Geen reactie op com poort van managed switchen

[NickG]

Allemaal goed en wel maar dan gaat de student an sich op een verkeerde manier "leren" en dezelfde filosofie volgen als zijn school...met als gevolg dat hij voor de meest nutteloze zaken (zoals nu) managed switches gaat plaatsen. Iets waar de toekomstige klant zeker niet blij mee zal zijn.

Ach, in dat opzicht is de stage natuurlijk niet zaligmakend: op het "echte" werk later gaat de MClaeys natuurlijk niet vanaf dag 1 zo'n netwerken moeten uittekenen zonder hulp van meer ervaren engineers. En ik denk dat hij heus wel slimmer is dan voor de meest nutteloze zaken managed switches te gaan plaatsen. Al was het maar omdat in de "echte" wereld de meerkost naar managemed switches deftig geargumenteerd zal moeten zijn

Op zich is het al goed dat hij beseft dat (zelfs een MCT'er ) als hij afgestudeerd is nog niet alles weet. Ik heb in mijn korte werkervaring (nog niet eens 7 jaar) al te vaak pas afgestudeerden zien langskomen die dachten alle wijsheid in pacht te hebben "omdat ze dat op school al gezien hadden". Binnen de MCT richting krijg je bv al een deftige hoeveelheid AD kennis (ik ken althans geen richting waar je beter/meer opleiding krijgt), maar om met die kennis nu al een middelgrote omgeving te gaan ontwerpen is ondenkbaar. Maar toch zie ik soms pas afgestudeerde MCT'ers al AD kennis op senior niveau op hun CV vermelden, zeker als ze dan ook nog eens geslaagd zijn in een MS examen en "Technology Specialist" zijn Maar helaas vallen deze mensen meestal ook snel door de mand in de praktijk... Hetzelfde trouwens voor al die "Senior system engineers" met shitloads aan certificaten, die in de praktijk dan toch echt niet veel meer dan de basiskennis blijken te hebben.

Soit, enough off-topic bashing op de hele meute wanna-be ICT'ers (want dat zijn het!), k ben wat gefrustreerd omdat ik in mijn omgeving te vaak zulke figuren zie komen & gaan

[ubremoved_15739]

@ krisken
Allicht heb jij het woordje "deels" gemist in mijn bericht.

TS zal er ongetwijfeld zeker wel eens goed over nadenken.
Don't worry, be happy.

[krisken]

@ eternum:
http://userbase.be/forum/viewtopic.php? ... 20#p455574
Had dit bericht zelfs nog niet gezien. En daarin heb je wel gelijk maar dan zou ik 2 afzonderlijke netwerken uitbouwen als de structuur dit toelaat. Vlans kunnen zeker hierin een meerwaarde betekenen, maar dan hoeft dit niet op elke verdieping etc.

Ik ben ervan overtuigd dat MClaeys niet hals-over-kop te werk zal gaan en dat, mocht hij vragen heen, we dit wel zullen lezen hier (r2504 zal alles wel tot in de puntjes beantwoorden ). Maar met alle tips/ideeën/verhalen die hier inmiddels zijn verschenen kan hij misschien al wat doen. Ten slotte is hij ook "gesmeten" in een vreemd netwerk waar ze routers gebruiken als switch etc

[ubremoved_539]

Tja, op zich is het natuurlijk wel logisch dat ze pro managed toestellen zijn. Het maakt de stage namelijk een stuk interessanter.

Interessanter voor de TS... maar wat mij betreft speel je dan met centen van iemand anders.

Daarom dat ik zeg, zet beneden bvb een routerboard met 13 gigabit poortjes zodat je per poort een vlan kan maken, en eventueel traffic shaping toepassen (bvb maximaal 1mbit/ip adres) zodat niet één leerling het volledige netwerk kan plattrekken. En dan laat je per lokaal alles daarop toekomen met domme unmanaged switches...

Inderdaad... VLAN's om VLAN's te hebben heeft op zich ook weinig zin als je ze verder niet deftig kan beheren. Wederom de belangrijke vraag waarom wil men managed swicthes en hoe zie je het VLAN gebruik concreet... maw. doe eens eerst een grondige analyse van de noden (en niet van hun fantasie) voor je je bestellijst en shops zoekt waar je die dingen kan kopen.

[MClaeys]

Plattegrond heb ik vorige week gevraagd en gekregen beetje out of date maar dat pas ik zelf wel aan aan de nieuwe situatie. Ik ga de nieuwe staat van het netwerk hier op documenteren in Visio. De huidige doe ik ook in Visio, maar iets abstracter (erbij noteren waar alles staat, niet op het plan plaatsen).
Het huidige netwerk in kaart brengen is al een werkje op zich, ik heb dan ook niet ten alle tijde toegang tot de klassen, ik wil de lessen zo min mogelijk storen en de downtime ook want als de verbinding 5 minuten down is staat er zeer snel iemand bij mij om te vragen hoe het komt. Op zich niet echt een groot probleem als ze noodzakelijk zijn natuurlijk. Ze maken daar erg veel gebruik van het internet, dat is wel tof om te zien want in mijn tijd (dat ik dat op mijn leeftijd al kan zeggen) was dat wel anders.
Ik werk inderdaad met een leerkracht die niet veel van netwerken kent, een kabel insteken en hopen dat het werkt, eventueel met een vast ip. Met gewone computers is hij wel goed. Hij wil er wel veel over bijleren en dat maakt het werk toch plezanter. Hij is er ook maar 6 uur per week met bezig, de rest geeft hij les. Uiteraard zal ik later in een bedrijf terecht komen waar ik met mensen zal samenwerken die goed weten waar ze met bezig zijn en die me dus veel bij kunnen brengen (of toch, dat hoop ik. Ik spreek al over werk terwijl ik daar nog lang niet ben). Momenteel is Google en dit forum mijn professionele input, wie stage doet in een bedrijf krijgt dat van het team waarin hij werkt.

Momenteel documenteer ik de huidige situatie van het netwerk, een relatief saai werk maar het moet gebeuren. Als afwisseling denk ik dus gewoon al na hoe het aangepast zou kunnen/moeten worden. Daar zijn we nog lang niet aan toe, en gelukkig maar want als ik het hier zo lees ging ik maar dom bezig zijn.

[krisken]

Haha Goed bezig!

[ITnetadmin]

Leerlingen van secretariaat en andere staff pcs afschermen is wel degelijk een bezorgdheid in een omgeving waar veel ITers komen en gaan, en de verantwoordelijke leerkracht niet altijd even snel mee is als de leerlingen. Dus VLANs zijn wel degelijk nuttig. Plus, als ITer wil je wel eens iets testen zonder het netwerk te compromitteren.

Vergeet niet dat in een school de ITer werkelijk alles is, inclusief R&D. En dat leerlingen SNEL zijn als het op omzeilen van beveiliging aankomt. Een VLAN overspringen zie ik ze zo snel nog niet doen als pakweg het principe van een UNC path kennen.

En de gemiddelde school zijn beveiliging op server niveau werkt als volgt: als we iedereen full access geven op de root dan werken alle shares en andere folders goed zonder veel te moeten debuggen, want de ITer heeft maar een paar uur per week en veel teveeel werk om zich daar lang mee bezig te houden. En dat is de standaardmentaliteit die ik maar al te vaak hoor.
Dus "de leerlingen kunnen aan hun punten" is echt geen uitzondering.

Wat een VLAN structuur met de fileservers van de staff, en de database, afgescheiden van de leerlingen en klas pcs, toch geen overbodige luxe maakt.
In een bedrijf ontsla je een werknemer die je beveiliging kwaadwillig en opzettelijk omzeilt, in een school zit de "vijand" vanbinnen, maak je geen illusies daar.

Ik hoor genoeg verhalen, van leerlingen die hun laptop in hun rugzak aanlaten om te torrenten terwijl ze tussen hotspots van de school lopen, tot leerlingen die eens "willen testen" waar ze aankunnen. En da's nog maar het tipje van de ijsberg.
Laat de leerlingen desnoods hun deel van het netwerk totaal verknoeien, het secretariaat mag dat nooit merken.

Vandaar ook mijn pleidooi voor 2 internet lijnen, liefst een kabel en een adsl. Want leerkrachten die een uur zonder internet vallen door een storing zien hun toch al overvol lessenpakket overhoop gegooid.

Een goeie school infrastructuur is, spijtig genoeg voor het kostenplaatje, extra redundant vanwege de tijdsgebondenheid van de activiteiten en het gevaar vanuit de leerlingen hun gedrag zelf. Een school is het equivalent van een middengroot bedrijf qua infrastructuur zonder de geldstroom die zo'n bedrijf genereert. Oplossingen die in hun kostenplaatje passen, passen echt niet in hun infrastructuur, en omgekeerd.

Bedenkt wel dat software licenses voor het onderwijs gelukkig goedkoopp zijn, 35 euro voor een windows+cal+office license per pc, en een server license is maar een 150 iets. Dat heeft als voordeel dat je wat meer op hardware kunt inzetten, als nadeel dat je directie omvervalt van hardware prijzen omdat ze enkel en alleen die kortingen gewoon zijn.

En virtualisatie lijkt overkill, maar ik heb genoeg scholen gezien die het deden (vmware sphere), want het onderhoud, backups, recoveries, en dergelijke, zijn gewoon stukken makkelijker. Stel je voor dat de AD server het begin september begeeft, veel geluk snelsnel een nieuwe te budgetteren, aankopen, installeren, configureren, ...

Het is een beetje het probleem van "a square peg in a round hole", scholen met bedrijven vergelijken.

[ Post made via mobile device ]

[vasonline]

-

[MClaeys]

Haha Goed bezig!

Bedankt toch een beetje bemoedigend dat

Om nog te antwoorden op de VLANs (mijn vorige post was via Tapatalk op een treinritje dus kon niet op alles ingaan). Er is sowieso een gescheiden netwerk, namelijk het Belgacom deel en het Telenet deel. Het is voor de school de bedoeling dat de klassen en de computergangen op de Telenet lijn terecht komen en de administratie (het bureel) op de Belgacom verbinding. De Cisco 892 router ondersteunt op het eerste zicht een backup voor de verbinding, dus ga ik instellen dat de Belgacom verbinding het alsnog overneemt als de Telenet verbinding plat ligt. De VLANs zijn dan om te zorgen dat de klassen en de computergangen al op zijn minst niet aan elkaar kunnen. En ik spreek ook niet van 10 switchen, ik spreek van 2 switchen. 1 op verdieping 2, 1 op verdieping 1. Ik kan wel op de router een VLAN instellen, maar als ik daar dan een gewone switch op aansluit zit die hele switch in die VLAN, toch? Aangezien op beide verdiepingen zowel klassen als gangpc's staan moet ik dan al met minstens 2 gewone switchen per verdieping gaan werken. Een 24 poort switch is te klein voor de pc's op een gang, dus dat zou dan 2 48 poort switchen worden en 2 kleinere (aantal klassen per verdieping ontgaat me even) per verdieping. In principe staat er in de 2e bouw ook nog een managed switch op dit moment omdat daar ook nog klassen zijn, met dan in de klas nog eens enkele gewone switchen voor de pc's in de klas. In het kort: momenteel is het een warboel . Qua budget, 3000 euro zal het maximum zijn en het zou pas eind januari vrij komen (wat zorgt dat ik eigenlijk maar een paar dagen zou hebben om het te implementeren, waarschijnlijk blijf ik gewoon enkele dagen langer om dat te doen). Met de verkiezingen in het vooruitzicht is het zelfs nog afwachten of ze dat budget krijgen.

En ik heb inmiddels op de iPad gezien dat er al terug reacties waren maar deze post stond al van voor het eten klaar, wou hem enkel nog eens herlezen voor het posten de rest is voor morgen, kga genieten van een vrije avond met de vriendin
En mijn excuses dat ik onervaren overkom, maar ik ben het dan ook gewoon en dankzij de nuttige feedback hier ben ik zeker dat ik niet ondoordachte beslissingen neem

[ITnetadmin]

Het geeft echt niet dat je onervaren ben, ik beweer ook geen expert te zijn over alles; wat belangrijk is is dat je wil bijleren
Dat geldt zelfs voor ons; een ITer die het "allemaal al kent" valt niet mee samen te werken.


Nu, inderdaad, als je een niet managed switch op een managed switch die in VLAN zit aansluit, zit heel de switch in die VLAN.
Dit omdat je, om met VLANs te werken, de poorten die de 2 switchen verbinden op beide switchen op "tagged" mode moet zetten. Zo plakt de switch bij elk pakketje een waarde (de feitelijke VLAN nummer) bij het pakketje, zodat de switch op de bestemming weet hoe hij de stroom terug uit mekaar moet halen.
Een unmanaged kan daar niet mee werken, dus die moet op een poort die in een bepaalde VLAN zit, waar de managed switch die tag zal strippen, maar enkel de pakketjes van die bepaalde VLAN doorlaat. (dat lijkt me ongeveer juist qua eenvoudige beschrijving)


Oppassen wel met schoolbudgetten: je begroting moet normaal gezien tegen december binnen zijn, tegen eind januari zou het geld moeten vrijkomen (let op het woord "zou", niet teveel op rekenen in het onderwijs).
Je volgende probleem is dat (toch bij het gemeenschapsonderwijs) je 2 budgetten hebt, kleine IT (tot 500 euro) en grote IT (vanaf 500 euro), die je niet mag met mekaar mixen.
Bij grote IT onder de 5000 euro mag je dan wel zonder officiele offertes werken, in bepaalde scholen moet de directeur van de scholengemeenschap eerst je bestelbon nog goedkeuren. Dit duurde bij mij ooit een 6tal weken (mij effe heel kwaad gemaakt toen).

Effe offtopic: Het grappige is dat op die bestelbon NIKS stond dat er werkelijk in die -toen server- terechtkwam; ik mocht nl geen euro duurder uitkomen dan die bon, en de leverancier kon zijn prijs niet garanderen over 3 maand. Dus had ik alles een niveautje duurder genomen om zeker te zijn in geval van prijsschommelingen. Leg tegen je leveranciers maar eens uit dat offertes 6 maand (tijd tussen opstellen begroting en goedkeuren van bestelbon) moeten geldig zijn voor duurdere aankopen, dan lachen de meesten je direct vierkant uit.

Enfin, moraal van het verhaal: ik vrees dat je die switchen niet op tijd gaat kunnen aankopen. Maar ik help je hopen

[krisken]

Iedereen was ooit onervaren. Ikzelf ben in de wereld van vlans etc terecht gekomen dankzij Tim zelf.
Geniet van de avond met je vriendin!!!

[vasonline]

Een unmanaged kan daar niet mee werken, dus die moet op een poort die in een bepaalde VLAN zit, waar de managed switch die tag zal strippen, maar enkel de pakketjes van die bepaalde VLAN doorlaat. (dat lijkt me ongeveer juist qua eenvoudige beschrijving)

Yup daar komt het op neer.

Maar als je je switchpoort op "Tagged vlan + Native vlan 1" zet (excuseer de term, het heet ook wel een trunk poort.)
Dan zijn, de tagged pakketjes ook nog aanwezig.

Dit kan je in sommige netwerkkaarten instellen (windows, device manager, netwerk card properties)
Ik heb dit feit, al handig gebruikt om een Wireless Acces point op VLAN 2 te zetten, en de vaste PC's op VLAN1 (native dus)
-> het maakte dan niets dat er een dan nog 'domme' switch tussenzat

Groetjes

[ITnetadmin]

Als je de unmanaged op een tagged poort aansluit, en op de netwerkkaart de vlans uit mekaar haalt, kan dit ook wel idd, denk ik.
Maar dan kan je op die switch enkel zo'n geconfigureerde toestellen aansluiten, uiteraard. Iirc kunnen toestellen die geen vlans ondersteunen daar niet mee overweg. Gevaarlijk om te doen in een omgeving waar je niet zeker kan zijn van de kennis van je opvolgers. Dit dient eerder om op een managed switch zo'n pc aan te sluiten zodat je als ITer aan al je vlans aankan zonder meerdere kabels te trekken of meerdere lan kaarten te moeten steken.
De HPs op mijn laatste plaats konden dit, maar niet standaard; dit was dmv een downloadbare driver op hun site.
Zou wel eens kunnen dat dit soort patching ergens een "best practices" regel breekt

[ Post made via mobile device ]

[MClaeys]

Als ik het via de netwerkkaarten ga regelen dan denk ik dat het wel een pak moeilijker zal zijn voor mijn stagementor, het is nu al een broedkast van virussen waar regelmatig een nieuwe image op moet geplaatst worden. Of je moet dan al met verschillende images werken of hij mag het niet vergeten instellen (en de kaart moet het ondersteunen denk ik). Ik denk dat een switch dan een "eenvoudigere" oplossing is . Momenteel ga ik alle computers tussendoor eens af met de Kaspersky bootcd, clean ze en laat ze volledig updaten, dat scheelt al een pak. Ook al 3 ransomware virussen tegengekomen, de federale politie blokkeert daar computers aan de lopende band

Geen idee hoe ze het budget precies regelen, er is 3000 euro aangevraagd bij de gemeente (nog voor de stage van start ging), maar hoe ze dat verder regelen weet ik niet . Hopelijk zijn ze op tijd, ik zou er ook geen probleem met hebben om iets langer te gaan indien nodig (er vanuit gaande dat ik op dat moment geen werk heb natuurlijk). Zo niet, dan hoop ik alleszins dat ik de huidige toestellen wat meer onder controle krijg (resetten en van standaardconfig beginnen, hopen dat er dus geen wachtwoord op zit of een resetmodus aanwezig is) en zo de situatie al kan verbeteren. En goede documentatie, dit was nu 1 A4 bladje met een schetsje van het netwerk !

[vasonline]

Als je de unmanaged op een tagged poort aansluit, en op de netwerkkaart de vlans uit mekaar haalt, kan dit ook wel idd, denk ik.
Maar dan kan je op die switch enkel zo'n geconfigureerde toestellen aansluiten, uiteraard. Iirc kunnen toestellen die geen vlans ondersteunen daar niet mee overweg. Gevaarlijk om te doen in een omgeving waar je niet zeker kan zijn van de kennis van je opvolgers. Dit dient eerder om op een managed switch zo'n pc aan te sluiten zodat je als ITer aan al je vlans aankan zonder meerdere kabels te trekken of meerdere lan kaarten te moeten steken.
De HPs op mijn laatste plaats konden dit, maar niet standaard; dit was dmv een downloadbare driver op hun site.
Zou wel eens kunnen dat dit soort patching ergens een "best practices" regel breekt

[ Post made via mobile device ]

Haha
Inderdaad. Trunk poorten zijn eerder voor tussen twee switches te gebruiken.

Doch, mijn voorbeeld iets verder uitgewerkt:

2 vlan's aanmaken op je managed switch: 1 "native vlan" en 1 "tagged vlan"

Het leuke is dan, dat de computers automatisch in vlan 1 terechtkomen (ze weten niet beter)
Terwijl de wireless access point's weten dat ze in vlan 2 thuishoren. (cfr. de driver van je netwerkkaart zoals je aangaf)
Dit kan je nl in de meeste zakelijke acces points instellen.
Maar denk bvb ook aan IP telefonie, die je op deze manier heel elegant kan uitrollen.

Groetjes

[ubremoved_539]

Terwijl de wireless access point's weten dat ze in vlan 2 thuishoren. (cfr. de driver van je netwerkkaart zoals je aangaf)
Dit kan je nl in de meeste zakelijke acces points instellen.

Zorg meteen ook maar dat je AP's hebt welke verschillende SSID's kunnen hebben gelinked aan verschillende VLAN's. Op die manier kan je ook de leraars wireless in een andere VLAN terecht laten komen dan de studenten (al kan je dat normaal ook gewoon op basis van het MAC adres van de wireless kaart).

Ik blijf het wel raar vinden dat hier volop over VLAN's en apparatuur wordt gesproken zonder dat er een grondige analyse is gebeurd van de noden. Nadat die noden bekend zijn teken je dat trouwens eerst en vooral volledig uit zodat je een beeld krijgt van welke configuratie behoeften je ook effectief hebt. Zonder dergelijke methodiek blijft het een quick en dirty aanpak wat mij betreft.

[vasonline]

@r2504: dat lijkt me evident!

[ITnetadmin]

Uiteraard kunnen we hier vanop afstand moeilijk inschatten van wat exact nodig is, maar in het onderwijs, vanwege de dualiteit secretariaat / leerlingen, kan je er bijna vanzelf vanuit gaan dat een vlan structuur de nodige afscheiding kan bieden, desnoods enkel op de centrale switch in het serverlokaal. Een beetje een educated guess, gevolgd door een extrapolation op basis van eigen evaringen in de omgeving.

Scholen hebben nu allemaal wel een gelijke structuur en je kan daar wel enige lijnen doortrekken.
De bovengenoemde splitsing tussen administratief en educatief netwerk, de klassieke organisatiestructuur met directie, secretariaat, leraars en leerlingen, ...
De variabelen liggen eerder bij de fysieke layout. 2 gebouwen, dan trek je fiber ertussen, of een set cat6en die je trunkt. Of laser of radiolines afhankelijk van de grootte van je setup als je niet ondergronds kan (opnieuw: dit zijn reeds bestaande voorbeelden, er zijn scholen die IT geven met honderden pcs, dan spreek je gewoon niet meer over een "klein" netwerk
Zijn de IT lokalen en het serverlokaal niet te ver uit mekaar, patchpanels centraliseren, anders met tussenpunten werken en trunken die handel.

Er zijn ook die specifieke probleempjes waar je, als enige ITer, vaak wat extra kunt/moet doen om je werk wat te centraliseren ipv rond te moeten rennen.
Wat je zeker wil kunnen bv, in geval van vlans, is een vlan capable switch in je it lokaal zetten, zodat je zelf overal aankan wanneer nodig. Een ander nuttig iets is een UPS (op de servers zoiezo natuurlijk), maar ook op je eigen pc, en switch. Zodat je bij power failures nog naar je servers kan RDPen om te zien of ze wel degelijk goed afsluiten. Je moest het maar eens voorhebben dat die dingen uitvallen tijdens de klaswissel (meegemaakt: de stroom leerlingen doorrennen om op tijd in je serverlokaal te geraken omdat je weet dat je UPS de fileserver weigert af te zetten is not fun, believe me , zo kan je nog snel manueel de shutdown starten.

Ik verwijs verder naar een van mijn vorige posts inzake algemene infrastructuur noden van het onderwijs.

Nu blijft het inderdaad een beetje een afweging van de noden, maar dit soort dingen zijn altijd meerjarenplannen. Daarom zal in dit geval ook de evaluatie dienen gemaakt te worden of de vaste ITer hier allemaal wel mee kan werken nadat de expert die het geinstalleerd heeft weg is.

In antwoord op r2504: qua wireless verkies ikzelf om dat niet op bestaande vlans te zetten. Isoleren op een aparte vlan die handel, liefst met een radius server die dan apart verbonden is op de AD, kan je je leerlingen nog een beetje in t oog houden zonder dat je servers op een wifi link zitten. Wireless voor de leerkrachten is dan met een andere SSID, mogelijk met een mac check.

Zelf heb ik ooit idd de voorkeur gegeven aan het steken van een switch die op mac kon filteren, om te vermijden dat de leerlingen hun pcs uitpluggen om dan hun laptops op de kabel te steken. Dat het niet mag luisterden ze toch niet naar, en de 500e keer dat je alles mag terugsteken omdat de volgende user een pc illiterate is heb je dat ook wel gehad.

Vergeet niet dat je in een omgeving zit waar de standaard reactie op pcs met een power unit die zo'n 110v/220v schakelaar heeft is: tek7 op die handel of je zit de eerste week met een reeks opgeblazen power units omdat ze die schakelaar op 110v zetten bij verveling.
Ook is het een omgeving waar niet iedereen zijn eigen pc heeft. Ik merk dan ook dat bij degenen die dat wel hebben (secretariaat, directie) het aantal incidenten veel lager is. Die dragen namelijk zorg voor hun toestel / hun setup. De leerkrachten, die vaak van lokaal wisselen, al veel minder. Over de lln spreken we hier niet eens

[ Post made via mobile device ]

[MClaeys]

De splitsing tussen directie en de rest zal automatisch gebeuren, ik moet alles overschakelen naar de Telenet verbinding, maar de directie blijft op de huidige Belgacom verbinding werken .

Voor de rest is het de bedoeling is dat er een splitsing is tussen klassen en computergangen. Het CLB en de leraarskamer zou ook afgesplitst moeten zijn. De centrale opslag die er is is momenteel een 2TB NAS, de leerkrachten en het CLB moeten hier aan kunnen, de leerlingen mogen hier niet aan kunnen. Dat is in het beknopt hoe de situatie zou moeten worden/hoe ze het verwachten. Een draadloze AP in het CLB lokaal, de leraarskamer en een mobiele om in de klas te plaatsen waar ze op dat moment met tablets willen werken (volgend jaar zou men met tablets willen beginnen werken, er moet dus rekening gehouden worden met het feit dat het aantal APs de komende jaren nog kan stijgen als men steeds meer naar tablets zou overschakelen).
Draadloze APs zijn nog niet aanwezig, er lag 1 D-link toestel in de kast, het CLB wou zo snel mogelijk een draadloos punt in hun lokaal (dat was ook een logische keuze, al die kabels over de vloer was geen doen). De standaard firmware deed wat raar, ik heb er dan DD-WRT op gezet en ze zijn nu voorlopig al geholpen dus met een draadloze AP.

In het kort hoe de situatie nu is van infrastructuur:
2 gebouwen, verbonden met een UTP kabel onder de grond.
In gebouw 1:
Bureau van de directie waar de Belgacom verbinding aanwezig is. Hier is alles op aangesloten uiteindelijk.
Van hier uit gaan twee kabels naar de 2e verdieping naar het patchpanel. 1 van die kabels gaat daar naar een 24 poort switch waarop ook nog een 2e 24 poort switch is aangesloten. Alle andere patchen van die patchkast gaan naar die 2 switchen, volgens een random verdeling (de patchen lopen naar de computergang van verdieping 2 en naar de klassen van verdieping 2). De andere kabel die van het bureel komt gaat van verdieping 2 terug naar verdieping 1 naar de patchkast. In die patchkast liggen weer 2 switchen, de manier is dezelfde als op verdieping 2, namelijk 2 24 poort switchen die aan elkaar hangen en alle patchen aangesloten volgens een random verdeling (in deze patchkast gaan de patchen naar de klassen van verdieping 1 en 2 en naar de computergang van verdieping 1).
In de klassen worden soms ook nog onderverdelingen gemaakt via een gewone switch (indien er naast de laptop van de leerkracht ook gewone computers aanwezig zijn).
In gebouw 2:
Hier komt 1 kabel van het bureel toe, hierop is een 24 poort switch aangesloten. Hier hangen 2 klassen, de NAS en het CLB lokaal aan. In het CLB lokaal staat dan een draadloze D-link router. In het ene klaslokaal liggen 2 gewone switchen met een computer of 8 nog aan.
Totaal aantal computers, ongeveer 150 waarvan een 20 a 25 laptops. Besturingssystemen lopen wat door elkaar, zowel XP als Vista als Windows 7 zijn aanwezig.
De Telenet verbinding is aanwezig op verdieping 2 van gebouw 1.

Die situatie ben ik momenteel in Visio visueel aan het voorstellen zodat het overzichtelijk is om te kijken wat anders moet (tussen het oplossen van andere problemen door). De klaslokalen waar meer dan 1 computer aanwezig is (en dus een switch of router staat) moet ik nog in kaart brengen.

Ik blijf het wel raar vinden dat hier volop over VLAN's en apparatuur wordt gesproken zonder dat er een grondige analyse is gebeurd van de noden. Nadat die noden bekend zijn teken je dat trouwens eerst en vooral volledig uit zodat je een beeld krijgt van welke configuratie behoeften je ook effectief hebt. Zonder dergelijke methodiek blijft het een quick en dirty aanpak wat mij betreft.

Er staat nog lang niks vast, de analyse is nog volop bezig en uiteraard ga ik niet zomaar wat toestellen laten aankopen zonder hier eerst een goede overweging van te maken en uit te tekenen hoe de situatie in elkaar zal moeten zitten . Daarom dat ik zulke zaken ook in de groep smijt, de meeste stagiairs hebben een team waarin ze meedraaien waar ze kennis uit opdoen en vragen aan kunnen stellen. Ik heb dat niet, maar ik heb iets veel beter (in mijn ogen), namelijk een community met mensen die wel de ervaring hebben en hulpvaardig zijn . Ik smijt iets in de groep en ik krijg hier dan feedback op, over VLAN zijn de meningen nog wat verdeeld maar de argumenten kan ik wel gebruiken in mijn uiteindelijke overweging.
Het is natuurlijk ook niet de bedoeling dat ik de case hier zet en jullie ze voor mij oplossen, daar leer ik helemaal niks mee , maar van de feedback leer ik wel bij en het maakt de kans op beginnersfouten ook een pak kleiner (bvb niet verder kijken dan VLAN terwijl er andere/goedkopere oplossingen zijn. Dat ze te gebruiken zijn is nog niet zeker, maar ze worden dan wel bekeken en in overweging genomen).

[krisken]

Pssst als je jouw Visio plan klaar hebt...post deze hier eens als je wilt

[ubremoved_539]

Er staat nog lang niks vast, de analyse is nog volop bezig en uiteraard ga ik niet zomaar wat toestellen laten aankopen zonder hier eerst een goede overweging van te maken en uit te tekenen hoe de situatie in elkaar zal moeten zitten .

Ik beweer ook niet dat er reeds dingen vast liggen... wel dat de volgorde van aanpak mij niet correct lijkt.

Eerst een grondige analyse van de vereisten... daarna zien hoe je dat kan implementeren (je secretariaat apart bijvoorbeeld kan evenzeer met een gewone switch voor hen ipv. VLAN's). Nu is iedereen volop aan het discussieren over VLAN's zonder dat ik hier ergens kan lezen wat het secretariaat is, met hoeveel ze zijn, waar ze zitten, aan welke servers/share ze moeten aankunnen, op welke layer je de security gaat implementeren, ... kortom er zijn 101 dingen die je beter eerst doet voor je spreekt over hardware (zelfs indien je budget onbeperkt is is het nog een slechte aanpak).

Trouwens iedereen spreekt maar over scheiding van netwerken door VLAN's... prima, maar uiteindelijk komen ze ook allemaal toe op dezelfde server (alhoewel ook hier is duidelijk geen analyse van) en moet je alsnog een grondige security analyse doen van hoe je daar je VLAN inspanningen niet volldige waardeloos maakt.

[ITnetadmin]

Nee hoor, dan zet je zoiezo aparte fileservers voor elke kant, eentje voor educatief en eentje voor administratief gebruik.
Geen reden om dezelfde server aan beide kanten bloot te stellen.
En je monteert 2 AD servers, die via een switch op een 2e poort aan mekaar hangen voor het syncen; zo scheidt je de meeste traffic. (ook weer een reden waarom virtualisatie voordelig kan zijn)
Zoiezo omdat de leerkrachten meestal diegenen zijn die hun account aan beide kanten van het netwerk moeten kunnen accessen, een om les te geven en de ander om punten te verwerken.
Wat ik wel zou overwegen is de 2 buitengaande lijnen loadbalancen met een firewall, dat de lijnen evenredig belast worden en failover kunnen spelen indien nodig.

Opnieuw, afhankelijk van de fysieke structuur, maar niet vergeten dat je ook toekomstgericht moet werken, met de aankoop van gewone switchen ben je mss iets goedkoper uit, maar zit je opvolger wel muurvast aan die beslissing. Heb ik ook ooit meegemaakt, en bestaande switchen eruit gooien omdat de noden ineens veranderd zijn is niet plezant. Vergeet niet dat directies kunnen warm en koud blazen, en ineens een pc lokaal of iets bijsteken waar eerst niets voorzien was. Onderwijs is ook op dat vlak weer veel flexibeler dan prive vaak, en daar moet je netwerk op voorzien zijn.

Als het idd de bedoeling is APs voor de lln te hebben en uit te breiden, stel ik voor om met een controller/slave opstelling te werken. Dat kost iets meer aan de controller eenmalig, maar daarna moet je die maar 1x configureren en de slaves nemen de setup over. Verder ben ik zoiezo fan van het radius systeem, liever dan het 1 paswoord voor allen systeem.

Ook zouden ze eigenlijk een serverlokaal moeten gaan voorzien, en daar de internet lijnen op doortrekken, dat alle connecties op 1 plaats toekomen, iets waar niet iedereen een sleutel van heeft, on zo de gekende "het serverlokaal is ook het poetskot en het middaglokaal van de kuisploeg" problematiek op te lossen.
[ Post made via mobile device ]

[MClaeys]

Het secretariaat zit apart doordat ze op een andere verbinding zullen zitten, niet via VLAN dus het gaat over de scheiding van klassen, computergangen en het CLB.
En een server is er niet, pas als mijn eerste opdracht (dus netwerk in kaart brengen en verbeteren) klaar is moet ik gaan bekijken of het überhaupt een meerwaarde kan betekenen in de school. Het enige dat momenteel aanwezig is is dus een 2Tb Nas (waar zowel de leerkrachten als het CLB aan zouden moeten kunnen, niet de leerlingen).
Momenteel ben ik ook alleen nog maar bezig met die analyse en het in kaart brengen, dat ik tussendoor al eens verder denk lijkt me net logisch? Op school hebben ze al die jaren zitten hameren op het feit dat we op voorhand moeten werken, dus tracht ik die lijn wat door te trekken. Of dat de juiste manier is van werken weet ik natuurlijk niet, dat beweer ik dan ook niet dat ik VLAN vermeld heb is gewoon van hier even luidop te redeneren en denken wat posts terug (eigenlijk omdat ik er verkeerdelijk vanuit ging dat managed switchen nodig gingen zijn), en daar is dan een discussie uit ontstaan over het wel en niet nuttig zijn van VLAN en managed toestellen.
Dat ik nu nog geen echt gebruik van maak van de info uit die discussie doet er dan weer weinig toe, ik leer er alvast uit en het kan een goede hulp zijn op het moment dat ik daar wel over moet gaan nadenken . Als mijn tijdsplanning juist loopt zou dat tegen het einde van deze week ongeveer zijn, maar dat hangt van nog een pak andere factoren af.

Pssst als je jouw Visio plan klaar hebt...post deze hier eens als je wilt

Zal ik doen, verwacht wel geen mirakels want het is de eerste keer dat ik het programma gebruik, beetje proberen en aan zelfstudie doen dus . Hoe meer ik er in werk hoe vlotter het alleszins gaat.

[ITnetadmin]

Qua servers: ja, ik kan je bijna garanderen dat dit een meerwaarde heeft.
Centraal gemanagde logins voor iedereen, homefolders op de fileserver, betere backups, iedereen neemt profiel mee naar eender welke pc, ...
Betere, veeeeel betere access controls op de NASsen / fileservers, zelfs printers toekomstig.
Hoe een school nog kan werken zonder een AD structuur gaat me echt te boven.
Nu besef ik wel dat het om een lagere school gaat, en dat de lln zelf wel braver zijn dan in het middelbaar, maar toch.

Je mag ook niet vergeten dat netwerkbeheer, in tegenstelling tot zeg maar webdesign of programmeren, veel minder strak een procedure heeft, en veel flexibeler kan zijn (persoonlijk gevoel, ben geen programmeur, maar die zitten toch vaker in een keurslijf omdat iedereen met ingewikkelde code overweg moet kunnen, dus er lijkt me daar meer gestandardiseerd). Vandaar dat je hier ook meer tegenstellingen hoort; iedereen heeft wel zijn voorkeuren voor bepaalde technieken, dus het is vaak ook een beetje een kwestie van persoonlijkheid. Vraag aan 12 netwerkbeheerders een oplossing en je krijgt 13 antwoorden, bij wijze van spreken

[ Post made via mobile device ]

[MClaeys]

Je zou er van verschieten wat die van de lagere school al kunnen op die toestellen ik stond er zelf soms van te kijken en ik ben er nog maar 10 dagen actief
Ik had al iets laten vallen van dat een server wel interessant zou zijn, maar ik wil het niet echt hard maken tot ik er echt klaar ben met de analyse daarvan (pas na de optimalisatie dus). Momenteel heeft elke klas een printer en dan 1 kleuren laserprinter in de computergang voor als er eens iets in kleur moet afgeprint worden. Het hangt ook af van hoeveel tijd er dan nog over is, het kan zijn dat ze dat door een volgende stagiair moet geïmplementeerd worden aan de hand van mijn analyse dan time will tell .

[ITnetadmin]

Tja, zonder netwerk zijn het wss usb printers; daar hebben ze dan wel geld voor
Een leuk ideetje dat ik ooit gedaan heb bij deliberaties is de "mobiele" printer, gewoon aansluiten op het netwerk waar je hem nodig hebt (server wel nodig uiteraard). Nuttige tip

Wel oppassen bij het wifi steken in het CLB; wifi is vragen om problemen dus als het enigszins bekabeld kan moet je dat toch ns bekijken vind ik. Bij wifi is er altijd wel eentje die de key niet meer kent of authentication issues heeft etc etc...
Kabelgoten, via de grond of overhead ofzo (maar zonder lokaal layout speculeer ik hier alleen maar).

Vergeet ook niet dat op een bepaald moment de users die key eens gaan moeten intypen, en dan gaan zagen om een makkelijk onthoudbare, of hem opschrijven. En daar gaat je security

[ Post made via mobile device ]

[ubremoved_539]

Vergeet ook niet dat op een bepaald moment de users die key eens gaan moeten intypen, en dan gaan zagen om een makkelijk onthoudbare, of hem opschrijven. En daar gaat je security

RADIUS...

[MClaeys]

Ik heb weer wat uitgestoken, het was eerder een noodzakelijk kwaad (denk ik) maar toch.
De Cisco 892 router begon enkele dagen geleden vast te lopen. Werkelijk geen 2 uur deed het bakje zonder dat het vast liep. Qua configuratie had ik er nog niks aan gedaan behalve dan de beveiliging (admin account, zorgen dat niet zomaar elke poort kan gebruikt worden om er op te geraken etc...). Ik had wel al gemerkt dat er maar enkele IP-adressen werden uitgedeeld en dat de rest dan maar pech had (5 computers om precies te zijn). Dit lag aan de /29 configuratie, maar dat liet ik voorlopig voor wat het was (in kaart brengen moest eerst, daarna pas stuk per stuk overschakelen op Telenet).
Aan de configuratie lag het dus volgens mij niet. Rebooten: geen verschil. Een reset dan maar. Bij deze, het toestel is gereset en het is weer volledig clean. De vastlopers zijn gedaan . Een verklaring hiervoor heb ik dus niet echt, of er moest in de configuratie die er reeds op stond iets mis gezeten hebben.
Ik dacht eerst dat hij op de fabrieksinstellingen stond toen ik hem hier kreeg (hij kwam namelijk recht uit de verpakking), maar blijkbaar waren er toch al zaken aangepast en ingesteld (zag ik pas na het resetten want er waren meer zaken gereset dan ik had gedacht).

Kortom, een leeg toestel om eens volledig te configureren! Leuk, maar ik wil niks over het hoofd zien natuurlijk. Mijn schoolervaring gaat vooral over het beveiligen van de toestellen en we hebben er eens een vlan tussen moeten opzetten, verder waren het vooral switchen waar we met werkten. Qua commando's kan ik mijn weg dus wel wat vinden, qua stappen en de volgorde hiervan misschien iets minder. Daarom zet ik even de stappen die ik wou nemen hier, zodat ik niks vergeet en ik er ook geen fouten op maak vooral voor domme fouten en vergetelheden heb ik wat schrik kweet al uit ervaring dat een kleine vergetelheid soms lang zoekwerk kan opleveren.

1) Static Ip (en subnetmask en dns-servers etc...) van Telenet achterhalen en configureren op de wan poort.
2) De poorten waaraan ik een switch hang actief maken, een ip aan toekennen (en subnetmask)
3) Een DHCP pool maken en koppelen aan die poort
4) Voor routing zorgen tussen de poort en de wan verbinding
Is dit correct of zie ik iets dom over het hoofd? (Of doe ik een domme/foute stap?)

Ik heb ook gemerkt dat in tegenstelling tot een switch je met subinterfaces moet werken als je met VLAN zou willen werken, ik heb dit bij de vorige configuratie eens getest maar hij wou blijkbaar geen subinterfaces aanmaken.

[krisken]

Ik kan fout zijn, maar is het bij telenet niet zo dat je via DHCP telkens hetzelfde IP krijgt als je een fixed IP hebt bij hun?

[MClaeys]

Echt? Hmm, dat zal ik dan eens moeten opzoeken op hun site. Merci voor de tip!

[krisken]

Bij mijn weten wel.
Das beetje het zelfde zoals bij xdsl : daar maak je een gewone PPPoE verbinding (zoals altijd) alleen krijg je dan van je provider telkens hetzelfde IP adres.

[MClaeys]

Uw router of pc blijft zijn IP adres automatisch verkrijgen. Eens uw Mac-adres is opgegeven, gaat onze DHCP-server dit adres herkennen en altijd hetzelfde IP adres toekennen.

Blijkbaar dus wel, de WAN poort bij stap 1 op dhcp zetten is dus voldoende dan Ik vond het al raar dat ze die gegevens nergens hadden opgeschreven om bij een volgende configuratie weer in te stellen

[krisken]

Eigenlijk wel wat dwaas die uitleg. Als morgen jouw router het begeeft en je zet er een andere op (= ander mac adres) dan zou dit willen zeggen dat je een ander fixed ip krijgt?

[MClaeys]

Ik neem aan dat ze slimmer zijn dan dat en het MAC adres van hun eigen modem gebruiken. Die moeten ze zelf activeren (toch?) dus kunnen ze zo het vaste IP overzetten op de nieuwe modem. Ik heb namelijk nooit het MAC adres doorgegeven van de router die er nu staat, ook geen bericht gekregen dat ik dat moet doen .

[MClaeys]

@Krisken
Hier is het Visio plan te vinden van de huidige situatie (erg abstract). Met de versie op het grondplan ben ik nog bezig, deze ga ik pas in de herfstvakantie afwerken omdat ik hierop de nieuwe situatie wil visualiseren. Ik neem aan dat het niet superduidelijk is (ik kan er wel aan uit, maar dat is geen representatie van iemand anders natuurlijk ), dus bij vragen stel je ze maar. Vooral de bekabeling hoop ik wel duidelijker te kunnen op de versie op het grondplan.

Daarnet nog wat zitten experimenteren met de Cisco router om de stappen te ondernemen die ik in een van mijn vorige posts vermeldde. De router ontvangt opnieuw een IP van Telenet, dus dat is een succes (was ook heel eenvoudig). Een dhcp pool aanmaken is ook gelukt, ik nam 192.168.21.0 255.255.255.192 als pool om enkel de klassen van de 2e verdieping van ip-adressen te voorzien. Dit puur als test (ze zijn er ook nog niet op aangesloten) want ik heb nog niet bekeken hoe ik de ip ranges ga doen en 192.168.x.x lijkt me wat teveel voor thuisgebruik.
Een ip toewijzen aan een interface lukt echter niet, ik dacht het op te lossen door met subinterfaces te werken zoals ik ergens las maar dat wil hij ook niet doen. Lukt het op een router niet om zonder met VLAN te werken een ip aan een poort te geven (en een dhcp-pool)? of zie ik weer iets dom over het hoofd?

[krisken]

Kan je hem even uppen als gif of jpg? Denk dat veel mensen hier - net als ik - Visio niet hebben

[MClaeys]

Linkje aangepast, de Visio is nog steeds te downloaden door de link aan te passen met .vsd in plaats van .png (voor wie toch liever Visio heeft)

[krisken]

Not found

[MClaeys]

Fixed, Userbase moest met hoofdletter in de link. Ik zou die hoofdlettergevoeligheid op men webhost eens moeten uitschakelen eigenlijk.

[krisken]

Host werkt wss met Linux ipv Windows Dan is een hoofdletter dikwijls de oorzaak