Linee Guida PON Reti Locali FESR LAN/WLAN

In questi giorni le scuole che hanno vinto il bando per le Reti Locali 2021 devono procedere alla progettazione: ecco perciò alcune indicazioni utili per un progetto veramente efficace e a prova di errore.

Wireless Campus

La parte più delicata della progettazione è la rete Wireless della scuola, che deve poter collegare potenzialmente tutti i dispositivi mobili di tutti gli utenti e deve essere vista come un unica rete anche se l’edificio scolastico occupa diversi piani in più edifici.

Va detto subito che gli access point per ufficio o domestici, anche i più cari e blasonati, non sono purtroppo adatti alle scuole o ai campus, in quanto non sono in grado di connettere simultaneamente più di 50 utenti; mentre e a scuola di utenti ne abbiamo centinaia o, spesso, migliaia. Il brutto delle reti wireless è che, quando l’affollamento è eccessivo, la connessione cade o si interrompe, qualcuno si collega e qualcuno no. Insomma: diventa inutilizzabile, come tutti abbiamo già sperimentato. Ebbene: se accade quanto appena descritto, è sempre per colpa dell’eccessivo affollamento dei dispositivi mobili (quelli che si collegano e anche quelli che tentano di collegarsi o che annusano la rete – esempio non casuale: gli smartphone lasciati accesi negli zainetti.

Il bando prevede espressamente la connessione degli studenti e quindi non c’è scampo: bisogna dotarsi di strumenti davvero adatti – non necessariamente più cari, anzi talvolta anche più economici. E ricordarsi che, soprattutto nella secondaria di secondo grado, per ogni studente possiamo avere almeno 2 dispositivi (uno smartphone e un tablet o un pc); e lo stesso dicasi per i prof.

Riassumendo: se abbiamo 900 studenti e 100 docenti, per avere una rete wireless funzionante dobbiamo dimensionarla per almeno 2000 utenze simultanee! E questa specifica va assolutamente inserita nel progetto e nel bando di fornitura. Pena l’esclusione del fornitore che non soddisfaccia la clausola.

Wi-Fi 6

Il WiFi 6 è il nuovo standard della Wifi Alliance. Ha una velocità di trasmissione dati per singolo utente superiore del 37% rispetto all’802.11ac (lo standard precedente, su cui si basa) e quattro volte la capacità di trasmissione per utente in ambienti affollati. Per ottenere questi miglioramenti, il WiFi 6 usa una serie di caratteristiche tecniche innovate, tra cui diverse tecnologie multiutente che sono derivate dall’industria cellulare MU-MIMO e OFDMA: sistemi che migliorano notevolmente capacità e prestazioni, consentendo più connessioni simultanee e un più approfondito uso delle frequenze.

Il WI-Fi 6, insomma, sembra pensato proprio per le reti molto congestionate come quelle delle nostre scuole: oltre ad affrontare la sovrapposizione nella copertura del numero di dispositivi, in fatti, è ideale per gestire la domanda sempre crescente di velocità di trasmissione dati multiutente.

Non ultimo, il Wi-Fi 6 offre una migliore efficienza energetica. che si traduce in minori emissioni elettromagnetiche e in un minor consumo delle batterie del dispositivo: per funzionare non serve sempre la massima potenza e, anche se parliamo di potenze inferiori ai 100milliWatt, avremo comunque meno emissioni e meno consumi.

Generazione/Standard IEEEFrequenzaVelocità di collegamento massimaAnno
Wi-Fi 6 (802.11ax)2,4/5 GHz600–9608 Mbit/s2019
Wi-Fi 5 (802.11ac)5 GHz433–6933 Mbit/s2014
Wi-Fi 4 (802.11n)2,4/5 GHz72–600 Mbit/s2009
Tabella evoluzione degli standard wireless – fonte intel

Il Wi-Fi 6 rappresenta un aggiornamento sostanziale rispetto alle generazioni precedenti: anche se le differenze potrebbero non sembrare immediatamente evidenti negli uffici o in ambito domestico, il Wi-Fi 6 è ideale per le scuole in quanto consente velocità di connessione più elevate soprattutto in situazioni di elevata densità di utenti.

In qualsiasi caso non conviene dotarsi oggi, nel 2022, di una infrastruttura Wi-Fi 5 che risale al 2014.

Access point ad elevato affollamento

Per la nostra rete wireless scolastica non dobbiamo perderci in inutili specifiche, tantomeno farci inebriare da fornitori che ci elencano decine di dispositivi e loro caratteristiche proferite per farvo specchiare le allodole: oltre al dimensionamento massimo degli utenti per ogni plesso, quello che ci serve davvero sono poche cose semplici e chiare, facilmente verificabili anche se non siamo espertissimi di modulazioni di frequenze.

Ecco quindi le caratteristiche degli Access Point ideali per la scuola:

  • Access Point Wi-Fi 6
  • 300+ utenti simultanei
  • Long Range
  • Power over Ethernet (alimentazione dal cavo di rete)
  • Management gratuito e senza limite massimo di utenti, dispositivi e access point

Ovviamente questi Access Point non devono lavorare ciascuno per conto suo e non devono fare da ripetitori uno dell’altro, ma devono funzionare all’unisono come una unica grande rete wireless. Per farlo devono prevedere all’origine un sistema di gestione (management) centralizzato, che ovviamente deve essere gratuito, senza limite di utenti e senza canoni di abbonamento… Esistono davvero simili accrocchi? certo che si: continuate a leggere!

Quanti Access Point prendiamo?

  • Un access point ogni 2/3 aule
  • 1+ access point per ogni spazio comune (sala studio, biblioteca, mensa, agorà, ecc…)
  • 2+ access point in auditorium e aule magne.
  • ottima idea coprire anche gli spazi esterni (giardino, parco, campus, …): non serve necessariamente mettere un access point outdoor, perché basta posizionarne alcuni in prossimità degli spazi esterni (ad esempio sotto il portico).

Un access point messo in mezzo a tre aule rischierà di dover gestire [30 utenti * 2 dispositivi * 3 classi] = 180 terminali come minimo (facciamo sempre i conti per eccesso). Le onde radio non le vediamo, ma passano i muri e rimbalzano, e perciò con moltissima probabilità ciascun Access Point si troverà a gestire o almeno a “sentire” anche le richieste delle classi vicine e di quelle del piano di sopra e di sotto. Questo vuol dire che un Access Point dedicato a 3 aule in realtà ne sente anche il doppio o il triplo: da qui la necessità di acquistare Access Point in grado di reggere 300 utenti, soglia per nulla eccessiva, ma anzi indispensabile per non avere momenti di congestione.

Già che ci siamo, ricordiamoci di acquistare almeno 5 Access Point in più di riserva, per future espansioni o per eventuali sostituzioni.

Come colleghiamo gli access point?

WiFi alternato tra i piani
Alternare gli Access Point tra i diversi piani per ridurre le interferenze e aumentare la portata
  • Ciascun Access Point deve essere connesso mediante un cavo di rete dedicato (UTP5e o superiore), collegato ad uno switch Gigabit PoE, in modo da dare agli utenti la massima velocità e la massima affidabilità possibile.
  • Visto l’elevato numero di utenti (molte centinaia o migliaia). sono assolutamente vietate le connessioni Wireless tra access point, le reti MESH e i ripetitori wireless, opzioni che porterebbero ad un rapido calo delle prestazioni.
  • Il posizionamento deve essere pensato in maniera tridimensionale, non va bene allineare verticalmente gli access point su più piani perché tra un piano e l’altro ci sono in media solo 5 metri che sono troppo pochi, meglio alternarli tra i diversi piani.

Switch

Gli Switch di rete a cui collegare gli Access Point devono essere così:

  • Tutte le porte in rame Gigabit
  • Power Over Ethernet (nel numero necessario per collegare gli Access Point)
  • SMART (management semplificato)
  • Numero di porte in base alle esigenze
  • Collegamento tra Switch in fibra ottica (dorsale) con velocita 1, 2.5 o 10Gbit in base alla connessione internet disponibile
  • Opzionale: interfacciabili con il sistema di Management Wireless (quell’accrocco gratuito di cui si parlava sopra).

Molto importante è sostituire tutti gli switch presenti con modelli di ultima generazione: infatti basta avere nella rete un vecchio switch o giammai un hub in un posto remoto per rallentare o bloccare tutta la rete!!! Cambiare tutto!!!

In commercio è facile trovare Switch MANAGED molto sofisticati, da vero maschio alfa: sono i preferiti di molti fornitori avidi, in quando necessitano di configurazioni complicatissime, che nelle scuole si rivelano tanto inutili quanto onerose.

Per ovviare alle (in)utili complicazioni degli Switch MANAGED al testosterone – che si credono dei router ma che ci complicano la vita – bisogna invece acquistare gli Switch SMART, che hanno una interfaccia di gestione semplificata e che, anche se non configurati, funzionano benissimo lo stesso. Le prestazioni in termini di velocità non cambiano; anzi, una configurazione troppo complicata sicuramente ci rallenta.

Evitiamo quindi complicazioni inutili, niente vlan (reti virtuali) e niente configurazioni anomale con numerose sottoreti e indirizzamenti improbabili. Con una rete semplice, in caso di guasto di un dispositivo, basterà acquistare uno Switch equivalente e tutto funzionerà al volo, senza bisogno di costosi interventi tecnici e di lunghe configurazioni.

Volendo in commercio si trovano switch in grado di essere gestiti dallo stesso sistema di management gratuito degli Access Point. Acquistare Switch e Access Point della stessa marca compatibili con lo stesso Management ci offre una sicura compatibilità, facili strumenti di analisi del traffico e, per chi vuole, una completa gestione della rete.

Management Software vs Hardware vs Cloud

Per la gestione centralizzata degli access point esistono soluzioni sia software sia hardware; ovviamente ciascuna è compatibile solo con gli access point della stessa marca e serie; esistono perfino soluzioni cloud che consentono al fornitore o al produttore di gestire la configurazione direttamente dal remoto.

Per qualsiasi soluzione, ci sono però costi in agguato: i dispositivi hardware hanno un costo iniziale elevato e licenze per blocchi di utenti e dispositivi; mentre i servizi cloud hanno canoni annuali, sempre in funzione di utenti e dispositivi. Possono sembrare opzioni convenienti per un ufficio, ma possono avere costi proibitivi per una scuola, se prevediamo anche solo 600 utenti . Per questo motivo, prima di acquistare più Access Point, è indispensabile valutare i costi del sistema di management, dell’installazione e anche degli eventuali canoni annuali di esercizio. Da ultimo bisogna poi verificare che non ci siano limiti al numero di utenti o di access point, nel caso di una crescita futura delle utenze.

Inutile dire che un sistema di management software o hardware in grado di controllare sia gli access point sia gli switch senza limiti e senza canoni di esercizio è la soluzione giusta per le scuole. Se lo prendiamo hardware avrà un costo iniziale, se lo prendiamo software magari non costa nulla ma ha bisogno di un PC o di una macchina virtuale su cui essere installato.

Se i costi del Management Hardware sono paragonabili a quelli di un PC e non ci sono spese ulteriori per abilitare le nostre migliaia di utenti possiamo valutare questa opzione che ci evita di dover avere un server dedicato. In alcuni casi troverete dei management hardware anche in grado di fare da router, da aggregatore, da autenticazione e da filtro, quindi perfettamente equivalenti alla gestione fatta mediante un PC. Occhio sempre ai limiti massimi di utenti!

Una volta installato il tutto la configurazione del Wireless Management è abbastanza semplice, alla portata di chiunque sia in grado di configurarsi il wireless a casa propria, con la differenza che qui una singola configurazione viene automaticamente replicata su tutti gli Access Point della rete, che siano 10, 50 o 100… Nella fornitura pertanto ricordiamoci di chiedere una prima configurazione e un mini corso per poter operare le solite eventuali modifiche – nome della rete, password e così via.

Il sistema di management penserà a tutto il resto, effettuerà la scelta dei canali con meno interferenze, abbasserà la potenza quando non necessaria, ci dirà anche quali dispositivi si stanno collegando, quanto traffico generano e se ci sono Access Point disturbati o troppo affollati, che hanno bisogno di un ulteriore Access Point nei paraggi. Se abbiamo scelto una soluzione “senza limiti”, basterà in qualsiasi momento acquistare un dispositivo aggiuntivo, collegarlo, adottarlo e la configurazione sarà automatica.

Le specifiche di massima di Wireless Management potrebbero essere queste:

  • Software di gestione gratuito e senza limitazioni senza limite di utenti, connessioni e dispositivi
  • in alternativa hardware di gestione sempre senza limitazioni sul massimo numero di utenti da valutare in base ai costi
  • Interfaccia web
  • eventualmente compatibile anche con gli switch e gli altri apparati di rete della stessa marca

Cablaggi

Molte scuole hanno già subito interventi di cablaggio e in questi casi probabilmente basta solo un riordino. I cablaggi in rame esistenti non vanno per forza sostituiti, perché basta sostituire gli Switch con modelli più performanti e aggiornati. Se il budget lo consente, possiamo pensare a nuovi cablaggi, per collegare con il cavo gli schermi interattivi e ulteriori postazioni fisse, ma questa non è una priorità assoluta.

Ogni Access Point richiede invece un suo cavo dedicato. Su questo punto non possiamo fare sconti.

Quello che risparmiamo sui cablaggi fisici – ricordiamoci! – lo possiamo spendere per collegare finalmente i plessi che non sono ancora ben serviti.

Possiamo pensare a una connessione in fibra ottica tra i diversi centri stella della scuola, quella che si chiama dorsale. Una connessione in fibra ottica ci consente infatti velocità più elevate tra gli switch: a seconda dei modelli e del budget a disposizione possiamo arrivare fino a 10 Gbit.

Bello ma esiste davvero?

Si ecco qualche screenshot del sistema che usiamo nelle nostre scuole Dschola e in molte altre scuole:

Non è l’unico sistema ma è uno dei pochi veramente gratuiti ed è molto diffuso grazie al basso costo degli Access Point che sono di ottima qualità. Inoltre della stessa marca si trovano Switch e Router/Firewall collegabili allo stesso sistema. Non diciamo la marca ma qualsiasi fornitore serio lo conosce bene e saprà proporvi una soluzione con questa tecnologia o una analoga.

Autenticazione

Tutti sappiamo che possiamo mettere una password condivisa per l’accesso al WiFi. Non è molto sicuro ma se non comunichiamo la password troppo in giro e se la cambiamo spesso può funzinare anche bene dall’infanzia alla primaria, con qualche cautela in più anche alle medie.

I Wireless Manager sono anche in grado di gestire reti per gli ospiti gestendo facilmente i ticket di autenticazione con scadenza a tempo.

Per i ragazzi del secondo ciclo è bene però pensare a un sistema di autenticazione basato su credenziali personali: ciascun ragazzo e ciascun docente deve avere uno username e una password per accedere a WiFi. I sistemi di management sono compatibili con diversi sistemi di autenticazione e quindi possiamo fare in modo che la password del WiFi sia la stessa che già usiamo per accedere ai PC fissi, a Google, a 365 o a Moodle.

Se non abbiamo un sistema di autenticazione già in funzione possiamo chiedere un server Radius per la gestione degli utenti. Un server RADIUS (Remote Authentication Dial-In User Service) è un protocollo AAA (authentication, authorization, accounting) utilizzato in applicazioni di accesso alle reti.

Uno dei software Open Source più usati per l’autenticazione, soprattutto in ambito educational, è FreeRadius. Una visita al sito ufficiale di FreeRadius ci chiarirà ogni dubbio sulle potenzialità – Lasciando ovviamente l’onere dell’installazione al nostro fornitore. Il sistema di autenticazione si può comunque realizzare facilmente anche con un Server Windows, con un server Linux o direttamente con un management Hardware.

Le tecnologie ci sono e sono consolidate, quindi possiamo facilmente farci installare un server che contiene sia il server di autenticazione che il Wireless Manager senza essere obbligati al pagamento di canoni o licenze aggiuntive che renderebbero l’investimento non sostenibile nel tempo.

Una volta installato il tutto avremo (è bene chiederlo nelle specifiche) un sito web o una applicazione per la gestione degli utenti, magari anche con funzionalità di importazione e un sito web per la gestione del Wireless.

Con tutte queste tecnologie disponibili conviene evitare i “Captive Portal” perché sono una inutile complicazione sia nel funzionamento che nella gestione. Lasciamo che siano gli Access Point a chiedere agli utenti username e password senza inventarci ulteriori piattaforme.

Le specifiche del server tuttofare potrebbero essere più o meno queste:

  • Server di gestione Utenti e Wireless Manager
  • Installazione e configurazione Wireless Manager con gestione via web
  • Installazione e configurazione Server Autenticazione Radius con gestione utenti via web
  • Protocollo di sicurezza WPA2/3 Enterprise
  • Rete dimensionata per 2000 utenti (adattate il numero ma non scendete troppo)
  • Nessun limite di utenti e di access point collegabili
  • Nessun canone di licenza/gestione/manutenzione
  • Eventuale integrazione del Wireless Manager con gli switch di rete

In alternativa a queste specifiche potreste chiedere un management hardware con le stesse funzionalità, ne esistono di molto validi ma occhio sempre ai costi aggiuntivi.

Connessione Internet e navigazione protetta

Una rete per centinaia di dispositivi richiede un piano di indirizzamento adeguato (classe A, Classe B o CIDR su indirizzi privati) e una buona connessione.

Per un istituto tecnico con 300 PC fissi e 1000 utenze wireless una normale linea in fbra da 1Gbit/sec (anche senza banda garantita) oggi va più che bene.

In alcune scuole arriva la fibra ottica con 2.5Gbit/s e in altre ben 10Gbit/s queste scuole devono necessariamente dotarsi di una dorsale in fibra ottica con velocità di uplink adeguata aggiornando gli switch alla velocità superiore. Le connessioni in rame possono rimanere a 1 Gigabit.

Ma non tutti i plessi sono raggiunti dalla fibra ottica. Per chi si trova in zona digital divide ed è costretto a collegarsi con linee vdsl, adsl e ponti radio c’è una soluzione economica ed efficace: abbonarsi a più linee internet (quelle da 28 euro al mese) ed aggregarle insieme con un firewall/router aggregatore multi WAN. In alcuni casi lo perfino stesso Wireless Manager può fare sia da router che da aggregatore.

L’utilizzo di un firewall/router aggregatore è utile anche per proteggere la navigazione senza costi aggiuntivi. Non procedete alla realizzazione di un simile progetto senza avere anche un filtro sulla navigazione! Chi è collegato al GARR potrebbe già essere protetto, un problema in meno.

Per proteggersi efficacemente dai siti vietati, violenti, non adatti ai fanciulli e anche da quelli zeppi di virus oggi possiamo usare il servizio gratuito di Open DNS Family Shield.

Basta impostare come unici due DNS questi due indirizzi 208.67.222.123 – 208.67.220.123 e avremo subito un filtro gratuito, preciso e professionale perché gestito nientemeno che da CISCO. Per sicurezza conviene chiedere al fornitore di bloccare l’accesso agli altri DNS non protetti. Con una registrazione gratuita o a pagamento il servizio Family Shield consente anche la gestione e il monitoraggio del filtro ma non è necessario, il servizio gratuito funziona già perfettamente.

Se la nostra rete è di grandi dimensioni, se la linea è collegata a 10Gbit oppure se vogliamo una maggiore gestione del filtro possiamo pensare ad un firewall open source come PF Sense da installare su un PC dedicato e adeguatamente dimensionato. Con PF Sense o un software equivalente saremo anche in grado di forzare nei motori di ricerca la funzione safe-search.

Le specifiche del nostro firewall potrebbero essere queste:

  • Firewall hardware (o software installato su PC specifico)
  • Porte di rete Gigabit o 10Gigabit (se siete fortunati ad avere la connessione GARR o le linee da 2.5GB)
  • Throughput NAT di almeno1Gbit o da 10Gbit se avete le linee più veloci
  • Più porte WAN per aggregazione traffico (se avete linee lente da aggregare)
  • Piano di indirizzamento con almeno 2000 indirizzi disponibili (Classe A,B o CIDR) e DHCP
  • Filtro navigazione mediante OPEN DNS Family Shield
  • Firewall configurato per bloccare le porte non note e l’uso di DNS alternativi a OPEN DNS Family Shield
  • No canoni di manutenzione e/o abbonamenti per il filtro internet
  • Se il firewall lo consente forzare il safe search sui motori di ricerca.

Convenzione Consip

Su consip si trova una importante convenzione per la “FORNITURA DI PRODOTTI E SERVIZI PER LA REALIZZAZIONE, MANUTENZIONE E GESTIONE DI RETI LOCALI PER LE PUBBLICHE AMMINISTRAZIONI”. Si tratta di un pacchetto omnicomprensivo che, come dice il titolo, è specifico per le pubbliche amministrazioni, per gli uffici pubblici e non necessariamente adatto alle scuole.

Infatti, leggendo i documenti della convenzione, strapieni di specifiche magniloquenti, non troviamo il numero di utenze per access point, tantomeno si parla di numero complessivo di utenti wireless e neppure di dispositivi adatti all’elevato affollamento/alta densità. Queste tre specifiche sono, alla fine dei conti, le uniche che interessano veramente un plesso scolastico e sarebbe stato utile darne evidenza nel bando al pari delle altre specifiche per noi meno significative. Insomma convenzione perfetta per gli uffici pubblici ma, se proprio la vogliamo, bisogna avere la forza di adattarla alle scuole con una buona (ri)progettazione.

Come da specifiche del bando il fornitore offre tre diverse marche di prodotti. Per sapere cosa è adatto alle nostre scuole dobbiamo guardare le prestazioni dei tre diversi access point proposti nell’offerta tecnica. Cercando in rete i datasheet e confrontandoli con il documento Allegato_2_Apparati_Attivi scopriremo che il modello HP-ARUBA dichiara di supportare 256 utenti per access point anche se nelle specifiche online si legge “bassa densità” boh?!?, il modello Huawei invece indica di essere adatto agli stadi e agli eventi pubblici e conferma questa sua capacità con ben 512 utenti simultanei, del modello Alcatel, infine, non si trova il numero massimo di utenti simultanei. Purtroppo tutti e tre i modelli indoor non dispongono del Wi-Fi 6 ma usano tecnologie precedenti. Il controller di HP Aruba ha un misterioso codice Q9H62AFS-C di cui non si trovano informazioni in rete; ma, nel documento Allegato_2_Apparati_Attivi, la descrizione si trova e sembra essere un Access Point dotato di management integrato e anche di Wi-Fi 6. Va da sè che non ha senso mettere solo un Wi-Fi 6 come controller e tutti gli altri Wi-Fi 5. Precisiamo comunque che il Wi-Fi 5 (standard del 2014) funziona certamente lo stesso; ma ci sia consentito dire che non sembra più adatto per un progetto che parte nel 2022.

I management proposti dalla convenzione sono sia hardware che cloud, evitate il cloud in quanto avrà sicuramente dei canoni di gestione annuali. Sui management hardware controllate che il numero massimo di utenti sia ampiamente superiore alla somma di studenti e docenti , quindi partire da almeno 1000 utenti senza costi extra. (ci sono licenze per numero utenti e numero dispositivi che vanno calcolate e valutate)

Infine fate una rapida ricerca in rete di prodotti alternativi: Gli access point di HP-Aruba e Huawei vengono venduti senza convenzione a un prezzo superiore ai 250€; mentre oggi in commercio esistono access point Wi-Fi 6 con caratteristiche equivalenti con prezzi che partono da 100€-150€ e che sono pure dotati di management software gratuito! senza limiti! senza canoni!

Insomma un pochino di tecnologie Open con hardware di buon livello, Wi-Fi 6, software gratuiti, un buon progetto e avrete una rete spettacolare e sostenibile.

Dschola le scuole per le scuole!!!

Mandateci i vostri commenti, saremo lieti di rispondere a dubbi e a problematiche specifiche

2 risposte a “Linee Guida PON Reti Locali FESR LAN/WLAN”

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.