Školská sieť EDU Obsah: • • • •
Rozdelenie škôl Zariadenia dodané v rámci projektu Typy zapojenia zariadení Služby poskytovane na ASA
Rozdelenie škôl Deleba škôl podľa času zaradenia do projektu: 1. školy ktoré získali wifi v rámci Infovek 1 - sú označované ako “1” 2. školy ktoré získali wifi až migráciou na Infovek 2 - sú označované ako “2”
Delba škôl podľa rýchlosti pripojenia: 1. 2. 3. 4.
„A“: 12M / 512k „B“: 3M alebo 6M / 256k „C“: 2,5M / 256k „E“: SANET
Kombináciou týchto dvoch delení vzniklo 7 kategórii: A1, A2, B1, B2, C1, C2, E1 (E2 neexistuje)
Zariadenia dodané v rámci projektu V rámci migrácie škôl na Infovek2 Vám boli na vaše školy dodané tieto sieťové zariadenia: ASA5505 Firewall – bezpečnostný sieťový prvok, zabraňujúci nekontrolovanej komunikácii z internetu do školskej vnútornej LAN respektíve WIFI infraštruktúry. ASA povoľuje komunikáciu iba z LAN respektíve WIFI do Internetu, a komunikáciu z WIFI do LAN segmentu. Komunikácia z LAN do WIFI nie je povolená ak sú LAN a WiFi segmenty oddelené. ASA bola v rámci migrácie na Infovek2 dodaná do všetkých škôl, ktoré touto migráciou prešli.
ASA5505
WIFI-AP Access Point – zariadenie šíriace WIFI signál EDU-Student a EDU-Ucitel. Zabezpečuje možnosť pripojiť sa prostredníctvom WIFI na školskú sieť, respektíve do internetu. Pripojenie sa, je podmienené WEB autentifikáciou prostredníctvom mena a hesla, vloženého do internetového prehliadača na prihlasovacej stránke, na ktorú budete presmerovaný pri prvom pokuse o zadanie akejkoľvek internetovej adresy. Správu hesiel v kompletnom rozsahu majú v kompetencii administrátori škôl, na stránkach WIFI portálu.
Wifi AP - Cisco Aironet 1200
Cisco2960 Prepínač(switch) – sieťový prvok LAN, pre potreby pripojenia viacerých užívateľov. Je rozdelený na dve oblasti. Pre pripojenie WIFI-AP sú vyhradene porty 2-8. Pre pripojenie LAN užívateľov sú vyhradene porty 10-24.
Cisco 2960
Typy zapojenia zariadení Školy majú rôzne typy fyzického zapojenia sieťovej infraštruktúry podľa typu: A1, B1, C1 riešenie: ASA poskytuje pre spoločný LAN a WIFI segment siete DHCP server, má k dispozícii 5 verejných IP adries pre použitie na NAT (servery), a jednu ma pre PAT pre užívateľov. Porty 5-7 sú na ASA vždy nezapojené.
zapojenie A1, B1, C1
A2 Riešenie: ASA poskytuje pre oba, LAN aj WIFI segmenty siete DHCP server, má k dispozícii 4 verejne IP adresy pre použitie na NAT (servery), a po jednej má pre PAT pre užívateľov LAN a WIFI. Porty 6-7 na ASA a porty 3–8 na prepínači cisco2960 sú vždy nezapojené. Porty 1-3 na ASA a porty 10–24 na prepínači cisco2960 sú k dispozícii pre pripojenie LAN užívateľov
zapojenie A2
B2, C2 riešenie: ASA poskytuje pre oba, LAN aj WIFI segmenty siete DHCP server, má k dispozícii 4 verejne IP adresy pre použitie na NAT (servery), a po jednej ma pre PAT pre užívateľov LAN a WIFI. Porty 5-6 na ASA sú vždy nezapojené. Porty 1-4 na ASA sú k dispozícii pre pripojenie LAN užívateľov.
zapojenie B2, C2
E1 riešenie: ASA poskytuje pre WIFI segment siete DHCP server. Porty 2-7 na ASA sú vždy nezapojené. Do ASA ani do ce500 by nemali byt pripojení žiadni LAN užívatelia.
zapojenie E1
Služby poskytované na ASA DHCP Servery na ASA-ch sú nastavene tak, že prideľujú IP adresy z príslušného segmentu siete od x.x.x.100 do x.x.x.249 s maskou 255.255.255.0, pričom samotná ASA ma IP adresu x.x.x.1 a je pre daný segment aj branou (default gateway). Adresy x.x.x.2 – x.x.x.99 mate k dispozícii na statické prideľovanie staniciam a serverom. Adresy x.x.x.250 – x.x.x.254 sú vyhradene pre sieťové prvky (switche c2960, respektíve ce500). DHCP server pre LAN segment vieme na požiadanie vypnúť (okrem lokalít “X1”, z dôvodu spoločného segment pre LAN aj WIFI), no pre funkčnosť WIFI riešenia je na WIFI segmente DHCP server na ASA nutný. DHCP server poskytuje aj DNS nastavenia, kde ale minimálne jeden z DNS serverov musí byt server poskytovaný Telekom-om. Druhý DNS server Vám vieme nastaviť podľa vašej požiadavky. Preklad adries - NAT Verejné IP adresy máte k dispozícii pre publikovanie vašich služieb do internetu. Ich použitie - NAT, je viazane na konfiguráciu ASA, a o tu môžete požiadať Telekom/UIPS. Pre takúto aplikáciu je potrebne pripraviť si server v LAN segmente so staticky pridelenou IP adresou, ktorá musí byt v predmetnej žiadosti uvedená. Je možné žiadať aj o obmedzený prístup na základe TCP/UDP portov, ktoré v takom prípade je potrebne taktiež vymenovať v žiadosti.
