Am Freitag und Samstag konnte ich die notwendigen Geräte einbauen, die für die strukturierte Nutzung des WLAN auf Basis individueller Zugänge notwendig sind. Dies ist eine starke Firewall, die unliebsame digitale Eindringlinge von uns fernhält, so wie ein physischer Server, der mehrere virtuelle Maschinen beinhaltet, die wiederum die Berechtigung für das WLAN und Filterung für das Internet übernehmen. Hinzu kommt noch ein sogenannter Core-Switch, der die zentrale Funktion in der Datenverteilung zwischen den verschiedenen Netzwerken übernimmt.
Damit hätten wir schon einmal die Hardwarevoraussetzungen geschaffen. Was kommt nun als nächstes? Dazu möchte in Form einer kleinen Auflistung einmal zeigen, was nach dem Einbau der Hardware erfolgen muss bzw. schon erfolgt ist.
- Firewall konfigurieren
So eine Firewall kann natürlich nur funktionieren, wenn sie für die spezielle Umgebung konfiguriert und eingestellt wird. Sie ist kein Gerät, welches man hinstellen und in Betrieb nehmen kann. Vielmehr müssen alle lokalen Modalitäten wie IP-Adressen, Netzeinbindung etc. erst konfiguriert werden. Das ist erledigt. Die Firewall ist aktiv und auch die Einwahl per VPN von außen ist eingerichtet. - Zentralen Core-Switch konfigurieren
Der zentrale Core-Switch muss ebenfalls eingerichtet werden. Hier werden die sogenannten VLANs aufgesetzt. Der Begriff steht für virtuelle LANs, also virtuelle Netzwerke. VLANs ersetzen heutzutage die früher notwendige physische Trennung einzelner Netzwerke. So haben wir in der SAS (wie auch bisher in anderen Schulen) ein sogenanntes pädagogisches Netzwerk und Verwaltungsnetzwerk. Für beide wurden parallel physische Kabel gezogen und beide Netze sind physisch getrennt. Aus heutiger Sicht ein unnötiger Aufwand. Den gleichen Effekt, nämlich die Trennung von Netzwerken, erzielt man heute bei nur einer physischen Verkabelung mit den VLANs. Die Sicherheit ist hierbei absolut gleichwertig. Für diese VLANs und die Regelungen des Datenverkehrs ist der Core-Switch zuständig, der daher eine individuelle Konfiguration benötigt. Ist auch erledigt. - Server aufsetzen und konfigurieren
Der Server ist fertig eingebaut und das Virtualisierungssystem ist auch installiert. Am Samstag hatte ich aber noch Probleme, den Server in die Netzwerkstruktur einzubinden. Sobald ich diesen Punkt erledigt haben werde, können die virtuellen Maschinen installiert werden. Diese müssen nicht neu gemacht werden, sondern werden aus den Backups installiert. Da das grundsätzliche Schema an allen Schulen gleich ist, ist dieser Schritt recht einfach und schnell. Die virtuellen Server sind dann dafür zuständig, dass Benutzerinnen und Benutzer sich im WLAN anmelden können und dabei anhand der konfigurierten Recht auch gleich in das passende VLAN gepackt werden. Damit einher gehen dann Rechte wie die Nutzung des Internets, spezifische Filter für unterschiedliche Jahrgangsgruppen und weitere Dinge mehr. - Fehlende Switches einbauen und konfigurieren
Es fehlen noch Switches, die eingebaut werden müssen. Insbesondere durch die Ergänzungen der Verkabelung im Haus C und B muss hier nachinstalliert werden.
Bis hierhin war soweit alles einfach, folgte dem Standard und konnte parallel zu dem bestehenden Netz aufgebaut werden. Die sich nun anschließenden Schritte allerdings sind in der SAS besonders, da ja keine parallele Netzstruktur aufgebaut wurde. In den anderen Schulen konnten wir das alte Netz erst einmal weiterlaufen lassen, da das neue Netz vollständig parallel war. So war ein schrittweiser Umstieg möglich.
In der SAS haben wir diese Möglichkeit nicht. Hier müssen wir viele Dinge auf einmal umstellen, damit wir auf die neue Struktur gehen können. Ein Mischbetrieb im gleichen Netz ist technisch nicht möglich, daher werden wir hier einen großen Schnitt machen müssen. Auch hier eine kleine Liste dessen, was wir erledigen müssen.
- Umstellung Primeboards
Die Primeboards benötigen eine neue IP-Adresse, damit sie sich im richtigen VLAN anmelden können und zum Spiegeln über das WLAN auch erreichbar sind. Dies kann nur an den Primeboards selbst vorgenommen werden. - Konfiguration der Switche
Da in der neuen Struktur VLANs essentiell sind, müssen sämtliche Switche konfiguriert werden. Dies ist keine geringe Anzahl und jeder einzelne muss eine Menge Einstellungen bekommen. Für die Interessierten hier eien kurze Erklärung.
Während bisher alle Switche wie ein riesiger Verteiler gearbeitet haben, zieht nun eine Struktur ein. Statt dass alle Geräte wie früher alle anderen sehen und mit ihnen in einem permanenten Datenaustausch stehen, wird die Kommunikation strukturiert und auf einzelne Abschnitte begrenzt. Kurz zur Verdeutlichung ein typisches Beispiel: iOS Geräte fragen permanent und sehr intensiv im Netz nach dem Vorhandensein anderer Geräte. Hier schicken Sie eine Meldung in der Form: „Hallo hier ist Gerät xy, wer ist noch da?“. Daraufhin antworten die Geräte, die die Meldung gehört haben mit: „Hallo, hier ist yz.“ Nur um gleich im Anschluss die gleiche Frage in die Runde zu werfen.
In dem jetzigen Netz haben auf eine solche Frage alle Geräte in allen Gebäuden geantwortet, da es ein großes unstrukturiertes Netzwerk war. Da kann man sich schnell ausrechnen, was dies bedeutet. Bei nur 2 Geräten werden 4 Nachrichten ausgetauscht, 2 Fragen und 2 Antworten. Bei 4 Geräten sind es schon 16 Nachrichten. Bei 500 Geräten (tatsächlich werden es später sicher noch mehr sein) sind wir schon bei 250.000 Nachrichten. Die Anzahl der Nachrichten steigt also nach der Funktion f(n)=n².
Zukünftig sind die Meldungen auf einzelne Segmente, also VLANs beschränkt. Damit kann die Zahl der sich austauschenden Geräte maximal bis zur Anzahl der Geräte in einem Jahrgang steigen. Der Rest des gesamten Netzwerkes bleibt von diesen im Regelfall nutzlosen Meldungen verschont. Somit wird der Nachrichtensturm und damit die Last auf dem WLAN deutlich sinken. - Umstellung der Drucker
Drucker, die per WLAN erreichbar sein sollen, müssen auf die neue Adresse umkonfiguriert werden. - Änderung der Verkabelung im Serverrack
Da bisher alle Kabel in einem anderen Netz enden, müssen im Serverrack die Kabel neu sortiert und umgesteckt werden. Dazu ist schon alles vorbereitet, so dass die eigentliche Aktion recht flott gehen wird. - Konfiguration der Computerräume
Auch in den Computerräumen müssen sich Geräte in das richtige Netz. Hier versuche ich gerade eine Lösung zu finden, die die individuelle Konfiguration eines jeden Gerätes überflüssig macht. - Verteilung der Zugänge
Die Zugänge zum WLAN sind zukünftig individualisiert und alle (Lehrkräfte, Verwaltungsangestellte sowie die Schülerinnen) bekommen Ihre Zugangsdaten in schriftlicher Form.
Bis auf die Verteilung der Zugänge müssen alle anderen Aktionen dieser Auflistung zum gleichen Zeitpunkt passieren. Wir können zum Beispiel nicht die Swichtes neu konfigurieren, ohne dass auch die Boards neu konfiguriert werden. Die Boards wären sonst nicht mehr im Netzwerk erreichbar, hätten also auch kein Internet. Wir können auch die Kabel nicht neu sortieren, bevor alles andere erledigt ist und leider auch nicht damit warten. Wir müssen tatsächlich alle Punkte vermutlich an einem Wochenende abarbeiten, damit am darauffolgenden Montag mit der neuen Struktur gearbeitet werden kann. Hierzu werde ich mich noch mit der Schulleitung abstimmen, wann dieser Zeitpunkt sein soll.
Ein solcher Umbruch ist immer ein wenig schwierig. Viel einfacher ist der schrittweise Übergang. Den Luxus haben wir an der SAS leider nicht, daher werden wir hier ein wenig in das Risiko gehen müssen. Sollte alles geklappt haben, stehen natürlich noch viele weitere Arbeiten an. Auch die Verwaltung muss noch umgestellt werden, die Daten müssen irgendwann in die zentrale Datenhaltung wandern, die Geräte müssen die Cloudanbindung bekommen, die Kollaborationssoftware muss eingerichtet und geschult werden, die Mailkonten müssen umgestellt werden und so weiter und so fort. An Arbeit wird es also erst einmal nicht mangeln.
Peter