由于本次学校网络改造中给广大教职工造成了一些上网方面的问题,以致有产生一些误解.下面就大家较关心的问题及遇到较多的问题作个粗略解答.
(1)本次改造究竟何时开始的,究竟改造了哪些?为何这么长时间还在改造?
答:本次网络改造我校有史以来最大规模的一次,充分体现了学校对信息系统建设的重视.网络改造的初期方案是在去年11月份由学校网络中心提出,后在沈校长的直接关心下,狄校长的亲自过问下进行的.,并经学校领导层的反复推敲,在政府采购中心的直接指导下,并由电教中心专家的亲自参与,最后三易其稿,直到今年5月份常州市一级校园网验收之前终于圆满定稿.
由于初稿(见下表)中考虑不全面,使得采购物品过多,但经费有限,从而增加了定稿的难度.后来为了纠正这个问题,也花了更多的时间.
上面方案中由于考虑了全套无线网络设备及2台服务器,于是中心交换机采用了64G交换容量,取其性能与价格适中.假如每台服务器或楼层以1G速度连接,最多只可接32台服务器或32幢楼层. 由于上级部门考虑到我们学校的发展迅速,有关专家在后来的最终稿中否决了上面方案,而采用全新方案如下.(见下表).
在最终的方案中,由于去消了无线设备及服务器,故把2/3的预算重点用在了锐捷的核心交换机上,此核心交换机为万兆别,交换容量864G,假如每台服务器或楼层均用1G光纤连接,理论上最多可接432台服务器或432幢楼.保守估计学校100年内难以达到此规模,故可确保至少100年先进性..(当然由于端口数量只有24个,目前只能插24路)
最后,本次学校网络改造包括以下:
(1)增加核心交换机,用以提高各楼层接入的性能.
(2)更新了各楼层的交换机,使各楼层至中心交换机速率为1G
(3)更新网络出口设备为防火墙
(4)没有了
在网络规划上,主要是把各幢楼分开,笔记本的有线无线发开,这此也只有在新设备的支持下方能实现.
总之最终的方案体现了领导们集中精力办大事的原则,出于对网络改造的负责,故多花点时间是学校为确保改造的合理性,以免草率而造成不该有的损失.相信大家能理解上级的一片苦心.
(2)目前学校有几台服务器?为何学校提供的服务这么少?
答:目前学校有2.5台服务器.
其中一台用来作网络出口设备,用以提供教师上网.另一台作DNS,FTP,WEB及域控(这些服务本该分开,但因目前无机可用),另外还有半台是指旧的PIII服务器,由于前阵子硬盘控制器出错导致辞学校的旧网站数据损失,目前该服务器已停止更新,以免更大损失.现在主要用作两个无关紧要的用途:1 是作学校的旧版网站,2是作学校网络中心为大家免费提供的NOD32杀毒软件的升级服务器.(注意是NOD32,是国际上杀毒速度最快的一款.并非诺顿).如若有需要,可提供下载,请从校内FTP中下载.
在目前规划中,学校还将增设域控服务器两台,资源服务器1台.从而把WEB服务器独立开来.毕竞在目前的网络架构下,10台或8台服务器也只是小儿科了.
(3)什么是域控服务器?有何作用?
答:上面提到的域控服务器有一个重要作用,就是把全校电脑加入域来管理!域是什么?域是指一种管理方式,或者一个组织.比如我们整个学校就称为一个域,这个域的名字我们定为WJHLGZ.NET.(注意:这个域名和我们学校的网站域名没有任何关系,只是取得相同而已).这样当我们的每台电脑加入这个域后,我们的每台计算机的名字可用:A.WJHLGZ.NET或者B.WJHLGZ.NET等.(这里的A,B就是指你的计算机名) 同样你要使用这台电脑,你也必须是这个域中的用户,域中的用户名可用这样的形式表示:如user1@wjhlgz.net,user2@wjhlgz.net等. (注意:和电子邮件没有任何关系)
采用域后最大的好处是统一管理,加入域中的每台计算名和用户名均存放在域控服务器中.每台加入域中的计算机在域控的作用下,可以完成自动的软件升级,自动杀毒,以防止病毒的侵害.所以加入域的第一个好处是安全.特别适用于对电脑系统知识懂得不多的用户.把这些工作全部交给域控来作.(实质是由网络管理员对域控进行操作来管理).
不权如此,加入域中的另一个好处是便于共享资源.在网上邻居中,你将可以方便地察看与你同一组的成员(可把全部计算机按教研组分好).如果他愿意,他就可以把他的资源与你共享.
另外,在域控服务器上将为每位用户保留2块空间由你使用.一块我们称之为网络U盘,这是你独享的空间,别人无法访问.而且只要你在域中的任何一台电脑用你的用户名登录你就可以使用这个属于你的存储空间.(前提是这台电脑能让你登录)
另一块我们称之为中转站,这个区域的内容别人可以看到或下载,便于你与学校同事的资源共享.这个区域的内容在任何一台电脑上任何一个用户均可访问,但是只有你才有写入和删除的权利.比如当你到打字室打印时,你先在自己的电脑上把要打印的内容放在中转站中.然后你到打字室,你不必登录,不必带U盘,就可以直接访问你的中转站中的内容并打印.
那么究竟何时可以开始把你的电脑加入域呢?由于现在服务器不够用,(出于安全考虑,域控一般均做两台互为备份,如果域控出错,将对整个域是灾难性的),故目前学校的域控处于不安全状态,所以目前只提供测试,有意者可与网络中心联系.当正式加入时,网络中心将提供专门的脚本程序,您只须执行两次就可方便地把你的电脑加入我们学校的域中.从而正式体验域给你带来的便利.
(4)什么是VPN?有何用途?我们学校准备做VPN吗?
首先学校网络中心正在规划做VPN.
那么什么是VPN呢?VPN就是虚拟专用网.它是一种通过公网线路访问内网的技术,比如你家里上网的线路就是公网线路,学校内部网络就是内网.如果你在学校的电脑开着,如何在家里访问在学校的电脑呢?答案是方法有很多,但是最安全的一种方法是:VPN.
当然访问你自己的电脑的机率不会很大,不过,如果你把资料放在了学校内网中的网络中转站里或网络U盘里,或者你要访问学校内部FTP服务器,这个时候你就用得上VPN了.
简而言之,当你采用VPN方式从家里登录学校内部网后,你家里的电脑就相当于是学校内部网络中的一台了,你可以象在学校里用的电脑一样方便地访问内部资料.并且不会对你的电脑或学校的网络带来任何安全风险.(与一些黑客采取特殊方式访问内部资料不同,他们是破坏了网络安全)
要做VPN,前提是学校的网络出口设备得支持,即防火墙或路由器支持这个功能.目前学校的设备不支持.这次采购的防火墙也不支持这个功能.目前正在协调之中.
(5)为什么这次网络改造划分这么多的网段?
答:这次网络分段基本思路是:有线无线分开,笔记本台式机分开,各幢大楼分开.不过为了教师上课方便,办公楼,教学楼的无线和有线只用一段.这样的话,你的笔记本可以不做任何网络设置就可以在各个班级,各个办公室使用.但请记住:在教学楼,无线只能用0段,有线只能用1段.如果调换,你会发现无法使用.这就是有线无线分开的原则.
网段划得越细,那么在同一个网段中的电脑数量就会越少,从而网络速度也会越快.出现IP冲突的现象也会减少.
(6)为什么在行政楼以前能用无线上网,现在不能用无线上网了?
答:由于此次行政楼单独划分一个网段(2号段),故只有2段的地址才能上网.并且由于现在各网段之间分割,故在同一根网线上无法传递2个以上网段的数据,各个办公室内由于有台式机,为确保台式机上网,故办公室内的网线只有2号段的数据,而原先行政楼的无线设备是直接接在某两个办公室内的,这样当你用0号段的地址连接在无线路由器上时,这个0号段的地址将无法通过2号段的网线.故不能无线上网.
解决的办法是:从交换机单独拉一根网线拉在二楼的走道里,这根网线将允许0号段的无线网络地址通过.目前网线已拉好,只等无线设备安装及电源线拉好.由于在二楼的走道,这样基本可确保整个行政楼的无线覆盖.
(7)这次网络改造完成了吗?
答:目前尚没有完全完成.目前已完成了交换机的安装,网段的划分.由于这次的的防火墙不支持VPN(前面已有解释),并且由于这次的防火墙型号较老,参数见(http://www.zycg.gov.cn/WebPurchase/ProductIndex/XYGH_PO_14_GC-H060182_A07010501_43.html):网络吞吐量不足,没有1000M的连接口,与中心交换机的全千M口相比,速度不能匹配.故目前防火墙正在协调更换之中.目前倾向于使用价廉的较高档的山石路由器SR530(参数见http://newweb.wjhlgz.net/newweb/uploads/soft/1_080623083115.doc)或者SSG500系列0防火墙(参数见http://cn.juniper.net/products_and_services/firewall_slash_ipsec_vpn/ssg_500_series/index.html),敬请广大教职工提出建议.