LIDL HOUSE NEUVOTTELUHUONEIDEN VERKKO- JA VARAUSJÄRJESTELMÄ NEUVOTTELUHUONEIDEN VERKON TARPEET JA TOTEUTUS Ammattikorkeakoulun opinnäytetyö Tietotekniikan koulutusohjelma Hämeen ammattikorkeakoulu Riihimäki, syksy 2017 Miki Niemi
TIIVISTELMÄ HAMK Riihimäki Tietotekniikan koulutusohjelma Tekijä Miki Niemi Vuosi 2017 Työn nimi Lidl House neuvotteluhuoneiden verkko- ja varausjärjestelmä TIIVISTELMÄ Tässä opinnäytetyössä perehdyttiin Lidl Suomi KY:n uuden pääkonttorin neuvotteluhuoneissa käytettyyn varausjärjestelmään sekä sitä tukevaan verkkoinfrastruktuuriin. Projektin tavoitteena oli luoda käyttäjäystävällinen varausjärjestelmä, joka toimii yhdessä yrityksessä käytettävän kalenterijärjestelmän kanssa. Varausjärjestelmänä toimii Crestron Fusion, joka sisältää etähallinnan neuvotteluhuoneiden laitteille sekä tuen neuvotteluhuoneen ulkopuolelle asennettaville kosketuspaneeleille, jotka kertovat kyseisen huoneen varaustilanteen ja joiden avulla käyttäjät voivat varata huoneen käyttöönsä ilman ennakkovarausta. Projektin lopputuotteena oli varausjärjestelmä, jolla käyttäjät voivat varata omalle palaverilleen sopivimman vapaan huoneen samalla, kun he lähettävät kalenterikutsut palaverin muille osallistujille Lotus Notes sähköpostijärjestelmässä. Avainsanat Neuvottelhuone, varaus, Crestron Fusion Sivut 20
ABSTRACT HAMK Riihimäki Bachelor's in Information and Communication Technology Author Miki Niemi Year 2017 Subject Networking and booking system of meeting rooms Lidl House ABSTRACT This thesis focuses on the room booking system and the supporting network infrastructure for the new headquarters of Lidl Suomi LP. The goal of the project was to create a user friendly system that would work together with the calendar system used in the company. The room booking system used is Crestron Fusion and it includes remote tools for the audiovisual system as well as support for touch panels that display to the users the current status of rooms and allows user to book rooms ad hoc without reservation. The outcome of the project was a booking system that allows users to book the best suitable room for their meeting while sending out calendar requests to the other participants trough IBM Lotus Notes. Keywords Meeting room, booking, Crestron Fusion Pages 20
SISÄLLYS Sisällys 1. JOHDANTO...1 2. TYÖN LÄHTÖKOHDAT...2 2.2 Verkko...2 2.3 Crestron Fusion...3 2.4 Lotus Notes...4 3. VERKON PERUSTEET...5 3.1 VLAN...5 3.2 TACACS+...6 3.3 RADIUS...6 4. VERKON KONFIGURAATIO...8 4.1 AAA-konfiguraatio...8 4.2 VLAN ja porttien asetukset...10 5. CRESTRON FUSION...13 5.1 Varauspaneelin asetukset...14 5.1.1 Laitteen perusasetukset...14 5.1.2 Automaatioasetukset...14 5.1.3 Aikatauluasetukset...15 5.1.4 Varausasetukset...15 5.2 Crestron Fusion määrittely...15 6. LOTUS NOTES...17 7. YHTEENVETO...18
1. JOHDANTO Uuteen pääkonttoriin muutettaessa oli neuvotteluhuoneiden laitteistoa suunnitellessa päämääränä helpottaa osastojen sisäisten palaverien pitämistä sekä helpottaa palavereissa käytettävien audiovisuaalisten apulaitteiden käyttöä. Vanhassa pääkonttorissa oli hyvin rajallinen määrä neuvotteluhuoneita, niiden varaus kirjattiin paperille aulapalveluun ja lisäksi huoneiden laitteisto oli vanhanaikaista eikä esimerkiksi ulkoisten vieraiden laitteiden tuki ollut riittävää. Uuden pääkonttorin laitteiston tavoitteena oli mahdollistaa työntekijöiden itse varata neuvotteluhuoneet ja antaa heidän käyttöönsä työkalut, joiden avulla he voivat helposti jakaa omalla kannettavallaan olevaa materiaalia muiden osallistujien kanssa. Lisäksi videoneuvotteluiden käyttöä muiden konsernin maiden kanssa pyrittiin helpottamaan ja lisäämään. Neuvotteluhuoneiden laitteiston verkko on eriytetty muusta yrityksen sisäverkosta omalle DMZ-aluelleen, mikä mahdollistaa laitteiston asentaneen Presson yrityksen työntekijöiden päästämisen kiinni verkkoon. Tämä helpottaa esimerkiksi mahdollisia laitteiston päivityksiä, jolloin ulkoisen yrityksen toimijat voivat liittää omat tietokoneensa verkkoon ja päivittää eri laitteiden käyttöjärjestelmät ilman, että jokaisessa huoneessa tarvitsee erikseen käydä ja pöytien sisään rakennettuja laitteita liittää tietokoneeseen. Opinnäytetyössä selvitettiin suuren yrityksen tietoverkkojen toimintaa neuvottelujärjestelmän ympäristössä. Sen lisäksi pyrittiin saavuttamaan paras mahdollinen käyttäjäkokemus eri sovellusten integraatioominaisuuksilla. 1
2. TYÖN LÄHTÖKOHDAT Nykyaikaisessa työympäristössä pyritään vähentämään paperin ja muun ympäristöä haittaavan kulutuksen määrää, mikä lisää vaatimuksia yrityksen käyttämille palveluille. Yksi näistä on neuvotteluhuoneet, joissa tehdään töitä sekä lokaalisti että verkon yli videoneuvottelujen muodossa. Koska Lidl Suomi Ky pyrki uudella pääkonttorillaan mahdollistamaan työntekijöilleen liikkuuvuuden niin toimiston sisällä kuin sen ulkopuolellakin, asetettiin videolaitteistolle ja neuvotteluhuoneiden kalusteille suuret vaatimukset. Videolaitteiston tuli olla jokaisen työntekijän käytettävissä eri maissa työskentelevien kollegoiden kanssa ja laitteiston oli mahdollisestettava sisällön jakaminen verkon yli käyttäjäystävällisesti. Huoneiden oli myös tuettava käyttäjien nykyisiä laitteita ja oltava yhteensopivia myös vierailijoiden laitteiden kanssa. Neuvotteluhuoneiden laitteiston oli mahdollistettava etähallinta Service & Support työntekijöiden tukipalveluiden laadun takaamiseksi. Lisäksi etähallinnan tulee mahdollistaa laitteiston ohjelmiston päivitys keskitetysti ilman, että jokaista huonetta tulee päivittää erikseen. Varausjärjestelmän tuli olla yhteensopiva yrityksessä käytettävän kalenterijärjestelmän kanssa ja näin vähentää aulahenkilöstön työtaakkaa sisäisten palaverien varaamisessa. Aulahenkilöstölle jää varattavaksi ainostaan ulkoiset palaverit, jolloin he voivat paremmin taata oikeanlaisen tarjoilun ja palvelun ulkoisille asiakkaille. 2.2 Verkko Neuvotteluhuoneiden verkko sijaitsee omalla DMZ-alueellaan. Tämä toteutettiin eristämällä verkko omalle VLAN-alueelleen, joka asetettiin neuvotteluhuoneissa käytetyissä Cisco 3560-CX -kytkimissä käyttöön neuvotteluhuoneen laitteissa käytettäviin portteihin. Jokainen neuvotteluhuone sisältää vähintään yhden kytkimen, erikoisempien tilojen kuten auditorion tai edustustilana käytettävän tilan sisältäen useampia kytkimiä. Jokainen kytkin kytkettiin suoraan jakamohuoneissa oleviin runkoverkon kytkimiin, millä vältetään erikoistiloissa koko tilan toimimattomuus yhdessä kytkimessä tapahtuvan vikatilanteen takia. Kytkimille määriteltiin IP-osoite, johon voidaan ottaa SSH-yhteys ja tarvittaessa muuttaa kytkimen konfiguraatiota ilman kalusteiden purkamista. Kuvassa 1 on edustustilan kahvipöydän sisään rakennetun laitteiston verkko. 2
Kuva 1 Yhden neuvotteluhuonepöydän verkko. Lattiarasian RJ45 AV portista on suora yhteys verkkojakamon AV-verkon porttiin, RJ45-AV-RÄKKI porteista toisiin huoneen laitteisiin ja RJ45 LIDL porteista yritksen tietokoneiden käyttämään sisäverkkoon. 2.3 Crestron Fusion Crestron Fusion on Crestron yrityksen valmistama järjestelmä, joka mahdollistaa audiovisuaalisten laitteiden hallinnan ja monitoroinnin yhden järjestelmän kautta. Järjestelmä mahdollistaa kaiken kokoisten huoneiden yhdistämisen yhden järjestelmän alle, jolloin IT-tuen ensimmäisen tason asiakaspalvelijat voivat helposti hallita koko järjestelmää yhden hallintapaneelin kautta. Lisäksi se mahdollistaa käyttäjäryhmien luonnin, jolloin eri tasoisille henkilöille voidaan antaa erilaisia oikeuksia aina yksittäisen huoneen varaamisesta koko järjestelmän hallintaan asti. (Crestron Fusion, Overview.) Crestron Fusion -ohjelmointi tapahtui yhteistyössä Presson Oy:n kanssa, joka oli vastuussa neuvotteluhuoneiden kalusteiden ja laitteiston hankinnasta. Jokaiselle verkkoon kytkettävälle laitteelle määriteltiin kiinteä IP-alueelta, joka varattiin ainoastaan neuvotteluhuoneiden laitteita varten. Fusion-palvelimelle asennettiin Lotus Notes 8.5 -asiakasohjelma, jolla mahdollistettiin kalenteri-integraatio käyttäjien henkilökohtaisten kalenterien kanssa. Huoneiden varauspaneeleiden ensisijainen tarve oli mahdollistaa huoneen tilan näkeminen lyhyen matkan päästä, jolloin käyttäjät voivat lyhyellä katsauksella käytävällä nähdä mitkä huoneet ovat vapaita ja näin siirtyä vapaaseen huoneeseen. Paneelien tuli myös mahdollistaa huoneen varaus 3
lyhyeksi ajaksi heti ovella, helpottaen lyhyiden palaverien pitämisen. Tällä taataan projekteissa kaikkien osallistujien pysyminen ajan tasalla projektin etenemisessä. Kuva 2 Crestron TSS-752 varauspaneeli 2.4 Lotus Notes Lotus Notes on IBM:n valmistama sähköposti-, kalenteri- ja kontaktienhallintaohjelma joka mahdollistaa myös IBM Domino tietokantojen lukemisen ja muokkaamisen. Ohjelma ja sillä luodut tietokannat ovat olleet yrityksessä käytössä jo ennen yrityksen Suomeen tuloa, joten se on myös kaikkien yritysten tietokonetta työssään käyttävien työntekijöiden käytössä. Lotus Notesissa tärkeintä oli käyttäjäystävällisyys. Lotus Notes tukee kalenterissan erilaisten resurssien luomista, jolloin varauksiin voidaan liittää resurssiksi esimerkiksi tietty huone. Tämä huonetieto luodaan Notesin Resource Reservation -työkalulla. Neuvotteluhuoneelle määritellään käyttöoikeudet ja huoneen istumapaikkojen määrä. Näiden tietojen avulla järjestelmä näyttää käyttäjille suoraan huoneet, jotka ovat sopivia tiettyä neuvottelua varten valitulla ajankohdalla. Koska huoneet sidotaan varattaessa tiettyyn kalenterivaraukseen, jos käyttäjä lähettää toiselle käyttäjälle palaverin perumisviestin, kulkee perumisviesti myös Resource Reservationin kautta huoneen resurssille, joka vapauttaa huoneen varattavaksi automaattisesti. 4
3. VERKON PERUSTEET Yritysverkossa ei tietoturvasyistä voida antaa kaikkien laitteiden olla yhteydessä keskenään, joten ne erotellaan toisistaan mahdollisimman tehokkaasti. Aina fyysinen erottelu ei kuitenkaan ole mahdollista, vaan yhteen fyysiseen verkkolaitteeseen joudutaan kytkemään useita toisistaan erillä pidettäviä päätelaitteita. Samaan tapaan kaikille työntekijöille ei voida antaa kaikkia oikeuksia järjestelmiin, vaan käyttäjien hallinta ja oikeuksien määrittely voidaan tehdä osittain jo verkon tasolla. 3.1 VLAN VLAN on tekniikka, jolla samassa fyyisessä verkossa olevat laitteet voidaan erottaa toisistaan loogisiin verkkoihin, jolloin estetään niiden kommunikointi keskenään. Eri VLAN-verkoissa olevat päätelaitteet eivät voi keskustella keskenään ilman reititintä, jolle on määritelty mitkä VLAN:it voivat keskustella toistensa kanssa. (Cisco Catalyst 4500 series configration guide, Undrstanding and Configuring VLANs.) VLAN-tekniikan avulla voidaan erotella samassa fyysisessä verkossa olevat laitteistot toimimaan irrallaan toisistaan. Näin voidaan luoda verkkoalue, jolle pääsyä ei rajata vain yrityksen työntekijöille, vaan sinne voidaan päästää esimerkiksi ulkoisia konsultteja, jolloin he pääsevät käsiksi vain tiettyyn osaan verkkoa. Kuvassa 3 esitellään traditionaalisen ja VLAN-verkon ero. VLAN-standardi määriteltiin 1998, jolloin IEEE 802.1Q -standardi määritteli MAC-siltauksen, joka vaadittiin VLAN-tekniikan toimintaan. Jokainen VLAN-kehys sisältää mukanaan tiedon mihin VLAN:iin se kuuluu, mikäli tätä tietoa ei kehyksen sisällä ole on kyseessä merkitsemätön kehys. Vastaanottava laite määrittelee mihin VLAN:iin frame kuuluu joko vastaanottavan portin perusteella tai muiden tietojen, kuten MAC-osoitteen perusteella. (IEEE Std 802.1Q-1998) 5
Kuva 3 Cisco traditionaalisen ja VLAN verkon ero (Cisco IOS Switching Services Configuration Guide, Routing Between VLANs Overview.) 3.2 TACACS+ TACACS+ on Ciscon kehittämä AAA-järjestelmä, jolla käsitellään pääsy verkossa käytettävien laitteiden hallintaan. Kun käyttäjä yrittää ottaa yhteyden kytkimeen tai reitittimeen, lähettää reititin käyttäjän antaman käyttäjänimen ja salasanan kryptattuna TACACS+ -palvelimelle, jonne on määritelty käyttäjien oikeudet. TACACS+ käyttää TCP:tä pakettien lähetykseen ja vastaanottoon, joten sen kanssa palvelimen ei tarvitse erikseen huolehtia kaikkien pakettien kulkemisesta. Sitä ei ole vielä hyväksytty IETF-standardiksi. (Safari, Overview of AAA Technology.) TACACS+ -autentikaatiota käytetään kytkimeen yhdistäessä ja jokainen ajettu komento tarkistutetaan TACACS+ -palvelimella, jolloin voidaan tarkarkasti määrittää eri käyttäjien oikeudet. Palvelimelle voidaan luoda eri oikeustasoja, joilla voidaan määrittää käyttäjille mahdolliseksi ajaa esimerkiksi vain show a-lkuisia komentoja. Näin voidaan antaa eritasoisille työntekijöille mahdollisuus tarkistaa kytkimen asetuksia, mutta estää näidän pääsy muuttamaan niitä. (Safari, Overview of AAA Technology.) 3.3 RADIUS RADIUS on AAA-standardi, joka on määritelty osaksi IEEE-standardia RFC 2865:ssä, joka korvasi FRC 2138:n, jolloin se on yhteensopiva kaikkien nykyaikaisten verkkolaitteiden kanssa. Se käyttää joko UDP- tai TCP-paketteja datan liikuttamiseen. Toisin kuin TACACS+, RADIUS lähettää ainoastaan käyttäjän salasanan kryptattuna. Käyttäjänimi lähetetään normaalina tekstinä, joten se on mahdollista saada tietoon verkkourkinnalla. (Cisco, How does RADIUS work?) 6
RADIUS ei tällä hetkellä ole käytössä, sillä dot1x-porttiautentikaatio aiheuttaa muissa yrityksen käyttämissä järjestelmissä ongelmia. Se on kuitenkin lisätty verkkolaitteiden konfiguraatioon valmiiksi, mikäli dot1xporttiautentikaatio otetaan käyttöön tulevaisuudessa. Kuvassa 4 on esitelty AAA-tiedonsiirron kulku. Kuva 4 AAA-palvelun tiedonkulku (Safari, Overview of AAA Technology.) 7
4. VERKON KONFIGURAATIO Neuvotteluhuoneiden kytkinten konfiguraatio jaetaan osiin läpikäymisen helpottamiseksi. Kaikissa kytkimissä määriteltiin hostname, joka koostuu maakohtaisesta FI-etuliitteestä, NS eli Network Switch tarkennuksesta sekä rakennuksen pohjapiirustuksessa määritellystä huoneen numerosta. Lopussa on AV-pääte, joka kertoo laitteen olevan osa audiovisual verkkoa. Esimerkki on FI-NS1518-AV.cfg. no service pad service timestamps debug datetime msec localtime showtimezone service timestamps log datetime msec localtime show-timezone service password-encryption Alussa määritellään packet assembler/disassembler pois päältä, sillä sitä ei tarvita. Debug ja Log timestampit asetetaan päälle ja näyttämään paikallista aikaa. Lisäksi running-configissa näkyvät salasanat cryptataan. (Cisco, System message logging) hostname FI-NS1518-AV boot-start-marker boot-end-marker enable secret 5 poistettu username poistettu privilege 15 password 7 poistettu Määritellään kytkimen hostname, joka on aiemmin kuvattujen sääntöjen mukaan. Kytkimen käynnistymisen yhteydessä olevia komentoja ei ole, joten boot-start-markerin ja boot-end-markerin välissä ei ole komentoja. Tässä välissä voidaan ajaa esimerkiksi flash muistista ajettava normaalista poikkeava IOS-versio. Luodaan secret, joka on suojattu MD5-algoritmin suojauksella, sekä käyttäjä, jolla kytkimeen voidaan kirjautua tapauksissa, joissa RADIUS tai TACACS+ -palvelimiin ei saada yhteyttä. 4.1 AAA-konfiguraatio AAA määriteltiin jokaisessa kytkimessä samalla tavalla käyttämään emoyhtiön tarjoamia palvelimia. Näihin palvelimiin pääsevät käsiksi vain Saksassa työsketelevät asiantuntijat ja niiden oikeushakemukset kulkevat usean eri vaiheen läpi ennen oikeuksien myöntämistä. aaa new-model aaa group server tacacs+ tac_default server name FI-NM10 8
server name FI-005NM10 server name FI-006NM10 aaa group server radius rad_default server name FI-NM10 server name FI-005NM10 server name FI-006NM10 Kytketään AAA-palvelu päälle kytkimessä ja määritellään TACACS+ ja RADIUS -palvelimet. Tämän jälkeen käydään AAA:n eri osien konfigurointi osioittain läpi. (Packetlife, Basic AAA Configuration on IOS) aaa authentication login tac_fin group tac_default local aaa authentication enable default group tac_default enable aaa authentication dot1x default group rad_default Ensimmäisessä komennossa määritellään AAA-autentikaatio käyttämään tiettyä ryhmää login tietojen tarkistuksessa. Group määrittely kertoo mistä palvelinryhmästä TACACS+ -palvelin etsitään. Lopun local määrittää, että käytetään aiemmin määriteltyä paikallista tunnusta mikäli TACACS+ -palvelimeen ei saada yhteyttä. Toinen komento määrittelee samat asiat enable tilaan pääsyssä. (Packetlife, Basic AAA Configuration on IOS.) Kolmas komento määrittää päälle yrityksessä käytössä olevan dot1xautentikaation rad_default ryhmässä olevien palvelinten tietojen perusteella. aaa authorization config-commands aaa authorization exec tac_fin group tac_default local ifauthenticated aaa authorization commands 1 tac_fin group tac_default ifauthenticated aaa authorization commands 15 tac_fin group tac_default local if-authenticated aaa authorization network default group rad_default Ensimmäinen komento määrittelee, että AAA authorization on kytketty päälle. Aaa authorization exec -alkuisella komennolla määritellään yhteys TACACS+ -palvelimeen, jolla varmistetaan käyttäjän oikeus ajaa eritasoisia komentoja verkkolaitteissa. (Cisco IOS Security Configuration Guide, Configuring Authorization.) Aaa authorization commands -alkuiset komennot määrittävät, että tac_fin palvelimella sijaitsevassa tac_default ryhmässä olevat henkilöt voivat ajaa enable ja configure tilan komentoja. Viimeinen rivi määrittää verkkoautentikaation RADIUS-palvelimelta rad_default ryhmästä. (Cisco IOS Security Configuration Guide, Configuring Authorization.) aaa accounting exec tac_fin start-stop group tac_default aaa accounting commands 1 tac_fin start-stop group tac_default aaa accounting commands 15 tac_fin start-stop group tac_default 9
Aaa accounting -komennoilla määritetään, että kaikki tac_default-ryhmän jäsenten tekemät asiat tallennetaan logeihin, jolloin voidaan tarvittaessa selvittää mitä komentoja tietty henkilö on laitteisiin ajanut. aaa session-id common clock timezone EET 2 0 clock summer-time EEST recurring last Sun Mar 3:00 last Sun Oct 4:00 Lopuksi määritellään AAA-logien aikatiedoissa käytettävä aikavyöhyke sekä kesä- ja talviajan alkamis ja loppumis päivämäärät. 4.2 VLAN ja porttien asetukset Neuvotteluhuoneiden kytkimissä suurin osa porteista mahdollistaa yhteyden vain AV-verkon laitteisiin. Tällöin näihin portteihin voidaan päästää myös ulkopuolisia laitteita ilman, että niistä olisi yhteyttä muualle yrityksen verkkoon. vlan internal allocation policy ascending vlan 147 name DMZ-MT vlan 123 name NATIVE-FloorNS vlan 234 name Inside-Wrkst-NS ip ftp source-interface Vlan234 ip tftp source-interface Vlan234 Määritellään VLAN-alueet ja niiden nimet. VLAN-alue 147 on käytössä koko neuvotteluhuoneiden verkossa ja se on avoin liityttäväksi myös ulkopuolisille konsulteille ilman erityislupaa. VLAN 123 on kerrosjakamoissa ja kellarin pääjakamossa käytetty verkkolaitteiden keskenään käytössä. VLAN 234 on normaalissa työasemaverkossa käytetty VLAN ja siihen ovat liittyneet kaikki yrityksen normaalissa käytössä olevat koneet. (Cisco IOS Switching Services Configuration Guide, Routing Between VLANs Overview.) FTP ja TFTP -yhteydet käyttävät myöhemmin määriteltyä IP-osoitetta yhteyden muodostukseen. Interface range GigabitEthernet 0/1-8 description AV-Device switchport mode access switchport access vlan 147 spanning-tree portfast 10
Portit 1-8 ovat neuvotteluhuoneissa käytettyihin laitteisiin tarkoitettuja portteja. Ne ovat osa VLAN 147:ää ja niissä on spanning-tree portfast, joka poistaa spanning treen käytöstä näissä porteissa. Koska kaikki portit ovat kiinni päätelaitteissa, ei niissä voi syntyä silmukoita. interface GigabitEthernet0/9 Shutdown interface GigabitEthernet0/10 description Trunk to FI-NSKJK122 switchport trunk native vlan 123 switchport trunk allowed vlan 147,123,234 switchport mode trunk Portti 9 on suljettu ja otetaan käyttöön vain, mikäli portissa 10 on fyysinen vika. Portti 10 on yhdistetty ensimmäisen kerroksen jakamoräkkiin FI- NSKJK122 trunk portilla, joka tukee allowed vlan komennossa listattuja VLAN:ja. (Cisco IOS Switching Services Configuration Guide, Routing Between VLANs Overview.) interface Vlan1 no ip address shutdown interface Vlan234 ip address 10.76.34.149 255.255.255.0 Otetaan VLAN 1 pois käytöstä ja asetetaan työasemaverkon VLAN IP. Neuvotteluhuoneiden kytkimet ovat 10.76.34.0 /24 verkossa alkaen 10.76.34.119 ja päättyen 10.76.34.171. IP-alueen alkuosan IP-osoitteet on varattu neuvotteluhuoneiden päätelaitteiden käyttöön. (Cisco IOS Switching Services Configuration Guide, Routing Between VLANs Overview.) ip radius source-interface Vlan234 logging trap warnings logging source-interface Vlan234 logging host poistettu IP snmp-server community poistettu RO snmp-server community poistettu RW tacacs-server timeout 3 tacacs-server directed-request tacacs server FI-NM10 address ipv4 poistettu IP key 7 poistettu key tacacs server FI-005NM10 address ipv4 poistettu IP key 7 poistettu key tacacs server FI-006NM10 address ipv4 poistettu IP key 7 poistettu key radius server FI-NM10 address ipv4 poistettu IP auth-port 123 acct-port 124 key 7 poistettu key 11
radius server FI-005NM10 address ipv4 poistettu IP auth-port 123 acct-port 124 key 7 poistettu key radius server FI-006NM10 address ipv4 poistettu IP auth-port 123 acct-port 124 key 7 poistettu key Konfiguraation loppuosassa määritellään TACACS+ ja RADIUS palvelinten yhdistämistiedot. Kaikissa on määritelty IP osoite ACL palvelimeen ja konfiguraatiossa piilotettu salasana. line con 0 accounting commands 15 tac_fin login authentication tac_fin stopbits 1 line vty 0 4 access-class management-in in authorization exec tac_fin accounting commands 15 tac_fin login authentication tac_fin transport input ssh line vty 5 15 access-class management-in in authorization exec tac_fin accounting commands 15 tac_fin login authentication tac_fin transport input ssh Pakotetaan sekä fyysiseen että loogiseen yhdistämiseen käyttöön TACACS+ -autentikaatio ja tiedonkeruu. Lisäksi kytketään käyttöön ainoastaan SSH-yhteys ja estetään suojaamattoman telnet yhteyden käyttö kytkimiin yhdistäessä. ntp server 10.76.36.2 prefer ntp server 10.76.36.3 crypto key generate rsa modulus 2048 do write memory Viimeisillä riveillä määritellään NTP-palvelimet, joiden avulla pidetään kytkimen kello synkronoituna yrityksen muiden laitteiden kanssa. Tämän jälkeen luodaan 2048-bittinen SSH-avain ja kirjoitetaan koko konfiguraatio muistiin, jolloin se ajetaan aina laitteen käynnistyessä. 12
5. CRESTRON FUSION Crestron Fusion on Crestronin valmistama hallintajärjestelmä, jonka avulla voidaan hallita neuvotteluhuoneiden AV-laitteita etähallinnalla ja määrittää niille automaattiset käyttötuntien mukaan tilattavat määräaikaishuollot. Fusion hoitaa myös neuvotteluhuoneiden varaukset, jotka saadaan näkymään neuvotteluhuoneiden ulkopuolella sijaitsevilla kosketusnäyttöpaneeleilla. Kosketusnäytöllisillä paneeleilla on mahdollista varata huone käyttöönsä suoraan huoneen ovelta ja ne mahdollistavat check-in ominaisuuden. Tämän ollessa käytössä, tulee huoneen varanneen käyttäjän painaa paneelista Check-in -painiketta ennalta määritelty aika ennen tai jälkeen asetettua alkamisaikaa. Mikäli näin ei tehdä, poistaa järjestelmä varaukset automaattisesta ja huone vapautuu muiden käytettäväksi. Kuvassa 5 näkyy varauspaneelin ulkonäkö eri tiloissa. Kuva 5 Varauspaneelit huoneen ollessa vapaa ja huoneen ollessa varattu (Crestron, TSS- 752.) Tavallisia neuvotteluhuoneita on neljää eri tyyppiä. Nämä voidaan jaotella yhden tai kahden pyötäkaivon, yhden tai kahden näytön ja videoneuvottelulaitteiston perusteella. Näiden lisäksi on kolme erityistilaa, joiden laitteisto eroaa suuresti muissa tiloissa käytetystä laitteistosta. Näitä ovat Neckarsulm -auditorio, Olohuone -edustustila sekä Tulenjohto, joka on johtoryhmän tiloissa oleva neljän ruudun videoneuvotteluhuone. 13
5.1 Varauspaneelin asetukset Neuvotteluhuoneiden varauspaneelina toimii Crestron TSS-752. Varauspaneelin asetukset on jaettu paneelin setup tilassa määriteltäviin asetuksiin sekä paneelin normaalissa tilassa määriteltäviin asetuksiin. Setup tilassa määriteltiin paneelin IP-osoite, aliverkkomaski ja default gateway. IP-osoite määriteltiin osoiteavaruudesta 10.76.147.0 /24 ja default gatewayksi kaikkiin paneeleihin 10.76.147.1. Setup-tilan muut asetukset jätettiin vakioasetuksille. Normaalin tilan asetuksiin pääsee käsiksi avaamalla alareunan ylösvetovalikon ja pitämällä sormea oikeassa alakulmassa 5 sekunnin ajan. Asetusvalikon hammasrataskuvake nousee esiin, josta voidaan avata asetusvalikko. 5.1.1 Laitteen perusasetukset Room configuration välilehdellä määritellään paneelin kieleksi englanti, kalenterin muodoksi PP.KK.VVVV ja kelloksi 24h kello. Privacy level -valikossa vaihtoehtoina ovat Public, Semi-Private ja Private. Public tilassa näyttää paneeli varausta tehdessä asetetun palaverin aiheen sekä huoneen varanneen käyttäjän. Semi-Private -tilassa näyttää paneeli ainoastaan huoneen varanneen käyttäjän. Private-tilassa ei varauksesta kerrota muita tietoja kuin varauksen kesto. Yrityksen sisäisten neuvotteluhuoneiden tilaksi asetettiin Semi-Private, jolloin työntekijät eivät tiedä käynnissä olevan palaverin aihetta. Tällä taataan esimerkiksi henkilökohtaisten aiheiden pysyminen vain osallistujien tiedossa. Ensimmäisen kerroksen ulkoisiin palavereihin tarkoitetuissa neuvotteluhuoneissa, joiden varaus tapahtuu aulahenkilöstön toimesta asetettiin tilaksi Public ja ohjeistettiin aulahenkilöstöä määrittämään huoneen varauksen aiheeksi sen varanneen henkilön nimi. Koska varaukset tapahtuvat aulahenkilöstön toimesta, näyttää paneeli aina varaajaksi näiden tunnukset. Panel Securityksi asetettiin Anonymous, mikä antaa kenen tahansa muuttaa asetuksia. Asetusvalikkoon pääsyn katsottiin olevan tarpeeksi hankalaa, että se toimii käyttäjille tarpeeksi suurena esteenä. (Crestron, Touch Screens with RoomView Scheduling for Crestron Fusion, Operations Guide.) 5.1.2 Automaatioasetukset Require Check-in -asetuksella voidaan määrittää tuleeko käyttäjien hyväksyä varaus painamalla Check-in -painiketta tietyllä aikahaarukalla ennen tai jälkeen varauksen alkamista. Ominaisuutta ei otettu käyttöön, sillä sen oletettiin aiheuttavan enemmän haittaa kuin hyötyä. Käyttäjät unohtavat painaa Check-in -painiketta ennen palaveria varaus perutaan. 14
Seuraavan käyttäjän varatessa huoneen ja saapuessa paikalle on huone käytössä ja käyttäjä joutuu varaamaan uuden tilan. Koska tämä asetus ei ole päällä, ei muita sivun asetuksia tarvitse muuttaa. (Crestron, Touch Screens with RoomView Scheduling for Crestron Fusion, Operations Guide.) 5.1.3 Aikatauluasetukset Schedule välilehdellä otettiin pois käytöstä Enable Find Button ja Tap To View info -painikkeet, sillä niitä painaessa paneeli jumiutui eikä vastannut käyttäjän painalluksiin muutamaan sekuntiin. Muut vaihtoehdot asetettiin päälle, jolloin käyttäjät voivat varata huoneen paneelista joko painamalla suoraan listasta vapaata aikaa tai avaamalla alareunan valikon ja painamalla Reserve-painiketta. Lisäksi huoneissa, joiden varaamisesta vastaa aulahenkilöstö tai johtoryhmän assistentit, poistettiin varausmahdollisuus paneeleista. (Crestron, Touch Screens with RoomView Scheduling for Crestron Fusion, Operations Guide.) 5.1.4 Varausasetukset Reservation Enable -asetus kytkettiin päälle ja suurimmaksi sallituksi varaukseksi paneelista valittiin 60 minuuttia. Reserve Even End Time -asetus asetettiin päälle, jolloin huonetta varatessa antaa se loppuajankohdan vaihtoehdoiksi 15 minuutin väliset ajankohdat. Esimerkiksi varausta tehdessä 13:05, antaa järjestelmä vaihtoehdot 13:15, 13:30, 13:45, 14:00 ja 14:05. Enable End Early -asetus asetettiin Percentage tilaan ja Percent before End Early -prosentiksi asetettiin 0%. Tällöin käyttäjät voivat lopettaa varauksensa milloin vain ja vapauttaa huoneen varattavaksi muille käyttäjille. Varausten pidentämisen mahdollistava Extend Reservation otettiin käyttöön sisäisten palaverien neuvotteluhuoneissa ja se asetettiin Minutes tilaan. Extend Reservation (min) ajaksi määriteltiin 30 minuuttia, jolloin varausta voi pidentää 30 min, mikäli huonetta ei tälle ajalle ole varattu. Extend After -asetukseksi määriteltiin 10, joten varausta voi pidentää, mikäli huomaa palaverin ajan loppuneen hetki sitten, mutta aiheesta on tarpeen keskustella vielä lisää. (Crestron, Touch Screens with RoomView Scheduling for Crestron Fusion, Operations Guide.) 5.2 Crestron Fusion määrittely Fusionin Root -kansion alle luotiin pääkonttorille oma kansio Lidl House Neuvottelutilat, jonka alle huoneet jaettiin kerroksittain 1-4, kellarihuoneisiin kuten testikeittiö sekä johtoryhmän tiloissa oleviin huoneisiin. Näin mahdollistettiin oikeuksien jakaminen eri osastojen 15
kesken kansioittain ja vältyttiin jokaisen huoneen oikeuksien käsittelystä erikseen. (Crestron, Adding Devices to Crestron Fusion Software, Getting Started.) Huoneiden alle haettiin Symbol Discover -toiminnolla Setup tilassa (kuva 6) huoneen prosessori sekä varauspaneeli IP osoitteiden perusteella. Kun laitteet on liitetty osaksi huoneita, voidaan niille määritellä lisätoimintoja, joihin pääsee käsiksi suoraan Fusion-palvelimen RoomView Monitoring näkymässä. (Crestron, Adding Devices to Crestron Fusion Software, Getting Started.) Kuva 6 Crestron Fusion setup tilan huonenäkymä Huoneiden etähallinta toteutettiin mahdollistamaan prosessorin, HDMIvaihtimen, näytön ja videoneuvottelulaitteiston virtatilan tarkistus sekä eri sisääntulojen toimivuuden tarkistus. Etähallinta näkyy kuvassa 7. Näiden lisäksi mahdollistettiin näytön/videotykin kankaan nosto ja lasku, huoneen oman laitteiston ja videoneuvottelulaitteiston sisääntulon muuttaminen, järjestelmän virran pääle ja pois kytkeminen sekä äänenvoimaakkuuden säätö etähallinnalla. Näin voidaan mahdollisissa ongelmatilanteissa tarkistaa tunnistaako järjestelmä esimerkiksi käyttäjän tietokoneen HDMIsisääntulossa ja tarvittaessa vaihtaa sisääntuloa laitteistossa tai käynnistämään eri osia laitteistossa uudelleen. Huoneille määriteltiin myös automaattinen huoltokutsu Presson Oy:lle, jonka tuntimäärä voidaan muuttaa erillisen huoltosopimuksen mukaan. Kuva 7 Etähallinnan käyttöliittymä. 16
6. LOTUS NOTES Lotus Notesissa käytettiin järjestelmän sisäänrakennettua resurssijärjestelmään, jolla voidaan määrittää yrityksen resursseja kuten huoneita osaksi kalenterimerkintöjä. Jokainen huone luotiin Resource Reservation järjestelmään ja ne määriteltiin osaksi Espoo paakonttori -aluetta. Järjestelmä on tulevaisuudessa tarkoitus laajentaa sisältämään myös jakelukeskusten neuvotteluhuoneet. Jotta Crestron Fusion tunnistaa huoneet oikein, tulee jokaisen huoneen nimi olla täysin sama Fusionissa luodun huoneen kanssa. Fusion palvelimelle asennettiin oma Lotus Notes client, jonka Names.nsf tietokanta kopioitiin Fusionille paikkallisesti. Fusionille luotiin myös oma käyttäjä Lotus Notesiin ja sille määriteltiin täydet oikeudet muokata ja lukea huoneiden kalentereita. Näin mahdollistetaan Fusionin tukeman varauksen perumisen toimiminen mikäli toiminto halutaan ottaa käyttöön. Koska ensimmäisen ja neljännen kerroksen huoneet ovat ainoastaan aulan ja johtoryhmän assistenttien hallinnassa, ei näitä huoneita luotu Lotus Notesiin, vaan käyttäjille annettiin erikseen oikeudet suoraan huoneiden hallintaan Fusionissa. Näin järjestelmä ei näytä huoneita normaaleille käyttäjille heidän varatessaan huonetta sisäisiä palavereita varten edes huoneen ollessa vapaana. Järjestelmä vaatii lisäksi Resource Reservation -tietokannan sertifikaatin hyväksynnän Fusion-palvelimella manuaalisesti, muuten Fusion ei saa siirrettyä varauksia huoneiden kalentereihin oikein. Kuva 9 Lotus Notes huoneen luonti 17
7. YHTEENVETO Kokonaisuudessaan kalenterijärjestelmän ja neuvotteluhuoneiden laitteiston asennus ja käyttöönotto sujui hyvin. Vaikka Lotus Notes ei yleisesti ottaen ole kovinkaan yhteensopiva muiden järjestelmien kanssa, oli sen toiminta Crestron Fusion -järjestelmän kanssa toimivaa. Kalenterivarauksien siirtymisessä Fusioniin ei ole havaittu ongelmia. Neuvotteluhuoneiden muun laitteiston toiminta on ollut satunnaisia vikatilanteita lukuunottamatta varmaa. Koko talon verkkoon liittäminen on ollut ratkaisuna toimiva ja esimerkiksi kaikkien laitteiden käyttöjärjestelmien päivitys MAC-yhteensopivuuden takaamiseksi onnistui huomattavan lyhyessä ajassa. Kaikki laitteet voitiin päivittää yhdellä kertaa yhdessä huoneessa, jolloin vältyttiin jokaiseen huoneeseen liikkumiselta ja huoneiden kalusteiden purkamiselta laitteiston ympäriltä. 18
LÄHTEET Cisco Catalyst 4500 series configration guide, Undrstanding and Configuring VLANs, haettu 4.10.2017 https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst4500/12-2/25ew/configuration/guide/conf/vlans.html Cisco, How does RADIUS work?, haettu 12.10.2017 https://www.c,isco.com/c/en/us/support/docs/security-vpn/remoteauthentication-dial-user-service-radius/12433-32.html Cisco IOS Security Configuration Guide, Configuring Authorization, haettu 17.10.2017 https://www.cisco.com/c/en/us/td/docs/ios/12_2/security/configuration/gui de/fsecur_c/scfathor.html Cisco IOS Switching Services Configuration Guide, Routing Between VLANs Overview, haettu 4.10.2017 https://www.cisco.com/c/en/us/td/docs/ios/12_2/switch/configuration/guid e/fswtch_c/xcfvl.html Cisco, System message logging, haettu 17.10.2017 https://www.cisco.com/c/en/us/td/docs/routers/access/wireless/software/gu ide/sysmsglogging.html Crestron, Adding Devices to Crestron Fusion Software, Getting Started, haettu 14.10.2017 https://www.crestron.com/downloads/pdf/product_misc/gs_add_device_cr estron_fusion_software.pdf Crestron Fusion, Overview, haettu 7.11.2017 http://www.crestron.com/products/line/fusion-enterprise-monitormanagement-av-bms-room-scheduling-lighting-lights-shades-hvac-climate Crestron, Touch Screens with RoomView Scheduling for Crestron Fusion, Operations Guide, haettu 19.10.2017 https://www.crestron.com/downloads/pdf/product_misc/og_touchscreensr oomviewschedulingcrestronfusion.pdf Crestron, TSS-752, haettu 7.11.2017 https://www.crestron.com/products/model/tss-752 IEEE Std 802.1Q-1998, haettu 7.10.2017 - http://standards.ieee.org/getieee802/download/802.1q-1998.pdf Packetlife, Basic AAA Configuration on IOS, haettu 9.10.2017 http://packetlife.net/blog/2010/sep/27/basic-aaa-configuration-ios Safari, Overview of AAA Technology, haettu 9.10.2017 19
http://my.safaribooksonline.com/book/networking/networkmanagement/1587052113/access-control/ch03lev1sec1 20