Zur Hauptnavigation springen [Alt]+[0] Zum Seiteninhalt springen [Alt]+[1]

Switches und VLANs

Die gesamte IT-Infrastruktur an Schulen startet bei der Vernetzung von Rechnern. Das betrifft Arbeitsplatzrechner, Server, Netzdrucker usw. Als zentrales Kopplungselement zwischen den Rechnern kommen sogenannte " Switches " zum Einsatz. Diese Geräte sind so etwas wie intelligente Verteilersteckdosen für die Übertragung von Daten. Ein Switch

  • kennt die angeschlossenen Rechner,
  • analysiert die Datenübertragungswünsche dieser Rechner
  • und koppelt die beteiligten Geräte über einen exklusiven Kommunikationsweg.

Grundfunktion eines Switches

Im obigen Beispiel kommuniziert gerade der Rechner F mit dem Rechner H. Da hierfür ein exklusiver Pfad zwischen F und H geschaltet wurde, wäre eine zeitgleiche Kommunikation von Rechner B zu Rechner D möglich.

Der obige Switch bietet Anschlussmöglichkeiten für 24 Endgeräte - man sagt auch der Switch hat 24 Ports. Die Anzahl der Anschlüsse/Ports reicht in den meisten Schulen nicht aus. Außerdem kann ein Switch nur eine begrenzte Entfernung zum Endgerät überbrücken - Faustregel sind ca. 50 m Umkreis. Muss nun entweder die Anzahl der anschließbaren Geräte oder die maximale Distanz zwischen den Endgeräten vergrößert werden, werden Switches kaskadiert.

Erweiterung des Netzes durch Kaskadierung v. Switches

Über eine als Backbone-Leitung bezeichnete Verbindung werden dabei Switches gekoppelt. Abzüglich der Ports, die für die Backbone-Verbindung notwendig sind, stehen im obigen Beispiel somit bereits 46 Ports für Endgeräte zur Verfügung.

Sofern die Switches in einer grafischen Darstellung eines Netzes irrelevant sind, verwendet man üblicherweise eine Ersatzdarstellung. Die kaskadierten Switches werden nicht mehr einzeln dargestellt, sondern statt dessen in Form eines einzelnen zentralen Strichs (oder einer Röhre) gezeichnet. Über "Stichleitungen" werden die angeschlossenen Endgeräte hinzugefügt.

Ersatzdarstellung für Netze

Unter Verwendung dieser vereinfachenden Darstellung sehen Sie nachfolgend die derzeit typischerweise vorhandenen schulischen Netze:

  1. Ein Netz für die Rechner im Bereich der Verwaltung (Schulleitung, Abteilungsleitung, Sekretariat ...)
    Dieses Netz ist an Schulen üblicherweise unter dem Begriff Verwaltungsnetz bekannt. Im einfachsten Fall sind hier nur einzelne Rechner vernetzt. Je nach Größe der Verwaltung existiert aber auch ein Server zur zentralisierten Speicherung von Daten, zentralen Druckerverwaltung, E-Mail ... . Im sogenannten Netzbrief von 2014 wird dieses Netz als "Arbeitsumgebung Schulleitung" bezeichnet.
     
  2. Ein weiteres Netz für die pädagogische Arbeit an Schulen
    Es umfasst insbesondere alle Rechner in Klassenräumen. Im Gegensatz zum Verwaltungsnetz ist hier im Allgemeinen immer mindestens ein Server vorhanden - häufig unter Verwendung der Musterlösung des Landes - paedML. Dieses Netz ist an Schulen üblicherweise unter dem Begriff pädagogisches Netz bekannt. Im Netzbrief 2014 wird dieses Netz als "Unterrichtsumgebung" bezeichnet.

Die üblicherweise an Schulen vorhandenen Netze

Die beiden Netze, Verwaltungsnetz und das pädagosiches Netz, müssen dabei getrennt sein. Dies wurde erstmals im Netzbrief von 2004 (Aktenzeichen 11-0551.0/34) vorgeschrieben. Die Intention dieser Vorgabe ist insbesondere auch der Schutz personenbezogener Daten, die in besonderem Maß im Verwaltungsnetz verarbeitet werden. Durch die Trennung sind Angriffe auf das Verwaltungsnetz nicht möglich. Fehlkonfigurationen - z.B. irrtümliche Freigaben der Festplatten von MitarbeiterInnen - führen nicht unmittelbar zum unberechtigen Datenzugriff durch SchülerInnen oder Lehrkräfte.

Diese vorgeschriebene Trennung zwischen pädagogischem Netz und Verwaltungsnetz wurde an den meisten Schulen durch eine physikalische Trennung umgesetzt. Es werden dabei für beide Netze eigene Geräte eingesetzt.

Physikalische Trennung der schulischen Netze

Bei der physikalischen Lösung handelt es sich um die sicherste aller denkbaren Lösungen - vorausgesetzt die Geräte sind auch durch einen physikalischen Zugangsschutz vor der Manipulation unberechtigter Personen geschützt. Das bedeutet insbesondere, dass Switches und Server des Verwaltungsnetzes in abgeschlossenen Räumen untergebracht werden zu denen nur berechtigte Personen Zugang haben.

Schulen erreichen je nach Größe allerdings eine beträchtliche räumliche Ausdehnung. Geräte sind über mehrere Stockwerke, mehrere Gebäude und manchmal sogar über mehrere Standorte verteilt. MitarbeiterInnen des Verwaltungsbereichs sind dann sehr schnell nicht mehr an einer einzelnen Stelle des Schulcampus konzentrierbar. Statt dessen sind einzelne Büros mehr oder weniger verstreut im Gebäude / in den unterschiedlichen Gebäuden verteilt. Das lokale Netz (Local Area Network = LAN ) folgt dieser räumlichen Ausdehnung und ist dann auch weitverzweigt.

Netztopologie an Schulen

Die sichere Lösung durch eine physikalische Trennung der beiden Netze wird dann sehr schnell teuer. Schließlich müssen zwei vollständig getrennte Netze aufgebaut werden. Insbesondere die dann doppelt ausgeführte Verkabelung und die Dopplung von Switches kann dabei zu erheblichen Kosten führen. Wurden die beiden Netze erst einmal physikalisch getrennt eingerichtet, ist diese Lösung auch sehr unflexibel. Soll beispielsweise ein Verwaltungs-Büro, z.B. das einer Abteilungsleitung, in einen anderen Raum verlegt werden, ist eine sehr teure Umverkablung, die meist mit Baumaßnahmen verbunden ist, notwendig.

 

VLANs