Evolutie van het VHSI-schoolnetwerk
Project aangeboden door Wim Vermeersch voor het behalen van de graad van Bachelor in de New Media and Communication Technology Academiejaar 2013-2014 Stageplaats :Vrij Handels- en Sportinstituut Stagementor :Peter Aarnouts Stagebegeleider :Hans Ameel
Woord vooraf Deze bachelorproef is gemaakt door Wim Vermeersch voor de module Stage in het derde jaar nMCT(New Media and Communication Technology). De bachelorproef is gericht op mensen met een interesse voor netwerkbeheer. Deze stage heeft als doel een eerste werkervaring op te doen en ons voor te bereiden om te gaan werken in de IT-sector. Als oudleerling van het VHSI kwam ik op een schoolreünie in gesprek met Peter Aarnouts, netwerkbeheerder op het VHSI. Hij vertelde me dat er plannen waren om een draadloos netwerk uit te rollen en dat er zich enige problemen voordeden met het virtuele netwerk. Bij de zoektocht naar een geschikte stageplaats was het VHSI een logische keuze. Er waren mogelijkheden voor tal van projecten. Het uiteindelijke project leidde me van switching tot firewalling en tot het opzetten van VMWare omgevingen. Ik bedank Hans Ameel voor de begeleiding tijdens mijn stage, Ann Deraedt en Linda Bruyneel voor het advies en hulp bij het schrijven van mijn bacherlorproef. Ik bedank ook Peter Aarnouts en Bea Vande Cavey netwerkbeheerders/ict-coördinatoren op het VHSI voor een goede begeleiding tijdens deze leerrijke stage en voor een toffe werksfeer.
Inhoudsopgave 1 1.1
Het VHSI .................................................................................................................................... 10 Het bestaande netwerk ......................................................................................................... 10
1.1.1
Administratief netwerk .......................................................................................11
1.1.2
Leerlingennetwerk ..............................................................................................11
1.1.3
Digitale borden ...................................................................................................11
1.1.4
Het internaat ......................................................................................................11
1.2
De netwerken verdeeld over de gebouwen .......................................................................... 12
1.3
Netwerkinfrastructuur ............................................................................................................ 12
1.4
VMWare omgeving ................................................................................................................ 12
1.5
De internetaansluitingen ........................................................................................................ 13
1.6
Een klaslokaal ........................................................................................................................ 13
1.7
IP-adressering ....................................................................................................................... 13
1.7.1
Administratief netwerk .......................................................................................13
1.7.2
Leerlingennetwerk ..............................................................................................14
1.7.3
Internaat- en digitale bordennetwerk .................................................................14
1.8
Toepassingen ........................................................................................................................ 14
1.9
Vereenvoudigd netwerkschema ............................................................................................ 15
2
Het serverpark ........................................................................................................................... 16
3
Evolutie van het VHSI-netwerk .................................................................................................. 17
3.1
Wat kan verbeterd worden aan het VHSI-netwerk?.............................................................. 17
3.2
Waarom één VHSI netwerk? ................................................................................................. 17
3.3
Hoe ziet dit nieuwe netwerk eruit? ........................................................................................ 18
3.3.1
Hergebruiken van het VHSI.lokaal domein .........................................................18
3.3.2
.......................................................................18
3.3.3
IP-adressen ........................................................................................................18
4 4.1
4.1.1
Het realiseren van de evolutie in het VHSI-netwerk .................................................................. 19 Overstap van Smoothwall Express naar Pfsense ................................................................. 19
Smoothwall versus Pfsense ...............................................................................19
4.2
Implementeren van Pfsense: VLAN ....................................................................................... 20
4.3
Implementeren van Pfsense: Firewall .................................................................................... 21
4.4
Implementeren van Pfsense: Proxyservers ........................................................................... 22
4.4.1
Squid als proxyserver.........................................................................................22
4.4.2
Squidguard vs Dansguardian .............................................................................22
4.4.3
Squidguard als webfilter ....................................................................................23
4.4.4
LightSquid gebruiken voor logging ....................................................................24
4.5
4.5.1
Implementeren van Pfsense: Load balancing, CARP en LAGG ........................................... 25
WAN Load balancing .........................................................................................25
4.5.2
LAGG .................................................................................................................27
4.5.3
CARP firewall failover .........................................................................................28
5 5.1
5.1.1
Het virtuele netwerk ................................................................................................................... 29 VMWare ESX ......................................................................................................................... 29
Virtual Center .....................................................................................................29
5.2
VMWare View en VMWare Composer ................................................................................... 29
5.3
Lokale opslag en datastores ................................................................................................. 30
5.4
Wat verwacht het VHSI van een virtueel netwerk? ............................................................... 31
5.4.1
Conclusie ...........................................................................................................31
5.5
Upgraden van de virtuele omgeving ..................................................................................... 31
5.6
SSL-certificaten ..................................................................................................................... 32
5.6.1
Wat zijn SSL-certificaten? ..................................................................................32
5.6.2
VMWare en SSL .................................................................................................32
5.6.3
Windows Server 2008 R2 Active Directory Certificate service............................32
5.7
Single sign-On ....................................................................................................................... 32
5.7.1
Wat is Single Sign-On? ......................................................................................32
5.7.2
Single Sign-On installeren ..................................................................................33
5.7.3
Genereren van SSL-certificaten .........................................................................33
5.8
5.8.1
vSphere webclient installeren................................................................................................ 35
Aanmelden op de web client en Single Sign-on configureren ............................35
5.9
Inventory services .................................................................................................................. 36
5.10
Installeren van het vCenter, de vSphere client en Update Manager .................................... 36
5.11
Updaten van de fysische server van ESX naar ESXi ............................................................. 36
5.11.1
Updaten voorbereiden .......................................................................................36
5.11.2
Uitvoeren van fysische server upgrades en updates ..........................................37
5.12
VMWare Horizon view en Composer .................................................................................... 38
5.12.1
Het installeren van VMWare Horizon view ..........................................................38
5.12.2
De installatie van VMWare Composer ................................................................38
5.12.3
Horizon view connecteren met het vCenter en Composer .................................38
5.12.4
Aanmaken van een virtuele machine voor virtueel bureaublad ...........................39
5.12.5
Definiëren van pools en aanmaken van bureaubladen op basis van de master .40
6
Draadloos netwerk .................................................................................................................... 42
6.1
Ruckus ZoneDirector en ZoneFlex ........................................................................................ 42
6.2
ZoneDirector voor centraal beheer ....................................................................................... 42
6.2.1 6.3
Implementatie van de ZoneDirector in het bestaande netwerk ..........................43 Plaatsen van ZoneFlex access points ................................................................................... 48
7
Literatuurlijst .............................................................................................................................. 49
8
Lijst van afbeeldingen ................................................................................................................ 50
9
Bijlagen ...................................................................................................................................... 51
9.1
Bijlage 1: Handleiding voor het implementeren van een nieuw lokaal in het VHSI-netwerk 51
9.1.1
Stap één: aanmaken van een VLAN in Pfsense ..................................................51
9.1.2
Stap twee: DHCP toekennen aan een VLAN ......................................................52
9.1.3
Stap drie: Toevoegen van regels in de firewall ...................................................53
9.1.4
....................................................57
9.2
Bijlage 2: Lab9 access points ............................................................................................... 60
Wim Vermeersch
Evolutie van het VHSI-schoolnetwerk
Inleiding Het VHSI heeft een groot schoolnetwerk dat door de jaren heen heel wat veranderingen heeft ondergaan. Telkens is iets bijgevoegd, maar nooit is er tijd geweest om de basis mee te evolueren en aan te passen De bachelorproef bespreekt het VHSI-netwerk en kaart de problematiek aan. Er wordt aangetoond wat de problemen zijn en hoe deze mogelijk kunnen opgelost worden.
het netwerk te segmenteren per gebruikersgroep of locatie. Pfsense biedt hiernaast een beveiliging op vlak van firewallregels en webfiltering door middel van een proxyserverpakket. Tijdens de upgrade van het netwerk is gekozen om ook de virtuele omgeving te vernieuwen. Er wordt besproken hoe een VMWare omgeving geïnstalleerd wordt en hoe fysische server geüpgradet worden. De virtuele omgeving wordt onder andere gebruikt voor virtuele bureaubladen. Er wordt besproken hoe deze gemaakt en geoptimaliseerd worden. Tenslotte wordt de implementatie van een draadloos netwerk besproken dat aan de hand van Ruckus producten toegevoegd zijn aan het VHSI-netwerk. Er wordt besproken hoe deze producten van het bestaande netwerk gebruik maken, wat nodig is om een WLAN op te zetten en deze te beheren. In de bijlage is een handleiding voorzien voor het toevoegen van een computerlokaal aan het VHSI-netwerk en toegekend worden, in Pfsense maar ook op de switchen aanwezig in het schoolnetwerk.
7
Wim Vermeersch
Evolutie van het VHSI-schoolnetwerk
Verklarende woordenlijst CARP
Een protocol die toelaat om meerdere hosts in een lokaal netwerk hetzelfde IP-adres te laten delen.
DNS
Netwerkprotocol dat namen van computers omzet naar numerieke adressen en omgekeerd.
FQDN
De absolute domeinnaam, waarbij de exacte positie in de hiërarchie van de DNS duidelijk wordt.
Kernel
Meest centrale deel van het besturingssysteem.
SSL
Encryptie protocol die communicatie op het internet beveiligt
LAGG
Staat de aggregatie toe van meerdere interfaces als één virtuele LAGG interface
Afkortingen BYOD
Bring Your Own Device
CARP
Common Address Redundancy Protocol
DNS
Domain Name System
EVC
Enhanced vMotion Compatibility
FQDN
Fully Qualified Domain Name
LAGG
Link Aggregation
LAN
Local Area Network
PCoIP
Personal Computer over Internet Protocol
PSK
pre-shared key
SAN
Storage Area Network
SSL
Secure Sockets Layer
VHSI
Vrij Handels- en SportInstituut
VLAN
Virtual local Area Network
VMFS
Virtual Machine File System
WAN
Wide Area Network
WLAN
Wireless local Area Network
8
Wim Vermeersch
Evolutie van het VHSI-schoolnetwerk
Afbeeldingen
Het internet, WAN
Router
Modem
Switch
Firewall
Rackserver
Computer
9
Wim Vermeersch
Evolutie van het VHSI-schoolnetwerk
1 Het VHSI heeft drie gebouwen: het hoofdgebouw, sporthal 16 en sporthal 18.
Figuur 1 Plattegrond van het domein "Ter Groene Poorte"
1.1 Het bestaande netwerk Het netwerk bestaat uit vier verschillende fysisch gescheiden netwerken: administratie, leerlingen, digitale borden en internaat. Elk netwerk heeft zijn eigen internetaansluiting. Het netwerk internaat en administratie hebben een ADSL-aansluiting. Het netwerk leerlingen en digitale borden gaan via Telenet aansluitingen.
10
Wim Vermeersch
Evolutie van het VHSI-schoolnetwerk
1.1.1 Administratief netwerk Dit netwerk is exclusief voor administratie. Hier worden de volgende taken uitgevoerd: boekhouding, leerlingenadministratie, personeelsadministratie, leerlingenbegeleiding en algemene administratie. De gebruikers van dit netwerk zijn: het administratief personeel, de studiemeesters, CLBmedewerkers en de directie.
computers,
en bevat een 20-tal -aansluiting voor het internet.
Leerkrachten hebben ook een login louter voor het uitvoeren van printopdrachten. Deze printopdrachten zijn bedoeld om studiemateriaal, toetsen en examens af te drukken voor een klas.
1.1.2 Leerlingennetwerk Dit netwerk is exclusief voor leerlingen en leerkrachten. Dit netwerk staat in functie van het lesgebeuren. De volgende software wordt hier vooral gebruikt: Microsoft Office, Visual Studio en toepassingssoftware voor notariaat en advocatuur. en bevat een 250- tal co quitrac en een Telenet- aansluiting voor internet.
1.1.3 Digitale borden In de school zijn er een achttal digitale borden die elk op zich verbonden zijn met het internet. Dit is geen domeinnetwerk maar een peer-to-peer netwerk.
1.1.4 Het internaat De school heeft een internaat waarin er een veertigtal leerlingen gehuisvest zijn. Op het internaat zijn er een zestal vaste computers en leerlingen mogen hun eigen laptop meebrengen om draadloos te verbinden met het internet. Dit is geen domeinnetwerk maar ook een peer-to-peer netwerk.
11
Wim Vermeersch
Evolutie van het VHSI-schoolnetwerk
1.2 De netwerken verdeeld over de gebouwen Daar de school verspreid is over drie gebouwen, wordt in het hoofdgebouw en sporthal 16 gebruik gemaakt van het administratief netwerk. In het hoofdgebouw is ook het internaat ondergebracht die op zijn beurt gebruik maakt van het internaatnetwerk. In het hoofdgebouw zijn een veertigtal klaslokalen, waarvan er een twaalftal voorzien zijn van een computer met beamer. Er zijn ook tien computerklassen waar leerlingen zich kunnen aanmelden in het leerlingennetwerk. Tevens zijn er ook twee klaslokalen uitgerust met digitale borden die gekoppeld zijn aan het netwerk van het internaat. In sporthal 16 wordt een gedeelte van de administratie gedaan en zijn er zes klaslokalen die voorzien zijn van een digitaal bord. Deze borden zitten in een netwerk die enkel van internet voorzien wordt. In sporthal 16 is er een Telenet aansluiting voorzien. Sporthal 18 en sporthal 16 zijn met fysisch met elkaar verbonden door middel van een kabel. In sporthal 18 zijn er drie klaslokalen en tien laptops die op hun beurt kunnen gebruik maken van het digitale bordennetwerk. Sporthal 16 en het hoofdgebouw zijn met elkaar verbonden door middel van een straalverbinding. Het hoofdgebouw wordt verdeeld in een oud en een nieuw gedeelte, dit omdat ze op verschillende tijdstippen gebouwd zijn. Tussen deze gebouwen is een bufferzone aanwezig enkele kantoren. Ook al is dit één gebouw, toch wordt hij in het netwerk opgedeeld. De oudbouw en de nieuwbouw hangen samen door middel van een glasvezelverbinding. Dit is de enige netwerklink tussen de twee delen van het gebouw. De lichtstraat is op netwerkniveau een deel van de nieuwbouw.
1.3 Netwerkinfrastructuur In het administratief netwerk zijn drie servers: één domeincontroller, een fileserver een omgeving. Het leerlingennetwerk bevat een domeincontroller, een NAS, een SQL-server en een printserver. De SQL-server is gevirtualiseerd in een VMWare omgeving. Het internaat- en het digtiale bordennetwerk zijn een peer-to-peer netwerk en bieden enkel toegang tot het internet.
1.4 VMWare omgeving De VMWare omgeving bestaat uit drie ESX-servers, waarvan er twee gebruikt worden voor de gevirtualiseerde fileserver, printservers en SQL server. De derde ESX-server wordt gebruikt om een klas te voorzien van virtuele bureaubladen.
12
Wim Vermeersch
Evolutie van het VHSI-schoolnetwerk
1.5 De internetaansluitingen Het administratief netwerk, het internaatnetwerk en het digitale borden netwerk in het hoofdgebouw maken gebruik van een ADSL-aansluiting via een Belgacom router (cisco 820). Het administratief netwerk is beveiligd door een software firewall Pfsense. Het leerlingennetwerk en de sporthallen hebben een internetverbinding via een Telenetaansluiting die wordt beveiligd door middel van een software router/firewall Smoothwall Express.
Figuur 2 Internet aansluiting in het hoofdgebouw
1.6 Een klaslokaal Elk informaticalokaal is ongeveer gelijk. Telkens is voor één lokaal een switch (layer 2 unmanaged) aanwezig. Per klaslokaal zijn er een minimum van 16 en een maximum van 22 computers aangesloten. Bijna overal is een netwerkprinter aanwezig.
1.7 IP-adressering Alle netwerk zijn gebaseerd op een klasse B netwerk.
1.7.1 Administratief netwerk De servers: de domeincontroller, de fileserver en de printserver bevinden zich in de range 172.16.1.X/16, de computers in de range 172.16.17.X/16. Een DHCP-server zendt adressen uit voor draadloze verbindingen in dezelfde range als de computers.
13
Wim Vermeersch
Evolutie van het VHSI-schoolnetwerk
1.7.2 Leerlingennetwerk De servers: de domeincontroller, de fileserver en de printserver bevinden zich in de range 172.16.1.X/16, de computers in de range 172.16.A.B waar A het lokaal is en B de computer in het lokaal. Bijvoorbeeld: Computer 1 in lokaal 160 krijg als IP-adres 172.16.160.1. Een DHCP-server zendt adressen uit voor draadloze verbindingen in de range 172.16.150.X/16.
1.7.3 Internaat- en digitale bordennetwerk Computers en digitale borden in dit netwerk bevinden zich in de range 172.16.22.X/17.
1.8 Toepassingen In het administratief netwerk wordt er geprint via een PaperCutserver. Via PaperCut kunnen de printtaken bijgehouden worden per gebruiker. Het leerlingennetwerk gebruikt hiervoor het softwarepakket Equitrac. Als lesmateriaal wordt voor het secundair na secundair (Se-n-Se) jaar administratie vrije beroepen het softwarepakket ActaLibra gebruikt. Dit is een notarieel softwarepakket en gebruikt een Microsoft SQL Express 2005 database. Tijdens de examenperiode wordt in de zorgklas gebruik gemaakt van Sprint. Dit voorleesprogramma helpt leerlingen met dyslexie tijdens hun examens. De software werkt met een USB-stick waarop een licentiesleutel aanwezig is. Via het netwerk vindt de software van de leerlingen de sleutel op de server terug.
14
Wim Vermeersch
Evolutie van het VHSI-schoolnetwerk
1.9 Vereenvoudigd netwerkschema
Figuur 3 vereenvoudig netwerkschema
Een reden van dit heterogeen netwerk komt voort beslissingen op directieniveau. Het netwerk van de leerlingen en administratie moesten gescheiden zijn.
15
Wim Vermeersch
Evolutie van het VHSI-schoolnetwerk
2 Het serverpark Er zijn twee Windows server 2008 R2 domeincontrollers aanwezig: één voor het administratief netwerk en één voor het leerlingennetwerk. Op beide domeincontrollers wordt het gebruikersbeheer geregeld en computers voorzien van een IP-adres via de DHCP-service. Er zijn drie ESX-servers (VMWare): twee voor een fileserver, de printservers en een SQL-server en één voor virtuele bureaubladen. De ESX-servers draaien het vSphere 4.1 besturingssysteem. Het beheer van de ESX-servers en de gevirtualiseerde servers (fileserver, printservers, SQL-server en virtuele bureaubladen) gebeurt door een vCenter. Een SAN heeft een virtuele diskset met 6X300GB en een virtuele disk set van 6X1TB. De SAN is geïmplementeerd in een RAID5 om gegevensverlies te voorkomen. Voor het leerlingennetwerk is er een NAS van 1TB als fileserver geïmplementeerd ,die ook in RAID5 staat.
Figuur 4 serverrack in het computercentrum
16
Wim Vermeersch
Evolutie van het VHSI-schoolnetwerk
3 Evolutie van het VHSI-netwerk 3.1 Wat kan verbeterd worden aan het VHSI-netwerk? De bestaande situatie is een complex te onderhouden netwerk:
Centraal beheer op de verschillende domeinen Overtollige internetaansluitingen Het onderhouden van meerdere printservers Overkill in de IP-adressering (elk netwerk beschikt over 65534 adressen) Dubbele aankoop van netwerkapparatuur (voor het gescheiden houden van de netwerken)
De opdracht bestaat er in om naar één netwerk te evolueren.
3.2 Waarom één VHSI netwerk? Door gebruik te maken van één domein en één netwerk worden op verschillende niveaus verbeteringen toegepast. Als we één domein gebruiken, betekent dit dat er één centrale plaats is waar gebruikers beheerd kunnen worden. Hiernaast is een tweede server vrijgekomen die kan gebruikt worden als read-only domeincontroller. Dit wil zeggen dat twee servers aanmeldingen van gebruikers regelen in het netwerk. De tweede server kan echter bijvoorbeeld in sporthal 16 geplaatst worden om een beter aanmelding te verzekeren op die locatie. Er komen ook internetaansluitingen vrij. Deze kunnen gebruikt worden voor load balancing en failover. Het webverkeer gaat over twee verschillen technologieën naar buiten. Als één ervan offline gaat, zal alles over de andere gaan. Bijvoorbeeld als Telenet problemen ondervindt zal al het webverkeer over de Belgacomlijn gaan.
te maken van virtual LAN kan het netwerk verdeeld worden in verschillende segmenten om een grotere beveiliging te bereiken. Dus een toestel in een VLAN zal geen toegang krijgen tot een toestel in een andere VLAN. Op die manier kan het administratief netwerk gescheiden blijven van het leerlingen netwerk.
17
Wim Vermeersch
Evolutie van het VHSI-schoolnetwerk
3.3 Hoe ziet dit nieuwe netwerk eruit? 3.3.1 Hergebruiken van het VHSI.lokaal domein Het leerlingendomein wordt geïntegreerd in dat van de administratie. De server is krachtiger en heeft een basisconfiguratie. Dit betekent dat er voldoende mogelijkheden zijn om deze server aan te passen waar nodig zonder drastische wijzigingen te moeten doorvoeren.
3.3.2 Hoe worden VLAN’s toegekend? zijn geen switchen ter beschikking die dit ondersteunen. We kunnen dus niet gaan segmenteren op basis van welke computer in welke VLAN komt. Dit zou handig zijn om bijvoorbeeld de beamercomputers voor de leerkrachten in een andere VLAN te plaatsen dan de computers van de leerlingen. Wel kan een lokaal in een VLAN geplaatst worden. Dit beperkt de toegang voor de leerlingen tot het lokaal waarin ze zich bevinden. De administratie, de server en het internaat krijgen elk een eigen VLAN zodat verschillende beveiliging regels kunnen toegepast worden.
3.3.3 IP-adressen Om het overzicht te behouden blijven de IP-adressen in een klasse B netwerk. Hetzelfde principe blijft 172.16.A.B waar A het lokaalnummer is en B de computer in het lokaal. Wel is overgeschakeld naar een 24 subnet voor de lokalen. Dit wil zeggen dat er maximaal 254 adressen per VLAN beschikbaar zijn. De eerste 29 adressen worden gebruik voor vaste computers. Vervolgens wordt een DHCP toekenning gebruikt voor de adressen 30 tot 100. Het gatewayadres per VLAN is telkens 172.16.lokaalnummer.254.
18
Wim Vermeersch
Evolutie van het VHSI-schoolnetwerk
4 Het realiseren van de evolutie in het VHSI-netwerk Beide domeinen kunnen niet zomaar gekoppeld worden aan elkaar. Het oude leerlingen- en administratief netwerk gebruiken beide dezelfde subnetten. Omdat de domeincontrollers hetzelfde IP-adres hebben, zouden IP-conflicten optreden. Dit zou zorgen voor heel wat problemen.
routes worden toegekend. Op deze manier worden conflicten voorkomen. Om beperkingen in te stellen van wat wel en niet toegelaten is in het netwerk wordt een firewall en proxyserver gebruikt. Via firewallregels is het mogelijk de toegang tot bepaalde services te beperken in een netwerk. Een proxyserver kan hierboven het webverkeer filteren zodat niet kan gesurft worden naar sites die niet stroken met de waarden van een (katholieke) school.
4.1 Overstap van Smoothwall Express naar Pfsense De software Smoothwall Express 3.0 wordt als firewall gebruikt. Via modules is squid toegevoegd als proxyserver. Er is een filter aanwezig voor het webverkeer. Na het plaatsen van deze proxyserver in 2007, is die nooit meer vernieuwd. Er zijn geen updates geïnstalleerd en de hardware is verouderd. Het toestel loopt vaak vast, het geheugen loopt vol. Op piekmomenten kunnen een 150 tal computers connecteren op de firewall. Deze moet per aanvraag gaan verwerken of een gebruiker wel degelijk mag surfen.
4.1.1 Smoothwall versus Pfsense Smoothwall
Smoothwall is een linux distributie gemaakt om een simpele computer te gaan gebruiken als firewall. Via een gemakkelijk te gebruiken webinterface kan de onervaren Linux gebruiker toch de firewall opzetten. Smoothwall Express wordt beheerd door een gemeenschap en is dus vrij verkrijgbaar. Hiernaast is er een commerciële versie van Smoothwall beschikbaar. Jammer genoeg zorgt dit ervoor dat heel wat functies niet beschikbaar zijn in de gratis versie. Pfsense
Pfsense is gebaseerd op FreeBSD en startte als een fork van m0n0wall. Het staat bekend voor zijn robuustheid en biedt een waaier van functies aan. Veel van deze functies kan je vaak enkel terugvinden in commerciële firewalls. Pfsense biedt naast de ingebouwde functies vele extra modules aan die makkelijk te instaleren zijn.
19
Wim Vermeersch
Evolutie van het VHSI-schoolnetwerk
Waarom is er gekozen voor Pfsense?
Beide distributies bieden een snelle installatie aan en een gebruiksvriendelijke webinterface. Installeren kan je op bijna eender welk systeem. Smoothwall express is jammer genoeg beperkt in het aanbod aan gratis functies . In het VHSI wordt ook al Pfsense gebruikt als proxyserver/firewall van het administratief netwerk en dat van de sporthallen. In de scholengemeenschap is het ook geen onbekend systeem en er worden daar enkele cursussen aangeboden om een Pfsense firewall op te zetten.
4.2 Implementeren van Pfsense: VLAN In Pfsense wordt een VLAN telkens gezien als een netwerkkaart..
Figuur 5 lijst van VLAN's in Pfsense
Een VLAN wordt gekoppeld aan een fysische netwerkkaart en daarna gezien als zijn eigen Interface
Figuur 6 lijst van interfaces in Pfsense
Het is noodzakelijk Pfsense te herstarten na het toepassen van deze instellingen. Dit kan gezien worden als het toevoegen van een fysische netwerkkaart. Voordat de computer die kan zien moet hij herstarten. Interfaces kunnen in groepen geplaatst worden. Op die groepen kunnen dan regels toegekend worden. Alle lokalen worden toegevoegd in één groep. Zo kan snel en gemakkelijk globale regels toegekend worden. Een vast IP-adres wordt toegekend aan de interface, deze zal binnen die VLAN dienen als gateway. Elke VLAN heeft een DHCP-scope van 172.16.lokaalnummer.30 tot 172.16.lokaalnummer.100, de DNS-server is de domein controller 172.16.1.1. De gateway wordt automatisch geplaatst op het adres van de VLAN.
20
Wim Vermeersch
Evolutie van het VHSI-schoolnetwerk
4.3 Implementeren van Pfsense: Firewall Omdat dit hier niet aanwezig is, doet Pfsense dit op basis van firewallregels. Deze regels zorgen natuurlijk ook voor beperking van toegang tot het netwerk. Een interface heeft automatisch geen enkele toegang tot het netwerk. Er kan dus geen communicatie met het internet. Leerlingen hoeven enkel te kunnen surfen over http (poort 80) en https (poort 443). Als er bijvoorbeeld toegang moet verleend worden voor poort 21 (ftp) in een informaticarichting, kan dit toegepast worden in één bepaald lokaal. Een lokaal heeft telkens ook toegang tot de server VLAN. In de server VLAN bevinden zich alle servers zoals de domeincontroller en dataservers. Deze moeten toegankelijk zijn voor alle netwerkgebruikers. De meeste lokalen hebben een printer. Een lokaal zal kunnen communiceren met het aanliggende lokaal. Dit zorgt ervoor dat er telkens 2 printers toegankelijk zijn voor elke VLAN. Dit om printproblemen, zoals een papiertekort, alsnog te kunnen oplossen door de printer in het andere lokaal te kunnen selecteren. Als toegang moet verleend worden tot een VLAN, wordt als source het lokale VLAN gebruikt. Als destination wordt het VLAN geplaatst waarmee moet gecommuniceerd worden. Hiernaast moet het subnet vermeld worden van het VLAN dat bereikt moet worden. Wanneer enkel de VLAN toegekend wordt zal communicatie mogelijk zijn op de VLAN interface en de DHCPadressen. Statische IP-adressen worden pas toegelaten als het gebruikte subnet als regel wordt toegevoegd.
Figuur 7 lijst van firewallregels in Pfsense
21
Wim Vermeersch
Evolutie van het VHSI-schoolnetwerk
4.4 Implementeren van Pfsense: Proxyservers 4.4.1 Squid als proxyserver Squid wordt gebruikt als proxyserver. Deze voldoet aan de benodigdheden, is makkelijk in te stellen en te beheren. Er zijn veel modules die zich baseren op de Squid proxyserver en dit biedt dus mogelijkheden voor uitbreiding. Squid wordt ingesteld op de LAN-verbinding en wordt gebruikt als transparante http-proxy. Dit zorgt ervoor dat wanneer gebruikers connecteren via poort 80, ze doorverbonden worden naar de proxyserver. Omdat poort 443 (https) gebruik maakt van encryptie is het niet mogelijk deze te filteren zonder toestemming van de gebruiker.Hierdoor hoeven gebruikers geen extra instellingen te configureren op hun computer. De gateway van de computer staat ingesteld op de proxyserver (172.16.1.2) of wordt via de DHCP uitgedeeld. Verder zullen leerlingen beperkt worden in het downloaden van grote files van het internet. Dit kunnen we via traffic management doen. We beperken ze op 80 MB. Hierdoor kunnen ze de meeste vakgerelateerde bestanden nog afhalen. Het is belangerijk dat we logging aanzetten. Dit zal ons verder in deze opzet helpen.
4.4.2 Squidguard vs Dansguardian Squidguard
Zoals de naam al doet vermoeden is Squidguard gemaakt voor het gebruik met Squid. Op surft naar een geblokkeerde website zal het dus op een voorgedefinieerde pagina komen. Hier kunnen we dan melden waarom de gebruiker geen toegang heeft tot de website. Dansguardian
Dansguardian is net als Squidguard een filter om inhoud te controleren van het webverkeer. Naast het sguardian filteren op woorden,
pornografische website. Maar wat als het een educatieve website is? Naast filteren op het enkele malen op een pagina voorkomen is er een vermoeden dat het om een educatieve pagina gaat.
22
Wim Vermeersch
Evolutie van het VHSI-schoolnetwerk
Conclusie
Snel bleek dat Dansguardian veel meer opties had en dus ook een beter keuze was in ons project. Waarom is dan gekozen voor Squidguard? Dansguardian werd onderhouden door de organisatie achter Smoothwall. Smoothwall heeft het project enige tijd on hold gezet en is recentelijk weer gestart. Maar na het opzetten bleek dat een bug ons na een dag de das omdeed. Telkens opnieuw ging de server na enkele uren offline. Er zijn nieuwe versies beschikbaar maar enkel in beta. Ook moeten deze geïnstalleerd worden op het toestel zelf en niet als package binnen Pfsense. Dit zorgt dat ze naar de toekomst toe moeilijk te updaten zullen zijn. Om deze reden is gekozen voor Squidguard die ons zekerheid zal brengen mits enige beperkingen.
4.4.3 Squidguard als webfilter In tegenstelling tot Dansguardian is Squidguard simpel te configureren, dit omdat het als basis Squid zelf gebruikt. We stellen onze blacklist in. Er is gebruik gemaakt van de Shalla blacklist. Deze is gratis voor niet commercieel gebruik en scholen. Per categorie kunnen we gaan instellen of we de websites toestaan, blokkeren of gebruik maken van een whitelist. Wanneer we kiezen voor een whitelist, zal binnen die categorie gefilterd worden op elke websites of al dan niet toegang gegeven wordt. Zo zal een site met humor enkel toegestaan worden als het gaat om niet seksueel getint materiaal. Standaard stellen we in dat websites worden toegestaan, anders zullen websites niet gekend door de blacklist geblokkeerd worden.
Figuur 8 Blacklist categorieën
Om te zorgen dat het internaat kan surfen naar bijvoorbeeld websites als Facebook, gaan we de IP-adressen van hun computer in een groep ACL plaatsen. Zo kan een aparte filter toegepast worden op deze computers. We willen hen toegang geven tot Facebook maar niet tot pornografisch materiaal. In de lokalen worden de beamercomputers niet altijd gebruikt door leerlingen maar ook door leerkrachten. Daarom gaan we ook deze computers in een aparte groep onderbrengen. Hier geven we toestemming tot websites zoals www.youtube.com. Dit wil dus zeggen dat leerlingen die aan deze computer werken geluk hebben. Naast het gebruik van de blacklist wordt een eigen categorie gemaakt. Hier kunnen we sites in definiëren die niet gekend zijn door de blacklist. Daarnaast worden regels vastgelegd die sites kunnen. Do not allow IP-Addresses in URL” . Dit zorgt ervoor dat er niet naar directe IP-adressen kan gesurft worden. De filter van de proxyserver geldt dan ook enkel op de FQDN.
23
Wim Vermeersch
Evolutie van het VHSI-schoolnetwerk
4.4.4 LightSquid gebruiken voor logging Om te zien waar onze gebruikers naar surfen kunnen we gebruik maken van Lightsquid, makelijk van opzet en snel van gebruik. Opnieuw is dit een module speciaal gemaakt voor Squid. Met deze loggingtool kunnen we zien of onze filter eigenlijk wel werkt. Hiernaast zien we ook hoeveel bepaalde websites verbruiken. Op basis van IP-adres zien we welke computer naar waar heeft gesurft.
Figuur 9 Verbruik per computer na een halve dag school
Figuur 10 Top 10 hoog verbruikende websites van één computer
24
Wim Vermeersch
Evolutie van het VHSI-schoolnetwerk
4.5 Implementeren van Pfsense: Load balancing, CARP en LAGG Omdat Pfsense een cruciale rol gaat spelen binnen het VHSI-netwerk is het nodig te zorgen voor redundantie. Pfsense biedt enkele mogelijkheden die zouden kunnen toegepast worden. Door een gebrek aan middelen en problemen met internetproviders is het niet mogelijk geweest volgende toe te passen en is het louter informatief.
4.5.1 WAN Load balancing Nu meerdere verbindingen naar het internet mogelijk zijn, kan gebruik gemaakt worden van WAN load balancing. Via load balancing kan het webverkeer verdeeld worden over meerdere verbindingen. Dit wil zeggen dat als een persoon bijvoorbeeld surft naar www.google.com dat hij via Telenet deze site zal bereiken. In een tweede venster kan hij surfen naar www.yahoo.com en de verbinding kan via Belgacom bereikt worden. Als naar een site als www.whatsmyip.org gesurft wordt, is het mogelijk dat na het verversen van de pagina een ander IP-adres te zien is, het ene van Telenet, het andere van Belgacom. Belangrijk is dat bij load balancing ook automatisch failover wordt toegepast. Als één lijn niet meer bereikbaar is, er is een storing bij Telenet, zal al het verkeer over de Belgacomlijn gaan. Dit zorgt voor redundantie, de kans dat beide lijnen tegelijk offline gaan is zeer klein.
Figuur 11 load balancing van twee internet aansluitingen
Load balancing in Pfsense werkt op basis van round-robin. Telkens een aanvraag gedaan wordt zal naar een verbinding gewezen worden. De eerste aanvraag wijst naar de eerste verbinding, de tweede naar de tweede verbinding. Een derde zal terug naar de eerste verbinding gaan in het geval er enkel twee verbindingen aanwezig zijn. De load zal dus even verdeeld worden over beide verbindingen.
25
Wim Vermeersch
Evolutie van het VHSI-schoolnetwerk
Implementeren van WAN load balancing
Elke externe verbinding zal toegevoegd worden als gateway, die dan respectievelijk gekoppeld wordt aan de interface waarbij hij hoort. De interface heeft een statisch IP-adres nodig. Zonder statisch IP-adres kan geen gateway toegepast worden. Het monitoring IP-adres is geplaatst op een extern adres. Als dit geplaatst wordt naar de interne router, kan niet getest worden of de effectieve connectie naar buiten al dan niet offline is. Het nadeel is dat als het adres extern offline gaat, los van de internetverbinding van Telenet of Belgacom, de connectie op die lijn verbroken zal worden.
Figuur 12 instellen van een gateway voor load balancing
Beide gateways worden in een groep geplaatst in dezelfde tier. Omdat de gateways aanwezig zijn in dezelfde tier hebben ze dezelfde prioriteit. Hierdoor wordt het round-robin effect toegepast. Om te zorgen dat gebruik gemaakt wordt van de load balancinggroep wordt bij het aanmaken van firewallregels als gateway, de groep geselecteerd. Dit is enkel nodig bij firewallregels die gebruik maken van externe connecties zoals surfen op het internet.
26
Wim Vermeersch
Evolutie van het VHSI-schoolnetwerk
4.5.2 LAGG LAGG staat aggregatie van fysische netwerkinterfaces toe als één virtuele LAGG interface. Dit heeft als doel hogere linksnelheden te behalen of fouttolerantie toe te passen. LAGG wordt toegepast aan de LAN-zijde van de firewall. Er zijn verschillende opties bij het configureren van LAGG die in het VHSI interessant kunnen zijn. Er kan gebruik gemaakt worden van failover, al het verkeer zal over één link gaan. Wanneer gemerkt wordt dat deze link niet beschikbaar is, zal overgeschakeld worden naar een tweede verbinding. Load balancing zal kijken naar informatie, beschikbaar in de pakketten. Zo zal het verkeer regelen over de twee verbindingen op basis van VLAN of IP-adresinformatie. Een round-robin oplossing is mogelijk. Deze zal het verkeer gelijk verdelen over beide verbindingen.
Figuur 13 toepassen van LAGG met twee verbinding op Pfsense naar één switch
LAGG kan toegepast worden met twee verbindingen naar één switch of het kan toegepast worden met één verbinding naar twee switchen.
Figuur 14 toepaasen van LAGG met twee verbindingen op Pfsense naar twee switchen
27
Wim Vermeersch
Evolutie van het VHSI-schoolnetwerk
4.5.3 CARP firewall failover LAGG en WAN load balancing zorgen voor een verbeterde redundantie op netwerkniveau. Maar wat als de Pfsense host het begeeft? CARP laat het gebruik van één netwerkadres toe voor meerdere hosts. Op deze manier is het mogelijk een tweede Pfsense firewall in te stellen als backup. Wanneer de primaire firewall het begeeft zal de tweede het overnemen. Beide firewalls maken gebruik van Pfsync. Dit protocol gaat de staat van de firewalls, synchroniseren met elkaar. Zo zal de backup firewall altijd dezelfde informatie hebben als de primaire.
Figuur 15 toepassing van CARP
28
Wim Vermeersch
Evolutie van het VHSI-schoolnetwerk
5 Het virtuele netwerk Al enige tijd kampen de virtuele bureaubladen met problemen. Ze gaan traag, verbinden moeilijk en na gebruik blijven ze vast hangen aan de laatst aangemelde gebruiker. Dit zorgt natuurlijk voor enige frustratie voor leerlingen en leerkrachten die les hebben in dit lokaal. Er zullen in de toekomst nog veel servers toegevoegd worden aan het VHSI netwerk. De dataserver en sprintserver zullen bijvoorbeeld virtueel gedraaid worden. De dataserver van het leerlingennetwerk uit 2007 is einde leeftijd en crasht wekelijks. Hij zal dus niet meer gebruikt worden in het nieuwe schoolnetwerk. Een fysische toestel reserveren voor een USB-stick met de Sprintlicentie is ook overbodig. Tijdens de uitrol naar het geëvolueerde VHSI-netwerk is beslist het virtuele netwerk mee te upgraden.
5.1 VMWare ESX ESX is een product van VMWare voor computer virtualisatie en draait op bare metal. Dit wil zeggen dat het beschikt over zijn eigen kernel. Het draait dus niet op een systeem van een derde partij zoals Microsoft Windows.
5.1.1 Virtual Center Virtual Center of vCenter zorgt voor een centraal beheer van de servers. Het laat toe snel nieuwe virtuele machines aan te maken. Deze kunnen verdeeld worden over drie fysische machines. Als de eerste server een tekort heeft aan middelen, dan kunnen virtuele machines verplaatst worden naar de tweede of derde fysische ESX-machine.
5.2 VMWare View en VMWare Composer VMWare view 5.2 voorziet een lokaal van virtuele bureaubladen. Windows XP draait dus op de ESX-servers en de gebruikers connecteren hiernaar toe. Dit wil zeggen dat de server wat meer middelen nodig heeft maar de computers van de gebruikers minder krachtig hoeven te zijn. Dit alles gaat over het PcoIP-protocol. Het is een op UDP gebaseerde extern schermprotocol. Afbeeldingen worden op de server als pixels gecomprimeerd, gecodeerd en verzonden naar de gebruiker. De computer van de gebruiker zal dan de pixels decrypteren en decomprimeren. VMWare Composer gaat onze virtuele bureaubladen regelen. We maken één virtuele machine, die gaan we klonen. Als een update of verandering toegepast wordt op deze ene machine zullen de klonen die update overnemen. Met VMWare Composer kan dus veel werk en opslag gespaard worden. Er hoeft maar één virtuele machine aangepast of geüpdatet te worden en niet de zestien die gebruikt worden. Om een veilige connectie te garanderen tussen de viewserver en gebruikers is een Windows server 2008 R2 certificaatserver aanwezig.
29
Wim Vermeersch
Evolutie van het VHSI-schoolnetwerk
5.3 Lokale opslag en datastores VMWare gebruikt datastores om zijn virtuele machines en data in op te slaan. Een datastore is platform en gastheer onafhankelijk. Dit zorgt ervoor dat datastores niet veranderen wanneer de data die ze bevatten veranderd of verplaatst wordt. Datastores kunnen bestaan uit VMFS volumes en zijn geclusterde bestandssystemen. Ze kunnen door meerdere servers tegelijk benaderd worden door middel van een per bestandsvergrendeling. Alle virtuele machines behalve de View cliënten worden opgeslagen op de lokale datastores op de ESX-servers. De view cliënten worden opgeslagen op datastores die verblijven op de SAN.
Figuur 16 toekenning van datastores aan ESX servers
30
Wim Vermeersch
Evolutie van het VHSI-schoolnetwerk
5.4 Wat verwacht het VHSI van een virtueel netwerk? Het VHSI gebruikt de ESX-omgeving voor om diverse redenen onder andere om kosten te besparen op fysische hardware. De hardware wordt dus beter benut voor zijn prijs en zorgt voor een hogere uptime van de servers. Als een fysische toestel het begeeft willen we zo snel mogelijk terug kunnen gebruik maken van de toepassing dat de server biedt. Natuurlijk moeten de problemen rond de virtuele bureaubladen opgelost raken.
5.4.1 Conclusie De huidige situatie voldoet niet aan de wensen van het VHSI. Enkel esx3 wordt volledig benut. Net omdat er een dertigtal virtuele machines aanwezig zijn, gaan de virtuele bureaubladen traag. Met VMWare vMotion kunnen we virtuele machines gaan migreren tussen fysische ESXservers. Dit kan zelfs gebeuren als de toestellen nog draaien en dus zonder downtime. Als vMotion wordt toegepast op bijvoorbeeld de viewserver die zich bevindt op ESX3, is er al een probleem. De datastore waarop de viewserver zich bevindt is niet toegankelijk voor ESX1 en ESX2. De machine bevindt zich op een datastore die lokaal aanwezig is op ESX3. Omdat er geen licentie is om Storage vMotion toe te passen op live systemen, kan de virtuele omgeving samen met zijn harde schijven niet live overgezet worden naar een ander fysische toestel. Dit kan echter wel als de machine af staat, maar de zero downtime gaat hier verloren. Omdat er gebruik gemaakt wordt van ESX versie 4.1 worden recente besturingssystemen, zoals Windows 8 of server 2012 nog niet ondersteund. Versie 4.1 ondersteunt ook enkel VMFS versie 3. Dit brengt een beperking met zich me bij het maken van datastores, ze kunnen maar maximaal 2 TB groot zijn. Aangezien onze dataserver virtueel zal gedraaid worden in de toekomst is er dus een nood aan plaats. Het is ook overzichtelijker. Momenteel zijn drie datastores verdeeld over één SAN
5.5 Upgraden van de virtuele omgeving Upgraden naar een nieuwe versie van ESX 4.1 naar ESXi 5.5 laat ons toe grotere datastores aan te maken tot wel 64 TB in totaal. Windows 8 en server 2012 zullen ondersteund worden en de virtuele bureaubladen zullen betere toegang krijgen tot de middelen van de fysische server. Zoals alle andere servers in het netwerk zullen ook het vCenter, de viewserver en composer moeten veranderen van domein. VMWare raadt als best practice aan de verschillende services opnieuw te installeren en enkel te updaten wanneer dit de enige optie is. Daarentegen wordt aangeraden om de ESX- servers te upgraden naar de nieuwste versie.
31
Wim Vermeersch
Evolutie van het VHSI-schoolnetwerk
5.6 SSL-certificaten 5.6.1 Wat zijn SSL-certificaten? SSL of Secure Sockets Layer is een cryptografisch protocol dat de beveiliging van communicatie voorziet over het internet. Het garandeert ons dat de communicatie die heeft plaatsgevonden, veilig is verlopen. Als bijvoorbeeld een man-in-the-middle aanval heeft plaatsgevonden zal onze data aangepast worden. Wanneer communicatie plaatsvindt met de server zal een melding te zien zijn dat de verbinding niet te vertrouwen is.
5.6.2 VMWare en SSL VMWare gaat al zijn diensten een self-signed certificaat toekennen als een soort tijdelijke plaatsvervanging van een toekomstig certificaat. Deze certificaten worden niet vertrouwd en het is dus aangeraden ze te vervangen door vertrouwde certificaten.
5.6.3 Windows Server 2008 R2 Active Directory Certificate service We gebruiken een Windows Server om onze SSL-certificaten te verdelen en beheren. We installeren de Active Directory Certificate Service roll met Certification Authority en Certificate Authority Web Enrollment. Dit is de eerst server van zijn type in het domein. Er wordt gekozen voor een Enterprise root certificaat met een nieuwe privé sleutel. Telkens een service van VMWare moet voorzien worden van een SSL-certificaat moet gekozen worden voor een webserversjabloon. Om dit te kunnen moet de server op de domeincontroller toegevoegd worden aan een beveiligingsgroep.
5.7 Single sign-On De nieuwe servers komen in het huidige vCenter. Hier zetten we de servers op waarna we één voor één de fysische toestellen zullen ontkoppelen en verplaatsen naar het nieuwe vCenter.
5.7.1 Wat is Single Sign-On? In versies lager dan ESXi 5.1 of bij ESX gaat authenticatie via een Active Directory gebruiker die toegang had tot het vCenter. Vanaf ESXi 5.1 gaat dit via Single Sign-On. Single Sign-On ondersteunt naast Active Directory ook OpenLDAP. Gebruikers authentiseren zich met een gebruikersnaam en paswoord en krijgen (als deze correct is) een authenticatie token. Met dit token kunnen ze dan aanmelden bij de vCenter componenten waar zij toegang tot verkrijgen. Het voordeel is dat de authenticatie met Single Sign-On verdeeld kan worden over verschillende locaties en verschillende servers. Dit zorgt voor redundantie in het vCenter netwerk. In het VHSI kan deze functionaliteit niet gebruikt worden. Er is geen tweede locatie beschikbaar en het verdelen van de vCenter componenten zal zorgen voor een extra kost. Meerdere serverlicenties zouden nodig zijn en deze zouden teveel onnodige fysische middelen in nemen. Single Sign-On zal dus op dezelfde server geïnstalleerd worden als het vCenter zelf.
32
Wim Vermeersch
Evolutie van het VHSI-schoolnetwerk
5.7.2 Single Sign-On installeren Omdat de meeste vCenter componenten op dezelfde server worden geïnstalleerd, gaan we de virtuele machine configureren met 6 GB RAM een hard schijf van 80 GB en één van 200 GB. Microsoft Server 2008 R2 is het besturingssysteem dat we gebruiken. Een basisinstallatie voldoet, het belangrijkste is dat na de installatie de SSL-certificaten gegenereerd worden die het vCenter en zijn componenten gaan gebruiken.
5.7.3 Genereren van SSL-certificaten Als er vanaf het begin vertrouwde certificaten worden gebruikt, zal telkens een vCentercomponent geïnstalleerd wordt, gebouwd worden op een vertrouwde basis. De mogelijkheid bestaat er om na het installeren van alle componenten dit in bulk te doen. Het is geen best practice om dit in bulk te doen, dus wordt gekozen om het te doen vanaf het begin.
Powershell script voor het generen van certificaat aanvragen
Er wordt gebruik gemaakt van een PowerShell script. Het script zal mappen aanmaken per vCenter-component. In de mappen zullen 2048 bit RSA privé sleutels aanwezig zijn. Met die bestanden kunnen we SSL certificaten aanvragen op de certificaat server. Uiteindelijk zal het script de SSL-enviroment batch file van VMWare aanpassen, zodat het de paden bevat van de gebruikte SSL-certificaten. Elk vCenter-component heeft zijn eigen certificaat nodig. De aanvraag hiervoor is gelijk lopend. Enkel de organizationalUnitName veranderd per component.
Figuur 17 configuratie van OpenSSL voor certificaatsaanvagen
33
Wim Vermeersch
Evolutie van het VHSI-schoolnetwerk
Het PowerShell script installeert OpenSSL, de bestanden met de certificaat aanvragen moeten in een map staan op de \ \ Om de aanvragen te generen kan via een commandprompt gebruik gemaakt worden van C:\OpenSSL-Win32\bin . Het generen van een aanvraag voor Single-Sign on wordt gedaan via het commando: “openssl
req -new -nodes -out c:\certs\sso\rui.csr -keyout c:\certs\sso\rui-orig.key -config c:\certs\sso\ En wordt hierna omgezet naar het RSA formaat met het commando: -in c:\certs\sso\rui-orig.key -out c:\certs\sso\ Deze stappen moeten voor elk vCenter-component overlopen worden. Het PowerShell script automatiseert deze stappen. Aanvragen van een SSL-certificaat
Om een SSL-certificaat aan te vragen surfen we naar onze certificaatserver op het adres https://certificaat.vhsi.lokaal/certsrv. We dienen hier een aanvraag in aan de hand van een gegenereerde CSR file. CSR staat voor certificate singin request of certificaat aanvraag. Het is een digitale identificatie met informatie zoals locatiegegevens, bedrijfsnaam en disitinguished name (DN). Deze laatste bevat de FQDN die we willen beveiligen. Voor elk vCenter component dat gebruikt wordt, moet de CSR file ingediend worden op de certificaatserver. Telkens wordt een CRT file gegenereerd, dit is ons certificaat. Door het certificaat te openen zien we de opgegeven gegevens. Als laatste is het VHSI root certificaat nodig. Dat is te downloaden op dezelfde site waar de CSR files zijn ingediend.
Figuur 18 lijst van verleende certificaten
Genereren van SSL-enviroment.bat
Het script wordt opnieuw gebruikt om nu effectief de batch file SSL-enviroment te genereren. Naast de batch file worden files gegenereerd voor als we dit manueel zouden willen doen. Dit wordt niet aangeraden door VMWare. Één bestand is nodig bij het configureren van Single Sign-on op de web interface van het vCenter, namelijk: server-identity.jks. De file gaat de gemaakte certificaten verifiëren en hij bevat de publieke sleutels van de certificaten. Om ons certificaat toe te passen op het Single Sign-on component voeren we een batchfile uit van VMWare, SSL-updater. Die gaat gebruik maken van de door ons gegenereerde batch file. Zo geven we elk vCenter component zijn eigen zelf gegenereerde SSL-certificaat mee.
34
Wim Vermeersch
Evolutie van het VHSI-schoolnetwerk
5.8 vSphere webclient installeren Om toegang te krijgen tot het vCenter is er vanaf ESXi 5.1 een webinterface beschikbaar. Hier wordt vanaf heden het meeste van de configuratie gedaan. Het is duidelijk dat in de toekomst het oude systeem (aanmelden met een Windows applicatie) weg zal vallen. Tijdens de installatie wordt een melding gegeven of we het Single Sign-on certificaat vertrouwen. Dit kan gecontroleerd worden door het SSL-certificaat van Single Sign-on te openen en de hash waarden te vergelijken met die van de melding. Na installatie moet ook hier het SSL-certificaat aan de hand van het VMWare SSL-updater batchfile aangepast worden.
5.8.1 Aanmelden op de web client en Single Sign-on configureren Door te surfen naar https://vcenter.vhsi.lokaal:9443/vsphere-client krijgen we toegang tot de webclient. Aanmelden gebeurt via
[email protected], dit is de lokale gebruiker van het vCenter.
Figuur 19 inloggen bij de vSphere web client
Belangrijk is hier eerst de server-identity.jks file toe te voegen, zodat certificaten gekend en vertrouwd kunnen worden. Om te kunnen aanmelden met gebruikers vanuit ons domein, voegen we het domein toe als een vertrouwde entiteit. Hierna kunnen domeingebruikers die toegang krijgen tot het vCenter of zijn componenten in groepen toegevoegd worden naar gelang hun functie. Aan de hand van rollen kan aangegeven worden wie wat kan doen binnen het vCenter. Een domein administrator zal volledige toegang krijgen tot het vCenter, persoonlijke accounts van netwerkbeheerders zullen enkel beperkte toegang krijgen tot virtuele machines. Netwerkbeheerders zullen virtuele machines kunnen aanmaken en gebruiken. Een server toevoegen of datastores toevoegen aan het vCenter kunnen zij niet, een administrator account kan dat wel. Nu kan aangemeld worden (als de gebruiker toegang heeft) met een domeingebruiker op het vCenter.
35
Wim Vermeersch
Evolutie van het VHSI-schoolnetwerk
5.9 Inventory services Inventory services gaat werken als een buffer tussen de web client en het vCenter. Wanneer een vraag gezonden wordt naar de database zal die bijgehouden worden door inventory services. Dit zorgt ervoor dat als meerder clienten zich aanmelden en dezelfde vragen stellen aan het vCenter, een gecashte versie getoond kan worden. Het uiteindelijke doel is dus het versneld weergeven van aanvragen aan het vCenter. Dit zal ook als resultaat hebben dat het vCenter zelf minder moet beantwoorden en dus ook vlotter zal kunnen werken. Ook hier zal tijdens de installatie een hash te zien zijn van het Single Sign-on certificaat en zal via de batch de SSL-file moeten aangepast worden.
5.10 Installeren van het vCenter, de vSphere client en Update Manager Na het installeren van allerhande componenten kan eindelijk het vCenter zelf geïnstalleerd worden. Opnieuw worden dezelfde stappen overlopen, hetzelfde geldt voor de installatie van de vSphere client en de update manager. Als we ons aanmelden met de webclient zullen we zien dat het vCenter nu zichtbaar is, er kunnen ESX/ESXi servers toegevoegd worden. Wanneer we aanmelden met de vSphere client krijgen we een melding dat nieuwe componenten nog enkel toegankelijk zijn via de webclient. Hier wordt duidelijk dat de windowsclient zal vervangen worden in de toekomst. Momenteel is de vSphere client nodig voor het updaten van de fysische server. Dit is enkel mogelijk via de Windows client en niet via de webclient.
5.11 Updaten van de fysische server van ESX naar ESXi 5.11.1 Updaten voorbereiden Nu het vCenter versie 5.5 aanwezig is, moeten de fysische server toegevoegd en geüpdatet worden van ESX 4.1 naar ESXi 5.5. Eerst verwijderen we de ESX-server waar het vCenter op staat uit het oude vCenter. We letten erop dat bij het verwijderen de virtuele machines in de VHSI-cluster niet verplaatst worden naar andere fysische toestellen. Het vCenter moet dan ook naar het nieuwe virtuele netwerk. Een tweede server is nodig in het nieuwe vCenter. Een fysische server kan enkel geüpdatet worden in maintenance mode, er mogen geen virtuele machines erop draaien. De derde server wordt in het oude vCenter gehouden tot de upgrade en update van de andere twee toestellen voltooid zijn. Als er zich problemen zouden voordoen kunnen we terug vallen op het oude vCenter. In het nieuwe vCenter zijn twee servers aanwezig die toegevoegd worden aan een VHSI cluster. Dit zodat live EVC kan toegepast worden. Enhanced vMotion Compatibility zorgt voor een beter comptabiliteit tussen verschillende CPU-generaties. EVC kijkt naar de gelijkenis tussen de CPU en kan zo zorgen dat vMotion kan toegepast worden tussen verschillende CPU .
36
Wim Vermeersch
Evolutie van het VHSI-schoolnetwerk
In de vSphere client wordt de Upgrade Manager geconfigureerd. De iso voor de upgrade naar ESXi 5.5 wordt toegevoegd en als baseline gedefinieerd. Een baseline is een groep van patchen, extensies of updates. Die baseline koppelen we aan de server die geüpdatet moet worden. Alle VHSI servers zijn van HP. We voegen de URL http://vibsdepot.hp.com/index.xml toe aan de configuratie van Update Manager. Zo worden patchen en updates voor specifieke HP hardware bekend en kunnen ze geüpdatet worden.
5.11.2 Uitvoeren van fysische server upgrades en updates De tweede server waar het vCenter niet op aanwezig is, wordt als eerste geüpdatet. De update mag oude componenten en drivers verwijderen zodat er geen problemen zijn na het updaten naar ESXi 5.5. Na de upgrade word een update uitgevoerd, hier zullen updates voor ESXi en zijn componenten maar ook voor HP drivers geïnstalleerd worden. De tweede server is nu up-to-date. Het vCenter kan verplaatst worden naar de tweede server en server één kan upgradet en geüpdatet worden. Wanneer beide servers in orde zijn, kan de derde server losgekoppeld worden van het oude vCenter. Het vCenter versie 4.1 is nu overtollig. Tijdens het overzetten naar het nieuwe vCenter blijven de virtuele machines draaien. De servers zijn aanwezig in een ander netwerk, er zal enkel een korte netwerkonderbreking zijn tijdens de migratie. Hierna kunnen virtuele machines verdeeld worden over de cluster en kan ook de derde server geüpgradet en geüpdatet worden. Onvoorziene problemen
Na het upgraden van server één was deze niet meer toegankelijk in het netwerk, voor het vCenter noch directe toegang via vSphere. Na onderzoek bleek het management netwerk na de upgrade niet meer te starten omdat er oude configuratie files aanwezig waren. Doorhet herstellen van de server naar bedrijfinstellingen werd dit probleem opgelost. Na deze ingreep moesten passwoorden, IP-instellingen en virtuele machines terug hersteld worden naar hun oude waarde.
37
Wim Vermeersch
Evolutie van het VHSI-schoolnetwerk
5.12 VMWare Horizon view en Composer Na het upgraden van de ESX-servers naar ESXi kan VMWare Horizon view en VMWare Composer geïnstalleerd worden. Vanaf versie 5.3 heet VMWare view VMWare Horizon view. Deze update brengt onder andere een verbeterde grafische 3D acceleratie, ondersteuning voor Windows 8.1 en server 2008 en verbeterde werking van virtuele omgevingen in HTML5
5.12.1 Het installeren van VMWare Horizon view Net zoals bij het vCenter verwacht Horizon view een SSL-certificaat. Deze wordt toegevoegd via de Microsoft Management Console (mmc.exe). Bij persoonlijke certificaten van de lokale computer wordt een webserver certificaat aangevraagd. Bij de aanvraag vermelden we DNS en IPzal Horizon view zijn eigen certificaat installeren tenzij er al één aanwezig is met de naam t voorkomen dat er na de installatie (net zoals bij de installatie van het vCenter) een update moet gedaan worden van het SSL-certificaat. Er wordt een standaard viewserver geïnstalleerd. Dit is de eerste (en enige) viewserver in het netwerk. Tijdens de installatie vermelden we database passwoorden en de groep van domeingebruikers die toegang krijgt tot het beheer van de viewserver.
5.12.2 De installatie van VMWare Composer In tegenstelling tot de installatie van het vCenter en Horizon view moet hier een databaseserver geïnstalleerd worden vooraleer de installatie plaats vindt. Ook op deze server moet een SSL-certificaat geïnstalleerd worden net zoals bij Horizon view. Als database server wordt Microsoft SQL Express Server 2008 R2 gebruikt met management studio. Hierin wordt een nieuwe database aangemaakt. Een ODBC-connectie moet aangemaakt worden naar deze database, deze zal tijdens de installatie van composer nodig zijn. ODBC staat voor Open Database Connectvity en is een standaard voor database connecties. ODBC is database- en platform onafhankelijk en zorgt dat applicaties en databases makkelijk kunnen verplaatst worden met een minimum aan herprogrammatie. Naast het vermelden van de ODBC DSN naam moet het SSL certificaat hier tijdens de installatie geselecteerd worden.
5.12.3 Horizon view connecteren met het vCenter en Composer Om te zorgen dat er virtuele bureaubladen kunnen aangemaakt worden moet er een connectie zijn tussen de drie componenten. In de webinterface van Horizon view kan het vCenter gekoppeld worden. Belangrijk is dat er aangemeld wordt met een gebruiker die voldoende rechten heeft in het vCenter. Deze gebruiker zal de viewserver gebruiken om virtuele machines te beheren. Tijdens deze koppeling wordt ook gevraagd naar de composer servergegevens, dit is optioneel maar wordt aangeraden nu te doen.
38
Wim Vermeersch
Evolutie van het VHSI-schoolnetwerk
5.12.4 Aanmaken van een virtuele machine voor virtueel bureaublad Als virtueel bureaublad wordt Windows 7 gebruikt. In de virtuele omgeving worden de VMWare tools als eerst geïnstalleerd. Verder lijkt deze Windows 7 computer op een fysische toestel. Hij bevindt zich in het domein en heeft alle nodige software. De eerste machine die aangemaakt wordt heet de master. Op basis van de master worden later de virtuele bureaubladen gedefinieerd. Zonder verder configuratie zou Windows 7 nu kunnen gebruikt worden. Maar als er een 16 tal Windows 7 bureaubladen over het netwerk gaan, kan dit zorgen voor een vertraging over het volledige netwerk. VMWare biedt enkele opties voor optimalisatie van de Windows 7 omgeving en groepsbeleid regels. Optimalisatie van Windows 7 voor virtuele bureaublad
Overtollige virtuele hardware kan verwijderd worden. Floppy disks zullen nooit gebruikt worden en na de installatie is de Windows 7 DVD niet meer nodig. In de BIOS wordt de eerste harde schijf als primair bootapparaat geplaatst. Deze stappen zullen zorgen voor het sneller opstarten van de virtuele omgeving. VMWare voorziet een batchfile voor Windows 7 en Windows 8 die onnodige elementen gaat uitzetten. Zo zal het controleren op Windows updates niet meer plaatsvinden. De dienst Bitlocker wordt uitgezet, het is niet aangeraden virtuele schijven te gaan encrypteren. Het bureaubladthema zal minder kleur bevatten en geen gebruik maken van overtollige animaties. Deze verbeteringen zullen zorgen dat Windows 7 lichter wordt en minder services draaien, er zal dus minder CPU en RAM nodig zijn per machine. Hiernaast zal bijvoorbeeld het verminderen van de kleuren en animaties minder netwerkverkeer veroorzaken. Elke animatie moet verzonden worden naar de gebruiker. Hoe minder animaties, hoe minder data verzonden moet worden. Hetzelfde geldt bij kleuren, hoe minder kleuren hoe minder zwaar de data wordt. Een laatste mogelijkheid is het to zijn van toepassing op het PCoIP protocol. Standaard staat de optie: build to lossless aan. Dit zorgt ervoor dat de gebruiker de beste grafische kwaliteit zal krijgen. De gebruiker krijgt eerst een sterk gecompenseerd beeld te zien. Daarna zal stapsgewijs verdere data verzonden worden naar de client tot het beeld zijn volledige kwaliteit teruggeeft. Deze optie is vooral interessant als grafisch zware software op de computers gebruikt worden. Dit is in het VHSI niet nodig, de optie kan af gezet worden. Audio wordt niet of heel weinig gebruikt in de lessen. Er kan compressie op audio toegepast worden. De compressie wordt automatisch toegepast op basis van een limiet aan verkeer. We stellen een limiet van 100 Kbps, op basis hiervan wordt audio compressie toegepast.
39
Wim Vermeersch
Evolutie van het VHSI-schoolnetwerk
Als dit gedaan is wordt een viewagent geïnstalleerd op de computer. Dit zal de link worden tussen het virtuele bureaublad en de server. Wanneer er later kritische aanpassingen gedaan worden op de computer, zoals de installatie van een vernieuwde versie van VMWare tools, zal de agent moeten geherïnstaleerd worden.
Figuur 20 installatie van VMWare view agent in Windows 7
5.12.5 Definiëren van pools en aanmaken van bureaubladen op basis van de master Er zijn veel verschillende mogelijkheden om gebruik te maken van Horizon view. In het VHSI wordt enkel gebruik gemaakt van automated pools. Een automated pool is gebaseerd op een template waarvan meerdere desktops gemaakt zullen worden. Gebruikers zullen bureaubladen krijgen die floating zijn. Telkens ze aanmelden krijgen ze een beschikbaar toestel. Er is een tweede optie, dedicated. Hier krijgen gebruikers een toestel toegewezen bij eerste aanmelding. Is dit toestel niet in gebruik dan krijgen ze die telkens opnieuw. Maar als iemand dit toestel gebruikt op hetzelfde moment zullen zij moeten wachten tot het beschikbaar is. Zelfs al zijn er meerdere toestellen niet in gebruik moeten de gebruikers wachten. Dit is natuurlijk niet handig in een lesomgeving.
40
Wim Vermeersch
Evolutie van het VHSI-schoolnetwerk
De pool gebruikt linked clones via VMWare composer. De virtuele bureaubladen delen één basis. Hiernaast hebben ze elk een schijf waar gebruikers data zal opgeslagen worden. Dit zorgt ervoor dat er veel minder plaats wordt ingenomen op (zoals op het VHSI) de SAN. Het lokaal waar de virtuele bureaubladen zullen in gebruikt worden, heeft 15 thin clients. Er kunnen dus maximaal 15 gebruikers zijn. Er is natuurlijk kans dat er een bureaublad tijdelijk beschikbaar is. Om veilig te zijn gaan we 20 toestellen definiëren. Via de power functie kan ingesteld worden dat een virtuele machine afsluit als een gebruiker zich heeft afmeld of wordt afgemeld. Hiernaast wordt een minimum van 15 toestellen op beschikbaar ingesteld. De view server zal proberen altijd 15 toestellen beschikbaar te houden binnen de limiet van de 20 die er zijn.
Figuur 21 aanmaken van een pool in de VMWare view web client
Om te zorgen dat gebruikers niet aangemeld blijven of verkeerd afmelden, wordt ingesteld dat ze na het afsluiten van de client, automatisch afgemeld worden in Windows 7. Na 2 uur worden ze ook automatisch afgemeld. Een virtueel bureaublad is enkel toegankelijk voor andere als het niet in gebruik is. Als dus gebruikers aangemeld blijven, zullen anderen zich niet meer kunnen aanmelden, ook al is het eigenlijk niet meer in gebruik.
41
Wim Vermeersch
Evolutie van het VHSI-schoolnetwerk
6 Draadloos netwerk Het VHSI is toe aan BYOD. Hiervoor werd de firma LAB9 gecontacteerd om een draadloos netwerk te implementeren. LAB9 heeft een sitesurvey uitgevoerd zodat de plaats van de access points gekend zijn. (zie bijlage 1: LAB9 access points) Mijn taak hierin bestond uit het superviseren en het finetunen van het draadloos netwerk alsook de opleiding geven aan de ICT-Coördinatoren. LAB9 heeft een basisconfiguratie gedaan, de verdere uitrol werd mij toevertrouwd.
6.1 Ruckus ZoneDirector en ZoneFlex Er is gekozen om te werken met producten van Ruckus. Voor het centraal beheer wordt een ZoneDirector 1100 gebruikt. In het hoofdgebouw en sporthal 16 zijn twaalf ZoneFlex 7372 access points geplaatst met elk een capaciteit van 500 gebruikers. Deze dual-band toestellen kunnen een throughput tot 300Mbps per gebruiker leveren.
6.2 ZoneDirector voor centraal beheer Er is gekozen om een ZoneDirector te gebruiken voor centraal beheer van de access points over verschillende gebouwen. De ZoneDirector biedt beheersoplossingen zoals:
Integratie binnen en bestaand netwerk Ondersteuning voor 802.1x, LDAP, Active Directory en RADIUS authenticatie Automatisch detecteren van (zone flex) access points in het netwerk Makkelijk te beheren via een webinterface Toegangsbeleid per WLAN
42
Wim Vermeersch
Evolutie van het VHSI-schoolnetwerk
6.2.1 Implementatie van de ZoneDirector in het bestaande netwerk Authenticatie van gebruikers
Om te connecteren met het domein moet een Authentication/Accounting server toegevoegd worden. Op het VHSI is dit de domeincontroller.
Figuur 22 toevoegen van een authentication server
Nu kan de ZoneDirector gebruik maken van gebruikers en gebruikersgroepen binnen het VHSI.lokaal domein. Gebruikers die toegang willen tot het draadloze VHSI-netwerk zullen met hun logingegevens moet authenticeren, dezelfde logingegevens die ze gebruiken om aan te melden op een computer in het VHSI-domein. Gebruikers die geen login bezitten zullen moeten gebruik maken van een Guestnetwerk.
43
Wim Vermeersch
Evolutie van het VHSI-schoolnetwerk
VHSI-Activation
Zodat gebruikers zich kunnen aanmelden is een WLAN VHSI-activation aanwezig. Dit is een hotspot en is dus niet beveiligd. Gebruikers die zich voor het eerst willen authenticeren met een toestel moeten zich eerst aanmelden via deze hotspot.
Figuur 23 VHSI-Activation hotspot aanmaken
De hotspot moet gelinkt worden aan de effectieve WLAN waar de gebruikers op aanmelden.
Figuur 24 hotspot toevoegen aan de WLAN VHSI-Activation
44
Wim Vermeersch
Evolutie van het VHSI-schoolnetwerk
Aanmaken van een draadloos netwerk
Bij het aanmaken van een WLAN zijn verschillende instellingen mogelijk voor het optimaliseren van het draadloze netwerk voor de eindgebruiker. Elke WLAN zal zich in een VLAN bevinden. Op deze manier kunnen gebruikers in het Guest netwerk geen toegang krijgen tot de VHSIservers of het interne netwerk.
Figuur 25 aanmaken van de WLAN VHSI-Wireless
45
Wim Vermeersch
Evolutie van het VHSI-schoolnetwerk
Het VHSI-Wireless wordt enkel gebruikt door leerkrachten. Leerlingen hebben geen toegang tot het draadloze netwerk. Op deze manier kan de capaciteit en de integriteit getest worden voor de uitrol naar een BYOD omgeving in een latere fase. Het internaat daarentegen heeft wel toegang tot zijn eigen WLAN, VHSI-Internaat, zodat internaatleerlingen draadloos kunnen surfen. Omdat geen misbruik gemaakt wordt van het internaat WLAN tijdens de lesuren is voorzien dat de WLAN enkel beschikbaar is op beperkte uren.
Figuur 26 instelling die het mogelijk maakt de WLAN VHSI-Internaat enkel beschikbaar te maken op aangegeven tijdsstippen
Het VHSI-Wireless is enkel toegangkelijk voor leerkrachten en moet overal beschikbaar zijn. Daarom wordt deze WLAN in de default group geplaatst. WLAN in de default group zullen op elke access point worden uitgestraald in die groep. De default group omvat automatisch elke access point nieuw in de ZoneDirector. De WLAN VHSI-Internaat is enkel toegankelijk voor leerlingen in het internaat. Access points in de buurt van het internaat zullen zich bevinden in een Internaat group. Omdat het internaat WLAN niet overal beschikbaar moet zijn zal in de default group het VHSI-Internaat WLAN niet toegestaan worden. Op deze wordt beperkt waar gebruikers kunnen surfen op dit WLAN.
46
Wim Vermeersch
Evolutie van het VHSI-schoolnetwerk
Gebruikers toegang verlenen tot een draadloos netwerk
Op basis van gebruikersgroepen op de domeincontroller krijgen gebruikers toegang tot een WLAN.
Figuur 27 domeingroep toegang geven tot geselecteerde draadloze netwerken
Tijdens de authenticatie zal een gebruiker een dynamische PSK toegekend krijgen per toestel waarmee hij op het draadloze netwerk wil connecteren. Hierna zal hij toegang krijgen tot het draadloos netwerk waartoe hij gemachtigd is.
47
Wim Vermeersch
Evolutie van het VHSI-schoolnetwerk
6.3 Plaatsen van ZoneFlex access points Omdat de ZoneDirector zich bevindt in het server VLAN is hij toegankelijk vanaf bijna elke VLAN. Een access point kan dus gekoppeld worden in eender welk lokaal en zal gevonden worden door de ZoneDirector. Omdat er gebruik gemaakt wordt van een VLAN per WLAN moet deze VLAN wel tot aan de access points gebracht worden. De access points zullen dus moeten geconnecteerd worden op een switch die kan om t geplaatst op een poort die untagged is in de VLAN van de locatie, bijvoorbeeld lokaal 99. Door de poort op untagged te plaatsen zal de access point gezien worden als eindpunt van de VLAN en zal hij een IP-adres krijgen van de DHCP-server. Tevens wordt op diezelfde poort elke VLAN getagged van de WLAN die de access point zal uitstralen.
Figuur 28 Putty connectie naar de console van een HP switch
activation en VHSI-wireless uitzenden. Deze access point zal dus untagged worden op locatie en tagged worden met 3 verschillende VLAN nummers. Wanner een access point zich bevindt in de buurt van het internaat zal hij behoren tot de Internaat group en dus een vierde WLAN uitstralen, VHSI-Internaat. Hier zullen dus vier VLAN moeten getagged worden.
48
Wim Vermeersch
Evolutie van het VHSI-schoolnetwerk
7 Literatuurlijst Pfsense 2 Cookbook
Mat Williamson [eBook]]
URL: http://www.amazon.com/pfSense-2-Cookbook-Matt-Williamson-ebook/dp/B0055Y79EG VMWare knowledge base [www] URL: http://kb.vmware.com/ URL: http://kb.vmware.com/selfservice/microsites/search.do?cmd=displayKC&docType=kc&docTypeID=DT_KB _1_1&externalId=2037432
VMWare publicaties [www, Ebook] URL: http://pubs.vmware.com/view-52/topic/com.vmware.ICbase/PDF/horizon-view-52-installation.pdf URL: http://www.vmware.com/files/pdf/VMware-View-OptimizationGuideWindows7-EN.pdf URL : http://www.vmware.com/files/pdf/view/VMware-View-5-PCoIP-Network-Optimization-Guide.pdf ESXi 5.0 and vCenter Server 5.0 - VMWare IT Acadamey [boek] URL: https://labs.vmware.com/vmware-it-academy
URL: http://www.derekseaman.com/2013/10/vsphere-5-5-install-pt-5-ssl-deep.html Microsoft TechNet [www] URL: http://technet.microsoft.com/en-us/library/gg682023.aspx URL: http://technet.microsoft.com/en-us/library/cc731242.aspx Pfsense forum [www] URL: http://forum.pfsense.org/index.php/topic,57916.0.html Pfsense [www] URL: http://www.pfsense.org/ Smoothwall [www] URL: http://www.smoothwall.org/
49
Wim Vermeersch
Evolutie van het VHSI-schoolnetwerk
8 Lijst van afbeeldingen Figuur 1 Plattegrond van het domein "Ter Groene Poorte" ..................................................10 Figuur 2 Internet aansluiting in het hoofdgebouw.................................................................13 Figuur 3 vereenvoudig netwerkschema ................................................................................15 Figuur 4 serverrack in het computercentrum ........................................................................16 Figuur 5 lijst van VLAN's in Pfsense .....................................................................................20 Figuur 6 lijst van interfaces in Pfsense .................................................................................20 Figuur 7 lijst van firewallregels in Pfsense ............................................................................21 Figuur 8 Blacklist categorieën ..............................................................................................23 Figuur 9 Verbruik per computer na een halve dag school ....................................................24 Figuur 10 Top 10 hoog verbruikende websites van één computer .......................................24 Figuur 11 load balancing van twee internet aansluitingen ....................................................25 Figuur 12 instellen van een gateway voor load balancing .....................................................26 Figuur 13 toepassen van LAGG met twee verbinding op Pfsense naar één switch ..............27 Figuur 14 toepaasen van LAGG met twee verbindingen op Pfsense naar twee switchen ....27 Figuur 15 toepassing van CARP ...........................................................................................28 Figuur 16 toekenning van datastores aan ESX servers.........................................................30 Figuur 17 configuratie van OpenSSL voor certificaatsaanvagen ..........................................33 Figuur 18 lijst van verleende certificaten ..............................................................................34 Figuur 19 inloggen bij de vSphere web client .......................................................................35 Figuur 20 installatie van VMWare view agent in Windows 7 .................................................40 Figuur 21 aanmaken van een pool in de VMWare view web client .......................................41 Figuur 22 toevoegen van een authentication server .............................................................43 Figuur 23 VHSI-Activation hotspot aanmaken ......................................................................44 Figuur 24 hotspot toevoegen aan de WLAN VHSI-Activation ...............................................44 Figuur 25 aanmaken van de WLAN VHSI-Wireless...............................................................45 Figuur 26 instelling die het mogelijk maakt de WLAN VHSI-Internaat enkel beschikbaar te maken op aangegeven tijdsstippen ......................................................................................46 Figuur 27 domeingroep toegang geven tot geselecteerde draadloze netwerken .................47 Figuur 28 Putty connectie naar de console van een HP switch ............................................48
50
Wim Vermeersch
Evolutie van het VHSI-schoolnetwerk
9 Bijlagen 9.1 Bijlage 1: Handleiding voor het implementeren van een nieuw lokaal in het VHSInetwerk Om een lokaal toe te voegen aan het VHSI netwerk moet deze configureerd worden op Pfsense. De VLAN waarin hij zich bevindt moet als een pad toegevoegd worden op de switchen tot aan het lokaal.
9.1.1 Stap één: aanmaken van een VLAN in Pfsense Ga via een webbrowser naar de URL: https://172.16.1.254:8443 en meld aan. Onder Interfaces Assign is het tablad VLAN s te teken te drukken. Selecteer de interface die gebruikt wordt aan de LAN-zijde van Pfsense. Dit zal voornamelijk em2 of em3 zijn. Vul het nummer in dat gebruikt moet worden voor de VLAN. Voor lokalen wordt het lokaalnummer gebruikt. Lokaal 133 zal dus VLAN tag 133 krijgen. Na het saven is een nieuwe VLAN aanwezig.
In het tabblad Interface assigments wordt interface toegevoegd. De server wordt herstart na deze aanpassing.
Na het herstarten zal onder het interface tablad bovenaan de pagina een opt interface
Geef de interface een duidelijke beschrijving. De beschrijving kan gezien worden als de naam van de interface binnen Pfsense. Voeg een statisch IP-adres toe, dit adres wordt de gateway van de VLAN. Na het opslaan is de VLAN gemaakt en klaar voor gebruik.
51
Wim Vermeersch
Evolutie van het VHSI-schoolnetwerk
9.1.2 Stap twee: DHCP toekennen aan een VLAN In elke VLAN bevindt zich een DHCP-server. De DHCP-server kan gevonden worden onder het tablad services DHCP-server. Selecteer de pas aangemaakte VLAN uit de lijst. Vink met statische adressen die zich zouden kunnen bevinden in deze VLAN. De DNS-server is de domeincontroller, vul hier altijd 172.16.1.1 in. Door de gateway niet in te vullen zal automatisch het IP-adres gebruikt worden van de interface. Na het opslaan zullen adressen verdeeld worden in aangemaakte VLAN.
52
Wim Vermeersch
Evolutie van het VHSI-schoolnetwerk
9.1.3 Stap drie: Toevoegen van regels in de firewall Selecteer in het menu firewall de optie rules en kies de VLAN uit de lijst. Opdat er een ping kan verzonden worden uit of naar deze VLAN wordt ICMP toegelaten. Klik
Een ping mag van overal komen en naar overal gaan. Het is enkel nodig het protocol ICMP te selecteren en een duidelijke beschrijving toe te kennen.
53
Wim Vermeersch
Evolutie van het VHSI-schoolnetwerk
Opdat binnen de VLAN gesurft kan worden moet http en https toegestaan worden. Klik n port range kan geselecteerd worden uit de lijst of in het kader ernaast ingevuld worden, selecteer http of https, beide kunnen niet gelijk geselecteerd worden.
54
Wim Vermeersch
Evolutie van het VHSI-schoolnetwerk
De VLAN moet toegang krijgen tot de server VLAN omdat de DNS-server zich hier bevindt. Als gebruikers zich willen aanmelden op het domein moet er ook toegang zijn tot de domeincontroller. Voeg een nieuwe regel toe. . Als source wordt het huidige VLAN subnet geselecteerd en als destination het VLAN-subnet dat moet bereikt worden.
55
Wim Vermeersch
Evolutie van het VHSI-schoolnetwerk
likken naast voorgaande regel. Verander enkel de destination, selecteer network en vul in het address kader het subnet in van de server 172.16.1.0 en selecteer 24 uit de lijst. Er zouden minstens vijf regels moeten aanwezig zijn in de tabel. Belangrijk is dat na het toegepast worden op de server.
56
Wim Vermeersch
Evolutie van het VHSI-schoolnetwerk
9.1.4 Stap vier: VLAN’s toevoegen op de switchen Connecteer via console kabel op de HP switchen met een baud rate van 9600 zonder flow control, gebruik hier voor een programma zoals putty. Om een VLAN toe te voegen aan een switch typ je in de console: enable conf t
VLAN 133
Voer een na
Als de VLAN over meerdere switchen moet gaan om zijn eindpunt te bereiken worden tussen de switchen de poorten als tagged toegevoegd aan de VLAN. Als poort 21 op de ene switch connecteert naar poort 23 op de tweede, zal op de eerste switch poort 21 als tagged aangeduid worden in VLAN 133. Op de tweede switch zal poort 23 getagged worden in de VLAN. Hetzelfde principe geldt wanneer er geconnecteerd wordt naar een toestel dat kan oals Pfsense. De poort waarop Pfsense zich bevindt zal dus getagged
De laatste poort van het pad zal worden untagged geplaatst. Vanaf dit punt zullen IP-adressen uitgedeeld worden. Een poort wordt als untagged geplaatst wanneer er en computer direct
Een poort taggen of untagged op een HP-switch kan ingevoerd worden in de configuratie van de VLAN. Het commando is tagged of untagged gevolgd door het poortnummer.
57
Wim Vermeersch
Evolutie van het VHSI-schoolnetwerk
Hetzelfde principe geldt wanneer dit moet aangepast worden op de 3COM-switchen waaraan de glasvezelverbinding is gekoppeld. Connecteer naar deze switch met 19200 baud en geen flow control. De 3COM-switchen werken op basis van een menu. Het VLAN menu kan gevonden worden onder: bridge VLAN.
58
Wim Vermeersch
Evolutie van het VHSI-schoolnetwerk
Voeg een VLAN toe door create te selecteren en de stappen te volgen. Voeg eerst het VLAN ID toe gevolgd door de naam.
Een poort toevoegen aan de VLAN gebeurt via het menu addport, geef het VLAN-ID op gevolgd door het poort nummer en het tag type, tagged of untagged. Een versnelde manier een VLAN kan dus gebeuren met: a 133 7 t.
59
Wim Vermeersch
Evolutie van het VHSI-schoolnetwerk
9.2 Bijlage 2: Lab9 access points
60
Wim Vermeersch
Evolutie van het VHSI-schoolnetwerk
61