Jak se budou školy připojovat ke školskému intranetu?

Tímto článkem bych rád navázal na své dva předchozí články, popisující architekturu školského intranetu. Tentokráte půjde o konkrétní varianty připojení škol k tomuto intranetu i k veřejnému Internetu. Budu přitom vycházet z informací, které zazněly na semináři, který generální dodavatel uspořádal pro novináře 18. února, právě za účelem představení koncepce školského intranetu.

Nezačíná se na zelené louce

Konkrétní připojování škol je dosti citlivou otázkou, zejména proto že není realizováno na příslovečné zelené louce. Mnoho škol již nějaké připojení má, a tak se samozřejmě zajímá o to, jak to s tímto připojením dopadne - zda bude moci být zachováno či bude muset být zrušeno a nahrazeno jiným. Všechny odpovědi, které jsem na takovéto otázky kdy slyšel, se nesly v tom duchu, že když půjde o dostatečně kvalitní připojení, bude si jej škola moci ponechat. Zde je jedna z takovýchto odpovědí, z webu www.acol.cz.

Neodstřihnete naši školu od stávajícího připojení?

Pokud bude připojení dostatečně kvalitní, bude ČESKÝ TELECOM vyjednávat se stávajícími providery o integraci připojení, které školy využívají. Navíc si škola sama může určit, zda má zájem stávající připojení dále provozovat.

Rozuměl jsem tomu tak, že bude-li stávající připojení shledáno "dostatečně kvalitním" (byť nevím co to znamená), nebude třeba budovat a platit připojení nové. Tedy že stávající připojení bude použito jak pro potřeby připojení k veřejnému Internetu, tak i pro potřeby připojení ke školskému intranetu, a náklady na něj (pokud se vejde do rozsahu služeb STANDARD) bude místo školy platit přímo stát.

Na nedávném semináři ke školskému intranetu (viz předchozí dva díly tohoto miniseriálu) jsem ale pochopil, že jsem tomu rozuměl špatně. Že otázka nestojí tak, zda se bude budovat nové připojení přes Český Telecom, nebo zda se místo něj použije připojení stávající. Připojení přes Český Telecom, vedoucí do školského intranetu, dostane škola tak jako tak. Otázka ve skutečnosti zní jinak: bude moci být stávající připojení použito navíc, souběžně s novým připojením od Českého Telecomu?

Proč si to myslím? Proberme si nejprve všechny čtyři varianty připojení, které nám byly prezentovány. Jejich pořadí jsem si kvůli přehlednosti dovolil poněkud popřeházet (použité obrázky jsou původní, převzaté z prezentace Telecomu).

Varianta 1: Oddělené připojení

Tato varianta předpokládá, že škola bude provozovat svou stávající síť (na obrázku vybarvenou zeleně) dosavadním způsobem, včetně jejího stávajícího připojení k Internetu, a to zcela odděleně od počítačů a sítě, které dostane v rámci projektu III (na obrázku vybarveno světle žlutě), a které budou připojeny ke školskému intranetu přes Český Telecom. Fakticky by to mělo znamenat, že škola si bude dále sama spravovat svou původní síť a platit sama za její stávající připojení přes stávajícího providera, zatímco o novou síť a nové připojení se bude starat generální dodavatel (a nové připojení v rámci "standardu" bude platit stát přímo Českému Telecomu).

Kromě jiného to také znamená, že stávající prostředky školy nebudou muset být nijak integrovány s prostředky novými (a jediné propojení mezi nimi bude přes veřejný Internet).

Očekávám, že tuto variantu budou nejčastěji volit školy, které již mají významnější objemy vlastní výpočetní techniky a vyhovující vlastní připojení, a nechtějí či nepovažují za potřebné investovat do integrace svého stávajícího vybavení.

Varianta 4: Integrace s jediným přístupem

Tato varianta předpokládá, na rozdíl od varianty 1, alespoň nějakou míru integrace stávajících počítačů (zelených) s prostředky, které škole dodá generální dodavatel (podbarveno žlutě). Ten také škole dodá její (jediné) připojení.

Tuto variantu očekávám jako nejčastější řešení pro školy, které teprve začínají "na zelené louce".

Varianta 3: Integrace s dvojím přístupem

Tato varianta předpokládá, že podobně jako u varianty 4 dojde k určité míře integrace původních počítačů s novými počítači, tak aby mohly být zapojeny do jedné společné sítě (což by podle mého názoru mělo minimálně zahrnovat použití IP adres z adresového prostoru školského intranetu). Generální dodavatel zde poskytne novou přípojku do školského intranetu, ale vedle ní zůstane zachováno i stávající připojení školy do veřejného Internetu přes stávajícího providera.

Logika je zřejmě taková, že pro přístup do veřejného Internetu by se nadále využívala původní přípojka, zatímco pro přístup do školského intranetu by se využívala přípojka přes Český Telecom (i když přístup do veřejného Internetu je možný i skrz školský intranet).

Podle zástupců Telecomu je ale toto řešení problematické, protože vyžaduje dodatečné náklady (které by musel nést buďto stávající provider, nebo příslušná škola). Jde konkrétně o firewall, zakreslený mezi školní sítí LAN a sítí stávajícího providera. Tento firewall je prý nezbytně nutný k tomu, aby Telecom měl plně pod kontrolou dění v lokální síti školy (a mohl za ní odpovídat) - například kvůli tomu, aby nedocházelo k průnikům z veřejného Internetu do školní sítě LAN právě přes tuto přípojku. Správu zmíněného firewallu by zajišťoval Český Telecom (zřejmě ne zadarmo).

Varianta 2: Integrace s využitím přístupového média původního poskytovatele

Tato varianta je velmi blízká předchozí variantě v tom, že předpokládá splynutí stávajících i nových počítačů do jedné sítě LAN (tj. alespoň nějakou integraci stávajících počítačů) a dvojí připojení - přes původního providera i přes Český Telecom. Odlišný je jen konkrétní způsob realizace dvojího připojení. Předpokládá, že Telecom převezme do své správy původní přístupový směrovač (na "výstupu" ze školy) a využije přenosovou cestu vytvořenou již pro původní připojení (musí se jednat o přenosovou cestu fungující na úrovni linkové vrstvy, aby v cestě do sítě Telecomu nestál žádný směrovač). Naopak původní provider se musí připojit přes další firewall (tak aby nebyl možný neoprávněný přístup do školní sítě z jeho strany), a musí také nasadit mechanismus dynamického překladu IP adres (NAT, Network Address Translation) - to proto, že školní síť nyní bude používat IP adresy z adresového prostoru školského intranetu, a nikoli IP adresy od původního providera.

Co to znamená?

Na zmiňovaném semináři hned několikrát zaznělo, že Český Telecom bude garantovat funkčnost školského intranetu včetně školních sítí, a tudíž převezme správu všech aktivních prvků (zejména směrovačů a firewallů), které toto připojení realizují a bude za ně také odpovídat. Jedním z konkrétních důsledků této skutečnosti je i firewall, který Telecom požaduje realizovat u variant 3 a 4 mezi školní sítí a přípojkou k jinému providerovi, s tím že tento firewall bude spravovat on, tak aby měl plnou kontrolu nad provozem uvnitř školní sítě (rád bych zdůraznil, že "kontrolou nad provozem" se zde míní dění na úrovni 3. vrstvy ISO/OSI, za účelem zabránění neoprávněného průniku do školní sítě a skrz ni i do školského intranetu).

Z tohoto pohledu je zajímavá varianta 4, která se jako jediná explicitně nezmiňuje o původním providerovi. Zaznamenal jsem i takovou argumentaci, že tato varianta nemusí nutně znamenat připojení od Českého Telecomu, ale může fakticky obnášet stávající připojení školy přes jiného providera, které Telecom "úplně převezme". Obávám se ale, že vzhledem k požadovaným garancím na provoz intranetu a školních sítí to nepřipadá v úvahu. Jakmile by se jednalo o přípojku přes jiného providera než je ČTc, a provoz by zde procházel přes jakýkoli směrovač patřící jinému providerovi, pak by ČTc neměl plně pod kontrolou možnosti vstupu do školní sítě. Aby ji získal zpět, musel by buď instalovat další zábrany (firewall, jako u varianty 3), nebo by musel požadovat propojení jen na úrovni linkové vrstvy, tak aby v cestě nebyl žádný směrovač (to zase odpovídá variantě 2). Stejně tak by při použití infrastruktury jiného providera pro potřeby připojení ke školskému intranetu těžko mohl Telecom garantovat poměrně kategorické požadavky na propustnost, které má ve svém zadání od MŠMT (a o jejichž účelnosti mám své pochybnosti). To by bylo důležité například při použití tzv. IP tunelu.

Telecom si vždy přijde na své

Jednoznačnou odpověď na otázku, zda varianta 4 může fakticky představovat připojení od jiného poskytovatele než je Český Telecom, se mi nepodařilo získat (proto také určité zdržení tohoto článku). Pokud je ale můj předpoklad správný (tj. předpoklad že ve variantě 4 musí jít o přípojku od ČTc), pak mi z toho vychází následující, dosti významné důsledky:

• Český Telecom bude poskytovat připojení každé škole (v žádné z variant nechybí). Pokud si škola zachová své původní připojení, nebude použito MÍSTO připojení přes ČTc, ale VEDLE NĚJ (spolu s ním).
• Stát bude platit každé škole připojení v rozsahu služeb "STANDARD", tj. 64 kbps. Předpokládám, že takto centrálně placeným připojením bude připojení poskytnuté generálním dodavatelem (resp. Českým Telecomem jako členem konsorcia GD)
• Pokud si škola ponechá připojení přes jiného providera než je ČTc, bude si muset hradit náklady na toto připojení v plné výši a sama. Jedinou výjimkou je varianta 2, kde fakticky dochází k určité subdodávce - zde si Telecom pronajme část přenosové cesty od stávajícího providera, a něco mu za to snad zaplatí. O tuto částku by pak mohla klesnout cena, kterou škola platí za své připojení svému původnímu providerovi.

Pokud jsou tyto mé předpoklady správné, pak mi to nehraje s následující pasáží z dokumentu "Internet do škol - Manuál pro ředitele škol (Metodika)", který GD rozdával na tiskovce k zahájení celého projektu počátkem února. Zde se totiž na str. 14 praví:

Platba za stávající připojení (IP konektivita)

Pokud dojde k dohodě mezi stávajícím poskytovatelem připojení a Českým Telecomem, bude provoz připojení (garantovaný v rámci dodávky typu "STANDARD") hrazen z prostředků MŠMT v rámci projektu INDOŠ. Pokud k dohodě nedojde, škola si může zvolit mezi stávajícím poskytovatelem (pak hradí připojení podle podmínek, které si sama dohodne s poskytovatelem) a Českým Telecomem (provoz v rámci dodávky typu "STANDARD" škola neplatí).

V rámci které z variant připojení je prostor pro hrazení stávajícího připojení z prostředků MŠMT? Obávám se, že tato vize (placení stávajícímu providerovi a možnost volby mezi Telecomem a stávajícím providerem) by vyžadovala nějakou pátou variantu připojení, o které jsme se na semináři nedozvěděli. Všechny čtyři prezentované varianty jsou buď o Telecomu samotném, nebo o Telecomu spolu se stávajícím providerem (ovšem už za peníze školy, protože všechny centrální peníze za připojení na sebe "stáhnul" Český Telecom).