Wireless Education case Gerard Jans 10 mei 2012 Gerard Jans, IT Professional bij Onderwijsgroep Noord Case over connectiviteit van devices binnen Onderwijsgroep Noord. Zowel beheerd als onbeheerd, organisatie als prive devices. Hoe hebben wij het aangepakt Uitgenodigd door HP (Raymond Achterberg) Sietze Reitsma en Vincent Adolfs Eerst een agenda. Wireless Education case Gerard Jans 10 mei 2012

Agenda Onderwijsgroep Noord IT Organisatie Uitdagingen Architectuur Toekomst Vragen Eerst iets algemeen over Onderwijsgroep Noord, daarna over de IT Organisatie. Uitgebreid over de uitdagingen en oplossingen Schets van de gebruikte Architectuur. Welke uitdagingen liggen voor ons. Als laatste tijd voor vragen. Tussendoor mogen er ook vragen worden gesteld.

Onderwijsgroep Noord Bestuurlijke samenwerking van AOC Terra, Dollard College en rsg de Borgen 24 vestigingen in Groningen, Friesland en Drenthe Praktijkonderwijs, LWOO, VMBO, HAVO, Atheneum, Gymnasium, Technasium, MBO en cursusonderwijs. 1.400 medewerkers en 12.000 deelnemers

IT Organisatie 2 bestuursadviseurs, afdelingshoofd, 10 (senior) systeem/netwerkbeheerder, 3 helpdeskmedewerkers 2 gespiegelde serverruimtes, 160 virtuele servers Netwerk: Glasvezel backbone 4.500 werkplekken 70 switches, 7.000 switchports 600 Access-Points 1 vSphere 5 cluster bestaande uit 16 hosts verdeeld over twee serverruimtes 1 gemirrored SAN omgeving Glasvezel verbindingen naar alle vestigingen. 100 tot 300Mbit/s. Geen routers in het netwerk. De switches verzorgen de routing tussen de vestigingen en Vlans Zo’n 15.000 outlets

Uitdagingen KISS VOIP BYOD en/of 1 computer per deelnemer De gebruikers Keep it simple Stupid, Keep it simple en straightforward KISS, eigenlijk geen uitdaging maar meer een uitgangspunt voor alle trajecten. Implementatie en uitrol VOIP

Uitdaging: KISS KISS: Keep it Simple & Straightforward Relatief veel tijd kwijt aan standaardisatie, weinig tijd kwijt aan beheer. Verregaande standaardisatie: Microsoft producten tenzij.. HP Procurve voor WiFi en ethernet Één keer per jaar nieuwe/vervangen werkplekken. Meerdere acronymen mogelijk: Keep It Simple, Stupid Bij het opzetten en uitvoeren van projecten wordt er veel tijd besteed aan het ‘beheerarm’ opzetten van diensten. Doordat wij met een relatief kleine team moeten werken hebben we niet veel tijd beschikbaar voor het dagelijks beheer. Microsoft producten voor besturingssysteem en beheer (DHCP, DNS, Radius) HP netwerk producten uit één lijn (5412zl, 5406zl, 3500zl) allemaal dezelfde firmware/mogelijkheden Draadloos ook van HP. Vult en sluit goed op elkaar aan Hierdoor maar 4 verschillende desktops en 4 verschillende laptops. Alles met dezelfde image

Uitdaging: VOIP Logisch gescheiden netwerk voor 800 VOIP toestellen Onbekend welke outlet op welke Switchpoort is aangesloten Regelmatig wijzigingen in aansluitingen (Ver)plaatsen van een toestel moet de vestiging zelf kunnen uitvoeren. Niet alle outlets op de vestigingen zijn gepatched. Er zijn zo’n 15.000 outlets op de verschillende vestigingen. Vestiging of helpdesk medewerker moet zonder configuratie werk op de switch en/of telefoon de toestellen kunnen plaatsen. Bij interne verhuizingen moet dit ook simpel uit te voeren zijn.

Oplossing: VOIP Automatisch poort configuratie op basis MAC-Adres Inventory database, Topdesk, met daarin alle devices zoals: computers, printers, VOIP-toestellen, UPSen, DVR enz. Switch stuurt toegangsaanvraag naar Radius Radius stuurt toestemming inclusief VLAN, QoS, Rate-limiting en Access-Lists terug Ingericht voor alle devices, geen handmatig ingestelde poorten meer. Database aanleggen noodzakelijk. Minimaal soort apparaat en Mac-Adres. Database was al aanwezig voor hardware inventory. Aangevuld met allerhande devices zoals klimaatbeheersing, bewakingssystemen, Frankeermachines, Digitale Video Recorders Alle telefoontoestellen zijn door de helpdesk ingescand. Via een eigen ontwikkeld script worden aan de hand van serienummer en mac adres de objecten binnen Topdesk aangemaakt. Via Radius wordt de Switchpoort volledig automatisch geconfigureerd. Standaard Microsoft Network Protection Server (NPS) gebruikt. Daarna wordt via DHCP de telefoon automatisch geconfigureerd. Toestel hoeft niet van te voren en/of op locatie te worden ingesteld. VLAN toekenning gaat volledig automatisch. Alcatel 4018, 4028,4068 Elke device die via Ethernet aangesloten gaat worden moet eerst worden geregistreerd in Topdesk. Sluitende administratie van devices. Er kunnen niet zomaar meer devices aan het netwerk worden gekoppeld. Alles moet worden geregistreerd. Alleen uplink poorten zijn nog handmatig ingesteld. Enerzijds vanwege afwijkende en moeilijk te automatiseren instellingen anderszijds gezien de impact van deze poorten op het netwerk.

Uitdaging: BYOD en/of 1 computer per deelnemer Onderscheidt maken tussen beheerde en onbeheerde devices Simpele toegang voor eigen devices Toegang zowel via WiFi als ethernet voor eigen devices Er was één WiFi / Ethernet netwerk waarop allerlei soorten devices waren verbonden. Zowel laptops lid van het domein als eigen laptops/tablets/SmartPhones. Geen voorrangsregels mogelijk, bandbreedte beperkingen niet te maken. Afscherming van UPSen, Airco’s beheer systemen moeilijk en lastig te onderhouden.

Oplossing: BYOD en/of 1 computer per deelnemer Vanuit het VOIP traject kunnen deelnemers en medewerkers zelf hun device aanmelden op het ethernet netwerk Voor WiFi is gekozen voor 802.1X. Deelnemer en medewerker kan zelf zijn device aanmelden. Verschillende WiFi netwerken ingericht (Gast en Domein) om verkeer te scheiden. Op het Gast netwerk kan alleen gebruik worden gemaakt van de internet verbinding. Vanuit het VOIP project was er al een scheiding te maken tussen beheerde (In topdesk bestaande) systemen en onbeheerde (prive) systemen. Via de standaard mogelijkheid van de switch een pagina gemaakt om gebruikers zelf een account aan te maken. Hierna wordt het apparaat automatisch in het juiste VLAN geplaatst. Dit traject is volledig geautomatiseerd. 802.1X aanmelden door middel van een gebruikersnaam en wachtwoord. Wordt ondersteund door alle moderne devices. Er worden, op dit moment, drie WiFi netwerk aangeboden: Domein, Gast en Voice. Alleen domein computers kunnen in het Domein netwerk, Gast, oftewel eigen computers in het Gasten netwerk en Wireless VOIP toestellen op het Voice netwerk Op het gasten netwerk is geen onderling verkeer mogelijk. Men kan alleen naar het internet. Hiermee wordt overlast door verspreiding malware, uitwisseling bestanden tussen deelnemers en andere kwalijke verkeer vermeden. Heeft ook een nadeel. Hier komen we later op terug.

Uitdaging: De gebruikers Kost meer moeite om eenmalig het device aan te melden op het netwerk Hoe ga je om met externe gebruikers (Schoolartsen, externe begeleiders) Hoe ga je om met overige devices (klimaatbeheersing, beveiligingssystemen, vendingmachines) Opleidingen met speciale behoeftes (ICT/Multimedia opleidingen) Windows XP/7 is lastig door de gebruiker zelf aan te melden. Dit wordt door een Vestiging Medewerker ICT gedaan. Handleiding noodzakelijk. OS X, iOS, Android en Blackberry devices kunnen zonder problemen worden aangemeld. Een aantal medewerkers per vestiging kunnen gasten accounts aanmaken die na een bepaalde tijd verlopen. Personen die regelmatig en voor langere tijd op een vestiging komen krijgen een onbezoldigde aanmelding. Hiermee is er ook meer zicht op wie er allemaal op een vestiging werk uitvoeren. Doordat we makkelijk extra VLANs kunnen aanmaken en automatisch kunnen koppelen aan devices zijn we ook in staat om voor ICT/Multimedia/Labs opleiding makkelijk netwerken in te richten. We hoeven niet bang te zijn dat computers op een verkeerd netwerk terecht komen. Geen handmatige configuratie meer van poorten.

Architectuur Architectuur simpel en met standaard software/apparatuur. Switches maken rechtstreeks contact met de Radius Server van Microsoft (NPS) Configuratie AP door controller (MSM765). Elke AP communiceerd rechtstreeks met Radius server voor validatie. Verkeer wordt ook rechtstreeks op het netwerk gedropt. Loopt niet via Controller voor snellere afhandeling verkeer. Één keer per dag worden de Accounts automatisch gemuteerd vanuit Topdesk in de AD. Na bulkinvoer kan dit script ook handmatig worden gestart.

Toekomst Wireless streaming van iPad naar Apple TV Printen vanaf Tablets/BYOD Ontsluiten van digitale content Eenduidige aanbieding van content aan deelnemers Federation Services (Single Sign-On) ……….. Het huidige netwerk zorgt ervoor dat dit niet mogelijk is. iPad en andere tablets zijn persoonlijke devices. Hoe zit het met beveiliging, wisselen van lokalen…. Meeste nadruk ligt op dit moment op connectivity. Deze uitdaging hebben we voor het grootste gedeelte opgelost. Nieuwe uitdagingen liggen in het beschikbaar maken van digitale content via Apps/HTML5/Bestanden/Printen. Alle diensten zowel intern als extern als één geheel aanbieden. Content van Uitgevers, ELO, kennisnet en eigen transparant aanbieden.

Vragen Vragen