Na základě průběhu diskuse o stavu připojení k Internetu a LAN školy v intranetu veřejné správy je jasné, že dodavatel nepodává dostatek informací. Publikujeme proto tento dokument poskytnutý čtenářem z 30 6. 2005 ve verzi 0.2.
1. Úvod
Po ukončení stávající smlouvy nastanou od 1.9.2005 v „zelených“ školách tři možné stavy:
- škola bude pokračovat jak s ČTc, tak i s ACOL
- škola bude nadále využívat služby ČTc, ale ukončí spolupráci s ACOL a svoji LAN včetně pracovních stanic a serverů si bude spravovat sama, příp. tuto činnost zadá externí firmě
- škola ukončí spolupráci jak s ČTc, tak i s ACOL
Tento materiál se bude zabývat především situací, kdy škola bude sice nadále využívat služby ČTc, ale ukončí spolupráci s ACOL, protože v prvním případě se pro školu téměř nic nezmění a naopak v případě posledním škola nebude nadále využívat služeb ani ČTc ani ACOL, tudíž bude plně v její kompetenci, jakým způsobem bude dané služby realizovat.
2. Připojení k Internetu a LAN školy
2.1. Služba P2C
Všechny školy, které se rozhodnou nadále pro své připojení k Internetu používat služeb ČTc, budou od 1.9.2005 používat službu P2C (dle rámcové smlouvy KI ISVS), a to buď v její standardní podobě – tj. s rychlostí 512/128kbps nebo za příplatek s rychlostí 1024/256kbps. Bližší informace o parametrech této služby jsou součástí katalogového listu služby P2C.
Školy, které doposud nejsou připojeny technologií ADSL a tato technologie je již v jejich lokalitě dostupná, budou od 1.9.2005 do 31.12.2005 postupně přepojovány na ADSL. Ostatní školy, kde ADSL technologie není doposud k dispozici, budou i nadále připojeny stávajícím způsobem s tím, že bude snaha u všech těchto škol navýšit rychlost na 128kbps (symetricky) a v případě zřízení přístupového bodu ADSL nejpozději do 3 měsíců provét přepojení na tuto technologii a v plné kapacitě přípojky P2C.
Výše uvedené platí všechny školy, které zůstanou u ČTc, tj. včetně těch, které budou i nadále spolupracovat s ACOL.
2.2. IP adresace LAN
Každá škola má v současné době přidělen subnet ve tvaru 10.x.y.0/22, tj. IP adresní prostor o rozsahu 4 C z privátního adresního rozsahu 10.0.0.0/8. Tento adresní prostor bude všem školám, které budou i nadále připojeny prostřednictvím služby P2C ČTc, zachován. Tento adresní prostor nelze měnit.
2.3. Připojení LAN ke směrovači ČTc
Popisovaný stav je stávajícím stavem a zůstane zachován, pokud si to škola nevyžádá jinak.
Obecný koncept je u všech typů škol shodný. Jak již bylo řečeno, každá škola má přidělen adresní prostor 10.x.y.0/22, kde y je dělitelné čtyřmi. Z prvního C rozsahu je použit pouze subnet 10.x.y.248/30 pro adresaci spojnice mezi směrovačem ČTc na škole a hraničním směrovačem páteřní IP MPLS sítě ČTc. Druhý C rozsah je v celém rozsahu 10.x.y+1.0/24 použit pro subnet v které jsou umístěny žákovské stanice, třetí 10.x.y.0+2/24 je obdobným způsobem použit pro učitelské stanice. Z posledního čtvrtého C rozsahu je pak využit subnet 10.x.y+3.64/26 pro připojení serveru školy (tento server má adresu 10.x.y+3.126/26).
Protože detailní způsob zapojení se liší dle typu školy (školy A a školy C/E), je popis dále rozdělen na dvě části.
2.3.1. Škola typu A
U škol typu A jsou na Ethernet portu směrovače nakonfigurovány tyto adresy – 10.x.y+3.65/26 (primární adresa), 10.x.y+1.1/24 a 10.x.y+2.1/24 (sekundární adresy). Subnet 10.x.y.248/30 je použit pro spojnici mezi směrovačem ČTc na škole a hraničním směrovačem páteřní IP MPLS sítě ČTc. Propojení mezi směrovačem ČTc a jednotlivými stanicemi jsou realizována přes hub.
2.3.2. Školy typu C a E
Tyto školy se ve způsobu síťového zapojení neliší. Rozdělení do subnetů je stejné, ale na rozdíl od škol A jsou subnety odděleny v jednotlivých VLAN sítích (802.1q). Žákovská síť 10.x.y+1.0/24 (adresa portu na směrovači ČTc je 10.x.y+1.1/24) je nakonfigurována jako VLAN 1, učitelská 10.x.y+2.0/24 jako VLAN 2 (adresa portu na směrovači ČTc je 10.x.y+2.1/24). Pro propojení se serverem je pak určena VLAN 3 se subnetem 10.x.y+3.64/26 (adresa portu na směrovači ČTc je 10.x.y+3.65/24). Propojení směrovače a stanic/serveru je zajištěno přepínačem Cisco Catalyst, který však není ve správě ČTc (zatím ve správě ACOL, po 1.9.2005 buď nadále ACOL nebo škola, případně školou pověřená firma).
2.3.3. Změny v připojení LAN
Pokud bude škola chtít změnit způsob připojení LAN ke směrovači ČTc, je to samozřejmě možné, ale bylo by maximálně vhodně zachovat stávající principy. Každé nestandardní řešení může v budoucnu způsobit zdržení při řešení případných problémů.
Pouze v případě, že mezi LAN a směrovač ČTc bude vřazen další prvek typu směrovač či firewall, případně pokud bude server školy vybaven další síťovou kartou a tudíž bude sám plnit funkci firewallu, bude samozřejmě nutné přizpůsobit stávající řešení této situaci. Přesto ČTc navrhuje, aby to bylo řešeno dále popsaným způsobem, který bude znamenat minimální zásahy do stávající konfigurace.
Propojka mezi směrovačem ČTc a směrovačem/firewallem školy bude používat subnet 10.x.y+3.64/26 (adresa portu na směrovači ČTc bude 10.x.y+3.65/24, adresa na směrovači/firewallu školy pak bude 10.x.y+3.66/24). Privátní adresa serveru, pod kterou bude viditelný v celé VPN školského intranetu, by měla zůstat stejná jako doposud, tj. 10.x.y+3.126. Tato problematika bude podrobněji popsána v kapitole 2.4. Navržené řešení v případě zařazení vlastního firewallu školy je vidět na obr. 1.
Obr. 1 – Návrh řešení zapojení vlastního firewallu školy
Pokud jde o adresaci LAN školy v tomto případě, je možné využít celého zbývajícího adresního prostoru z toho, který přidělen – tj. 10.x.y.0/22. Použití jiných privátních adres z prostoru 10.0.0.0/8 není kvůli případnému adresnímu konfliktu s jinou školou možné. Ostatní privátní prostory je možné použít pouze po předchozí konzultaci s ČTc. Je jasné, že za vlastním firewallem může škola využít bez vědomí ČTc v podstatě jakýkoliv adresní prostor, ovšem vystavuje se tím riziku, že jí přestanou fungovat některé přístupy na ostatní školy nebo na doplňkové služby poskytované propojovací sítí GovNet.
2.4. Přístup do a z Internetu
Celá VPN školského intranetu bude nově připojena přes propojovací síť GovNet. Z hlediska školy se však ve standardním nastavení nic nezmění, protože přístup směrem ze školy do Internetu nebude ani nadále omezen. V opačném směru také zůstane zachováno současné nastavení, kdy jsou povoleny pouze protokoly http, https asmtp na svých standardních portech, a to pouze na adresu serveru školy. Na vyžádání bude možné pro danou školu tato pravidla upravit (rozšíření nebo naopak omezení přístupu z Internetu na server/y školy).
2.4.1. Veřejná IP adresy školy
V současnosti má každá škola přidělenu jednu veřejnou IP adresu, která je na vstupním firewallu mezi Internetem a VPN školského intranetu překládána na privátní adresu serveru/proxy školy (10.x.y+3.126), přes který je veden veškerý přístup školy do a z Internetu. Tento způsob je také doporučený i do budoucna, i když bude možné v odůvodněných případech a pouze na vyžádání využít i dalších veřejných IP adres, maximálně však čtyři.
3. Další služby
3.1. DNS služby
Pro každou školu budou i nadále vedeny DNS záznamy pro její subdoménu v doméně indos.cz a nově také v doméně edu.cz. Doménové servery mají privátní adresy 10.1.64.2 a 10.1.64.3 pro přístup ze školní LAN a veřejné IP adresy 194.228.105.33 a 194.228.105.34. Doména edu.cz se postupně stane primární doménou druhé úrovně ve školském intranetu. Pokud bude mít škola zájem o správu a vedení vlastní domény na prostředcích ČTc, bude to samozřejmě možné. Bližší detaily o této doplňkové službě budou upřesněny později.
3.2. WWW služby
V současné době jsou webové stránky školy v doméně indos.cz umístěny přímo na serveru školy. Toto řešení bude samozřejmě podporováno i do budoucna, ale zároveň bude nabízena i služba hostingu stránek školy v doméně indos.cz, edu.cz, ale případně i ve vlastní doméně druhé úrovně, pokud ji škola vlastní, na prostředcích ČTc. Bližší detaily o této doplňkové službě budou upřesněny později.
3.3. SMTP služby
Nyní jsou mailové služby zajišťovány na serveru školy, kdy je povolen přímý přístup z Internetu na tento server na TCP port 25 (SMTP). To bude možné i v budoucnu, navíc však bude možné využít mail relay serverů umístěných v GovNetu, které umožní použití i dalších doplňkových služeb – např. antivirová nebo antispamová ochrana. ČTc bude i nadále poskytovat službu záložního mail serveru, který je nyní na adrese backmx.iol.cz - 194.228.41.70.
3.4. Ostatní doplňkové služby
ČTc připravuje zavedení doplňkových služeb centrální antivirové a antispamové ochrany. Tyto služby budou zajištěny v propojovací síti GovNet. Další doplňkovou službou pak bude možnost vzdáleného přístupu do LAN školy. Bližší detaily o těchto doplňkových službách budou upřesněny později.
4. Vzdálená správa pracovních stanic a serverů v LAN školy cizím subjektem
ČTc bude nabízet externím firmám (podobně jako je tomu nyní v případě ACOL), které budou pro školy zajišťovat správu a servis pracovních stanic a serverů školy, vzdálený přístup. Pro tyto účely bude vytvořena speciální VPN v IP MPLS síti ČTc, ve které budou zakončeny přípojky těchto externích subjektů a za kterých bude umožněn přístup právě a pouze na ty školy, které má daný subjekt pod správou. Bližší detaily budou upřesněny později.
5. Závěr
Toto je zatím draft popisu řešení pro tzv. „zelené“ školy po 1.9.2005. V tuto chvíli jsou finalizovány smluvní podmínky mezi ČTc a MŠMT, proto není zatím možné rozpracovat celé řešení do úplných detailů, nicméně obecné principy řešení se již s největší pravděpodobností měnit nebudou. Také procesní záležitosti, např. způsob objednávání doplňkových služeb, budou upřesněny až po uzavření smluvních vztahů mezi ČTc a MŠMT.
Pokud jde o časový harmonogram, všechny školy budou mít i po 1.9.2005 ze strany ČTc i nadále zajištěny všechny stávající služby a jejich úroveň stejně jako doposud. V případě doplňkových služeb je možné, že některé služby budou k dispozici až během posledního čtvrtletí roku 2005.
dokument
0 komentářů:
Okomentovat