Situatie - Dit profiel past bij een grote schoollocatie waar de infrastructuur uitgebreider is en netwerkapparatuur zowel centraal in een Main Equipment Room (MER) als in Satellite Equipment Rooms (SER) wordt geplaatst. Applicaties draaien meestal niet op de locatie zelf, maar zijn via internet bereikbaar.
Schema - Onderstaande tekening laat het referentieontwerp voor deze situatie zien. In de bijlage staat een uitleg van de gebruikte symbolen.

Hoe lees je dit ontwerp?
Aan de onderkant van de tekening is aangegeven welke soorten apparaten op de schoollocatie gebruik kunnen maken van de infrastructuur, zoals laptops, desktops, smartphones, tablets, chromebooks, IP-phones, netwerkprinters en IoT-devices. Deze krijgen toegang (access) tot de infrastructuur via bedrade (wired) of draadloze (wireless, wifi) verbindingen. Op de apparaten kan zich gevoelige informatie bevinden. Er is daarom een leerling-, medewerkers- of gast-account nodig om op de apparatuur of het netwerk te kunnen inloggen.

Aansluiten - Toegang wordt op verschillende plekken in de school geboden via bekabelde aansluitpunten (wall-outlets) of draadloze toegangspunten (wireless access points). Deze zijn via bekabeling, eventueel via satellietruimtes, verbonden met patchpanelenin de computerruimte. Daar kunnen ze worden aangesloten op een access-switch.
Lokaal netwerk - Op grotere locaties is een gelaagde netwerkopzet gebruikelijk. Access-switches koppelen apparaten aan het netwerk, distribution-switches verdelen verkeer binnen de locatie en core-switches verzorgen snel transport van grote hoeveelheden gegevens en de centrale toegang van en naar internet.
Gateway, netwerkconnectiviteit en firewall - Op grotere locaties worden routing, adressering en beveiliging vaak apart uitgevoerd door specialistische apparatuur, zoals routers, gateways en firewalls.
Publiek internet - De internetverbinding is een dienst van de provider en wordt geleverd via een CPE-apparaat (Customer Premises Equipment). Afhankelijk van de provider en het CPE-apparaat kan de school mogelijk ook enkele netwerkdiensten zelf configureren. Op grotere locaties kan extra beschikbaarheid nodig zijn, bijvoorbeeld via een tweede aansluiting als back-up.
Let op - In sommige regio’s wordt de internetverbinding centraal geleverd en via een regionale gezamenlijke glasvezelinfrastructuur verdeeld naar de schoollocaties. Ook dan spreken we voor de locatie zelf over een internetverbinding.
Aanvullend ontwerp voor gezamenlijke glasvezelinfrastructuur - Onderstaande tekening laat deze situatie op hoofdlijnen zien.

Waar zitten de FORA-services?
In onderstaande tekeningen zie je waar de netwerkinfrastructuurservices zijn toegepast in het referentieontwerp van een grote schoollocatie en in de variant met regionale gezamenlijke glasvezelinfrastructuur.

Situatie - Dit profiel past bij een situatie waarin de school centrale dienstverlening afneemt in een fysiek datacenter of via IaaS (Infrastructure as a Service, biedt organisaties de mogelijkheid om in de cloud infrastructuurbronnen af te nemen bij een IT-leverancier). In het datacenter worden geen eindgebruikersapparaten aangesloten, maar servers, opslagsystemen en back-upvoorzieningen. Deze bevatten vaak belangrijke en gevoelige informatie en moeten daarom goed worden beschermd, ongeacht of het om een fysiek of cloud-datacenter gaat.
Kenmerken van het datacenter - In het datacenter worden alleen bekabelde verbindingen gebruikt. Draadloze verbindingen worden hier niet ingezet. Via deze bekabeling worden servers, opslagsystemen en back-upsystemen aangesloten.
Servers en applicaties - Servers in het datacenter kunnen fysieke servers zijn of gevirtualiseerde servers. Op deze servers draaien de schoolapplicaties die de organisatie nodig heeft. Waar mogelijk is het aan te raden om applicaties als Software as a Service (SaaS) uit de cloud af te nemen. Daardoor zijn fysieke servers voor deze applicaties minder of niet meer nodig. Bij migratie naar SaaS blijft het belangrijk om gevoelige informatie goed te beschermen bij de SaaS-provider.
Ondersteunende infrastructuurdiensten - Op servers in het datacenter kunnen ook infrastructuurondersteunende diensten draaien. Voorbeelden daarvan zijn DNS, NAT en DHCP voor schoollocaties. Deze diensten kunnen ook op andere plekken worden ingericht, bijvoorbeeld in de cloud, bij de provider of op de gateway op de schoollocatie. Als voor zulke alternatieven wordt gekozen, kunnen ook deze servers in het datacenter worden afgebouwd.
Ontwikkeling richting cloud - Centrale opslag van persoonlijke data, instellingsdata en applicatiedata gebeurt steeds vaker in de cloud. Daardoor kunnen opslagsystemen in het datacenter worden ontmanteld. Dat geldt ook voor back-upoplossingen die naar de cloud verplaatsen. De verwachting is dat datacenters bij veel schoolbesturen op termijn verder naar de cloud migreren. Iedere organisatie maakt daarin eigen keuzes, afhankelijk van strategie, financiële planning, expertise, rolverdeling en tijdslijn. Overgangsfase met IaaS - In een overgangsfase kunnen servers, opslag en back-up als infrastructuurcomponent uit de cloud worden afgenomen. Dit wordt ook wel IaaS genoemd: Infrastructure as a Service. Zo kan een fysiek datacenter worden afgebouwd terwijl de voorzieningen functioneel blijven bestaan. Het referentieontwerp van het datacenter blijft in grote lijnen hetzelfde. Het verschil is dat de hardware niet meer fysiek in het datacenter staat, maar als gevirtualiseerde infrastructuur in de cloud draait. In het referentieontwerp met IaaS geven grijze wolken aan dat fysieke componenten zijn vervangen door gevirtualiseerde componenten met dezelfde netwerkinfrastructuurservices.
Schema - Onderstaande tekeningen laten het referentieontwerp voor een fysiek datacenter en het referentieontwerp met Infrastructure as a Service zien. In het referentieontwerp met IaaS geven de grijze wolken rondom de infrastructuurcomponenten aan dat de fysieke componenten zijn vervangen door gevirtualiseerde componenten met dezelfde netwerkinfrastructuurservices.In de bijlage staat een uitleg van de gebruikte symbolen.

Hoe lees je dit ontwerp?
Aansluiten - In het datacenter wordt alleen gebruikgemaakt van bekabelde verbindingen. Servers, virtualisatieplatformen, opslagsystemen en back-upsystemen worden via patchpanelen en access-switches gekoppeld. Op de servers draaien de applicaties voor de onderwijsorganisatie.
Lokaal netwerk - Omdat het datacenter een centraal verkeersknooppunt is, wordt vaak een gelaagde switch-opzet gebruikt met access-, distribution- en core-switches. Access switches koppelen de apparatuur in de serverkast. Distribution switches verdelen het netwerkverkeer tussen de serverkast en het core-netwerk in het datacenter. Core switches zijn gericht op snel transport van grote hoeveelheden gegevens en de centrale toegang van en naar internet.
Gateway, netwerkconnectiviteit en firewall - De gateway verbindt de servers met het externe internet en zorgt voor netwerkadresseringsdiensten. De router stuurt het netwerkverkeer naar de juiste IP-adressen. De firewall beveiligt de servers in het datacenter met passende beveiligingsmaatregelen.
Publiek internet - De internetverbinding is meestal onderdeel van de datacenterdienstverlening en wordt vrijwel altijd dubbel uitgevoerd voor extra betrouwbaarheid. De verbinding wordt geleverd door de datacenterdienstverlener via het patchpanel in de serverkast.

Waar zitten de FORA-services?
In onderstaande tekeningen zie je waar de netwerkinfrastructuurservices zijn toegepast in het referentieontwerp van een fysiek datacenter en in de IaaS-variant.

Situatie - Dit profiel gaat over het extra beschermen van beheerderstoegang. Beheerdersaccounts hebben hogere rechten en vragen daarom om een andere inrichting dan gewone gebruikersaccounts.
Schema - Onderstaande tekening laat een referentieontwerp zien voor beheerderstoegang.

Hoe lees je dit ontwerp?
Gescheiden beheeromgeving - Beheerderstoegang loopt via aparte beheersystemen en aparte beheeraccounts. Deze beheeromgeving is gescheiden van de gewone gebruikersomgeving.
Stepping-stone werkplek - Beheerders werken via een stepping-stone: een aparte, 'gehardende' werkplek, een werkplek met alleen de noodzakelijke beheertools en connectiviteit naar de beheerdoelen. Onnodige functies zijn uitgeschakeld en beveiligingsmaatregelen zoals schermvergrendeling, automatisch uitloggen en actuele softwareversies zijn ingericht.
VPN-toegang - De stepping-stone is alleen via een VPN-verbinding te benaderen, zowel van buiten als binnen de school. Beheerdersverkeer zonder VPN-verbinding wordt niet vertrouwd.
Waarom dit profiel belangrijk is - Dit ontwerp helpt om privileges beter te beschermen en beheeractiviteiten gecontroleerd en veilig uit te voeren.