OSE – Internet Certyfikowany
Opis możliwych nieprawidłowości funkcjonowania sieci po podłączeniu szkoły do Ogólnopolskiej Sieci Edukacyjnej – NASK
(Naukowa i Akademicka Sieć Komputerowa – Państwowy Instytut Badawczy)
Opis obecnej sytuacji
Od 2018 roku realizowany jest projekt Ministerstwa Edukacji pod nazwą OSE (Ogólnopolska Sieć Edukacyjna), zapewniający placówkom oświatowym szybki dostęp do Internetu dzięki doprowadzeniu łącza światłowodowego. W założeniu projektu prędkość łącza powinna być na poziomie 100 MB/s.
W założeniu projektu, ta podstawowa prędkość łącza (gwarantowana) jest dostarczana do placówki bezpłatnie. Spowodowało to stan, w wyniku którego spora część szkół zrezygnowała z dotychczasowego dostawcy Internetu, podłączając całość placówki (a nie tylko pracownie komputerowe) wyłącznie pod światłowód OSE.
Ponieważ (również w założeniu projektu) Internet OSE ma być bezpieczny, łącze wyposażone jest w programowalny firewall (zapora sprzętowa), a całość transmisji zabezpieczona jest certyfikatem NASK. Rolą zapory jest zabezpieczenie sieci przed ewentualnymi włamaniami. Rolą certyfikatu (między innymi) jest uniemożliwienie dostępu do łącza OSE osobom spoza placówki, a także zabezpieczenie przed oglądaniem przez uczniów treści zabronionych (przemoc, pornografia itd.
Efekty występujące w placówce po podłączeniu OSE
- Brak Internetu na komputerach podłączonych bezpośrednio do routera szkoły.
- Brak Internetu na komputerach w pracowni komputerowej z serwerem.
- Niewłaściwe funkcjonowanie pracowni komputerowej z serwerem pomimo prawidłowej instalacji certyfikatu NASK.
Odpowiedzi i porady:
Ad 1. Należy na wszystkich komputerach w szkole, które korzystają z Internetu bezpośrednio z routera szkoły (w tym wypadku jest to już ruter OSE) zainstalować certyfikat NASK. Powinien on być dostarczony do placówki przez monterów lub szkoła może go pobrać ze strony https:/ose.gov.pl po podaniu numeru RSPO.
Ad 2. Należy zainstalować certyfikat NASK przede wszystkim w usłudze Active Directory serwera pracowni w odpowiedniej gałęzi zasad grupy. NASK opracował instrukcję w jaki sposób to zrobić, powinna być ona do pobrania ze strony https:/ose.gov.pl wraz z certyfikatami. Gdyby były z tym problemy, prosimy o kontakt – prześlemy instrukcję w wersji PDF lub wskażemy miejsce w naszym serwisie, skąd można ją będzie pobrać.
Ad 3. Większość szkół rozbudowywało swoją sieć w budynku opierając się o sieć LAN pracowni. Często instalacja pracowni MEN była jej pierwszą siecią LAN. Z różnych powodów (np. oszczędność) podłączano po prostu dodatkowe komputery w szkole bezpośrednio do switcha pracowni. Aby zapewnić poprawne działanie dwóch różnych sieci LOGICZNYCH w jednej FIZYCZNEj najczęściej stosowano tzw. logiczną separację poprzez zastosowanie różnej adresacji sieci, stosowanie stałych adresów IP, wyłączanie usługi DHCP serwera pracowni. W przypadku, gdy dostawcą Internetu do placówki był np. ORANGE lub inny (np. lokalny) dostawca, taka konfiguracja zazwyczaj zdawała egzamin. Jednakże w przypadku, gdy dostawcą jest OSE – certyfikat NASK potrafi zablokować pakiety o innych adresach sieciowych. W tym wypadku należy zastosować FIZYCZNE rozdzielenie sieci. Prezentują to poniższe trzy schematy pozwalające dokonać tych zmian samodzielnie. Jesteśmy w stanie zdiagnozować, czy u Państwa zachodzi taka sytuacja oraz wykonać usługę, w przypadku braku lokalnego wykonawcy.
Jak to zrobić - Fizyczne rozdzielenie sieci LAN pracowni od sieci Szkoły - poniżej w etapach...
Należy ustalić, czy istniejący stan połączeń w naszej sieci jest niewłaściwy.
Schemat nr 1. (pierwszy z lewej)Prezentuje sytuacjÄ™, gdy w jednej sieci fizycznej funkcjonujÄ… dwie sieci logiczne o adresach: 192.168.10.0 oraz 10.0.0.0
Jak widać, wszystkie połączenia sieciowe koncentrują się w jednym przełączniku sieciowym (switchu pracowni)
- serwer pracowni,
- stacje uczniowskie w pracowni obsługiwane przez serwer,
- komputery w innych salach szkoły obsługiwane przez router szkoły.
Osiągnięcie pożądanego stanu fizycznego rozdzielenia sieci - stan poprawnej konfiguracji połączeń.
Schemat nr 2. (środkowy)
Prezentuje preferowane fizyczne rozdzielenie sieci. Jak widać, zastosowano dodatkowy switch (przełącznik sieciowy) w którym koncentruje się ruch sieciowy związany z dostarczeniem Internetu. Serwer pracowni połączony jest z nim tylko jednym przewodem. Pozostałe komputery w szkole podłączone są również do niego. Switch pracowni obsługuje jedynie komputery w pracowni za pośrednictwem serwera.
Zmiana połączeń w pracowni
Schemat nr 3 (z prawej)
Aby dokonać zmiany połączeń, na poniższym schemacie zaznaczone są przewody, które należy odpiąć od switacha pracowni – dotyczą one komputerów znajdujących się poza nią.
Wykonanie poprawnych połączeń
Aby rozdzielić dwie sieci logiczne (schemat poniżej) należy:
- Zastosować dodatkowy switch.
- Połączyć go routerem szkoły.
- Podłączyć do niego wszystkie komputery znajdujące się poza pracownią.
- Doprowadzić Internet TYLKO do serwera pracowni – do karty sieciowej odpowiadającej za połączenie Internetowe.