Zur Haupt­na­vi­ga­ti­on sprin­gen [Alt]+[0] Zum Sei­ten­in­halt sprin­gen [Alt]+[1]

Vir­tu­el­le LANs - VLANs

Eine er­laub­te Lö­sung zur Um­ge­hung die­ser teu­ren, in­fle­xi­blen Lö­sung wird durch Ein­rich­tung und Ver­wen­dung so­ge­nann­ter vir­tu­el­ler LANs - VLANs er­reicht. Bei einer VLAN-be­zo­ge­nen Lö­sung wird nur ein phy­si­ka­li­sches Netz in der Schu­le in­stal­liert. Bei der In­fra­struk­tur aus Ver­ka­be­lung und Swit­ches wird er­neut auf guten phy­si­ka­li­schen Zu­gangs­schutz ge­ach­tet. Die ver­wen­de­ten Swit­ches müs­sen dabei kon­fi­gu­rier­bar sein und VLANs un­ter­stüt­zen. Es wird an­schlie­ßend per Soft­ware-Kon­fi­gu­ra­ti­on für jeden Port de­fi­niert, zu wel­chem der bei­den Netze

  • Ver­wal­tungs­netz oder
  • päd­ago­gi­sches Netz
der Port ge­hört. Die nach­fol­gen­de Gra­fik ver­sucht dies durch farb­li­che Kenn­zeich­nung der an­ge­schlos­se­nen Rech­ner da­zu­stel­len.

Trennung der schulischen Netze mit VLANs

Es wur­den hier bei­spiels­wei­se vier ge­trenn­te Netze - rot, grün, blau und gelb - ein­ge­rich­tet. Durch eine ge­ziel­te Kon­fi­gu­ra­ti­on der Switch­ports ist da­durch jeder Rech­ner exakt einem die­ser Netze zu­ge­ord­net. Der Switch trennt die mög­li­chen Kom­mu­ni­ka­ti­ons­pfa­de nun akri­bisch. Ein Rech­ner aus dem grü­nen Netz kann, ob­wohl er mit dem glei­chen Switch ver­bun­den ist, nicht mit einem Rech­ner aus dem roten Netz kom­mu­ni­zie­ren! Ob­wohl die Rech­ner am glei­chen Switch ein­ge­steckt sind, ver­hält sich die An­or­dung, als wären es zwei ge­trenn­te Swit­ches.

Im obi­gen Bei­spiel wurde dies gleich mit vier Net­zen de­mons­triert. Durch die ge­trenn­te Kon­fi­gu­ra­ti­on kön­nen blaue Rech­ner nur mit blau­en Rech­nern, rote Rech­ner nur mit roten Rech­nern ... kom­mu­ni­zie­ren. Fak­tisch sind hier also vier ge­trenn­te Netze ein­ge­rich­tet. Da die Netz­tren­nung nun nicht mehr phy­si­ka­lisch durch­ge­führt wird, spricht man von vir­tu­el­len LANs - VLANs . Die Tren­nung der Netze wird auch über den Back­bone bei­be­hal­ten. Die Swit­ches auf bei­den Sei­ten des Back­bones kön­nen die Kom­mu­ni­ka­ti­on wei­ter­hin aus­ein­an­der­hal­ten und rea­li­sie­ren auch switchüber­grei­fend eine sau­be­re Tren­nung der VLANs.

Diese Art der Tren­nung ein­zel­ner, schutz­be­dürf­ti­ger Netze ist

  • kos­ten­güns­tig, da die Netz­struk­tur nur ein­mal vor­ge­hal­ten wer­den muss,
  • fle­xi­bel, da jeder Port jedem be­lie­bi­gen Netz zu­ge­wei­sen wer­den kann und eine Bü­ro­ver­le­gung da­durch nur per Soft­ware-Um­kon­fi­gu­ra­ti­on rea­li­siert wird, und
  • si­cher, so­fern das ein­ge­setz­te Per­so­nal eine fach­ge­rech­te, sorg­fäl­ti­ge Kon­fi­gu­ra­ti­on durch­führt.
Die im "Netz­brief" vor­ge­schrie­be­ne Tren­nung des Ver­wal­tungs- und päd­ago­gi­schen Net­zes ist ex­pli­zit auch mit­tels VLANs er­laubt.

Schulische Netze mit VLANs

Folgt man der Idee von VLANs kon­se­quent, sind wei­te­re Lö­sun­gen denk­bar. Ins­be­son­de­re für grö­ße­re Schul­net­ze sind über vir­tu­el­le LANs auch Ge­bäu­de, Stock­wer­ke bzw. sogar ein­zel­ne Klas­sen­zim­mer als VLAN de­fi­nier­bar. Dies führt netz­werk­tech­nisch zu einer ge­stei­ger­ten Leis­tungs­fä­hig­keit und Aus­fall­si­cher­heit der ein­zel­nen Netze, un­ter­bin­det un­ab­sich­ti­li­che sowie be­ab­sich­tig­te Stö­run­gen und er­höht somit auch hier die Si­cher­heit.

An wel­cher Stel­le die­ser In­fra­struk­tur sind nun die Ar­beits­plät­ze von Lehr­kräf­ten bzw. Rech­ner, die Lehr­kräf­ten zur Nut­zung zur Ver­fü­gung ste­hen, zu fin­den? Ak­tu­ell (Stand 2011/12) ist fol­gen­de Si­tua­ti­on vor­herr­schend:

  • An Schu­len exis­tie­ren zwei Netze - Ver­wal­tungs­netz und päd­ago­gi­sches Netz
  • Ar­beits­plät­ze für Lehr­kräf­te wer­den an den al­ler­meis­ten Schu­len im päd­ago­gi­schen Netz ein­ge­rich­tet

Die phy­si­ka­li­sche Plat­zie­rung der Ar­beits­plät­ze für Lehr­kräf­te ist somit in die fol­gen­den Haupt­fäl­le zu un­ter­schei­den:

  1. Das als Ar­beits­platz nutz­ba­re Gerät ist in einem Klas­sen­raum im päd­ago­gi­schen Netz un­ter­ge­bracht.
  2. Für das Ar­beits­platz­ge­rät steht ein ei­ge­ner Raum zur Ver­fü­gung (Leh­rer­stütz­punkt, Leh­rer­zim­mer). Die Netz­an­bin­dung er­folgt wei­ter­hin im päd­a­goi­schen Netz.
  3. Ar­beits­platz­ge­rä­te für Lehr­kräf­te sind in Räu­men plat­ziert, zu denen Schü­le­rIn­nen kei­nen Zu­gang haben (Leh­rer­stütz­punkt, Leh­rer­zim­mer, Se­kre­ta­ri­ats­be­reich), und an das Ver­wal­tungs­netz an­ge­bun­den.

Wel­che Kon­se­quen­zen hat dies für die Mög­lich­keit, per­so­nen­be­zo­ge­ne Daten zu ver­ar­bei­ten?

  1. An Ge­rä­ten in einem Klas­sen­zim­mer dür­fen unter kei­nen Um­stän­den per­so­nen­be­zo­ge­ne Daten ver­ar­bei­tet wer­den! Da auch Na­mens­lis­ten, No­ten­lis­ten, Sitz­plä­ne mit Fotos ... klar per­so­nen­be­zo­ge­ne Daten sind, be­deu­tet das im All­tag für viele Schu­len / Lehr­kräf­te ein Um­den­ken der gän­gi­gen Pra­xis diese Art von In­for­ma­tio­nen auch an sol­chen Ge­rä­ten zu be­ar­bei­ten.
  2. Ge­rä­te des päd­ago­gi­schen Net­zes, die in vor Schü­le­rIn­nen zu­gangs­ge­schütz­ten Räu­men un­ter­ge­bracht sind, bie­ten eine bes­se­re Si­cher­heit. Es ist aber wei­ter­hin er­schre­ckend leicht und ohne spe­zia­li­sier­tes Wis­sen mög­lich, auch diese Rech­ner über das Netz­werk an­zu­grei­fen. So­fern der Zu­gangs­schutz für Schü­le­rIn­nen und Drit­te wirk­lich ge­währ­leis­tet ist, kön­nen per­so­nen­be­zo­ge­ne Daten ver­ar­bei­tet wer­den . Die Spei­che­rung der Daten hat aber auf jeden Fall - auch bei die­sen Ge­rä­ten - ver­schlüs­selt zu er­fol­gen. Bei Spei­che­rung auf dem päd­ago­gi­schen Schul­ser­ver sind diese ver­schlüs­sel­ten Daten auch aus dem Klas­sen­raum her­aus zu­gäng­lich - dür­fen dort aber nicht be­ar­bei­tet wer­den!
  3. Im ab­ge­trenn­ten Ver­wal­tungs­netz ist eine Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten un­kri­tisch. Hier dür­fen die Daten sogar un­ver­schlüs­selt ge­spei­chert wer­den. Diese Va­ri­an­te ist der­zeit al­ler­dings eher sel­ten an­zu­tref­fen. Au­ßer­dem stellt diese Lö­sung die Lehr­kräf­te vor die Pro­ble­ma­tik, wie päd­ago­gi­sche Ar­beits­er­geb­nis­se in das für den Un­ter­richt re­le­van­te päd­ago­gi­sche Netz über­tra­gen wer­den.

Das für die IuK-Ver­fah­ren an Schu­len und in der Schul­ver­wal­tung zu­stän­di­ge Re­fe­rat des Mi­nis­te­ri­ums für Kul­tus, Ju­gend und Sport (Re­fe­rat 15) emp­fiehlt, ins­be­son­de­re falls VLAN-Fä­hig­keit bzw. -Kon­fi­gu­ra­ti­on oh­ne­hin schon ein­ge­rich­tet ist, ein ei­ge­nes Netz für Lehr­kräf­te .

Getrenntes Netz für Lehrkräfte

Hin­sicht­lich der Mög­lich­keit per­so­nen­be­zo­ge­ne Daten ver­ar­bei­ten zu kön­nen, ist die­ses Netz für Lehr­kräf­te dem Ver­wal­tungs­netz gleich­ge­stellt. Es kön­nen also per­so­nen­be­zo­ge­ne Daten be- und ver­ar­bei­tet wer­den! Für Lehr­kräf­te stellt sich aber auch bei die­ser Lö­sung die Frage wie Da­tei­en, die für die päd­ago­gi­sche Ar­beit be­nö­tigt wer­den, in das päd­ago­gi­sche Netz trans­fe­riert wer­den kön­nen. Zur Lö­sung die­ser Pro­ble­ma­tik sieht das Re­fe­rat 15 (KM) fol­gen­de Mög­lich­kei­ten:

  • Das Netz für Lehr­kräf­te kann mit dem Ser­ver des päd­ago­gi­schen Net­zes ver­bun­den wer­den. Die Tren­nung der Netze ist dabei ent­we­der
    • über eine ei­ge­ne Netz­werk­kar­te im Ser­ver oder
    • über VLAN-Un­ter­stüt­zung des Ser­vers si­cher zu stel­len.
  • Op­ti­mal ist die zu­sätz­li­che Ab­schot­tung des Net­zes für Lehr­kräf­te durch Lö­sun­gen aus der Netz­werk­si­cher­heit - z.B. eine Fire­wall, VPN-Lö­sun­gen usw.
  • Unter den sel­ben Vor­aus­set­zung ist auch ein Zu­griff vom Leh­rer­netz in das Ver­wal­tungs­netz mög­lich. Die zu­ge­hö­ri­ge De­fi­ni­ti­on wird noch vom Re­fe­rat 15 er­ar­bei­tet und den Schu­len be­kannt ge­ge­ben.

Die mögliche Kopplung schulischer Netze

 

Zu­gang zum Lan­des­ver­wal­tungs­netz