Progettazione di una rete scolastica
Progettazione di una rete scolastica
(trattasi di ipotesi di tipo Client/Server)
La seguente immagine mostra la struttura logica di una tipica Rete di Computer di una generica scuola che andremo ad analizzare approfonditamente in ogni sua parte:
(trattasi di ipotesi di tipo Client/Server)
La seguente immagine mostra la struttura logica di una tipica Rete di Computer di una generica scuola che andremo ad analizzare approfonditamente in ogni sua parte:
La scuola che prenderemo come esempio si chiamerà "Galvanuccio" (che fantasia) quindi il nome di dominio che utilizzeremo in questa guida, sia per Active Directory sia per Internet sarà "galvanuccio.it".
Caratteristiche
Prendiamo come esempio una rete che abbia le seguenti caratteristiche:
Prendiamo come esempio una rete che abbia le seguenti caratteristiche:
• è stato stipulato un contratto con un ISP (fornitore di accesso Internet) di tipo aziendale per la fornitura di una linea Fibra VDSL2 100/20 Mbps su doppino telefonico;
• il Router VDSL2 viene fornito dal proprio ISP in comodato d’uso (noleggio);
• la rete ha un proprio server Web che ospita il sito Internet scolastico;
• la rete ha un proprio server interno di posta elettronica;
• le postazioni client saranno circa 70;
Prerequisiti
Prima di iniziare dovete assicurarvi di aver acquistato:
• la rete ha un proprio server Web che ospita il sito Internet scolastico;
• la rete ha un proprio server interno di posta elettronica;
• le postazioni client saranno circa 70;
Prerequisiti
Prima di iniziare dovete assicurarvi di aver acquistato:
• un contratto aziendale per connessione Internet in VDSL2 100/20 Mbit e possibilmente con Router a noleggio;
• almeno 8 indirizzi IP pubblici statici dal proprio Provider Internet;
• aver registrato il dominio Internet presso il NIC che nel nostro esempio sarà "galvanuccio.it";
• aver cablato e certificato l’edificio ed aver predisposto le relative prese a muro RJ45 per le postazioni.
• almeno 8 indirizzi IP pubblici statici dal proprio Provider Internet;
• aver registrato il dominio Internet presso il NIC che nel nostro esempio sarà "galvanuccio.it";
• aver cablato e certificato l’edificio ed aver predisposto le relative prese a muro RJ45 per le postazioni.
Traguardi da raggiungere
1) Si vuole creare una rete LAN composta da computer fissi e da dispositivi senza filo (Wireless);
2) Si vuole pubblicare in maniera sicura il proprio server Web su Internet e renderlo visibile a tutti;
3) I server più a rischio attacchi (web e posta) devono risiedere in una rete DMZ;
4) La posta elettronica ed il sito web devono essere visti sia su Internet che nella rete LAN;
5) Si vuole proteggere la rete LAN da attacchi esterni;
6) Si vuole proteggere la posta da attacchi verso il mail server e si vuole evitare quanto più possibile il problema dello Spam (posta indesiderata);
7) I computer ed i server della rete LAN devono navigare su Internet con un solo indirizzo IP pubblico ed in maniera protetta;
8) Si deve bloccare la navigazione su alcuni siti Web non autorizzati;
9) Si vuole configurare un dominio Active Directory del tipo "galvanuccio.it";
10) Si vuole creare un File Server con Backup di tutti i dati sia amministrativi che didattici;
11) Vogliamo indirizzare tutti i log degli apparati su un server Syslog.
Materiale hardware di cui avremo bisogno
Realizzazione del Cablaggio
La posa dei cavi e l’installazione delle prese da muro (o colonnine da pavimento) RJ45 deve essere effettuata da elettricisti specializzati in cablaggio strutturato che con opportuni strumenti possano "certificare" il corretto funzionamento di ogni singolo tratto di rete (attenuazione, rumore, interferenze, ecc..).
Tale certificazione -
Come cablaggio vi consiglio di far realizzare il cosiddetto "cablaggio strutturato" che permette di utilizzare i cavi ethernet sia per il trasporto dati (rete LAN) che per la fonìa (telefoni).
In questo modo, alla presa al muro RJ45 potrete attaccare sia un computer sia il telefono.
Come cablaggio vi consiglio di far realizzare il cosiddetto "cablaggio strutturato" che permette di utilizzare i cavi ethernet sia per il trasporto dati (rete LAN) che per la fonìa (telefoni).
In questo modo, alla presa al muro RJ45 potrete attaccare sia un computer sia il telefono.
A seconda della struttura fisica della società dobbiamo impostare i collegamenti delle postazioni e degli switch in maniera diversa:
1) Rete estesa su un piano solo
Se la società si estende su di un unico piano, tutte le estremità dei singoli cavi che partono dalle prese a muro convoglieranno in una posizione centralizzata che sarà poi il "Centro Stella" della rete come mostra la Figura C.
Ricordiamoci però che ogni cavo ha dei limiti di lunghezza (ad esempio il cat.5 di buona qualità arriva sino a 100 metri) quindi se superiamo tale limite e non siamo ancora arrivati al centro stella dovremmo aggiungere dei ripetitori di segnale che oggi è una funzione che viene svolta dagli switch.
Tutti i cavi che provengono dalle prese a muro verranno cablate dagli elettricisti sul retro di una base chiamata "Patch Panel", (mostrato in figura) e che di solito è fisicamente installata in un armadio rack:
Riepilogando quindi l'elettricista ci ha passato un cavo ethernet dalla presa RJ45 posizionata a muro (o a torretta sul pavimento) fino al retro del Patch Panel, questo è stato fatto per ogni punto rete da installare e ci ha messo un etichetta identificativa con un numero sia sulla presa a muro che al corrispondente attacco rj45 sul patch panel in maniera da individuare il tratto di cavo.
Una volta stesi tutti i cavi dalle stanze al patch panel, il lavoro dell'elettricista e terminato e tocca a noi completare l'opera.
Predisponiamo il collegamento dei client verso uno (o più di uno) switch centrale collegando la scheda di rete di un PC alla presa al muro utilizzando un cavo cat.5 e segniamoci il numero identificativo della presa. Spostiamoci davanti al patch panel e alla presa con il numero corrispondente metteremo un altro cavo che collegherà quella porta del patch panel allo switch più vicino (di solito presente sullo stesso rack).
Questo tipo di cablaggio abbiamo detto che è "strutturato" ossia possiamo dinamicamente utilizzare la tratta di ogni cavo per far trasportare dati o fonia.
Se al posto di un PC infatti volessimo collegare un telefono, utilizzeremo dal muro al telefono un cavo telefonico a 4 fili (RJ11) e dalla relativa porta del patch panel un altro cavo che finirà nel centralino telefonico invece che allo switch di rete.
Una volta stesi tutti i cavi dalle stanze al patch panel, il lavoro dell'elettricista e terminato e tocca a noi completare l'opera.
Predisponiamo il collegamento dei client verso uno (o più di uno) switch centrale collegando la scheda di rete di un PC alla presa al muro utilizzando un cavo cat.5 e segniamoci il numero identificativo della presa. Spostiamoci davanti al patch panel e alla presa con il numero corrispondente metteremo un altro cavo che collegherà quella porta del patch panel allo switch più vicino (di solito presente sullo stesso rack).
Questo tipo di cablaggio abbiamo detto che è "strutturato" ossia possiamo dinamicamente utilizzare la tratta di ogni cavo per far trasportare dati o fonia.
Se al posto di un PC infatti volessimo collegare un telefono, utilizzeremo dal muro al telefono un cavo telefonico a 4 fili (RJ11) e dalla relativa porta del patch panel un altro cavo che finirà nel centralino telefonico invece che allo switch di rete.
2) Rete estesa su più piani
Se invece l’edificio si estende su più piani, i cavi delle prese nelle stanze arriveranno al "path panel di piano" dove, nello stesso rack ci sarà anche uno "switch di piano".
Ogni "switch di piano" avrà poi una connessione con uno switch centrale (il centro stella) posizionato in una posizione strategica (solitamente nella sala Server) attraverso collegamenti in fibra ottica o se la distanza e il budget non lo permettesse, con cavi cat. 5, magari accoppiati per formare una backbone a 200, 300, 400... Mbit (tecnica tipo Cisco FastEtherChannel).
Ogni "switch di piano" avrà poi una connessione con uno switch centrale (il centro stella) posizionato in una posizione strategica (solitamente nella sala Server) attraverso collegamenti in fibra ottica o se la distanza e il budget non lo permettesse, con cavi cat. 5, magari accoppiati per formare una backbone a 200, 300, 400... Mbit (tecnica tipo Cisco FastEtherChannel).
In figura B vediamo un collegamento in cascata di più switch, fattibile ma sconsigliato perchè se si rompesse un solo switch la comunicazione verrebbe interrotta.
Sala server
Iniziamo scegliendo il Rack più adatto alle nostre esigenze in termini di spazio, compatibilità dei server ed espansibilità futura.
I parametri da tener conto quando si deve acquistare un rack sono i seguenti:
• profondità dei server da installare;
• larghezza dei server;
• "unità" disponibili.
• profondità dei server da installare;
• larghezza dei server;
• "unità" disponibili.
Per i server consiglio un Rack da pavimento mentre per i patch panel di piano di solito bastano mini-
Ogni Sala Server dovrebbe avere un sistema di raffreddamento adeguato che deve garantire una temperatura costante. Rivolgersi ad un installatore specializzato che vi chiederà sicuramente il totale dei KiloWatt o dei BTU che vengono "sprigionati" dai server.
Dovreste sommare quindi tutti i consumi in Watt degli apparati presenti in sala server (monitor, server, unità esterne, ecc..) e calcolarvi quanti BTU sono necessari (considerate che 1 Kw-
Ogni Sala Server dovrebbe avere un sistema di raffreddamento adeguato che deve garantire una temperatura costante. Rivolgersi ad un installatore specializzato che vi chiederà sicuramente il totale dei KiloWatt o dei BTU che vengono "sprigionati" dai server.
Dovreste sommare quindi tutti i consumi in Watt degli apparati presenti in sala server (monitor, server, unità esterne, ecc..) e calcolarvi quanti BTU sono necessari (considerate che 1 Kw-
Configurazione "software" della rete:
Piano di indirizzamento IP
Prima di proseguire scegliamo quali indirizzi IP andranno utilizzati.
Il seguente é un piano di indirizzamento IP composto da 4 sottoreti utilizzabili realmente:
Server: 192.168.0.0/24 (host da 192.168.0.2 a 192.168.0.254)
Piano 1: 192.168.1.0/24 (host da 192.168.1.2 a 192.168.1.254)
Piano 2: 192.168.2.0/24 (host da 192.168.2.2 a 192.168.2.254)
Piano 3: 192.168.3.0/24 (host da 192.168.3.2 a 192.168.3.254)
Gli indirizzi che terminano con .1 (es. 192.168.1.1) li utilizzeremo per le sottointerfacce del router mentre i .255 sono gli indirizzi di broadcast di ciascuna sottorete, non utilizzabili per essere assegnati agli host.
Queste 4 sottoreti non comunicano tra loro, servirà poi un router per metterle in comunicazione.
Le separiamo per piano per fare in modo che il traffico di broadcast di una sottorete non si diffonda anche alla altre (con questo metodo avremo maggiori performance).
Queste 4 sottoreti non comunicano tra loro, servirà poi un router per metterle in comunicazione.
Le separiamo per piano per fare in modo che il traffico di broadcast di una sottorete non si diffonda anche alla altre (con questo metodo avremo maggiori performance).
Preparazione del Dominio Active Directory e DNS
Il primo passo da compiere sarà la preparazione del Controller Primario di Dominio (in passato chiamato PDC) e quindi di Active Directory. Il nome del server, per questo esempio sarà DC1.
Una volta installato Windows 2003 Server (non mi soffermo perchè intuitivo) eseguiamo il comando DCPROMO da Start/Esegui per far partire la procedura guidata che permetterà al server di diventare un controller di dominio. I parametri essenziali che dobbiamo configurare in questo passaggio sono: il nome del dominio (ad esempio galvanuccio.it) e il nome netbios (ad esempio GALVANUCCIO_SCUOLA). Il secondo serve ad autenticare i vecchi client NT4, Win95, W3.11 e Win98.
A questo punto dobbiamo configurare il servizio DNS Server sullo stesso server, creeremo quindi una nuova zona primaria (diretta) integrata in AD con nome aziendaspa.it e successivamente una zona di ricerca inversa con gli IP della nostra Rete. La zona diretta permette ai client di risolvere i nomi degli host in indirizzo ip corrispondente mentre la zona inversa, dato un IP restituisce il nome host. Nel nostro caso dobbiamo creare una zona per ogni sottorete, ad esempio la zona 192.168.0 la 192.168.1 e così via. Per definire la zona inversa si utilizzano solo gli ottetti che indicano il network.
Creazione degli utenti
A questo punto dobbiamo decidere uno standard per la creazione delle login ed una politica delle password rigida.
Le login (o UserName) le creeremo con l’iniziale del nome ed il cognome per esteso, ad esempio la login di Mario Rossi sarà mrossi e la password sarà formata da almeno 8 caratteri e composta da numeri e lettere. Per creare gli utenti apriamo "Utenti e Computer di Active Directory" nel menù "Strumenti di Amministrazione" sul server Domani Controller (DC1).
A questo punto inseriamo una password provvisoria (ad esempio mariorossi12345) e clicchiamo su "L’utente deve cambiare password al prossimo logon" in modo tale che istruiremo il signor Mario Rossi ad entrare nel suo PC come mrossi con password mariorossi12345 ma la prima volta gli viene chiesto di modificare la password a suo piacimento.
A questo punto dobbiamo decidere uno standard per la creazione delle login ed una politica delle password rigida.
Le login (o UserName) le creeremo con l’iniziale del nome ed il cognome per esteso, ad esempio la login di Mario Rossi sarà mrossi e la password sarà formata da almeno 8 caratteri e composta da numeri e lettere. Per creare gli utenti apriamo "Utenti e Computer di Active Directory" nel menù "Strumenti di Amministrazione" sul server Domani Controller (DC1).
A questo punto inseriamo una password provvisoria (ad esempio mariorossi12345) e clicchiamo su "L’utente deve cambiare password al prossimo logon" in modo tale che istruiremo il signor Mario Rossi ad entrare nel suo PC come mrossi con password mariorossi12345 ma la prima volta gli viene chiesto di modificare la password a suo piacimento.
Collegamento dei ClientA questo punto iniziamo a connettere i client in rete. Dopo averli posizionati nelle stanze, attacchiamo un cavo "dritto" dalla scheda di rete del singolo PC al punto rete sul muro, poi andiamo sul rack dove si trova lo switch ed attacchiamo un altro cavo dalla porta del patch panel (che corrisponde alla presa a muro di quella stanza) ad una porta libera dello switch.
Aggiunta (Join) dei client al dominio
Un dominio Windows è un "contesto di sicurezza" dove girano i client (e i server).
Tutti gli host che appartengono ad un dominio possono essere controllati centralmente attraverso le impostazioni gestite sul domain controller attraverso le Group Policy, gruppi di utenti, permessi NTFS ecc..
Dal domain controller possiamo impostare qualsiasi limite o configurazione sui client che ne fanno parte (e che hanno fatto quindi ‘Joint al Dominio’).
Per Join al dominio si intende quando inseriamo un client a far parte al dominio (nel nostro caso galvanuccio.it).
Per fare in modo che un client si aggiunga nel dominio dobbiamo entrare come "Administrator Locale" della macchina e cliccare con il tastro destro su Risorse del Computer >> Nome Computer >> Cambia e cambiare la configurazione da "Gruppo di lavoro" a "Dominio" e specificare il nome (ad esempio galvanuccio.it)…
..a questo punto bisogna inserire una login e password dell’amministratore del dominio (che è l’utente Administrator creato sul server Domain Controller) che ha il permesso di "Aggiungere client nel dominio".
Riavviare il Client ed entrare in rete con il nome dell’utente (ad esempio DISCOP), la sua password e selezionare dalla lista il dominio prescelto (GALVANUCCIO_SCUOLA).
Seguire questa procedura per inserire tutti i client nel dominio.
Un dominio Windows è un "contesto di sicurezza" dove girano i client (e i server).
Tutti gli host che appartengono ad un dominio possono essere controllati centralmente attraverso le impostazioni gestite sul domain controller attraverso le Group Policy, gruppi di utenti, permessi NTFS ecc..
Dal domain controller possiamo impostare qualsiasi limite o configurazione sui client che ne fanno parte (e che hanno fatto quindi ‘Joint al Dominio’).
Per Join al dominio si intende quando inseriamo un client a far parte al dominio (nel nostro caso galvanuccio.it).
Per fare in modo che un client si aggiunga nel dominio dobbiamo entrare come "Administrator Locale" della macchina e cliccare con il tastro destro su Risorse del Computer >> Nome Computer >> Cambia e cambiare la configurazione da "Gruppo di lavoro" a "Dominio" e specificare il nome (ad esempio galvanuccio.it)…
..a questo punto bisogna inserire una login e password dell’amministratore del dominio (che è l’utente Administrator creato sul server Domain Controller) che ha il permesso di "Aggiungere client nel dominio".
Riavviare il Client ed entrare in rete con il nome dell’utente (ad esempio DISCOP), la sua password e selezionare dalla lista il dominio prescelto (GALVANUCCIO_SCUOLA).
Seguire questa procedura per inserire tutti i client nel dominio.
Al termine sarà possibile configurare sul server tutte le impostazioni di restrizione e configurazioni che vorrete ed applicarle a tutti i computer che fanno parte di quel dominio senza agire sul singolo client.
Commenti
Posta un commento