我帮助当地一所私立学校解决许多技术需求。到目前为止,我的工作主要是维修/安装办公室电脑以及帮助管理办公室网络。
但现在管理员很期待,希望让教职员工和学生实现现代化和在线化。他问我是否有兴趣建立并维护服务器(可能收取少量报酬)。
但现在我陷入了困境——我很乐意帮忙,但我对服务器经验不足。我有时间专门学习和维护,但这对学校和我来说都是一个新的尝试。
学校需要为大约 50 名教职员工和 200 名学生提供用户登录信息。这些都需要严格过滤的互联网访问、数据存储、安全性、打印机访问、备份,而且我相信他们最终会需要 VPN。他们希望所有学生和教职员工都有学校电子邮件帐户、共享日历等。
我最初的计划是使用 Google Apps(他们已经有 Google Apps for Education 帐户)结合 OpenDNS 过滤。但现在我明白,对于知识渊博的学生来说,绕过这一点相当简单。
此外,学校目前使用一台旧的 24 端口交换机、一堆杂乱无章的无线路由器作为 AP(这是一栋长长的 2 层实心砖建筑,配有防辐射掩体)和“标准”DSL(带宽未知)。只有办公室电脑是有线的。几乎所有教师都以无线方式访问网络。为了防止学生得知密码并获得访问权限,学校使用 MAC 过滤来防止未经授权的访问。显然,如果他们要允许学生访问,这个系统也需要重新考虑。
考虑到所有这些要求,我想问这些问题:
- 除了过滤之外,与仅使用 Google Apps 相比,学校还可以从自己的服务器获得哪些其他好处?
- 虚拟专用服务器解决这些问题比拥有自己的服务器更便宜吗?它会带来其他问题吗?
- 如果不寻求具体的硬件推荐,我们需要什么样的服务器?基础型、中级型等等?我应该谨慎投资哪些功能?
- 我对 Windows 操作系统相当了解,也曾尝试过 Ubuntu。鉴于我的经验不足和上述需求,是否有任何服务器软件能够更好地满足学校(和我)的需求?
- 考虑到可能的用户数量、用户系统组合(Mac、PC、电话等)以及其他我确信无法预见的事情,我们应该考虑对网络进行哪些改变?
- 我应该研究这个项目的其他可能解决方案吗?
- 您发现我们遗漏了哪些明显漏洞吗?
目前,学校除了共享打印件外,并没有使用网络做太多事情。因此,改进工作不会花费太多精力。但是,我们也希望尽可能地为未来做好准备。学校的预算很紧张(谁不是呢?),但其中一些事情可能会有很大帮助。
答案1
我在一所规模类似的学校工作。我的建议:
将网络基础设施作为首要任务。通过实施 Cisco ASA 5505 防火墙和 Squid Web 代理来实现边缘和 http 过滤以及 VPN 连接,从而超越消费者级交换机和互联网访问。
带有支持合同的 ASA 5505 价格可能不到 500 美元,而且 Squid 是开源的,您必须在一台像样的机器上构建它,但您可以将它与 Cisco 的 wccp 协议一起使用,该协议会将 http 请求重定向到代理进行批准,但如果代理机器死机,系统将“打开失败”,这意味着仍然允许访问。)
将其连接到主干交换机。我建议使用 Cisco 2960 48 端口交换机。将任何其他随机交换机和无线 ap 重新插入其中。这种类型的托管交换机将防止交换循环,并在出现问题时提供广泛的监控功能,并提供安全机制。
是的,思科设备价格昂贵,而且对于新手来说,安装起来可能有点困难,但它很可靠、功能丰富,并且符合现有的所有网络协议。它可以成为弹性网络的基础。
我猜无线网络很差劲,性能很差。用 netstumbler 四处查看,看看干扰是什么,无线范围如何。确保将无线电配置为使用 1、6 或 11 频道的非重叠频率。
服务器?一台售价 4000 美元或 5000 美元、搭载 Windows 2008 R2 的普通戴尔或惠普机架式服务器就足够了。您可以用它进行用户和组管理、组策略、打印服务、文件服务。尽可能多地获取 RAM 和最快的硬盘。当然,基于 *nix 的系统也可以。如果您不在身边,将来支持它可能比寻找 MS 管理员更棘手。
我会在 VMWare ESXi 安装上虚拟化该服务器,并调整物理服务器的大小,以便可以添加另一台客户机。
不要忘记规划设备区域的电源、UPS 和散热措施。企业级设备很快就会发热,而且耗电量很大。
如果他们愿意,没有理由不使用本地文件存储和 Google Docs。让用户的需求决定他们的具体情况。
防病毒软件?可能是在云中管理的东西,或者根本不管理的东西,比如 MSE?维护 Symantec 或 Sophos 企业版安装非常麻烦,而且许可费用非常昂贵。给他们 MSE,从他们本地 PC 上的用户帐户中移除管理员权限,然后就称其缓解了。如果没有管理员权限,他们将不得不付出更大的努力才能被感染。
我确信这里的窍门是预算。关键是要让管理层相信 IT 是重要的基础设施,如果做得不好,很快就会出现灾难性的后果。
答案2
网络主干网将决定这一点的成败,如果将以太网铺设到所有房间,那么由于流量过大,wifi 将变得一团糟,基本上无法使用。
这些都需要严格过滤的互联网访问,
有些防火墙带有内容过滤功能,但需要花费 $$$,除此之外我没有太多经验,但通常是最好的选择(尤其是对于学校而言)。考虑到学校可能会因孩子和网络访问而陷入大麻烦(而且你也不想让孩子破坏 DSL 线路),这可能是我最不愿意放弃的。
数据存储,
任何具有共享存储的计算机都可以,甚至便宜的基于 Linux 的 NAS 也可以让你走得更远。
安全,
再次强调,AD 是实现这一切所必需的,$$$。我听说有人使用 OpenLDAP 过关,但希望你能成功实施所需的安全性 (GPO),以防止孩子们破坏一切。
打印机访问,
带有 CUPS 的打印服务器既便宜又棒。
备份,
可移动硬盘是您的预算选择,购买几个,然后在场外旋转它们。
我确信他们最终会需要 VPN。
如果您有一个简单的 AD 服务器,任何过滤内容的防火墙也应该有 VPN 支持。
我认为您最需要的是:网络基础设施、Active Directory 和内容过滤防火墙。我们使用 Cisco 防火墙 (ASA),它们很好,但价格有点贵,也许有人可以推荐一些更便宜的产品。
我会说:
- 从基础设施、以太网主干网开始,为教室接通电线(从 Geeks.com 或其他地方获取批量电缆)。
- 获取内容过滤防火墙。
- 孩子们此时可以使用电脑,但要用当地政策锁定它们,并随时准备好幽灵,否则你将不得不重新进行大量映像。
- 一旦有了预算,就可以立即使用 Active Directory。
一些让事情开始运转的想法,很多都与你的预算有关,我们需要一些数字来购买软件和硬件。