Als eines der Haupt­pro­ble­me der digi­ta­len Schu­le wird immer wie­der die man­gel­haf­te WLAN-Infra­struk­tur ange­führt. Oft­mals heißt es dann, eine gesam­te Schu­le sei so ohne wei­te­res nicht mit WLAN aus­zu­stat­ten. Des Wei­te­ren wird nur all­zu häu­fig auf das Miss­brauchs­po­ten­ti­al eines Schul­netz­werks durch die Schü­ler selbst hin­ge­wie­sen. Seit das mBook Geschich­te als digi­ta­les Schul­buch zu erwer­ben ist, set­zen wir uns noch häu­fi­ger mit dem The­ma aus­ein­an­der.
Des­halb wol­len wir auf die­se bei­den Punk­te im fol­gen­den Erfah­rungs­be­richt aus der Real­schu­le am Euro­pa­ka­nal in Erlan­gen ein­ge­hen. Der Fokus wird dabei vor allem auf die tech­ni­schen Pro­ble­me und Lösun­gen gelegt. Zum Ein­satz von digi­ta­len Medi­en und Tablets an der Real­schu­le am Euro­pa­ka­nal hat Flo­ri­an Sochat­zy schon einen Beitrag[1ver­öf­fent­licht.

WLAN Emp­fang in der gan­zen Schu­le

Die meis­ten Schu­len sind gro­ße Gebäu­de mit meh­re­ren Stock­wer­ken, unzäh­li­gen Wän­den, unter­teilt in Klas­sen­räu­me. Die Ver­sor­gung einer gesam­ten Schu­le mit WLAN erfor­dert daher genaue Pla­nung und ent­spre­chen­de Hard­ware.
In der Real­schu­le am Euro­pa­ka­nal in Erlan­gen hat man sich für eine Hard­ware­lö­sung der Fir­ma Cis­co Mera­ki[2] ent­schie­den.

Das Mera­ki Webi­nar

Jeden Don­ners­tag fin­det um 10 Uhr ein kos­ten­lo­ses Webi­nar von Meraki[3statt. Die­se auf Deutsch gehal­te­ne Ver­an­stal­tung bie­tet einen schnel­len Über­blick über die Funk­tio­nen und Mög­lich­kei­ten des Sys­tems. Zusätz­lich ver­schenkt Mera­ki an jeden Teil­neh­mer einen sei­ner Access Points, den MR18. Ich habe an die­sem Webi­nar teil­ge­nom­men und will hier kurz mei­ne Ein­drü­cke von Mera­ki und des­sen Mög­lich­kei­ten für Muse­en und Schu­len dar­le­gen.

Was bie­tet Mera­ki?

Mera­ki bie­tet ein Kom­plett­sys­tem aus Hard­ware und Soft­ware für Auf­bau und Ver­wal­tung kom­ple­xer Netz­wer­ke. Der Fokus liegt hier­bei vor allem auf einer mög­lichst ein­fa­chen Hand­ha­bung. So lässt sich ein ein­mal ein­ge­rich­te­tes Netz­werk bequem von einer Web-Ober­flä­che, dem Dash­board, bedie­nen und war­ten.

Mera­ki bie­tet drei Kate­go­ri­en von Pro­duk­ten an, aus denen sich das Netz­werk zusam­men­setzt:
- Lay­er-3-Swit­ches: Schnitt­stel­le zwi­schen den ein­zel­nen Gerä­ten des Netz­werks (swit­ching) und dem Inter­net (rou­ting);
- Fire­walls: zen­tra­le Fire­wall (inklu­si­ve eige­ner Hard­ware, nicht zu ver­wech­seln mit Soft­ware-Fire­walls für den eige­nen PC) über die alle Sicher­heits­ein­stel­lun­gen lau­fen;
- Access Points: WLAN-Access-Points, über die das WLAN vor Ort ver­teilt wird.
Auf der Soft­ware-Ebe­ne sieht man als Nut­zer nur das Dash­board, eine glo­bal erreich­ba­re Web­ober­flä­che zum Steu­ern der Gerä­te.

Dash­board

Über die Web­ober­flä­che las­sen sich die bestell­ten Gerä­te schon vor der Lie­fe­rung ein­rich­ten und das gesam­te Netz­werk kon­fi­gu­rie­ren. So vor­be­rei­tet, muss man die ein­zel­nen Gerä­te nur noch auf­bau­en. Sobald sich die Gerä­te zum ers­ten Mal mit dem Inter­net ver­bin­den, wer­den die Kon­fi­gu­ra­tio­nen auto­ma­tisch von Mera­ki her­un­ter­ge­la­den und das Netz­werk ist betriebs­be­reit.

Nach der Erst­ein­rich­tung fun­giert das Dash­board als zen­tra­le Schnitt­stel­le zwi­schen dem Admi­nis­tra­tor und der Hard­ware. Neben der Kon­fi­gu­ra­ti­on aller Gerä­te kann man hier auch mit Hil­fe diver­ser Dia­gno­se-Tools das Netz­werk über­wa­chen und Feh­ler­quel­len fin­den. So lässt sich zum Bei­spiel ein Kabel­test durch­füh­ren, der Dia­gno­se­pa­ke­te durch alle Ports des Gerä­tes sen­det und danach mög­li­che Pro­ble­me auf­lis­tet.
Gera­de für Ein­rich­tun­gen mit meh­re­ren Stand­punk­ten eröff­net sich hier unter ande­rem die Mög­lich­keit einer zen­tra­len Ver­wal­tung der IT, was sowohl Zeit als auch Kos­ten spa­ren kann.

Swit­ches

Mera­ki Switch; Foto: Tobi­as Arendt

Da die Swit­ches vor allem auf tech­ni­scher Ebe­ne wich­tig sind, um gro­ße Daten­men­gen in einem loka­len Netz­werk zu ver­wal­ten und die­ses Netz­werk mit dem Inter­net zu ver­bin­den, will ich mich hier nicht zu lan­ge mit ihnen auf­hal­ten.
Der Lay­er-3-Switch von Mera­ki ist dafür zustän­dig, Daten, die im Netz­werk selbst ver­sen­det wer­den und Daten, die vom Netz­werk aus ins Inter­net gelan­gen zu orga­ni­sie­ren. Der Switch arbei­tet dabei sowohl auf Soft­ware- als auch auf Hard­ware-Ebe­ne an einer best­mög­li­chen Auf­tei­lung der ein­zel­nen Ports und Daten­pa­ke­te. Vie­le der Funk­tio­nen des Swit­ches, vor allem das Prio­ri­sie­ren bestimm­ter Daten oder Diens­te, kann jedoch auch auf Soft­ware-Ebe­ne vom Acce­s­point aus gere­gelt wer­den. Ent­spre­chend wird ein sol­cher Lay­er-3-Switch vor allem in gro­ßen Netz­wer­ken benö­tigt und kann bei klei­nen Pro­jek­ten ver­nach­läs­sigt wer­den.

Access-Points

Mera­ki MR18; Foto von meraki.com

Der wohl wich­tigs­te Teil der Infra­struk­tur sind die Access-Points (APs). Die­se lie­fert Mera­ki in ver­schie­de­nen Grö­ßen für den Innen- oder Außen­be­trieb. Ein Muse­um oder eine Schu­le mit meh­re­ren Gebäu­den und einem Außen­be­reich kann so die gesam­te Grund­flä­che mit WLAN ver­sor­gen. Die Access-Points sind soli­de ver­ar­bei­tet und — wie bei allen Pro­duk­ten von Mera­ki — alle benö­tig­ten Kom­po­nen­ten sind für den sofor­ti­gen Anschluss vor­han­den, inklu­si­ve Schrau­ben und Dübeln für die Wand-Mon­ta­ge. Optisch sind die aus wei­ßem Kunst­stoff bestehen­den Access-Points unauf­fäl­lig. An der Unter­sei­te befin­den sich ein­zel­ne LEDs für die Sta­tus­über­prü­fung. Die leis­tungs­star­ken Anten­nen sind inte­griert und nach Aus­kunft des Mera­ki-Webi­nars kann ein Access-Point bis zu 64 Cli­ents ver­wal­ten. Für eine Schu­le mit durch­schnitt­li­cher Klas­sen­grö­ße reicht also im Zwei­fels­fall ein AP für zwei neben­ein­an­der lie­gen­de Klas­sen­räu­me. In einem Muse­um mit höhe­rem Besu­cher­auf­kom­men kön­nen jedoch auch meh­re­re APs pro Raum ver­wen­det wer­den, die Mera­ki-Soft­ware ver­teilt die Arbeits­last dabei dyna­misch auf die ein­zel­nen Gerä­te.

Traf­fic Sha­ping

Jeder Access-Point ver­fügt über eine Lay­er-7-Traf­fic-Sha­ping-Lösung. Das bedeu­tet, dass jede Kom­mu­ni­ka­ti­on mit dem Inter­net auto­ma­tisch ana­ly­siert und kate­go­ri­siert wird. Der AP erkennt also, ob gera­de Sky­pe zum Tele­fo­nie­ren, der Web-Brow­ser für Face­book oder Out­look zum Abru­fen von Emails genutzt wird. Auf Basis der Kate­go­ri­sie­rung und vor­her fest­ge­leg­ter Regeln wird dann die Netz­werk-Aus­las­tung ver­wal­tet. Der AP über­mit­telt den Sky­pe-Anruf also bei­spiels­wei­se mit der höchs­ten Prio­ri­tät und maxi­ma­ler Geschwin­dig­keit, Face­book wird leicht gedros­selt, lädt aber trotz­dem noch flüs­sig, und Out­look ruft im Hin­ter­grund mit stark ver­rin­ger­ter Geschwin­dig­keit die Emails ab.
Die­se Regeln las­sen sich über das Dash­board glo­bal ver­wal­ten, kön­nen jedoch auch für jeden AP spe­zi­ell kon­fi­gu­riert wer­den. Dadurch ist es zum Bei­spiel mög­lich, Sky­pe im gesam­ten Haus zu blo­ckie­ren, jedoch im Kon­fe­renz­raum mit höchs­ter Prio­ri­tät zuzu­las­sen. Muse­en kön­nen dies bei­spiels­wei­se dazu nut­zen, in ein­zel­nen Sta­ti­ons­tex­ten auf (YouTube-)Videos hin­zu­wei­sen. Der die­sen Raum bedie­nen­de AP wird dar­auf­hin so kon­fi­gu­riert, dass (YouTube-)Videos mit erhöh­ter Prio­ri­tät abge­spielt wer­den. In allen ande­ren Räu­men des Muse­ums hin­ge­gen wer­den (YouTube-)Videos blo­ckiert, um die Band­brei­te zu scho­nen.

Dros­seln statt blo­cken

Zwar ist das kate­go­ri­sche Blo­cken von Inhal­ten eine durch­aus prak­ti­sche Funk­ti­on, die vor allem in Muse­en oder ande­ren Ein­rich­tun­gen mit wech­seln­den Benut­zern sinn­voll ist, in einer Schu­le, in der das WLAN täg­lich von den glei­chen Per­so­nen genutzt wird, bie­tet sich jedoch ein ande­rer Ansatz an.
Die Real­schu­le in Erlan­gen hat die Erfah­rung gemacht, dass das Blo­ckie­ren von Inhal­ten dazu anregt, die­se Blo­cka­den zu über­win­den. Bestimm­te Diens­te oder Pro­gram­me, wie zum Bei­spiel ein pri­va­ter Mine­craft PE[4] Ser­ver wer­den in der Band­brei­ten­zu­wei­sung ein­fach soweit limi­tiert, dass das Spie­len sei­nen Reiz ver­liert.

Im Bild sieht man eine ein­fa­che Rege­lung zum Traf­fic-Sha­ping: Das öffent­li­che Netz­werk hat ins­ge­samt 250kb/s Traf­fic zur Ver­fü­gung, jeder Nut­zer maxi­mal 100kb/s.
Zusätz­lich wird der Traf­fic für Mail-Pro­gram­me (wie Out­look etc.) auf 50kb/s begrenzt, der Datei-Up/Down­load von Drop­box hin­ge­gen darf die vol­len 100kb/s aus­las­ten.

Speed­Burst ist eine von Mera­ki ver­wen­de­te Tech­no­lo­gie, die es ein­zel­nen Nut­zern erlaubt, bei Down­loads die maxi­mal fest­ge­leg­te Geschwin­dig­keit kurz­zei­tig zu über­schrei­ten, soll­ten Netz­werk­res­sour­cen frei sein. Dadurch wird das Netz­werk für den Nut­zer fühl­bar schnel­ler, die Aus­las­tung ver­schiebt sich jedoch nicht zu Guns­ten eines ein­zel­nen Nut­zers.

Man­che Netz­wer­ke erfor­dern jedoch ein kon­kre­tes Blo­ckie­ren ein­zel­ner Diens­te, hier­für bie­tet Mera­ki schon vor­de­fi­nier­te Kate­go­ri­en. Man kann jedoch auch eigen­stän­dig ein­zel­ne Sei­ten oder gan­ze Berei­che sper­ren.

Mul­ti­ple SSIDs

Beson­ders her­vor­zu­he­ben ist die Mög­lich­keit der APs, bis zu 15 SSIDs zu broad­cas­ten. Eine SSID ist dabei der sicht­ba­re Name des WLANs, über den die Benut­zer die­ses fin­den. (z.B. Fritz Box-XXXX oder Tele­kom-XXX wie man es aus sei­nem pri­va­ten Netz­werk kennt) Ver­schie­de­ne SSIDs bedeu­ten hier jedoch auch unter­schied­li­che Netz­wer­ke, mit unter­schied­li­chen Zugriffs­be­rech­ti­gun­gen und unter­schied­li­chen Regeln und Fil­tern.

Es ist also mög­lich, ein Netz­werk mit dem Namen Schule­XY-Intern zu erstel­len, mit dem sich nur bestimm­te Gerä­te ver­bin­den dür­fen. Die­se Rege­lung wird durch einen MAC-Fil­ter[5] rea­li­siert, alle zuge­las­se­nen Gerä­te haben unein­ge­schränk­ten Zugriff auf das Inter­net und eine höhe­re Prio­ri­tät im Netz­werk. Dadurch wird gere­gelt, dass bestimm­te Gerä­te, zum Bei­spiel die der Leh­rer, immer mit maxi­ma­ler Geschwin­dig­keit arbei­ten kön­nen, egal wie aus­ge­las­tet das Netz ansons­ten ist.
Zusätz­lich könn­te man ein Schule­XY-Schue­ler Netz­werk anle­gen, um die Han­dys oder Tablets der Schü­le­rin­nen und Schü­ler mit dem Inter­net zu ver­bin­den. In die­ser Form wäre das Inter­net gefil­tert erreich­bar, um dem Jugend­schutz und ande­ren Vor­schrif­ten zu ent­spre­chen.
Ein drit­tes Netz­werk mit dem Namen Schule­XY-Gast könn­te mit einem Pass­wort gesi­chert wer­den, das Besu­cher der Schu­le erhal­ten kön­nen. In die­sem Netz­werk kann der Daten­strom stark gefil­tert und die Geschwin­dig­keit dyna­misch gedros­selt wer­den, um den Schul­ab­lauf nicht zu unter­bre­chen.
Eine wei­te­re Funk­ti­on wird für Schu­len eher unin­ter­es­sant sein, kann sich jedoch für Muse­en als durch­aus posi­tiv dar­stel­len: Das Muse­um könn­te ein zusätz­li­ches Netz­werk erstel­len, das für Pas­san­ten frei zugäng­lich ist, sobald sie sich mit ihren Face­book-Zugangs­da­ten anmel­den. Mera­ki unter­stützt die­se Funk­ti­on von sich aus, das Muse­um pro­fi­tiert dabei zusätz­lich von den Infor­ma­tio­nen, die sich aus den Face­book-Pro­fi­len der Nut­zer erge­ben. In die­sem öffent­li­chen Netz­werk könn­te der Zugriff auf das Inter­net blo­ckiert und ledig­lich das Infor­ma­ti­ons­por­tal des Muse­ums auf­ruf­bar sein. Nut­zer könn­ten auf die­se Wei­se mit dem Muse­um inter­agie­ren und Inhal­te mit erhöh­ter Daten­men­ge kon­su­mie­ren, ohne ihr per­sön­li­ches Daten­vo­lu­men zu belas­ten.

Data Visua­li­za­ti­on

Wie umfang­reich das Dash­board ist, wird vor allem an der Visua­li­sie­rung der Daten deut­lich. Neben den Dia­gno­se-Tools befin­den sich hier auch jede Men­ge Sta­tis­ti­ken und auf­be­rei­te­te Daten über die Nut­zung des WLANs. Dabei kann einer­seits auf der Gerä­te­e­be­ne die Inten­si­tät der Aus­las­tung fest­ge­stellt wer­den, ande­rer­seits las­sen sich soge­nann­te Heat-Maps erstel­len. (Man kennt die­se inzwi­schen aus Spiel­ana­ly­sen im Fuß­ball.) Anhand derer wird erkenn­bar, an wel­chen Stel­len beson­ders vie­le Per­so­nen das Netz­werk nut­zen. Gera­de Schu­len oder Muse­en damit sehr schnell, wo das Netz­werk noch ver­stärkt wer­den muss.

Fazit

Mera­ki ist für den Auf­bau eines Schul- oder Muse­ums­netz­wer­kes eine gute Opti­on, weil es die spe­zi­fi­schen Inter­es­sen die­ser Nut­zer­grup­pe abdeckt. Hin­zu kom­men etli­che sinn­vol­le Ein­zel­funk­tio­nen, eine ein­fa­che Bedien­bar­keit und der gute Kun­den­ser­vice.


[1] https://institut-fuer-digitales-lernen.de/digitales-lernen-mit-schulen-statt-ueber-schulen-sprechen/

[2] https://meraki.cisco.com/

[3] https://meraki.cisco.com/webinars/signup/1568/einfauhrung-ins-cloud-networking-deutsch/

[4] http://minecraft-de.gamepedia.com/Pocket_Edition

[5] https://de.wikipedia.org/wiki/MAC-Filter