielu u'ytkowników w& okre%lonym miejscu w&jednym czasie, np. pracowni komputerowej wy-korzystuj#cej laptopy lub tablety,– zapewnienie bezpiecznego dost$pu do sieci bez-przewodowej i&internetu dla rodziców i&go%ci szko-"y zgodnie z&duchem BYOD (Bring Your Own De-vice – przynie% w"asne urz#dzenie).

Rozwa'aj#c wdro'enie w& szkole sieci WLAN nale'y pami$ta! o&tym, 'e&zawsze bazuje ona na&ju' istniej#cej infrastrukturze sieci przewodowej. Nie-zale'nie od zastosowanego rozwi#zania, zawsze w&pewnym miejscu nasze punkty dost$powe (AP, z&ang. Access Point) i/lub kontroler sieci bezprze-wodowej b$dzie musia" zosta! do niej pod"#czony przewodem. W&zwi#zku z&tym, o&tym jakie funkcje b$dziemy w&stanie wykorzysta! w&ramach naszej bezprzewodowej sieci cz$%ciowo zdecyduje infra-struktura przewodowa. Dlatego w&artykule odwo-"ujemy si$ do poprzednich odcinków cyklu, w&któ-rych opisali%my wykorzystanie w&szkole routera lub urz#dzenia typu UTM oraz zarz#dzanych prze"#cz-ników sieciowych.

Przygl#daj#c si$ dok"adniej dzia"aniu sieci prze-wodowych i&bezprzewodowych znajdziemy podo-bie(stwa, na&przyk"ad:– podobne schematy adresacji, adresy sprz$towe (MAC) oraz adresy IP,– wykorzystanie tych samych us"ug i&protoko"ów, – np. DHCP, DNS, Radius,– wykorzystanie – jako +róde" informacji – najcz$-%ciej pod"#czonych przewodowo serwerów oraz sieci internet.Istniej# równie' odmienno%ci wynikaj#ce z&podsta-wowej ró'nicy w&medium transmisyjnym wykorzy-stanym do przesy"ania danych – przewody mie-dziane i& sygna"y elektryczne kontra odpowiednio zmodulowane fale radiowe, a&co si$ z&tym wi#'e:– dedykowane przewody do transmisji i&brak za-k"óce( kontra konieczno%! wspó"dzielenia cz$sto-tliwo%ci radiowych z&s#siadami oraz unikania in-terferencji od w"asnej sieci,– sta"a pr$dko%! transmisji w& przewodzie 10/100/1000&Mb/s kontra zmienna pr$dko%! trans-misji uwarunkowana mi$dzy innymi: odleg"o%ci# klienta od punktu dost$powego (AP), liczb# jed-nocze%nie korzystaj#cych z&sieci u'ytkowników czy od modelu karty bezprzewodowej,– bezkolizyjne, wydzielone sieci w&rozwi#zaniach przewodowych dzi$ki zastosowaniu prze"#czników sieciowych, kontra wspó"dzielone medium trans-misyjne, gdzie dost$pne pasmo musimy podzieli! pomi$dzy wszystkich u'ytkowników uczestnicz#-cych w&transmisji,– dedykowane pary przewodów i&mo'liwo%! jed-noczesnej transmisji w&obie strony, czyli pe"ny du-pleks kontra pó"-dupleks w&sieciach bezprzewodo-wych. Wynika to&z&faktu, 'e&w&danym momencie karta bezprzewodowa czy punkt dost$powy mo'e tylko wysy"a! lub odbiera! dane, ale nie mo'e re-alizowa! dwóch zada( jednocze%nie,– znacznie wi$ksze mo'liwo%ci zarz#dzania trans-misj# w& sieciach przewodowych dzi$ki protoko-"owi CSMA/CD kontra rywalizacja o& dost$p do medium i&próby unikania kolizji poprzez protokó" CSMA/CA w&sieciach bezprzewodowych,– transmisja !zycznie bezpieczna, bo wewn"trz kabla kontra mo'liwo%! pods"uchania praktycznie ka'dego pakietu w#powietrzu i&konieczno%! stoso-wania mechanizmów szyfrowania.

1717

Mi$dzy innymi to&w"a%nie te ró'nice stano-wi# najwi$kszy problem dla sieci bezprzewodo-wych i& sprawiaj#, 'e& zaprojektowanie i& wybór dobrego rozwi#zania jest znacznie trudniejszy od zaplanowania sieci przewodowej. W&artyku-le opisujemy nie tylko jak powinna wygl#da! sie! bezprzewodowa w&nowoczesnej szkole, ale tak'e w&jakie mechanizmy i&technologie warto j# wyposa'y!, aby przynajmniej cz$%! tych ró'-nic zniwelowa!.

Na& poni'szym rysunku zaprezentowano, jak mog"aby wygl#da! sie! bezprzewodowa w&nowo-czesnej szkole.

Schemat przedstawiaj$cy przyk!ad udost&pnienia zró#nicowa-nych (pod k$tem zabezpiecze% i"dost&pu) sieci bezprzewodo-wych w"szkole

W&ramach sieci bezprzewodowej w&nowocze-snej szkole mo'emy wyró'ni! trzy pro*le ESS, czyli tak naprawd$ trzy sieci bezprzewodowe rozg"asza-ne w&ka'dym miejscu szko"y. S# to:

SIEC CYFROWA_SZKOLASie! ta jest przeznaczona dla pracowników ad-

ministracyjnych, nauczycieli i& uczniów. Do sieci maj# dost$p tylko urz#dzenia szkolne, dost$p do sieci z&urz#dze( prywatnych jest zabroniony. Sie! korzysta z& zabezpiecze( korporacyjnych WPA2 Enterprise, co oznacza, 'e&w& trakcie pod"#czania u'ytkownika do sieci sprawdzana jest jego to'sa-mo%! na&serwerze Radius. Je%li uda si$ potwierdzi! to'samo%! u'ytkownika, serwer zwraca równie' informacje do jakiej sieci wirtualnej (tzw. VLAN – o&sieciach wirtualnych pisali%my w&24 numerze EFUN) u'ytkownik ma prawo uzyska! dost$p, a&co za tym idzie, z&jakich zasobów lokalnych i&w&inter-necie b$dzie móg" korzysta! (oraz w&jakim stopniu – mo'liwo%! ograniczenia pasma).

Na&rysunku przedstawiono, w&jaki sposób prze-biega pod"#czanie u'ytkownika do tej sieci.

Schemat uzyskania dost&pu do sieci Cyfrowa_szkola

W&pierwszym etapie nast$puje wery*kacja ad-resu sprz$towego (MAC) karty bezprzewodowej pod"#czaj#cego si$ u'ytkownika: czy jest to&urz#-dzenie zaufane (szkolne, dost$p dozwolony), czy niezaufane (prywatne, dost$p zabroniony). W&ko-lejnym etapie kontroler sieci bezprzewodowej lub punkt dost$powy (w& zale'no%ci od wyboru roz-wi#zania) sprawdza, w& porozumieniu z& serwe-rem RADIUS, to'samo%! u'ytkownika (np. nazw$ u'ytkownika i&has"o). Je'eli u'ytkownik jest zna-ny, uzyskuje dost$p i&na&podstawie dodatkowych parametrów zwracanych przez serwer jest wpusz-czany do okre%lonego dla tej grupy u'ytkowni-ków segmentu sieci. Oczywi%cie w&ramach danego segmentu znajd# zastosowanie równie' mechani-zmy zabezpiecze( stworzone na&routerze, takie jak ograniczenie pasma czy ograniczenia dost$pu do stron WWW.

SIEC CYFROWA_SZKOLA_PRACOWNIA_ASie! ta jest przeznaczona dla nauczycieli

i& uczniów w& ramach zaj$! w& pracowni mobilnej (np. sk"adaj#cej si$ z& notebooków czy tabletów). Sie!, podobnie jak w&pierwszym wypadku, wyko-rzystuje zabezpieczenia WPA2 Enterprise, jednak pomimo 'e&nauczyciele i&uczniowie b$d# korzystali ze swoich danych do logowania jak w&przypadku sieci Cyfrowa_Szkola, ich ruch b$dzie wpada" do konkretnej sieci VLAN dedykowanej dla tej pra-cowni (nie b$dzie dynamicznie rozdzielany do ró'nych sieci). Dedykowana sie! dla okre%lonej pracowni mobilnej zapewnia, 'e&nawet korzysta-j#c z&oprogramowania typu e-learning ruch z&kom-puterów uczniów i&nauczyciela b$dzie ograniczony tylko do jednej, okre%lonej sieci VLAN. Dzi$ki te-mu, wykorzystywane przez ten typ aplikacji ruchy broadcast oraz multicast nie b$d# za%mieca! sieci w&ca"ej szkole, co znacznie podniesie jej wydajno%!.


18


18

W& razie potrzeby mo'emy te' wy"#czy! w& tej sieci dost$p do internetu – w&zale'no%ci od tego, z& jakich zasobów b$dziemy korzysta! w& ramach zaj$!.

Na& poni'szym rysunku przedstawiono, w& ja-ki sposób przebiega pod"#czanie u'ytkownika do tej sieci.

Od naszej decyzji b$dzie zale'a"o, czy chcemy aby do tej sieci mieli dost$p pracownicy admini-stracyjni. Dla nich mo'na wydzieli! oddzieln# podsie!, co podniesie bezpiecze(stwo podczas ko-rzystania z&aplikacji dla nich dedykowanych (np. oprogramowania szkolnego sekretariatu).

SIEC CYFROWA_SZKOLA_GOSCIEDo tej sieci mog# pod"#czy! si$ dowolne urz#-

dzenia – zarówno szkolne jak i&prywatne – ponie-wa' sie! przeznaczona jest dla go%ci szko"y, np. rodziców uczniów. Sie! nie jest zabezpieczona,

jednak korzysta z& mechanizmu uwierzytelnia-nia u'ytkownika za pomoc# tzw. Captive Portalu. Oznacza to, 'e&po&do"#czeniu si$ do sieci u'ytkow-nik nie b$dzie mia" dost$pu do internetu, dopóki nie otworzy przegl#darki i&nie poda swoich danych uwierzytelniaj#cych, czyli nazwy u'ytkownika i&has"a. Sie! ta jest przypisana do konkretnej sieci VLAN, która ma wyj%cie tylko do internetu, a&do-datkowo ma ograniczone pasmo.

Na"rysunku przedstawiono, w"jaki sposób przebiega pod!$cza-nie u#ytkownika do tej sieci.

REALIZACJA Na&rynku rozwi#za( bezprzewodowych znaj-

dziemy zarówno wolno stoj#ce punkty dost$powe (AP), których g"ównym przeznaczeniem s# domy i&mniejsze *rmy, jak i&rozwi#zania profesjonalne. Oparte na&kontrolerach sieci bezprzewodowych i&profesjonalnych punktach dost$powych potra-*# obs"u'y! nawet kilkudziesi$ciu u'ytkowników jednocze%nie na&jednym urz#dzeniu AP.

1919

listopad 2012

19

Funkcjonalno%& urz"dze)Oba typy rozwi#za( zamieniaj# medium trans-

misyjne z& przewodów (najcz$%ciej tzw. skr$tki ethernetowej, czyli kabla typu UTP) na& fale ra-diowe. Nie znaczy to&jednak, 'e&oba sprawdz# si$ w&szkole, gdzie potrzebujemy mechanizmów uwie-rzytelniania, autoryzacji i&zapisywania informacji o& po"#czeniach i& ruchu w& sieci, w& ramach której w&jednej pracowni mo'e wyst$powa! nawet 30 bez-przewodowych urz#dze(. Nie licz#c dodatkowych urz#dze( prywatnych, które cz$sto uczniowie i&na-uczyciele chcieliby móc do"#czy! do szkolnej sieci.

Rozwi#zania oparte na& kontrolerze sieci bez-przewodowej steruj#cym punktami dost$powymi maj# wiele przewag nad wolnostoj#cymi punktami dost$powymi. Mi$dzy innymi:

umo&liwiaj$ zarz$dzanie ca#$ sieci$ bezprze-wodow$ z% jednego interfejsu, dzi$ki czemu w& przypadku konieczno%ci rekon*guracji sieci mo'na j# wykona! w&kilka minut,upraszczaj$ znacznie integracj" sieci bezprze-wodowej z%sieci$ przewodow$. Na&przyk"ad sie-ci wirtualne VLAN musimy jedynie doprowadzi! "#czem typu trunk (patrz artyku" w&24 numerze EFUN) do kontrolera sieci bezprzewodowej, a&nie do wszystkich punktów dost$powych. W& wielu przypadkach, gdy szko"a nie decyduje si$ na&wy-mian$ ca"ej infrastruktury przewodowej, a& ma tylko jeden zarz#dzany prze"#cznik i&router z&sie-ciami wirtualnymi, doprowadzenie z&niego "#czy trunk do wszystkich AP mo'e nie by! mo'liwe. Co za tym idzie, nie b$dziemy mogli wykorzysta! funkcji dost$pnych w& naszej sieci przewodowej maj#c wolno stoj#ce AP,upraszczaj$ integracj" sieci bezprzewodo-wej z% serwerami autoryzacji, poniewa' jako klienta serwera autoryzacji dodaje si$ tylko je-den kontroler, a&nie kilka czy kilkana%cie punk-tów dost$powych, usprawniaj$ proces gromadzenia logów, które do serwera autoryzacyjnego sp"ywaj# z&jednego +ród"a (kontroler), a&nie z wielu (punkty dost$powe), oferuj$ automatyczne kon(gurowanie punk-tów dost"powych. Punkty dost$powe wspó"pra-cuj#ce z&kontrolerem z&regu"y same s# w&stanie taki kontroler wyszuka! w& sieci, pod"#czy! si$ do niego i&pobra! kon*guracj$. Dzi$ki temu ma-my pewno%!, 'e&wszystkie urz#dzenia b$d# mia-"y zgodne wersje oprogramowania oraz spójn# kon*guracj$, co w&wypadku rozwi#za( wolno-

stoj#cych i& zmian wprowadzanych na& ró'nych urz#dzeniach w&ró'nym czasie bardzo utrudnia sprawne zarz#dzanie infrastruktur# sieciow#. Profesjonalne rozwi#zania oparte na&kontrole-

rach sieci bezprzewodowych i&punktach dost$po-wych, oprócz powy'szych wspólnych zalet, wnios# do naszej sieci dodatkowe przewagi technologicz-ne. B$d# si$ one ró'ni! funkcjonalno%ci# w&zale'-no%ci od wybranego producenta – %wietnym przy-k"adem s# opisywane w& dalszej cz$%ci artyku"u funkcje kontrolerów i&punktów dost$powych Me-ru Networks.

Podsumowuj#c – je'eli chcemy mie! w&szkole zarówno bezpieczn#, jak i&wydajn# sie! bezprzewo-dow#, w%ród niezb$dnych jej elementów powinni-%my uwzgl$dni!:– kontrolera sieci bezprzewodowej, – punkty dost$powe z&nim wspó"pracuj#ce.

Je%li chcemy, aby sie! bezprzewodowa dzia"a-"a dok"adnie tak, jak w& zaprezentowanych przy-k"adach, dodatkowym elementem b$dzie serwer radius, czyli system pozwalaj#cy jednoznacznie zidenty*kowa! u'ytkownika, nada! mu odpowied-nie uprawnienia oraz pó+niej prowadzi! audyt jego dzia"alno%ci w&sieci.

Projekt sieci bezprzewodowejDobrze zbudowana sie! bezprzewodowa mu-

si zosta! w"a%ciwie zaprojektowana. Zacz#! nale'y od okre%lenia oczekiwa( wobec niej. Mo'na w&tym celu wykorzysta! podane przez nas przyk"ady i&za-"o'enia. Kolejnym etap projektowania to&okre%le-nie, gdzie w&szkole potrzebny jest zasi$g sieci bez-przewodowej. Je%li to&mo'liwe, najlepiej zapewni! zasi$g w&ca"ej szkole, co w&praktyce nie musi okaza! si$ wcale trudne. Do tego niezb$dne s# plany bu-dynku szkolnego. W&przypadku budynków nowych lub modernizowanych jest du'a szansa na&zdobycie profesjonalnych planów, wykonanych np. w&opro-gramowaniu Autocad i& formacie DWG. Je'eli szko"a mie%ci si$ w&budynku starszym, by! mo'e w&archiwum znajdziemy papierowe plany architek-toniczne. Te mo'na "atwo zeskanowa! i&wykorzy-sta! do planowania sieci. W&ostateczno%ci mo'na tak'e wykorzysta! plan ewakuacyjny lub szkic bu-dynku wykonany przy zachowaniu jego skali.

Planowanie sieci bezprzewodowej na& papierze bez odpowiednich narz$dzi nie b$dzie nigdy do-k"adne, dlatego warto to&zadanie powierzy! profe-sjonalistom.


20

Sie! w szkole, szko"a w sieci (Rozwi$zania Meru Networks)

20

Dodatkowa funkcjonalno%& kontrolera sieci u#atwiaj"ca

utrzymanie sieci w$ruchuOprócz wymienionych powy'ej cech,

niektóre z& oferowanych rozwi#za( dys-ponuj# technologiami, na& które warto zwróci! uwag$. Przyk"adem takiego roz-wi#zania s# kontrolery i&punkty dost$po-we Meru Networks. Do podstawowych wyró'ników technologicznych Meru Ne-tworks mo'emy zaliczy! takie cechy jak: jednokana"owa architektura, wirtualna komórka oraz Air Time Fairness, które opisujemy dalej.

Jednokana#owa architekturaPierwsz# cech#, która diametralnie

odró'nia sieci Meru od rozwi#za( trady-cyjnych jest jednokana"owa architektura. Na& rysunku przedstawiono porównanie tradycyjnej architektury wielokana"owej (nazywanej równie' mikrokomórkow#) oraz architektury jednokana"owej.

Porównanie architektury tradycyjnej oraz jednoka-na!owej architektury oferowanej przez firm& Meru Networks

W& tradycyjnych rozwi#zaniach, aby punkty dost$powe pracuj#ce w& swoim bezpo%rednim s#siedztwie nie zak"óca"y si$ nawzajem, musz# pracowa! na& ró'-nych kana"ach radiowych. W& zale'no-%ci od standardu i& pasma, na& którym urz#dzenia operuj#, sugerowany odst$p mi$dzy kana"ami s#siaduj#cych ze so-b# punktów dost$powych wynosi odpo-

wiednio: 5 kana"ów dla pasma 2,4 GHz oraz 4 kana"y dla pasma 5 Ghz. Poniewa' liczba kana"ów radiowych jest ograniczo-na regulacjami prawnymi, do dyspozycji w&pa%mie 2,4 GHz mamy "#cznie 13 ka-na"ów. Planuj#c rozbudowan# tradycyjn# sie! bezprzewodow# korzysta si$ najcz$-%ciej ze schematu 1, 6, 11, który pozwa-la rozmie%ci! obok siebie do trzech urz#-dze( na&nienak"adaj#cych si$ kana"ach.

Planowanie kana"ów na&jednej p"asz-czy+nie to&nie wszystko, poniewa' sygna" bezprzewodowy rozchodzi si$ w&ka'dym kierunku – tak'e przez pod"ogi czy su-*ty. Z&tak# sytuacj# mamy do czynienia bardzo cz$sto. Prowadzi to&do koniecz-no%ci ograniczania mocy na& poszcze-gólnych punktach dost$powych, aby nie dochodzi"o do zak"ócania miedzy po-szczególnymi AP. Jednak ograniczanie mocy wp"ywa na& si"$ sygna"u, a& co si$ z&tym wi#'e – na&zasi$g danego punk-tu dost$powego. To& z& kolei wymusza nierzadko zastosowanie wi$kszej liczby punktów dost$powych ni' wst$pnie pla-nowano. W&przypadku gdy punkty do-st$powe s# zarz#dzane indywidualnie, takie rozplanowanie mog"o by! kosz-marem dla projektanta i& administra-tora. Na& szcz$%cie dynamiczny rozwój sieci bezprzewodowych wymóg" na&pro-ducentach konieczno%! poszukiwania rozwi#zania tego problemu. Wi$kszo%! *rm skupi"o si$ na&opracowywaniu dy-namicznych algorytmów, których zada-niem jest automatyczny dobór kana"ów w&obr$bie infrastruktury z"o'onej z&wielu AP i& automatyczne dobranie ich mocy. Zadanie to&powierzono kontrolerom sie-ci bezprzewodowej. Pomimo tego, 'e&al-gorytmy upraszczaj# sam proces plano-wania, nie s# niestety pozbawione wad. Jedna z&nich wynika z&samego podej%cia do wst$pnego planowania sieci. Przy-mierzaj#c si$ do zainstalowania punk-tów dost$powych w&danym %rodowisku, pomiary najcz$%ciej prowadzone s# po-przez zastosowanie jednego czy dwóch

punktów dost$powych i& sprawdzenie zasi$gów. W& przypadku korzystania z& dynamicznych algorytmów zarz#dza-nia moc#, po&wdro'eniu ca"ego systemu mo'e si$ okaza!, 'e& system zdecyduje o&zmniejszeniu mocy na&AP, ze wzgl$du na&zak"ócenia z&s#siednich punktów, któ-rych nie brali%my pod uwag$ na&etapie planowania. Zmniejszenie mocy mo'e z& kolei spowodowa! powstanie bia"ych plam w& zasi$gu lub sytuacji, gdy pod-"#czenie si$ do sieci b$dzie mo'liwe, ale z& bardzo nisk# przep"ywno%ci#. Dyna-miczne rozplanowanie kana"ów na& AP jest równie' nara'one na&tzw. efekt do-mina, to& znaczy sytuacj$, w& której za-k"ócenia z&zewn$trznego +ród"a spowo-duj#, 'e& algorytm musi zmieni! kana" na&danym punkcie dost$powym. Zmia-na kana"u na&jednym punkcie wywo"uje konieczno%! zmiany na& wszystkich po-zosta"ych urz#dzeniach (i& roz"#czenie na&ten czas wszystkich klientów).

W& zwi#zku z& opisanymi niedogod-no%ciami poszukiwane s# nowe rozwi#-zania. Skuteczne i& odmienne podej%cie zastosowano w&urz#dzeniach *rmy Me-ru Networks. W& tym wypadku wszyst-kie punkty dost$powe pracuj# na&jednym kanale radiowym. Dzi$ki synchronizacji punktów dost$powych na&bardzo wyso-kim poziomie uda"o si$ stworzy! system WLAN, w& którym niezale'nie od tego czy mamy do czynienia z& pasmem 2,4 GHz, czy 5 GHz, punkty mog# pracowa! na&tym samym kanale radiowym i&nie za-k"ócaj# si$ nawzajem.

Rozpatrywany przez nas na& rysunku przypadek, w&którym sygna" z&AP rozcho-dzi si$ równomiernie, odnosi si$ do sytu-acji idealnej, gdy na&przeszkodzie sygna"u radiowego nie stoj# %ciany, sza-i czy lu-dzie. Rzeczywisto%! jest jednak du'o bar-dziej brutalna. Oprócz przeszkód, z&któ-rymi sygna" bezprzewodowy musi sobie poradzi! wp"yw na&nierównomierne jego rozchodzenie maj# równie' nowoczesne technologie, m.in. 802.11n i& stosowane

21


w&niej systemy anten MIMO, czyli syste-my, w&których sygna" mo'e by! nadawany i&odbierany przez kilka ró'nych anten, tak aby zwi$kszy! zasi$g oraz przep"ywno%!. Charakterystyka pokrycia w&802.11n bar-dziej przypomina je$a ni' kó%ka i&bardzo trudno jest przewidzie!, jak sygna" b$dzie si$ rozchodzi", aby dobrze dobra! kana-"y radiowe. W& tym wypadku najwyra+-niej wida! przewag$ rozwi#zania Meru Networks, gdzie problem nie wyst$puje. Poniewa' wszystkie AP mog# pracowa! na& jednym kanale, w& sytuacji gdy w& ja-kim% miejscu brakuje zasi$gu – wystarczy do"o'y! kolejny punkt dost$powy.

Podsumowuj#c: architektu-ra tradycyjna, pomimo 'e& stosowa-na przez wielu producentów, ma swoje wady. Oprócz konieczno%ci rozplanowania kana"ów, poziomów mocy AP i&wery*kacji rozmieszczenia nale'y ca"y czas pilnowa! infrastruk-tury pod k#tem tego, czy dynamiczne algorytmy nie zmieni"y parametrów systemu. Co wi$cej, jakiekolwiek doda-wanie lub zmiany w&po"o'eniu AP wy-magaj# ponownego planowania.

Architektura jednokana"owa po-zwala na& znacznie szybsze planowanie i&wdro'enie rozwi#zania, poniewa' pla-nujemy tylko zasi$g. Po& ostatecznym zainstalowaniu rozwi#zania pe"na moc na&AP gwarantuje sta"y i&przewidywal-ny zasi$g. Cz$sto okazuje si$, 'e& zasto-sowanie architektury jednokana"owej pozwala zmniejszy! liczb$ AP w&porów-naniu do tradycyjnych rozwi#za( nawet o&30&proc., co daje realne oszcz$dno%ci. Dodatkowo jakiekolwiek zmiany, jak przenoszenie lub dodawanie kolejnych AP, nie stanowi 'adnego problemu, co czyni Meru rozwi#zaniem idealnym równie' w& przypadku instalacji rozbu-dowywanych stopniowo – np. w& szko-le, gdzie zasi$g mo'e by! potrzebny najpierw tylko w& jednej pracowni i&by! stopniowo rozbudowywany na&ca"# pla-cówk$.

Wirtualna komórkaCz$stym problemem wyst$puj#cym

w& sieciach bezprzewodowych jest sytu-acja, w& której urz#dzenie mobilne znaj-duje si$ na& granicy zasi$gu dwóch AP lub cz$sto si$ przemieszcza, w& zwi#zku z&czym nast$puje cz$sta, irytuj#ca zmiana punktu dost$powego, do którego urz#dze-nie jest przy"#czone. W& takim wypadku z& pomoc# mo'e przyj%! inna technolo-gia opracowana przez Meru Networks – tzw. wirtualna komórka. Jej zastosowanie mo'e mie! szczególne znaczenie w&szkole, w&której tworzona jest sie! bezprzewodo-wa dla ca"ego budynku. Zazwyczaj w&ta-kich wypadkach nie jeste%my w& stanie na&100&proc. przywidzie!, czy które% sale zaj$ciowe nie wypadn# w"a%nie na&granicy zasi$gów dwóch, a&mo'e trzech punktów dost$powych. U'ytkownicy korzystaj#cy z&tradycyjnej sieci w&tym miejscu s# na-ra'eni na& szczególnie cz$ste roz"#czanie z&sieci# bezprzewodow#.

.eby dok"adniej wyja%ni! technolo-gi$ jednej komórki, pos"u'my si$ porów-naniem z& sieci# tradycyjn#. Z& punktu widzenia urz#dzenia – klienta bezprzewo-dowego – ka'da sie! WLAN jest identy-*kowana na&podstawie kilku parametrów:

SSID, czyli nazwy sieci bezprzewodo-wej, któr# wybieramy gdy do sieci si$ pod-"#czamy,

kana#u radiowego, którym si$ z&regu"y nie interesujemy pod"#czaj#c si$ do sieci,

BSSID, czyli sprz$towego identy*ka-tora punktu dost$powego od strony bez-przewodowej, który – mo'na powiedzie! – jest bezprzewodowym adresem MAC ka'dego AP i&jak ka'dy MAC jest unika-towy dla danego urz#dzenia.

Dzi$ki tym kilku parametrom oraz dokonywanemu przez ka'd# kart$ bez-przewodow# pomiarowi si"y sygna"u, urz#dzenie klienckie jest w&stanie zdecy-dowa!, kiedy zasi$g z&danego punktu jest na& tyle s"aby, 'e&powinno nast#pi! prze-"#czenie do innego punktu dost$powe-go rozg"aszaj#cego t$ sam# nazw$ sieci

SSID, ale znajduj#cego si$ na&innym ka-nale i&maj#cego inne BSSID. W&zwi#zku z&tym w&rozwi#zaniu tradycyjnym to&kar-ta, czyli klient, decyduje o&tym, kiedy si$ prze"#czy!, a& nie sie! bezprzewodowa – klient nara'ony jest wi$c na& przeskaki-wanie mi$dzy AP, gdy znajdzie si$ na&gra-nicy zasi$gów a&sam czas prze"#czenia jest wyd"u'ony o&konieczno%! zmiany kana"u radiowego, ponown# negocjacje zabez-piecze( i&asocjacj$ z&sieci#. Czas prze"#-czenia klienta mo'e wynie%!, w&zale'no-%ci od klasy rozwi#zania, od 50 do nawet 3000&ms.

Technologia wirtualnej komórki zo-sta"a opracowana w&celu wyeliminowania problemu prze"#cze( i&zapewnienia wi$k-szej kontroli nad klientem bezprzewo-dowym. Istniej# jej dwie wersje: Shared BSSID i&Per Station BSSID, czyli Virtual Port. Koncepcj$ rozwi#zania wyja%nimy na&przyk"adzie pierwszej.

Powiedzieli%my ju', 'e&dla klienta bez-przewodowego sie! okre%la kilka parame-trów: SSID, kana" oraz BSSID. W& przy-padku wirtualnej komórki opracowanej przez Meru Networks pracuj#cej w&trybie Shared BSSID dla ka'dego klienta do-"#czaj#cego si$ do pokazanej na& rysun-ku sieci Meru Networks, niezale'nie od tego, w& którym miejscu sieci pojawi si$ klient, parametry te przyjm# nast$puj#ce warto%ci: dla ka'dego punktu dost$powe-go SSID = Merunetworks, czyli jak w&wy-padku tradycyjnym, 'eby klient w&ogóle móg" si$ pod"#czy!. Podobnie, niezale'nie od punktu dost$powego, ustawiony jest kana" 1 – poniewa' korzystamy z&jedno-kana"owej architektury. Ca"y czar wir-tualnej komórki musi opiera! si$ wi$c na&BSSID, które w& trybie Shared BSSID dla ka'dego klienta – niezale'nie od AP – równie' b$dzie takie samo.

Dlatego klient nie ma po&czym odró'-ni!, do którego AP zosta" przez system przypisany. W& tym przypadku nie ma-my do czynienia z&prze"#czeniem klien-ta mi$dzy AP, a& z& jego przekazaniem


22


22

(ang. so/ hand – o0). Poniewa' klient sam nie mo'e zdecydowa!, kiedy si$ prze"#czy!, bo wsz$dzie widzi to&samo, sie! Meru wy-gl#da dla niego jak jeden ogromny punkt dost$powy pokrywaj#cy zasi$giem ca"e pi$-tro czy budynek szko"y. To&system decydu-je, gdzie przypisa! klienta, a&nie klient.

Sie! opracowana przez Meru Networks zachowuje si$ tak, jakby zawsze ten sam wir-tualny AP znajdowa" si$ w&zasi$gu klienta i&towarzyszy" mu od momentu pod"#czenia si$ do sieci a' do zako(czenia po"#czenia.

Rozwini$ciem opisanej koncepcji jest drugi ze wspomnianych trybów pracy wir-

tualnej komórki – Virtual Port. W&tym try-bie w&momencie pod"#czania si$ do sieci dla ka'dego klienta bezprzewodowego tworzony jest unikatowy dla niego wirtu-alny AP. Maj#c swoje BSSID i&swojego wir-tualnego AP, klient nie czuje si$ ju' w&sie-ci bezprzewodowej jakby by" pod"#czony do huba, w&którym wiele urz#dze( wspó"-dzieli "#cze (jak w&tradycyjnych rozwi#za-niach), a& raczej jakby zosta" pod"#czony do indywidualnego portu na&prze"#czniku sieciowym. Technologia wirtualnego portu pozwala sterowa! transmisj# w&sieci radio-wej z&dok"adno%ci# do jednego klienta bez-przewodowego. Unikatowe BSSID klienta pod#'a za nim w&obr$bie ca"ej sieci, dzi$ki czemu klient nadal ma wra'enie, jakby je-go punkt dost$powy by" zawsze w&zasi$gu.

Brak tradycyjnego prze"#czenia wp"y-wa znacz#co na&skrócenie czasu przeka-zania klienta w&sieci Meru, które wynosi tu&typowo od 3 do 10&ms. Ponadto, sie-ci Meru Networks wykorzystuj#ce tech-nologie wirtualnego portu s# z&de*nicji bezpieczniejsze ni' sieci tradycyjne.

Air Time Fairness, czyli sprawiedliwy (a$nie równy) podzia# czasu

Trzeci# poprawiaj#c# wydajno%! sieci technologi# opracowan# przez Meru Ne-tworks jest Air Time Fairness. Wyobra+-my sobie przypadek, w&którym do nasze-go punktu dost$powego pod"#czonych jest dwóch klientów. Jeden znajduje si$ w&do%! du'ej odleg"o%ci i&ma s"aby zasi$g, a&co za tym idzie transmisj$ na&poziomie 1&Mbps. Drugi klient znajduje si$ blisko AP, ma dobr# si"$ sygna"u i& transmisj$ na&poziomie 300&Mbps.

Wi$kszo%! systemów tradycyjnych zosta"a zaprojektowana tak, aby równo-miernie obs"ugiwa! klientów pod k#tem liczby przes"anych danych. To& jednak wp"ywa destruktywnie na&efektywne wy-korzystanie najcenniejszego zasobu w&sie-ciach bezprzewodowych jakim jest czas transmisji. Maj#c dwóch takich klientów i& zak"adaj#c ze obaj maj# t$ sam# licz-b$ danych do wys"ania, oczywistym jest, 'e&czas, jakiego b$dzie potrzebowa" klient wolniejszy b$dzie oko"o 300 razy d"u'szy ni' czas, który na& wys"anie swoich da-nych wykorzysta klient szybki. W&zwi#z-ku z&tym w&tradycyjnym systemie cz$sto pojedynczy wolniejszy klient jest w& sta-nie spowolni! ca"# sie! bezprzewodow#. W&rozwi#zaniu Meru to&w"a%nie czas ra-diowy jest podstawow# jednostk#, któr# system bierze pod uwag$ przy podziale zasobów pomi$dzy klientów.

Dzi$ki technologii Air Time Fairness, ka'dy klient – niezale'nie od tego, z&jak# pr$dko%ci# dzia"a – otrzymuje tyle samo czasu radiowego na&swoj# transmisj$.

Szybsi klienci s# w&stanie wys"a! wi$-cej danych. Klienci wolniejsi musz# na-tomiast poczeka! na&swoj# kolej a&dane

mog# wysy"a! partiami. Dzi$ki takiemu podej%ciu ogólna wydajno%! systemu Meru jest znacznie wy'sza od systemów tradycyjnych a&czas radiowy jest znacz-nie efektywniej wykorzystany.

Opisane powy'ej technologie pozwalaj# nie tylko upro%ci! wdro'enie i&pó+niejsz# rozbudow$ sieci, ale równie' zniwelowa! opisywane na& pocz#tku artyku"u ró'ni-ce w& funkcjonowaniu sieci przewodowej i& bezprzewodowej. Technologie takie jak Virtual Port, Air Tra)c Control czy Air Time Fairness pozwalaj# sprawi! wra'enie, 'e&u'ytkownik pod"#czony do sieci Meru czuje si$ jakby mia" swój dedykowany port na&prze"#czniku sieciowym, poniewa':– u'ytkownik ma swój wirtualny AP (swoje BSSID, które za nim pod#'a),– u'ytkownik ma przypisany przez system (tylko dla niego) czas na&transmisj$ a&jeden wolny u'ytkownik nie spowoduje spowol-nienia pracy ca"ej szkolnej klasy (jak w&roz-wi#zaniu tradycyjnym), bo dzi$ki dyna-micznemu zarz#dzaniu czasem radiowym system dzia"a wydajniej ni' tradycyjna sie! i&korzystanie z&aplikacji zarezerwowanych dotychczas dla sieci przewodowej przy za-stosowaniu technologii Meru nie stanowi problemu. Wi$cej informacji o&technologiach i&pro-duktach znale+! mo'na na&stronach pro-ducenta rozwi#za(: http://www.merunetworks.com

2323

listopad 2012


Na&poni'szym rysunku przedstawiono przyk"ad rozplanowania wykonanego w& oprogramowaniu Ekahau Site Survey, pozwalaj#cym na&predykcyjne planowanie zasi$gu i&pojemno%ci sieci bezprzewo-dowych oraz ich pó+niejszy audyt.

Planowanie rozmieszczenia punktów dost&powych oraz zasi&-gu sieci i"jej pojemno'ci w"oprogramowaniu Ekahau Site Survey

Oprogramowanie pozwala – po& wprowadzeniu planów budynku i&okre%leniu ich skali – narysowa! %ciany i&okre%li! ich t"umienno%!. Nast$pnie, korzy-staj#c z&wzorców anten i&charakterystyki propagacji fal oferowanych przez punkty dost$powe, mo'emy je umie%ci! na&mapie i&zasymulowa!, jak b$dzie propa-gowa! si$ wysy"any przez nie sygna". W&wyniku otrzy-mamy odpowied+ na&pytanie: ile punktów dost$po-wych jest potrzebnych, aby zapewni! pokrycie ca"ej szko"y i&gdzie nale'y je zainstalowa!. Informacje b$d# tym dok"adniejsze, im wi$cej danych dostarczymy, np. grubo%! poszczególnych %cian (przynajmniej w&przy-bli'eniu) oraz z&jakiego materia"u zosta"y wykonane.

Na& rynku jest wiele *rm, które profesjonalnie zajmuj# si$ projektowaniem sieci bezprzewodo-wych. Cz$sto udaje si$ wynegocjowa! wst$pne roz-planowanie sieci z& okre%leniem potrzebnej liczby punktów dost$powych bez konieczno%ci ponosze-nia kosztów ze strony szko"y (m.in. w&tym celu mo-'esz skorzysta! z& danych kontaktowych zamiesz-czonych na&ko(cu artyku"u).

Korzystaj#c od samego pocz#tku z&us"ug profesjo-nalnej *rmy, mo'e uda! si$ zredukowa! koszty wdro-'enia – dzi$ki odpowiedniemu dobraniu rodzaju oraz ilo%ci sprz$tu, a&tak'e przez optymalne wykorzystanie istniej#cej ju' w&szkole infrastruktury.

Wybór kontrolera sieci bezprzewodowejW&przypadku podj$cia decyzji o&wyborze roz-

wi#zania z& kontrolerem sieci bezprzewodowej,

to&g"ównie jego funkcje b$d# warunkowa"y funk-cjonalno%! naszej sieci. Dobry kontroler sieci bez-przewodowej powinien: – automatycznie wykrywa! i& przeprowadza! ak-tualizacje oprogramowania oraz oferowa! dystry-bucj$ kon*guracji dla pod"#czaj#cych si$ do nie-go punktów dost$powych. Dzi$ki temu wdro'enie i& pó+niejsza administracja rozwi#zaniem b$dzie uproszczona, – oferowa! wybór, w& jaki sposób ruch powinien by! przekazywany z&urz#dze( mobilnych – czy najpierw powinien by! przekazany z&punktów do-st$powych do kontrolera sieci, a&tam po&przej%ciu przez system Firewall kierowany do odpowiednich sieci wirtualnych (VLAN), czy te' powinny go bez-po%rednio obs"ugiwa! punkty dost$powe. Pierw-sza opcja upraszcza wdro'enie i& jest wymagana przy niektórych funkcjach, jak np. Captive Portal (udost$pnienie strony logowania do sieci dla u'yt-kowników). Kon*guracja za pomoc# drugiej opcji mo'e by! przydatna, gdy jaki% punkt dost$powy musimy wynie%! mi$dzy budynkami szko"y przez "#cza o&s"abszej przep"ywno%ci (np. most bezprze-wodowy lub internet),– umo'liwia! stworzenie w&obr$bie jednego kon-trolera wielu ró'nych pro*li ESS, czyli wielu ró'-nych sieci bezprzewodowych, z& uwzgl$dnieniem ró'nych rodzajów zabezpiecze(, ró'nych sieci VLAN wraz z& mo'liwo%ci# okre%lenia, na& jakich punktach dost$powych dana sie! bezprzewodowa mo'e by! dost$pna. Ma to& szczególne znaczenie w&wypadku sieci takich jak Cyfrowa_Szkola_Pra-cownia_A. Sie! ta, przeznaczona do obs"ugi urz#-dze( mobilnych nale'#cych do mobilnej pracowni (notebooków, tabletów), mog"aby by! rozg"aszana tylko w& miejscu, gdzie rzeczywi%cie znajduje si$ ta pracownia,– wspiera! standardowe mechanizmy i&protoko"y sieciowe, jak chocia'by opisywane w&poprzednim artykule sieci VLAN w&standardzie 802.1q,– wspiera! standardowe mechanizmy uwierzytel-niania, w"#czaj#c w&to&WPA/WPA2, w"#cznie z&try-bem mieszanym WPA mixed (w&ramach którego urz#dzenia wspieraj#ce lepszy mechanizm zabez-piecze( – WPA2 – b$d# z&niego korzysta"y, a&urz#-dzenia starsze nadal b$d# w& stanie pod"#czy! si$ do sieci korzystaj#c z& WPA) . Je'eli chcemy ko-rzysta! z& indywidualnych kont u'ytkowników, powinno to& dotyczy! równie' trybu Enterprise. Obecno%! ró'norodnych metod uwierzytelniania

24


i&szyfrowania w&szkolnej sieci jest niezwykle istot-na. Mamy wówczas wi$ksz# pewno%!, 'e&b$dziemy mogli skorzysta! z&sieci niezale'nie od wykorzysta-nego urz#dzenia klienckiego. Szczególnie, gdy do-puszczamy pod"#czanie prywatnych urz#dze(, co do których nie mo'emy przewidzie!, jakie funkcje uwierzytelniania b$d# na&nich dost$pne,– pozwala! tworzy! list$ adresów urz#dze( (MAC) zaufanych (np. szkolnych) lub niezaufanych (np. prywatnych). Nast$pnie na& jej podstawie decy-dowa!, czy dane urz#dzenie ma prawo skorzy-sta! z&danej sieci bezprzewodowej – jeszcze zanim u'ytkownik w&ogóle si$ zaloguje. – mie! wbudowany Captive Portal, w&celu zapew-nienia uwierzytelniania u'ytkowników w&sieciach dla go%ci. Strona do logowania powinna jednocze-%nie mie! mo'liwo%! mody*kacji, tak aby uwzgl$d-ni! na&niej informacje dotycz#ce samej szko"y, wa-runków korzystania z& sieci przed zalogowaniem czy nawet szkolnego logotypu. Oprócz tego kon-troler powinien mie! mo'liwo%! wykorzystania do autoryzacji przez stron$ zarówno danych u'ytkow-ników umieszczonym w& centralnym, zewn$trz-nym katalogu (z& u'yciem us"ugi RADIUS, ang. Remote Authentication Dial In User Service), jak i&w"asn# wewn$trzn# baz$ pozwalaj#c# na&de*nio-wanie u'ytkowników w&wypadku, gdy szko"a nie ma ich centralnego katalogu,– "atwo integrowa! si$ z& zewn$trznymi serwera-mi RADIUS oraz wspiera! dodatkowe parametry zwi#zane z&uwierzytelnianiem u'ytkownika. Dzi$-ki temu w&trakcie autoryzacji, np. na&podstawie na-zwy u'ytkownika i&has"a, b$dzie mo'na przypisa! mu dodatkowe parametry po"#czenia – np. sie! VLAN czy ustawienia QoS . Dzi$ki temu, w&zale'-no%ci kto si$ zaloguje – nauczyciel czy ucze( – mo'emy graniczy! mu pasmo lub dost$p do okre-%lonych zasobów sieciowych,– pozwala! kontrolowa! ruch w&sieci bezprzewo-dowej pod k#tem nie tylko blokowania dost$pu do konkretnych us"ug oraz adresów, ale równie' w"#-czania lub wy"#czania ruchu, takiego jak Multicast czy Broadcast. Ruch typu Multicast i& Broadcast skutecznie obni'a wydajno%! sieci bezprzewodo-wych. Cz$sto komputer generuj#c ten typ ruchu zapycha sie!, poniewa' rozsy"a informacje po&ca-"ej szkolnej sieci. Jednak ruch tego typu wykorzy-stywany jest przez aplikacj$ e-learningu. Jedn# z&metod zwi$kszenia wydajno%ci sieci, przy zezwo-leniu na&po"#cznia Multicast czy broadcast, jest je-

go ograniczenie do okre%lonych sieci wirtualnych (VLAN).

Kontroler w$formie oprogramowaniaWarto zauwa'y!, 'e&mówi#c kontroler sieci bez-

przewodowej nie musimy bra! pod uwag$ jedynie *zycznego sprz$tu. Coraz cz$%ciej rozwi#zania oferuj#ce tak# funkcjonalno%! dost$pne s# w&for-mie oprogramowania. Najcz$%ciej pracuj#cego pod kontrol# okre%lonego %rodowiska wirtuali-zacyjnego. Je'eli szko"a dysponuje ju' serwerem, to&mo'liwe, 'e&oprócz funkcji, które realizuje te-raz, mo'emy u'y! go do zainstalowania np. plat-formy wirtualizacyjnej – np. Vmware ESX/ESXi – i&postawienia dopiero na&niej zarówno systemu operacyjnego (np. Windows Server albo Linux), jak i& kontrolera sieci bezprzewodowej. Przyk"a-dem rozwi#za( id#cych z&duchem czasu i&potra-*#cych wykorzysta! wirtualne zasoby jest seria kontrolerów Meru Network MC1550-VE wy-korzystuj#ca jako %rodowisko wirtualizacyjne w"a%nie platformy Vmware. Wymagania takiego wirtualnego kontrolera nie musz# by! du'e: dla maszyny obs"uguj#cej do 50 AP wystarczy ju' 1 wirtualny procesor, 1 GB RAMu i&2 GB przestrze-ni na&dysku twardym.

Wybór punktów dost'powychDobranie odpowiedniego urz#dzenia punktu

dost$powego (AP), gdy ju' mamy wybran# tech-nologi$ i&kontroler sieci bezprzewodowej, z&regu"y ograniczone jest do kilku modeli. Do podstawo-wych parametrów charakteryzuj#cych punkty do-st$powe nale'#:

Dost"pno'! jednego lub dwóch modu#ów ra-diowych. Wi$kszo%! urz#dze( klienckich sprze-dawanych obecnie wspiera oba otwarte dla sieci WiFi zakresy cz$stotliwo%ci – 2,4 GHz oraz 5 GHz. Wykorzystanie punktu dost$powego ma-j#cego dwa wbudowane modu"y radiowe daje wi$c realne korzy%ci w& postaci mo'liwo%ci za-pewnienia dost$pu dla urz#dze( bezprzewodo-wych w& dwóch pasmach cz$stotliwo%ci jedno-cze%nie, daj#c tym samym dwa razy wi$cej czasu radiowego (czyli rzeczywistej przep"ywno%ci do wykorzystania). Oczywi%cie dwuradiowy punkt dost$powy b$dzie dro'szy od modelu jednora-diowego. Dlatego wybór jedno- lub dwuradio-wego urz#dzenia uwarunkowany jest dost$pnym bud'etem. Je'eli wi$c nie mamy wystarczaj#cych

2525

%rodków, aby wybra! modele dwuradiowe, warto zainwestowa! w&model jednoradiowy upewniaj#c si$ jednak wcze%niej, 'e&sprosta naszym oczeki-waniom pod k#tem przep"ywno%ci oraz jedno-czesnej obs"ugi wielu u'ytkowników. Wydajno'!. W& przypadku punktu dost$po-wego przeznaczonego do szko"y, warto wybie-ra! rozwi#zania, które b$d# w&stanie obs"u'y! kilkudziesi$ciu jednoczesnych u'ytkowników (minimum 30-40 urz#dze( na& interfejs radio-wy). Warto, aby dostawca potwierdzi", 'e&takie liczby zosta"y przetestowane, a&nie s# tylko hi-potetyczne. Trudno powi#za! wydajno%! tylko z&danymi odno%nie chipsetu radiowego czy sys-temu antenowego, poniewa' bardzo wiele zale'y od oprogramowania samych punktów dost$po-wych przez ich producenta. Rodzaj systemu antenowego. Parametr ten warunkuje, jaki obszar zostanie pokryty zasi$-giem przez pojedynczy punkt dost$powy oraz to, w&jakim miejscu punkt dost$powy powinien zosta! zawieszony. W& punktach dost$powych przeznaczonych do wewn#trz budynków wy-korzystywane s# najcz$%ciej dwa podstawowe rodzaje anten:

Anteny zewn"trzne dookólne. Ich przewag# jest fakt, 'e& punkt dost$powy mo'na powiesi! prak-tycznie w&dowolnym miejscu, a&ustawienie anten zmody*kowa! tak, aby sygna" radiowy by" propa-gowany w&wybranym przez nas kierunku. Wyko-rzystanie punktów z&wyprowadzonym na&zewn#trz interfejsem do pod"#czania anten jest równie' wskazane w&%rodowiskach, gdzie musimy zastoso-wa! anteny specjalnego przeznaczenia, np. pane-lowe lub sektorowe, w&szkole mo'e to&znale+! za-stosowanie np. aby pokry! boisko lub inny teren otwarty wokó" szko"y.

-nej w%p#aszczy*nie horyzontalnej oraz o%charak-terystyce 180 stopni w%p#aszczy*nie wertykalnej. Punkty takie najlepiej wiesza! na&su*cie, gdy' wów-czas pokryj# zasi$giem wi$ksz# cz$%! pomieszcze-nia, ni' w&wypadku gdyby by"y zawieszone na&%cia-nie (wtedy du'o energii jest marnowana ze wzgl$du na&jej wysy"anie w&su*t oraz pod"og$). Warto pami$ta!, 'e& to, w& jaki system antenowy b$dzie wyposa'ony punkt dost$powy warunkuje miedzy innymi mo'liw# do uzyskania maksymal-n# no%n#, czyli maksymaln# pr$dko%! po"#czenia, jak# mo'e osi#gn#! klient bezprzewodowy w&po-

"#czeniu z&punktem dost$powym. Minimalne wy-magania jakie powinien spe"nia! dobry punkt do-st$powy w&standardzie 802.11n to&wyposa'enie go w&system antenowy MIMO – przynajmniej 2x2:2 (co oznacza dwie anteny nadawcze x dwie anteny odbiorcze: 2 strumienie przestrzenne) z&maksymal-n# no%n# na&poziomie do 300&Mb/s.To, jaki punkt dost$powy sprawdzi si$ w& danej szkole po&cz$%ci wynika z&wcze%niej przygotowa-nego rozplanowania, tj. gdzie najlepiej b$dzie za-montowa! AP, aby pokry" swoim sygna"em dany obszar. Praktyka pokazuje, 'e&w&szko"ach najwi$k-szym powodzeniem ciesz# si$ urz#dzenia z& we-wn$trznymi antenami (których nie da si$ wykr$-ci!), montowane w& tym wypadku na& su*cie, co gwarantuje z&regu"y lepsz# propagacj$ dla modeli z&wewn$trznymi antenami oraz zabezpiecza punkt dost$powy przed *zycznym dost$pem niepowo"a-nych osób oraz jego kradzie'#.

Power over Ethernet. Warto zwróci! uwag$, aby punkt dost$powy móg" by! zasilany bezpo%rednio z&kabla sieciowego (skr$tki Ethernet) i&by" zgodny ze standardami 802.3af (transmisja przez skr$tk$ Ethernet z&moc# do 15,4 W) i/lub 802.3at (transmi-sja przez skr$tk$ Ethernet z&moc# do 30 W). Wów-czas korzystaj#c z& prze"#czników wyposa'onych w&t$ technologi$ i&odpowiedni standard, instalacja punktów dost$powych b$dzie prostsza, wymaga"a mniej czasu, a&co najwa'niejsze – nie b$dzie trzeba projektowa! i&wprowadza! zmian w&sieci elektrycz-nej szko"y.

Serwer RADIUSAby nasza sie! bezprzewodowa mog"a dzia-

"a! zgodnie z& przedstawionymi za"o'eniami, nie-zb$dne b$dzie wykorzystanie w&niej serwera, który b$dzie pe"ni" rol$ magazynu danych o& u'ytkow-nikach, ich uprawnieniach oraz tym, co robili. Wi$kszo%! z&tych funkcji pe"ni w&sieci stworzony do takich celów serwer RADIUS, cz$sto okre%lany te' jako serwer AAA (Authentication, Authoriza-tion, Accounting).

Mówi#c serwer nie mamy na&my%li *zycznej ma-szyny dedykowanej do tego celu. Chodzi o&us"ug$, któr# w&zale'no%ci od dost$pnych w&szkole %rod-ków mo'emy uruchomi! na& platformach serwe-rowych z&rodziny Windows SBS, Windows Server, na&platformach otwartych (jak Linux) lub wykorzy-sta! do tego rozwi#zanie dedykowane: sprz$towy serwer RADIUS lub oprogramowanie z& rodziny

26


(Extensible Authentication Protocol). Mo'e wi$c by! to&nazwa u'ytkownika i&has"o, jak równie' cyfrowe certy*katy – zarówno po& stronie ser-wera, jak i&u'ytkownika. Wynikiem uwierzytel-nienia jest zwrócenie przez us"ug$ RADIUS wia-domo%ci Access-Accept (dost$p dozwolony) lub Access-Reject (dost$p zabroniony) do urz#dzenia uwierzytelniaj#cego (autentykatora). Mo'e nim by!, w&zale'no%ci od kon*guracji sieci, prze"#cz-nik sieciowy, punkt dost$powy lub – w&przypad-ku rozwi#za( ze scentralizowanym zarz#dzaniem – kontroler sieci bezprzewodowej. Autoryzacja – proces przypisywania u'ytkowni-kowi dodatkowych uprawnie( na&podstawie np. grupy, do której przynale'y na& serwerze. Dzi$-ki temu mo'emy w& parametrach dodatkowych wiadomo%ci Access-Accept z& serwera RADIUS okre%li!, do jakiej sieci VLAN b$dzie nale'a" u'yt-kownik, przypisa! mu zestaw regu" QoS (tak, aby ograniczy! dost$p do us"ug lub pasmo, na&bazie te-go, z&kim mamy do czynienia) lub te' okre%li! czy dany u'ytkownik ma prawo uzyskiwa! dost$p do sieci bezprzewodowej, do której jest pod"#czany. Accounting – proces gromadzenia informacji przesy"anych do serwera przez urz#dzenie uwie-rzytelniaj#ce. W& ramach tych informacji znaj-dziemy najcz$%ciej takie dane jak czas po"#czenia danego u'ytkownika, jego adres MAC, adres IP, liczba wys"anych/odebranych pakietów oraz baj-tów a&tak'e inne informacje opcjonalne. Maj#c te dane jeste%my w&stanie zidenty*kowa! u'ytkow-nika nie tylko z&poziomu jego nazwy u'ytkow-nika (czyli rzeczywistej to'samo%ci), ale równie' z&poziomu sieci (widz#c go po&adresach MAC i&IP). Dzi$ki temu dane te mo'emy skorelowa! z& danymi wysy"anymi przez routery lub prze-"#czniki, np. na&serwer Syslog (którego zadaniem mo'e by! gromadzenie informacji, jakie adresy IP komunikowa"y si$ ze sob#, po&jakich portach transportowych, czyli – de facto – kto odwiedza" jakie strony lub z&jakich aplikacji korzysta").

W&procesie wymiany informacji w&ramach pro-toko"u mo'emy wyró'ni! trzech uczestników:– serwer uwierzytelniaj#cy – us"ug$ RADIUS, – autentykatora – prze"#cznik zarz#dzany, punkt dost$powy lub kontroler sieci bezprzewodowej,– suplikanta – czyli nasz# kart$ sieciow# z&odpo-wiednim oprogramowaniem (sterownikiem) po-zwalaj#cym na&zestawianie po"#cze( zabezpieczo-nych 802.1x lub WPA/WPA2 Enterprise.

Po& wdro'eniu katalogu u'ytkowników, wybra-niu metody autoryzacji i& skon*gurowaniu samej us"ugi RADIUS, jej dalsza integracja z& sieci# jest stosunkowo prosta. Po& pierwsze autentykator (np. kontroler sieci bezprzewodowej) musi zosta! doda-ny na&serwerze uwierzytelniaj#cym. O&tym, 'e&takie urz#dzenie ma prawo si$ do niego odwo"ywa!, aby uwierzytelnia! suplikantów (czyli u'ytkowników) informuje o&serwer. Nast$pnie informacja o&serwe-rze uwierzytelniaj#cym musi zosta! wprowadzona na&autentykatorze. Zazwyczaj trzeba okre%li!: gdzie znajduje si$ urz#dzenie (adres IP), które posiada ka-talog u'ytkowników, na&którym porcie nas"uchuje oraz jakim has"em autentykator ma si$ uwierzytel-nia! na&serwerze (has"o musi zgadza! si$ po&stronie serwera i&autentykatora). Maj#c skon*gurowane dwa powy'sze elementy wystarczy doda! na&kontrolerze sieci bezprzewodowej odpowiedni# sie! zabezpie-czon#, np. WPA2-Enterprise, i&wskaza! pro*l, któ-ry b$dzie wykorzystywany do autoryzacji. Od tego momentu, za ka'dym razem gdy u'ytkownik b$dzie si$ pod"#cza", uwierzytelniany b$dzie przez kontroler na&naszym serwerze RADIUS.

Ca"kiem mo'liwe, 'e&zasoby, które pozwala-j# na& stworzenie mechanizmu uwierzytelniania w&szkole ju' s#. Na&przyk"ad serwer, na&którym mo'na uruchomi! us"ug$ RADIUS. Trzeba tylko wiedzie!, jak i& do czego mo'na je wykorzysta! a&potem pomys" wdro'y! w&'ycie.

Jak wybra& sprz'tWybór dobrego rozwi#zania bezprzewodowego,

kiedy wiemy co chcemy uzyska! i&jakie mechanizmy wykorzysta! w&naszej sieci, wcale nie musi by! trudny.

Poni'ej kilka uwag, jak krok po&kroku podej%! do stworzenia bezpiecznej, wydajnej i&niezawod-nej sieci bezprzewodowej w&szkole: – Zacznij od okre%lenia, czego oczekujesz od swojej sieci bezprzewodowej (jakie grupy u'ytkowników mo'esz wydzieli!, czy dysponujesz sieci# przewo-dow#, która pozwoli ci skorzysta! z&sieci wirtual-nych (VLAN) lub serwerem autoryzacji, dzi$ki któremu b$dziesz móg" ka'dego u'ytkownika in-dywidualnie rozpozna!. By! mo'e posiadasz ser-wer, na& którym mo'na zainstalowa! %rodowisko wirtualne i&wykorzysta! go do dodatkowych celów, np. uruchomienia na&nim kontrolera wirtualnego).– Okre%l, gdzie na& terenie szko"y powinien by! dost$pny zasi$g sieci bezprzewodowej. Najlepiej zaznaczy! go na&planach budynku. Je'eli nie dys-

2727

ponujesz planami profesjonalnymi (np. w&forma-cie DWG), czasami wystarczaj#cy mo'e okaza! si$ zwyk"y plan ewakuacyjny.– Skontaktuj si$ z&*rm# profesjonalnie zajmuj#c# si$ budow# sieci bezprzewodowych. Planowanie sie-ci z& wykorzystaniem odpowiednich narz$dzi jest po&pierwsze prostsze, a&po&drugie – pozwala zaosz-cz$dzi! realne %rodki poprzez redukcj$ ilo%ci potrzeb-nego sprz$tu. W&tym celu mo'esz skorzysta! z&danych kontaktowych zamieszczonych na&pocz#tku artyku"u.– Pami$taj, 'e&korzystniej jest wybiera! rozwi#za-nia oparte na& kontrolerze sieci bezprzewodowej i&dedykowanych AP. Korzy%ci zauwa'ysz nie tylko na&pocz#tku, ale równie' w&trakcie codziennej pra-cy i&ewentualnej rekon*guracji lub rozbudowy sieci.

– Upewnij si$, 'e&wybierane rozwi#zanie b$dzie zgod-ne z&protoko"ami i&mechanizmami, z&którymi b$dziesz chcia" je zintegrowa! w&swojej sieci przewodowej.– Decyduj#c si$ na&rozwi#zania profesjonalne mo'e-my z&jednej strony skorzysta! z&dodatkowej przewagi technologicznej, a&z&drugiej – zapewni! sobie bez-pieczn#, wydajn# i&niezawodn# sie! na&d"ugie lata.

Przyk"adami rozwi#za(, które %wietnie sprawdz# si$, aby zapewni! dost$p bezprzewodowy w&nowo-czesnej szkole s# produkty Meru Networks. Firma ta, dzi$ki skupieniu swojej uwagi jedynie na& roz-wi#zaniach bezprzewodowych, oferuje unikatowe technologicznie rozwi#zania, które znalaz"y zasto-sowanie ju' w&ponad 200 polskich szko"ach i&prawie 20 o%rodkach akademickich na&terenie ca"ego kraju.

Wi%cej informacji na(temat wdra&ania i(konfiguracji us"ug RADIUS na(ró&nych platformach mo&na znale*' min. na(stronach:Us"uga IAS(SBS, 2003 Server): http://technet.microsoft.com/en-us/library/cc736803(v=ws."10).aspx Us"uga NPS(2008 Server i(wy&ej): http://technet.microsoft.com/en-us/library/cc732912.aspxUs"uga Freeradius(Linux): http://wiki.freeradius.org/guide/HOWTO

Wskazówka


Kontroler sieci bezprzewodowej Meru Networks MC1550

– obs#uga do 50 punktów dost$powych Meru Networks i&1000 u'ytkowników,– elastyczne opcje licencjonowania ju' od 5 punktów dost$powych na&kontroler, opcje roz-

budowy z&krokiem licencyjnym per 1 AP,– wsparcie unikatowych technologii: Jednokana#owa Architektura, Virtual Cell (wirtualna ko-

mórka), Air Tra,c Control, Air Time Fairness,– obs#uga nawet 64 pro+li ESSID,– wsparcie vlanów 802.1q, wraz z&przypisaniem dynamicznym na&podstawie parametrów

zwracanych przez serwer RADIUS,– zaawansowany QoS ze statycznym lub dynamicznym przypisaniem regu# na&podstawie

parametrów zwracanych przez serwer RADIUS,– wbudowana funkcjonalno(% Captive Portalu,– wsparcie szerokiej gamy mechanizmów szyfrowania: WEP, WPA, WPA2, WPA mixed,– mo'liwo(% integracji z&kilkoma serwerami autoryzacji oraz wbudowana baza u'ytkowników

dla Captive Portalu, nawet do 300 kont,– automatyczne wykrywanie i&kon+guracja punktów dost$powych Meru w&sieci.

Wi$cej na&stronie:http://www.merunetworks.com/collateral/data-sheets/ ds-wireless-lan-controller-small-enterprise-mc1550.pdf Odpowiednikiem kontrolera sprz$towego MC1550 jest platforma wirtualna MC1550-VE, reali-zuj"ca te same funkcje, któr" mo'na zainstalowa% na&istniej"cym serwerze, wi$cej na&stronie:http://www.merunetworks.com/collateral/data-sheets/ ds-virtual-mobility-wireless-lan-controllers-mc1550-mc3200-mc4200.pdf

Punkty dost#powe Meru Networks serii AP1000

– jedno- lub dwuradiowe punkty dost$powe 802.11 a/b/g/n,– wyposa'one w&modu#y radiowe MIMO 2x2, 2 strumienie przestrzenne(do 300&Mb/s per

modu# radiowy),– zewn$trzne anteny(4) lub wewn$trzne anteny,– obs#uga technologii wirtualizacji Virtual Cell i&Virtual Port,– mo'liwo(% pracy w&trybie Mesh (modele dwuradiowe, bezprzewodowe po#"czenia mi$dzy AP),– przeznaczone do wdro'e) w&logistyce, biurach, szko#ach,– rekomendowana liczba u'ytkowników per radio: do 50, maksymalna – 128,– rekomendowana liczba u'ytkowników per ap dwuradiowy: do 100, maksymalna – 256,– zasilanie za pomoc" skr$tki Ethernet 802.3af/at.

Wi$cej na&stronie:http://www.merunetworks.com/collateral/data-sheets/ ds-wireless-lan-access-points-ap1010_ap1020.pdf

Punkty dost#powe serii AP332

– dwuradiowe punkty dost$powe 802.11 a/b/g/n,– wyposa'one w&modu#y radiowe MIMO 3x3, 3 strumienie przestrzenne(do 450&Mb/s per mo-

du# radiowy),– zewn$trzne anteny(6) lub wewn$trzne anteny,– obs#uga technologii wirtualizacji Virtual Cell i&Virtual Port,– mo'liwo(% pracy w&trybie Mesh (bezprzewodowe po#"czenia mi$dzy AP),– przeznaczone do wdro'e) w&biurach, szko#ach, salach konferencyjnych,– rekomendowana liczba u'ytkowników per radio: do 80, maksymalna – 128,– rekomendowana liczba u'ytkowników per ap dwuradiowy: do 160, maksymalna – 256,– zasilanie za pomoc" skr$tki Ethernet 802.3at.

Wi$cej na&stronie:http://www.merunetworks.com/collateral/data-sheets/ 2012-ds-wireless-access-points-for-high-density-environments-ap332.pdf

Bartek Boczkaja, prezes FEN

Absolwent Akademii Eko-‐

nomicznej w Poznaniu

kierunek Finanse i Rachun-‐

Ma ponad 10-‐letnie do-‐

Aktywnie wspiera sektor

w konferencjach i organi-‐

dla administratorów szkol-‐

nych sieci komputerowych.

-‐

-‐

sta w zakresie telekomu-‐

integratorów systemowych

i operatorów telekomuni-‐

z rynkiem edukacyjnym

-‐

tów podczas Zjazdu Opie-‐

Business Unit

Manager w FEN

Absolwent Uniwersyte-‐

-‐

-‐

Z rynkiem edukacyjnym

podczas Zjazdu Opiekunów

-‐

-‐

-‐

Konsorcjum FEN jest dystrybu-torem rozwi"za) IT, dzia#aj"cym w& Polsce od 15 lat. Z& rynkiem edukacyjnym zwi"zane jest nie tylko biznesowo, ale przede wszystkim sentymentalnie. Od 2004 roku wspiera wiele kon-ferencji spo#eczno(ciowych kierowanych m.in. do opie-kunów szkolnych pracowni komputerowych zapewniaj"c udzia# swoich ekspertów. Ich warsztaty z& zakresu w#a(ciwej budowy, wdra'ania i&konfigura-cji szkolnych sieci LAN i&WLAN, jak równie' wdra'ania termi-nalowych stacji roboczych, niezmiennie oceniane s" bar-dzo wysoko i& ciesz" si$ du'ym zainteresowaniem. Ekspertów FEN spotka% mo'na m.in. pod-czas corocznych imprez: Zjazdu Opiekunów Szkolnych Pracowni Internetowych w& Mrozach, Konferencji Administratorów Szkolnych Sieci Komputerowych w& Nowym Tomy(lu, a& tak'e w& Radomiu, Wrze(ni czy w& Warszawie. Wsz$dzie tam, gdzie trzeba pokaza% nowe technologie.

Kontakt:

Autorzy

[email protected]

2929

Notatki

[email protected]

Bez nazwy-7 1 2013-11-13 21:09:18

Notatki

Bez nazwy-7 1 2013-11-13 21:09:18

30

Konsorcjum FEN jest ekspertem w dziedzinie rozwi!za" MERU Networks oraz Cisco.

www.nowapracownia.edu.plwww.merunetworks.plwww.cisco.plwww.cyberam.pl

Tworzymy

Przydatne strony:Kontakt: [email protected]

Budowa sieci w szkole

Documents

Transcript of Budowa sieci w szkole