In Baselland verdienen sich drei Schulhäuser im Fach WLAN Bestnoten. Viel gelernt haben dabei auch alle Beteiligten.
Ausgangslage: Die Gemeinde Oberwil betreibt die Schulhäuser «Thomasgarten», «Wehrlin» und «Am Marbach». Aufgrund der Anforderungen des Lehrplans 21 und teils veralteter Netzwerkkomponenten entschied sich die Schule Oberwil für eine neue WLAN-Infrastruktur.
Lösung: Eine WLAN-Ausmessung wurde bereits zu einem früheren Zeitpunkt gemacht. Der dazugehörige Bericht diente als Basis und Techniker der Studerus AG stellten punktuelle Nachmessungen an. Nach der sorgfältigen Planung wurden 63 Access-Points sowie je zwei Gateways und Controller in Betrieb genommen – alles Produkte von Zyxel.
|
Kunde: Gemeinde Oberwil, BL / |
Partner: Studerus AG für Dienstleistungen / |
|
|
|
WLAN wird zum Pflichtfach
Im Kanton Basel-Landschaft betreibt die Gemeinde Oberwil drei Schulhäuser «Thomasgarten», «Wehrlin» und «Am Marbach». Über 80 Lehrpersonen betreuen in 34 Klassen insgesamt rund 650 Primarschülerinnen und -schüler. Die 11 Kindergartenklassen mit rund 200 Kindern werden von 20 Lehrpersonen geführt. Sämtliche IT-Belange werden zentral von einem Gesamtverantwortlichen, Thomas Stöcklin, geführt.
Aufgrund der im Rahmen des Lehrplans 21 gestellten Anforderungen sowie teils veralteter Netzwerkkomponenten entschied sich die Schule Oberwil im Juni 2018, die vorhandene WLAN-Infrastruktur abzulösen.
Für die Neuausrichtung des WLANs wurde vorab von einer anderen Firma eine WLAN-Ausmessung durchgeführt, welche alle drei Schulhäuser betraf und der Studerus AG zur Verfügung gestellt wurde. Generell forderte die Projektleitung, dass alle zum Projektstart bekannten Technologien und Funktionalitäten im WLAN-Umfeld eingesetzt werden.
Passende Lösung für jede Anforderung
Ein Site-Survey-Bericht war also bereits vorhanden. Diesen hat Studerus weiterverwendet. Zur Absicherung der vorbestimmten Positionen, welche ursprünglich für APs eines anderen Herstellers gesetzt wurden, hat Studerus punktuelle Nachmessungen mit Ekahau ausgeführt und dabei den Zyxel WAC6303D-S eingeplant. Die Nachmessungen haben ergeben, dass keine Umpositionierungen vorgenommen werden mussten.
Dort wo möglich, wurde zudem die Wiederverwendbarkeit vorhandener Netzwerkkomponenten gefordert. Diesem Wunsch wurde mit den vorhandenen Switches eines anderen Herstellers Rechnung getragen. Die Switches sind hinsichtlich PoE-Versorgung mit den Zyxel-APs vom Typ WAC6303D-S kompatibel.
Eine weitere Anforderung der Schule Oberwil: Die Absicherung gegen einen Hardware-Ausfall im Bereich Controller und Firewall. Im Bereich des Gateways wurden zwei Zyxel USG310 platziert, welche mit HA-Pro V2.0 betrieben werden, damit ein möglicher HW-Ausfall verhindert werden kann. Die hierzu notwendigen Lizenzen stellt Zyxel derzeit ohne Kostenfolge zur Verfügung. In einer ersten Phase des Projektes wurde anfänglich eine noch vorhandene Zyxel USG210 eingesetzt, die allerdings den gesamthaft gestellten Performance-Ansprüchen der drei Schulhäuser und Gemeindeverwaltung nicht standhalten konnte.
Die Ruhe vor dem Sturm... Das WLAN ist bereit.
Für das Management der APs kommen zwei Zyxel NXC5500 zum Einsatz, welche mit der Funktion Failover- und Fallback eingerichtet sind. Der NXC5500 stellt als Basis die Unterstützung von 64 APs zur Verfügung, was für die Anzahl eingesetzter APs (63) ausreichend ist, aber eine Skalierung auf maximal 512 APs zulässt. Der für den zweiten eingesetzten Controller notwendige Lizenzenpool wird seitens Zyxel ohne Kostenfolge zur Verfügung gestellt.
Mit dem bereits vorhandenen MDM (Mobile Device Management) werden Security-Profile auf die eingesetzten iPads verteilt. Die für das WLAN notwendigen Einstellungen wurden auf dem eingesetzten Controller gemäss Vorgaben konfiguriert und werden somit referenziert genutzt. Diese Art der Umsetzung hat keine direkte Schnittstelle zum WLAN-Controller erforderlich gemacht.
Auch bedarfsorientierte Zugangsvarianten zum WLAN waren ein entscheidendes Anforderungsmerkmal. Mit der implementierten Lösung werden die unterschiedlichen Benutzer (Schüler und Schülerinnen, Lehrpersonen, Mitarbeitende der Gemeinde, Gäste usw.) nun mit folgenden Zugangsvarianten unterstützt:
- SMS-Authentifizierung mit dem Produkt «SecuPass» von SysCo systèmes (als SMS-Provider kommt ASPSMS zum Einsatz)
- AD-Anbindung (ohne Radius-Server zwischen AD (Anmeldung mit Username und Password aus Active Directory)
- PSK (preshared key) (Zugang über die Eingabe eines Keys)
- MAC-Adressen-Filtering
- MAC-Adressen-Authentifizierung
- Layer-2-Isolation auf bestimmten SSIDs
Der Sportplatz bleibt einer der wenigen Orte ohne WLAN-Abdeckung.
Um den Bedürfnissen in Sachen Schulbetrieb und Security gerecht zu werden, wird auf der Firewall das «Grundschutzkonzept» angewendet, welches folgende Technologien beinhaltet:
- GeoIP
- Contentfilter mit Blockieren von «unrated sites» und diversen Kategorien sowie Erkennung von «unsafe categories»
Zusätzlich kommen folgende ergänzende Technologien zum Einsatz:
- SafeSearch
- App Patrol, Kategorie «Tunneling und Proxy» wird gesamthaft gesperrt (Zugang zum Darknet ist in dieser Kategorie enthalten und wird somit gesperrt)
- Fingerprint-Verfahren
Spezielle Unterstützung für Lehrpersonen
Für die Recherche-Arbeiten und Präsentationen von speziellen Inhalten im Unterricht können die Lehrpersonen sich einer eingerichteten «Bypass»-Funktion bedienen, welche einige Security-Einschränkungen aufhebt. Dieser Zugang ist pro Anwendung zeitlich begrenzt und wird aufgezeichnet. Die Nutzung ist durch die AD-Information zugänglich (Username und Password).
Servicevertrag
Für die Überprüfung der Gesamtumgebung und die jährliche FW-Aktualisierung sowie eine garantierte Reaktionszeit von vier Stunden wurde ein Servicevertrag abgeschlossen.
Erfreuliches Fazit
Gesamthaft kommen in diesem Schulbetrieb einige Security-Funktionen zum Einsatz, die nebst diversen redundant geführten Geräten einen aus heutiger Sicht sehr sicheren Betrieb mit hoher Verfügbarkeit gewährleisten. Zudem hat sich die Etablierung eines Gesamtverantwortlichen für alle IT-Themen im Schulbetrieb der Gemeinde Oberwil als richtungsweisend erwiesen.
| Studerus AG ist ein IT-Dienstleister und Distributor eines umfassenden Produktesortiments im Bereich Netzwerktechnologien und IT-Security und besteht seit bald 30 Jahren. In vielen Schulprojekten hat Studerus wertvolle Erfahrung gesammelt und weiss deshalb, worauf es bei einem Schul-WLAN ankommt. Wie Studerus mit Ihnen Ihr Schul-WLAN verbessern kann, erfahren Sie auf: studerus.ch/wlan-schulen Studerus verlost zudem WLAN-Ausmessungen für Schulen auf: studerus.ch/wlan-schulen-verlosung |
Eingesetzte Produkte
|
Zyxel WAC6303 |
Der erschwingliche 3x3:3-MU-MIMO-Access-Point WAC6303D-S mit dreifacher Leistung ist mit einer intelligenten Antenne ausgestattet, um Gleichkanalstörungen in stark frequentierten Bereichen abzumildern. Darüber hinaus verfügt er über drei Funkstrecken (Spatial Streams). Und mit dem integrierten BLE-Beacon können Sie sich einen Überblick über Ihre Verbraucher verschaffen. |
|
Zyxel NXC5500 |
Mit dem Zyxel NXC5500 können WLAN-Lösungen für 500 bis 5000 Benutzer umgesetzt und zentral gemanaged werden. Der neuste WLAN-Controller aus dem Hause Zyxel eignet sich somit bestens für das Einrichten professioneller WLANs in KMU, Schulen, Spitälern, Einkaufszentren, grossen Hotels oder Gastronomieketten. |
|
Zyxel USG310 |
Mit der Zyxel USG lassen sich auch hohe Bandbreiten auf Viren und Angriffsmuster hin überprüfen. Das All-in-One-Design mit integriertem WLAN-Controller reduziert den Managementaufwand auf ein Minimum und bietet dabei maximale Sicherheit zu tiefen Gesamtkosten. |
|
Zyxel GS2210-24HP |
Der GS2210-24HP ist insgesamt mit 24 Gigabit-Ports ausgestattet und eignet sich ideal für den Einsatz in grösseren KMUs. Oft reicht ein GS2210-24HP für sämtliche Verbindungen in einem Serverraum aus. Mit bis zu vier SFP-Modulen können Switches in anderen Etagen oder Gebäuden angebunden werden. |
|
Zyxel GS2210-8HP |
Die kompakten 8-Port-Switches der GS2210-Serie bringen denselben Leistungsumfang wie ihre grossen Brüder mit. Darum lassen sie sich im Standalone-Betrieb in Kleinst-Netzwerken genauso gut verwenden wie in grossen Projekten. Dank der beiden integrierten Gigabit-Combo-Ports ist zum Terminieren einer Fiber-Verbindung kein Media-Konverter nötig. |
