Laget av Dato Orginal plassering fil. Datakommunikasjon September https://pydio.ihelse.net/public/hvikt-tilkobling-til-datanett 2017 Revisjonstabell Dato September 2017 Beskrivelse Dokument opprettet
Helse Vest IKT - Tilkobling til datanettverk Versjon 1.0 Side 2 av 7
Innhold 1 Innledning... 4 Om dokumentet... 4 2 Tilkobling til kablet nettverk... 4 Generelt... 4 Utstyrsportalen... 4 Brannmuråpninger... 5 Fast IP via DHCP... 5 Fast IP uten DHCP... 6 3 Tilkobling til trådløst nettverk... 6 Generelt... 6 Utstyrsportalen... 6 Brannmuråpninger... 7 Fast IP via DHCP... 7 Fast IP uten DHCP... 7 Versjon 1.0 Side 3 av 7
1 Innledning Om dokumentet Dette dokumentet gir en oversikt over rutiner og nødvendige oppgaver i forbindelse med tilkobling av utstyr direkte eller indirekte i Helse Vest sitt nettverk (driftet og forvaltet av Helse Vest IKT). Disse rutinene gjelder for alle, og alt utstyr, med mindre annet er avtalt på forhånd med Datakommunikasjon i Helse Vest IKT. Unntaket for denne regelen er utstyr som leveres fulldriftet av Helse Vest IKT, som per dags dato primært gjelder bærbare- og stasjonære datamaskiner (levert og driftet av Helse Vest IKT), samt printere. Det vil i dette dokumentet lenkes til diverse instrukser som er relevante. Dersom noen av disse lenkene av forskjellige årsaker ikke fungerer, så har bruker/leverandør selv ansvar for å kontakte Helse Vest IKT for å få tak i nevnte dokument/instruks. 2 Tilkobling til kablet nettverk Generelt Switchene i Helse Vest IKT benytter såkalt 802.1x-autentisering. Dette betyr at alle enheter må være registrert for at de skal kunne komme på nett. Enheter som ikke er registret, havner i et såkalt fallback nettverk, hvor de i praksis ikke har tilgang til noe, ei heller vil de få dette (brannmuråpninger vil ikke kunne gjøres mot enheter i dette nettverket). De må registreres på Utstyrsportalen, med minimum hostname (DNS-navn) og MAC-adresse. I tillegg må nødvendige brannmuråpninger gjennomføres. De neste avsnittene beskriver disse prosessene i mer detalj. Merk at alle switchene til Helse Vest IKT leverer PoE (pdd. UPOE 60W), slik at PoE-injectorer ikke er nødvendig. Utstyrsportalen Alle enheter skal registreres i Utstyrsportalen. Portalen har flere grupper hvor de respektive enhetene kan registreres i, slik at de havner i de korrekte nettverkene. De forskjellige forvalterene av systemene skal vite hvilke grupper dette gjelder. Er man i tvil, ta kontakt med Helse Vest IKT. Som med brannmuråpninger, er også Utstyrsportalen per dags dato kun tilgjengelig på helsenett. Det betyr at registreringen må gjøres av en ansatt i Helse Vest (inkludert alle foretakene). En instruks for bruk av Utstyrsportalen finnes her; https://pydio.ihelse.net/public/utstyrsportalen-instruks. Merk at ny versjon av Utstyrsportalen er under utvikling, slik at endringer vil kunne forekomme. Batch-import av flere enheter er per i dag mulig via en Excel-mal Helse Vest IKT har. Den har noen begrensninger, og vil mest sannsynlig også endre seg ifbm. ny versjon av Utstyrsportalen. Ta kontakt med Helse Vest IKT for siste status, og hva som evt. er mulig. Utstyr på kablet nettverk krever som minimum MAC-adressen til enheten (såkalt MAB-autentisering), men vi anbefaler at høyere sikkerhetsnivå tilstrebes. Dette gjøres vha. sertifikat som kan lastes ned på Utstyrsportalen, og deretter installeres på enheten (EAP-TLS). Dersom mer informasjon rundt dette ønskes, ta kontakt med Helse Vest IKT. Versjon 1.0 Side 4 av 7
Brannmuråpninger Helse Vest IKT har segmentert nettverket i flere soner. Alt som skal snakke på tvers av soner, trenger åpninger i brannmurene til Helse Vest IKT. Dette gjelder som utgangspunkt nesten alle enheter og tjenester, da det meste skal snakke med systemer i datahallene, som da er i andre soner. Er man i tvil, så gå ut i fra at en brannmuråpning kreves. Alle brannmuråpningene må gjøres i systemet Algosec. Dette er pdd. kun tilgjengelig fra innsiden, altså kun for ansatte i Helse Vest (inkludert alle foretak). Forvalter av de respektive systemene må derfor gjøre denne registreringen. Brannmuråpninger gjøres preferert mot DNS-navnet på enheten, slik den er registrert i Utstyrsportalen (beskrevet i avsnittet over). På denne måten vil brannmuråpningen gjelde uavhengig av hvilken IP-adresse enheten har. Dette betyr også at brannmuråpninger i stor grad kan gjøres i forkant på følgende måte; 1. Registrer enheten på Utstyrsportalen. Merk at dette kan gjøres før man har MACadresser tilgjengelig. Når MAC-adresse er tilgjengelig, så kan enheten oppdateres med dette. 2. Bruk DNS-navnet på enheten i brannmuråpning når man registrerer sak i Algosec. 3. Brannmuråpning er nå klar. 4. Når MAC-adresse på utstyret er tilgjengelig, så oppdateres enheten med korrekt MAC-adresse i Utstyrsportalen. Utstyret kobles deretter til, slik at den får en IPadresse. 5. Brannmuråpningen skal deretter virke automatisk basert på DNS-åpningen. Åpning basert på DNS vil kunne endre seg i fremtiden til andre metoder. Kontakt derfor Helse Vest IKT i forkant for å avklare om dette har endret seg. Prosessen er den samme selv om man registrerer MAC-adresse samtidig, og for enheter som har fast IP via DHCP. Unntaket er enheter med fast IP uten DHCP (beskrevet i avsnitt under), hvor fast IP først må bestilles, og deretter må brukes i brannmuråpningen (DNS kan ikke benyttes i denne anledning). Brukerinstruksjon for Algosec finnes her; https://pydio.ihelse.net/public/algosec-instruks Fast IP via DHCP Dersom utstyret har behov for en fast IP-adresse, så skal dette løses vha. fast IP via DHCP. Dette gjøres ved at DHCP-leasen låses til MAC-adressen, og enheten får dermed den samme IP-adressen hver gang. Dette bestilles via Kundesenteret til Helse Vest IKT, og gjøres etter at utstyret er tilkoblet, og allerede har fått en IP-adresse. Helse Vest IKT går dermed inn og låser den aktuelle IP-adressen til MAC-adressen. Bestillingen til Helse Vest IKT må inneholde følgende informasjon; MAC-adressen til enheten Hvilken datafordeler er enheten tilkoblet? (hvilken switch/ruter) o Dersom dette ikke kan fremskaffes, så trenger vi bygg, etasje og teknisk romnummer enheten er plassert i. Versjon 1.0 Side 5 av 7
Fast IP uten DHCP Dersom enheten av forskjellige årsaker ikke støtter fast IP via DHCP, så kan man til nøds benytte seg av fast IP uten DHCP (manuelt/statisk konfigurert). I motsetning til Fast IP via DHCP, så medfører dette merarbeid for begge parter, og gjør også registrerings- og brannmuråpningsprosessen mer tungvindt. Man må derfor beregne lenger behandlingstid for dette alternativet, sammenliknet med klienter som kan benytte DHCP. 1. Utstyr må registreres i Utstyrsportalen. 2. Dersom man kun trenger én fast IP, så kan dette lages via ferdig fast IP -sak i Kundeweb til Helse Vest IKT. Dersom det er flere enn én IP, så oversendes liste med utstyr/enheter som krever fast IP (f.eks. Excel-ark) til Kundesenteret til Helse Vest IKT (det må opprettes en bestillignssak). I begge tilfeller (både én og flere IP-er), så må saken også inneholde nødvendig informasjon per enhet; se listen lenger ned. 3. Helse Vest IKT svarer tilbake med IP-er de forskjellige enhetene har fått tildelt. 4. På dette tidspunkt kan brannmuråpninger bestilles, basert på IP-adressene. Minimumsinformasjon som må inkluderes per enhet som det ønskes fast IP på; Antall IP-er Hvilket nett skal enheten i? (teknisk/medtek/ihelse/annet?) Hvilken datafordeler skal enheten tilkobles? (switch/ruter) o Hvis ikke detaljer foreligger, trenger vi minimum bygg, etasje og teknisk romnummer. MAC-adressen Hostname (fra Utstyrsportalen) Punktnummer (merket på vegg v/ nettverksuttak) 3 Tilkobling til trådløst nettverk Generelt Tilkobling til trådløst nettverk følger de samme prosedyrene som kablet nettverk, med noen få unntak. Nettverk er tilgjengelig via felles SSID ihelse.net, som leverer både teknisk og medisinteknisk nett. Det er også planlagt en ny SSID voice.ihelse.net for IP-telefoni og annet voiceutstyr (denne har dog litt spesialinnstillinger som gjør at ikke alle klienter nødvendigvis kan benytte dette ta kontakt med Helse Vest IKT dersom det er aktuelt/ønskelig å benytte dette nettverket). Utstyrsportalen Utstyret registreres på samme måte som for kablet nettverk, bortsett fra at MAC-adressen må settes til Trådløst (i stedet for Kablet ). I tillegg er det krav til bruk av sertifikat (WPA2-Ent EAP-TLS). Dette må lastes ned, og installeres på enheten. En kort instruks for Windows-baserte enheter finnes her; https://pydio.ihelse.net/public/wlan-eaptls-windows. Andre fremgangsmåter vil gjelde for andre enheter. Leverandør er som utgangspunktet ansvarlig for oppsett/konfigurasjon. Sertifikatfilen som gjøres tilgjengelig på Utstyrsportalen per enhet er en.pfx-fil. Dersom denne sertifikatfilen må splittes opp og/eller konverteres til andre formater, så kan dette gjøres vha. openssl-verktøyet. Man Versjon 1.0 Side 6 av 7
må i tillegg laste ned, og installere rot-sertifikatet fra Buypass. Lenke til dette finnes på Utstyrsportalen. Brannmuråpninger Brannmuråpninger gjøres på samme måte som for kablede enheter. Fast IP via DHCP Fast IP via DHCP på trådløst er ikke støttet. Enhet må støtte dynamisk IP via DHCP. Fast IP uten DHCP Fast IP uten DHCP på trådløst er ikke støttet. Enhet må støtte dynamisk IP via DHCP. Versjon 1.0 Side 7 av 7