Unterschiede zwischen den Revisionen 15 und 60 (über 45 Versionen hinweg)
Revision 15 vom 2015-07-31 20:48:35
Größe: 3525
Kommentar:
Revision 60 vom 2023-05-17 10:03:20
Größe: 9447
Kommentar:
Gelöschter Text ist auf diese Art markiert. Hinzugefügter Text ist auf diese Art markiert.
Zeile 1: Zeile 1:
<<TableOfContents(4)>>
Zeile 3: Zeile 5:
=== Debian Edu Netzwerk ===
Zeile 5: Zeile 6:
==== Netzwerksegmente ==== === Virtuelle Netzwerke (VLAN) ===

|| VLAN Nummer || Beschreibung ||
|| 1 || Open LAN ||
|| 2 || Debian Edu ||
|| 3 || Backbone ||
|| 4 || ||
|| 5 || ||
|| 6 || ||
|| 10 || Uplink (Glasfaser oder Richtfunk) ||
|| 21 || WIFI Teachers ||
|| 22 || WIFI Students ||
|| 24 || WIFI Guests ||

=== VLAN: (Debian) Edu ===

Alle schuleigenen Geräte für die pädagogische Nutzung befinden sich im Debian Edu VLAN. Das VLAN darf über die Schul-Firewall nur sehr bedingt nach außen kommunizieren.

==== Debian Edu: Netzwerksegmente ====
Zeile 8: Zeile 27:

Das Netzwerk unseres Debian Edu Netzwerks ist ein IPv4 Class-A-Netz (10.0.0.0/8).
Zeile 13: Zeile 34:
|| 10.0.2.3 || FAI-Server || ||
|| 10.0.2.4 || WAPT-Server || ||
|| 10.0.2.5 || Inhaltsfilter-Server || Filterung von Internetinhalten ||
|| 10.0.2.6 || Entwicklungs-Server || Server mit Dev-Tools, wie CGit, Gitolite, !GitLab, etc. ||
|| 10.0.2.7 || Bib-Server || KOHA, Perpustakaan, Schullogistik, etc. ||
Zeile 15: Zeile 41:
|| 10.0.2.10-19 || Terminal-Server 00-09 || || || 10.0.2.10-16 || Terminal-Server 00-09 || ||
|| 10.0.2.17 || Wiki-Server || Wiki-Instanzen ||
|| 10.0.2.18 || OPSI-Server || OPSI-Software-Deployment für Windows Clients ||
|| 10.0.2.19 || Display-Server || Server zum Beschicken von Vertretungsplan-Displays ||
Zeile 17: Zeile 46:
|| 10.0.2.128/26 || Netzwerkgeräte (WLAN-APs, Switches, etc.) || falls unbedingt nötig ||
Zeile 20: Zeile 50:
|| 10.0.5.0/24 || PCs Verwaltung (ITZKS) || || || 10.0.5.0/24 || PCs Verwaltung (ITZkS) || ||
|| 10.0.6.0/24 || Aula- und sonstige Gebäudetechnik || ||
|| 10.0.7.0/24 || WiFi-Access Points (sofern nicht via Backbone-Netzwerk betrieben) ||
Zeile 24: Zeile 56:
|| usw. || || || || 10.2.0.0/24 || Fachraum Mathe || ||
|| 10.2.1.0/24 || Fachraum Biologie || ||
|| 10.2.2.0/24 || Fachraum Physik || ||
|| 10.2.3.0/24 || Fachraum Deutsch || ||
|| 10.2.4.0/24 || Fachraum Erdkunde|| ||
|| 10.2.5.0/24 || Fachraum Kunst || ||
|| 10.2.6.0/24 || Fachraum Chemie || ||
|| 10.2.7.0/24 || Fachraum Englisch || ||
|| 10.2.8.0/24 || Fachraum Musik || ||
|| 10.2.9.0/24 || Fachraum Werken || ||
|| 10.2.10.0/24 || Fachraum ... || ||
|| 10.3.1.0/24 || Screencast-Devices || ||
Zeile 31: Zeile 74:
|| 10.5.0.0/16 || Internet-Cafe, Offener Lernbereich, etc. || || || 10.4.22.0/24 || Interaktive Whiteboards || ||
|| 10.4.23.0/24 || Displays mit Airplay / Airtame / mDNS / Googlecast Unterstützung || ||
|| 10.5.0.0/24 || Internet-Cafe, Offener Lernbereich, etc. || ||
|| 10.5.1.0/24 || Info-Points, etc. || ||
Zeile 40: Zeile 86:
|| 10.7.6.0/24 || Fachschaft ... || || || 10.7.6.0/24 || Fachschaft Chemie || ||
|| 10.7.7.0/24 || Fachschaft Englisch || ||
|| 10.7.8.0/24 || Fachschaft Musik || ||
|| 10.7.9.0/24 || Fachschaft ... || ||
Zeile 46: Zeile 95:
|| 10.11.0.0/16 || Unbekannter Standort || ||
Zeile 49: Zeile 99:
=== Open-LAN (optional) === === VLAN: OpenLAN (optional) ===
Zeile 55: Zeile 105:
=== Backbone Netz === === VLAN: Backbone ===
Zeile 57: Zeile 107:
FIXME: Todo. Das Netzwerk unseres Backbone-Netzwerks ist ein IPv4 Class-C-Netz (172.16.0.0/24).

{{{
127.0.0.1 localhost
172.16.0.1 virt-man-01.backbone virt-man-01
172.16.0.2 virt-man-02.backbone virt-man-02
172.16.0.2 virt-man-03.backbone virt-man-03
# [...]

172.16.0.41 tjener.backbone tjener
172.16.0.77 ganetimgr.backbone ganetimgr
172.16.0.88 backup-01.backbone backup-01
172.16.0.99 wifimanager.backbone wifimanager
172.16.0.240 ganeti-cluster.backbone ganeti-cluster

# IP-Adressen für UniFi-APs
172.16.0.150 UniFi-AP-1
172.16.0.151 UniFi-AP-2
172.16.0.152 UniFi-AP-2
# [...]

# The following lines are desirable for IPv6 capable hosts
::1 localhost ip6-localhost ip6-loopback
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters
}}}


=== VLAN: WiFi-Schüler ===

Dieses VLAN ist vollständig für mitgebrachte Geräte (BYOD) von Schüler:innen gedacht. Gateway ist die Schul-Firewall.

Das Netzwerk des WiFi-Schüler-VLANs sind vier IPv4 Class-C-Netze (172.21.0.0/22). Je nach Adressraumbedarf einer jew. Schule können die Subnetzgrößen im Einzelfall abweichen von der hier angegebenen Größe.

=== VLAN: WiFi-Lehrer ===

Dieses VLAN ist vollständig für mitgebrachte Geräte (BYOD) von Lehrer:innen gedacht (auch vom Land zur Verfügung gestellte Dienstnotebooks). Gateway ist die Schul-Firewall.

Das Netzwerk des WiFi-Lehrer-VLANs sind zwei IPv4 Class-C-Netze (172.21.4.0/23). Je nach Adressraumbedarf einer jew. Schule können die Subnetzgrößen im Einzelfall abweichen von der hier angegebenen Größe.

=== VLAN: WiFi-Gäste ===

Dieses VLAN ist (meist kombiniert mit einer Captive Portal Software) zuständig für die Bereitstellung von Internet für Gäste im Schulnetzwerk. Gateway ist die Schul-Firewall.

Das Netzwerk des WiFi-Gäste-VLANs sind vier IPv4 Class-C-Netze (172.21.8.0/22). Je nach Adressraumbedarf einer jew. Schule können die Subnetzgrößen im Einzelfall abweichen von der hier angegebenen Größe.
Zeile 62: Zeile 156:

== VPN-Netz im ITZkS-Projekt ==

=== Zentral betriebener ITZkS-VPN-Server ===

Auf verschiedenen Schulresourcen kann seitens der Admins (Dienstleister) bzw. der Lehrer-Admins per VPN zugegriffen werden. Dies erfolgt meist über den zentral betriebenen ITZkS-VPN-Server. Details finden sich [[Technik/Nutzungshinweise/VPN-IPs|hier]].

=== VPN-Direktzugriff ins Schul-Intranet ===

In Einzelfällen läuft aber auch auf der Schul-Firewall ein VPN-Dienst, über den z.B. außenstehende Schulserver (e-Learning-Plattformen, Schulinformationssystem, etc.) direkt an z.B. den Hauptserver der Schule (in Schulintranet) angebunden werden können.


=== Besonderheit Schleswig-Holstein: Anbindung an IQSH-Glasfaseranschluss ans LandesWAN Schleswig-Holstein ===

Seit 2018 stellt das IQSH Schulen in Schleswig-Holstein eine Internet-Anbindung über das Landes-WAN bereit. Genauere Informationen und wie man ein Debian Edu System daran anpasst: [[Technik/Netzwerk/UplinkLandesWANSH]].

=== Verweise auf die vorhandene Netzwerkdokumentation von Projekt-Standorten für ITZkS-Admins ===

==== Dev-System ====

[[Technik/Nutzungshinweise/Dev_System_Infrastruktur|DEV-System]]

==== Lübeck ====

[[Schulen/HansestadtLuebeck/Katharineum/Netzwerk/|KATH]]

Netzwerk-Infrastruktur in Schulen

Virtuelle Netzwerke (VLAN)

VLAN Nummer

Beschreibung

1

Open LAN

2

Debian Edu

3

Backbone

4

5

6

10

Uplink (Glasfaser oder Richtfunk)

21

WIFI Teachers

22

WIFI Students

24

WIFI Guests

VLAN: (Debian) Edu

Alle schuleigenen Geräte für die pädagogische Nutzung befinden sich im Debian Edu VLAN. Das VLAN darf über die Schul-Firewall nur sehr bedingt nach außen kommunizieren.

Debian Edu: Netzwerksegmente

Um einen +/- einheitlichen Standard an allen ITZkS-Schulen vorfinden zu können, geben wir ein Schema für die Vergabe von IP-Adressen im Debian Edu Netz vor. Die Adressräume sind sehr großzügig gewählt.

Das Netzwerk unseres Debian Edu Netzwerks ist ein IPv4 Class-A-Netz (10.0.0.0/8).

Netzsegment

Verwendungszweck

Kommentare, zusätzliche Hinweise

10.0.0.1

Gateway

10.0.2.0/24

Server-Subnetz

10.0.2.2

Haupt-Server

10.0.2.3

FAI-Server

10.0.2.4

WAPT-Server

10.0.2.5

Inhaltsfilter-Server

Filterung von Internetinhalten

10.0.2.6

Entwicklungs-Server

Server mit Dev-Tools, wie CGit, Gitolite, GitLab, etc.

10.0.2.7

Bib-Server

KOHA, Perpustakaan, Schullogistik, etc.

10.0.2.8

Content Server

Intranet CMS/Blog

10.0.2.9

Diskless Chroot Server

10.0.2.10-16

Terminal-Server 00-09

10.0.2.17

Wiki-Server

Wiki-Instanzen

10.0.2.18

OPSI-Server

OPSI-Software-Deployment für Windows Clients

10.0.2.19

Display-Server

Server zum Beschicken von Vertretungsplan-Displays

10.0.2.64/26

PCs mit Admin-Privilegien

10.0.2.128/26

Netzwerkgeräte (WLAN-APs, Switches, etc.)

falls unbedingt nötig

10.0.3.0/25

Drucker

10.0.3.128/25

Vertretungsplan-Displays

10.0.4.0/24

PCs Lehrerzimmer

10.0.5.0/24

PCs Verwaltung (ITZkS)

10.0.6.0/24

Aula- und sonstige Gebäudetechnik

10.0.7.0/24

WiFi-Access Points (sofern nicht via Backbone-Netzwerk betrieben)

10.1.1.0/24

Computer-Raum 01

10.1.2.0/24

Computer-Raum 02

10.1.3.0/24

Computer-Raum 03

10.2.0.0/24

Fachraum Mathe

10.2.1.0/24

Fachraum Biologie

10.2.2.0/24

Fachraum Physik

10.2.3.0/24

Fachraum Deutsch

10.2.4.0/24

Fachraum Erdkunde

10.2.5.0/24

Fachraum Kunst

10.2.6.0/24

Fachraum Chemie

10.2.7.0/24

Fachraum Englisch

10.2.8.0/24

Fachraum Musik

10.2.9.0/24

Fachraum Werken

10.2.10.0/24

Fachraum ...

10.3.1.0/24

Screencast-Devices

10.4.0.0/24

Mobiles Klassenzimmer 01

WLAN-IPs = LAN-IP + 100

10.4.1.0/24

Mobiles Klassenzimmer 02

WLAN-IPs = LAN-IP + 100

10.4.2.0/24

Mobiles Klassenzimmer 03

WLAN-IPs = LAN-IP + 100

10.4.3.0/24

Mobiles Klassenzimmer 04

WLAN-IPs = LAN-IP + 100

usw.

10.4.21.0/24

Medienschränke

10.4.22.0/24

Interaktive Whiteboards

10.4.23.0/24

Displays mit Airplay / Airtame / mDNS / Googlecast Unterstützung

10.5.0.0/24

Internet-Cafe, Offener Lernbereich, etc.

10.5.1.0/24

Info-Points, etc.

10.6.0.0/24

Schüler-Bibliothek

10.6.1.0/24

Lehrer-Bibliothek

10.7.0.0/24

Fachschaft Mathe

10.7.1.0/24

Fachschaft Biologie

10.7.2.0/24

Fachschaft Physik

10.7.3.0/24

Fachschaft Deutsch

10.7.4.0/24

Fachschaft Erdkunde

10.7.5.0/24

Fachschaft Kunst

10.7.6.0/24

Fachschaft Chemie

10.7.7.0/24

Fachschaft Englisch

10.7.8.0/24

Fachschaft Musik

10.7.9.0/24

Fachschaft ...

usw.

FIXME: Nachtragen!!!

10.8.0.0/24

Schul-Notebooks (LAN)

Beamerkoffer, Verleihnotebooks, etc.

10.8.1.0/24

Schul-Notebooks (WLAN)

bitte im letzten Quadrupel dieselbe Adresse wie für LAN-IPs verwenden

10.9.0.0/16

SV

10.10.0.0/16

Klassenräume

10.11.0.0/16

Unbekannter Standort

10.15.0.0/24

Laptops (privat, LAN)

10.15.1.0/24

Laptops (privat, WLAN)

bitte im letzten Quadrupel dieselbe Adresse wie für LAN-IPs verwenden

VLAN: OpenLAN (optional)

Auf Anfrage stellen wir innerhalb einer Schule Netzwerk-Ports bereit, die vollständig Zugriff auf das Internet haben. Diese Netzwerkanschlüsse sind weder mit dem Debian Edu Netzwerk noch mit dem Verwaltungsnetz der Schule verbunden. Häufig kommt das Open-LAN in Migrationen zum Einsatz, da man über dieses Netz oft den Status Quo vor der Migration zu Debian Edu abbilden kann. Arbeitsplätze, die zunächst nicht an die Netzwerkinfrastruktur von Debian Edu angebunden werden sollen, werden in das Open-LAN geschaltet (gepatcht).

Je nach Netzwerkverkabelung im Schulgebäude erfordert die Bereitstellung eines Open-LAN Netzwerks das Einrichten von VLANs auf den Netzwerk-Switches der Schule.

VLAN: Backbone

Das Netzwerk unseres Backbone-Netzwerks ist ein IPv4 Class-C-Netz (172.16.0.0/24).

127.0.0.1       localhost
172.16.0.1      virt-man-01.backbone virt-man-01
172.16.0.2      virt-man-02.backbone virt-man-02
172.16.0.2      virt-man-03.backbone virt-man-03
# [...]

172.16.0.41     tjener.backbone tjener
172.16.0.77     ganetimgr.backbone ganetimgr
172.16.0.88     backup-01.backbone backup-01
172.16.0.99     wifimanager.backbone wifimanager
172.16.0.240    ganeti-cluster.backbone ganeti-cluster

# IP-Adressen für UniFi-APs
172.16.0.150    UniFi-AP-1
172.16.0.151    UniFi-AP-2
172.16.0.152    UniFi-AP-2
# [...]

# The following lines are desirable for IPv6 capable hosts
::1     localhost ip6-localhost ip6-loopback
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters

VLAN: WiFi-Schüler

Dieses VLAN ist vollständig für mitgebrachte Geräte (BYOD) von Schüler:innen gedacht. Gateway ist die Schul-Firewall.

Das Netzwerk des WiFi-Schüler-VLANs sind vier IPv4 Class-C-Netze (172.21.0.0/22). Je nach Adressraumbedarf einer jew. Schule können die Subnetzgrößen im Einzelfall abweichen von der hier angegebenen Größe.

VLAN: WiFi-Lehrer

Dieses VLAN ist vollständig für mitgebrachte Geräte (BYOD) von Lehrer:innen gedacht (auch vom Land zur Verfügung gestellte Dienstnotebooks). Gateway ist die Schul-Firewall.

Das Netzwerk des WiFi-Lehrer-VLANs sind zwei IPv4 Class-C-Netze (172.21.4.0/23). Je nach Adressraumbedarf einer jew. Schule können die Subnetzgrößen im Einzelfall abweichen von der hier angegebenen Größe.

VLAN: WiFi-Gäste

Dieses VLAN ist (meist kombiniert mit einer Captive Portal Software) zuständig für die Bereitstellung von Internet für Gäste im Schulnetzwerk. Gateway ist die Schul-Firewall.

Das Netzwerk des WiFi-Gäste-VLANs sind vier IPv4 Class-C-Netze (172.21.8.0/22). Je nach Adressraumbedarf einer jew. Schule können die Subnetzgrößen im Einzelfall abweichen von der hier angegebenen Größe.

Verwaltungsnetz / Landesnetz

Die Schulverwaltungen in Schleswig-Holstein sind an das Landesbildungsnetz angeschlossen (LanBSH). Betreiber ist das IQSH. Die Verwaltungsnetze von Schule lassen wir unberührt, die Netzwerk-Verteilerschränke sind meist auch verschlossen und nicht zugänglich für IQSH-fremde Personen.

VPN-Netz im ITZkS-Projekt

Zentral betriebener ITZkS-VPN-Server

Auf verschiedenen Schulresourcen kann seitens der Admins (Dienstleister) bzw. der Lehrer-Admins per VPN zugegriffen werden. Dies erfolgt meist über den zentral betriebenen ITZkS-VPN-Server. Details finden sich hier.

VPN-Direktzugriff ins Schul-Intranet

In Einzelfällen läuft aber auch auf der Schul-Firewall ein VPN-Dienst, über den z.B. außenstehende Schulserver (e-Learning-Plattformen, Schulinformationssystem, etc.) direkt an z.B. den Hauptserver der Schule (in Schulintranet) angebunden werden können.

Besonderheit Schleswig-Holstein: Anbindung an IQSH-Glasfaseranschluss ans LandesWAN Schleswig-Holstein

Seit 2018 stellt das IQSH Schulen in Schleswig-Holstein eine Internet-Anbindung über das Landes-WAN bereit. Genauere Informationen und wie man ein Debian Edu System daran anpasst: Technik/Netzwerk/UplinkLandesWANSH.

Verweise auf die vorhandene Netzwerkdokumentation von Projekt-Standorten für ITZkS-Admins

Dev-System

DEV-System

Lübeck

KATH

IT-Zukunft Schule: Technik/Netzwerk (zuletzt geändert am 2023-05-17 10:05:32 durch MikeGabriel)