Netzwerk-Anbindung von Kopierern bzw. Netzwerkdruckern

Zielgruppe dieses Textes sind die Zuständigen für Kopierer bzw. Netzbeauftragte der Institute.

Wir kennen derzeit drei Klassen von netzwerkfähigen Kopierern/Druckern:

Im folgenden Hinweise zur Netzwerk-Anbindung der Geräte.

Netzwerkdrucker / Allgemeine Hinweise

Folgende Punkte sind beachtenswert:

  • Paketfilter/Firewall: Einige Protokolltypen, die auch Drucker ansteuern, werden an der Uni-Haustüre geblockt, andere nicht. Im Institutsnetz hängt der Zugriff auf bestimmte IP-Adressbereiche von einer eingestellten Sicherheitsstufe ab.
  • Wenn Zugriff nur aus dem Hausnetz erwünscht ist bzw. benötigt wird:
    Wir empfehlen Sicherheitsstufe 1, in dieser kann der Drucker im Bereich .20 bis .239 beliebig adressiert werden.
  • Wenn nur Stufe 0 (also kein Schutz für das Hausnetz) verwendet werden kann, können bei Bedarf nach Rücksprache mit dem URZ Adressen <=.15/14/13... verwendet werden; der Drucker ist dann auch ohne eigene ACL (access control list) vor dem HD-Net und der Welt geschützt.
  • Wenn Zugriff aus mehreren Netzen benötigt wird, ist zu empfehlen, den Drucker auf eine IP-Adresse über .240 zu stellen mit interner ACL, in der die relevanten Netze eingetragen sind. Er fungiert dann als Server im HD-Net.
  • Als DNS-Name wäre ein solcher hilfreich, in dem ein Hinweis auf die Drucker-Eigenschaft erkennbar ist. Wer die Netze systematisch durchscannt, erkennt einen Drucker leicht an anderen Merkmalen, von daher macht man mit einem erkennbaren Namen nur sich und uns das Leben leichter.
  • Wenn ein Default-Passwort Zugang zum System gewährt, ändern Sie dieses Bitte ab (und notieren es bei sich im dafür zuständigen Ordner, der auch von Ihren Kollegen gefunden werden kann). Auch Drucker können heute mit neuer Betriebssystems-Software ausgestattet werden, auch mit solcher, die nicht vom Hersteller stammt, sondern von interessierten Kreisen...
  • Stellen Sie Programme zum Finden und Konfigurieren von Druckern (oder anderen netzwerkfähigen Geräten) so ein, dass nur der eigene lokale Netzbereich durchsucht wird. Ansonsten schlagen eventuell unsere Intrusion-Detection-Mechanismen Alarm...

Instituts-/Verwaltungs-Kopierer

Hier handelt es sich um die die zentral beschafften Kopierer/Drucker für Institute, die vom Vertragspartner gewartet werden. Diese Geräte entsprechen im Prinzip den Netzwerkdruckern, es gibt kein zentrales Konzept zur allgemeinen Nutzung, Wartung oder Überwachung per Netzwerk.

Weitere Empfehlungen, ergänzend zu den Punkten des vorigen Abschnittes:

  • Falls nicht schon mit der Anmeldung erfolgt, melden Sie bitte den Drucker im DNS an, am besten analog zum öffentlichen Drucker in der Form
       kop-inst-GGG-RRR.DDD.uni-heidelberg.de
    wobei
        GGG: Gebäudekürzel/Institutsname wie auf Switch- oder Accesspunktnamen
        RRR: Raumnummer/Raum-Hinweis, z.B. "r105", oder "bib" etc.
        DDD: Instituts-DNS-Domain
    Weitere Kopierer im selben Raum heißen dann kop2-inst... etc.
  • Auch diese Drucker können Scannen. Eventuell gemeinsames Scan-Ablage-Verzeichnis, aus dem nicht "abgeholte"/wegverschobene Daten nachts (oder nach 1 Woche) automatisch gelöscht werden.]
  • Nutzer für Scan-/Druck-Gruppen nur bei Bedarf anlegen und möglichst wenige, sonst hat man viel zusätzliche Nach- und Pflegearbeit
  • Die optional bestellbaren Kartenleser benötigen bei diesen Geräten keine Netzanbindung.

Siehe hierzu auch die entsprechenden Seiten der zentralen Beschaffungsstelle (Login der Beschaffungsstelle erforderlich).

Zentral beschaffte "öffentliche/CampusCard Kopierer" mit Studentenwerks-Abwerteeinheiten

Zusätzlich zu den oben bereits genannten Punkten folgende Hinweise:

  • Netzwerkanbindung wird sowohl für das Karten-Lesegerät ("Abwerter") als auch das Kopier- bzw. Multifunktionsgerät für Drucken und Scannen benötigt.
  • Es werden zwei direkte Switchports an einem Cisco-Switch benötigt. Die beiden Ports sollen unter Angabe der Belegung (welches ist der Abwerter?) mit dem Team-Netzinfrastruktur und dem Studentenwerk abgeklärt werden. Bitte teilen Sie uns den "verwendeten" Switchport möglichst genau mit: - Switch (Name oder IP-Adresse, i.d.R. als Aufkleber auf dem Gerät) - und die Nummer des Ports (ist aufgedruckt). Hierfür wurde eine Verteilerliste (KOPIERER2008@LISTSERV.UNI-HEIDELBERG.DE) eingerichtet, die alle am Projekt Beteiligten in URZ, Studentenwerk und ZUV erreicht.
  • Der Abwerter-Port muss am Switch mit Aufkleber "954" gekennzeichnet werden, denn dieser Port steht in einem separaten VLAN/Subnetz. (Aktuell ist das oft noch das LaptopLAN, die Ports sollen aber sukzessive auf ein internes VLAN 954 umgestellt werden.)
  • Falls am vorgesehenen Standort noch keine Netzwerkdose mit Doppelinsert installiert ist, muss diese beantragt werden. Die Kosten hierfür (ca. 500,- € bis 1000,-€) sind vom Institut zu tragen. Für die Beantragung wenden Sie sich bitte an den jeweiligen Ansprechpartner in der Abteilung 3.2 der ZUV, Bau und Liegenschaften.
  • Ausserdem muss dieser Campus-Bereich für das Studentenwerk-Abrechnungs-Netz vorbereitet sein. Ist dies nicht der Fall, ist die Beschaffung einer kleinen "ASA" erforderlich; die Konfiguration erfolgt durch das Studentenwerk. Mit der IP-Adresse aus dem Netz oder der genauen Angabe von Institut und Standort kann vom Team-Netzinfrastruktur festgestellt werden, ob der Campus-Bereich bereits mit einer ASA versorgt ist. Sollte dies nicht der Fall sein, sind die Kosten in der Regel vom Institut zu tragen.
  • Die Erreichbarkeit der Abwerter wird vom Studentenwerk überwacht, in Einzelfällen erhalten Sie einen Hinweis und die Bitte, die Netzanbindung zu testen.

Anbindung der Abwerter für reinen Kopierer-Betrieb

  • Für den reinen Kopierer-Betrieb muss nur der Abwerter am Netzwerk angebunden sein.
  • Der reine Kopierer-Betrieb ist vom Vertragspartner nicht erwünscht, es wird darauf hin gearbeitet, immer auch die Scanner-/Drucker-Funktion mit anzubieten.

Anbindung der Kopiergeräte selbst zur Nutzung als Netzwerk-Drucker und -Scanner

  • Um diese Geräte auch als Drucker und Scanner nutzen zu können, muss auch der Kopierer selbst ans Netz angeschlossen werden, und zwar an das Hausnetz des Institutes.
  • Als IP-Adresse verwenden Sie bitte die Adressen .19 abwärts bis .16,
    wo diese nicht ausreichen oder bereits belegt sind, wenn es geht, zunächst den angrenzenden Bereich .20-.23
    oder den Bereich .239 und abwärts.
  • Falls nicht schon mit der Anmeldung erfolgt, teilen Sie uns bitte in einer Mail an die Liste kopierer2008@listserv.uni-heidelberg.de mit, an welchem Cisco-Switch und an welchem Port Sie den _Drucker_ angebunden haben,
    welche IP-Adressen Sie ausgewählt haben, und wie der DNS-Namensvorschlag wäre:
        Druckername:  kop-oeff- . . . . . .
        IP-Adresse im Hausnetz:   . . . . . . . . . . .
        Cisco-Switch: . . . . . .
        Switch-Port:  Abwerter . . . . . .  Kopierer . . . . . . 
  • Als DNS-Namen sollten wir einheitlich (analog zu den Accesspunkt-Namen)
       kop-oeff-GGG-RRR.DDD.uni-heidelberg.de
    verabreden, wobei 
      GGG = Gebäudehinweis/Institutskürzel wie auf dem Switch bzw. den Accesspunkten
      RRR = Raumnummer z.B. "r123" oder z.B. "bib" oder andere eindeutige Bezeichnung
      DDD: Instituts-DNS-Domain
    weitere Kopierer im selben Raum heissen dann kop2-oeff... etc.
  • Durch Accesslisten auf dem Drucker wird sichergestellt, dass nur der Druckserver Zugriff auf den Drucker erhält. Die Anzahl der Dienste auf dem Drucker ist auf das notwendige Minimum reduziert. Auch der administrative Zugang zum Drucker ist eingeschränkt, so dass eine Gefährung des Hausnetzes durch den Drucker unwahrscheinlich ist.
  • Durch Anpassung der Instituts-Paketfilter-Accesslisten erhält der Druckserver des Dienstleisters (aus einem URZ-Servernetz) Zugang zum Drucker und zum Hausnetz. Das Betriebssystem des Druckservers wird vom URZ betreut, so dass eine Gefährdung des Hausnetzes durch den Druckserver unwahrscheinlich ist.

Weitere Informationen zu diesen "öffentlichen" Kopierern finden Sie unter http://www.zuv.uni-heidelberg.de/finanzen/beschaffung/pw/uebersicht/CampusCardKopierer.html  (Login der Beschaffungsstelle erforderlich).

Verantwortlich: IT-Servicebereich Future IT, Research & Education
Letzte Änderung: 26.06.2015
zum Seitenanfang/up