兼并的故事

作者:兼并的故事 北京三十五中电教中心 王泰东

常听说企业之间兼并的事情，不仅有“强强联手”也有“大鱼吃小鱼”的现象。最近我所在的中小学之间也由于兼并引出一些相关的问题。直接对我们这些网络管理人员的工作有影响的就是网络的合并问题了。

这次合并发生在2001年6月，酝酿了一段时间后，北京市第三十五中学与一一二中学由西城区教育局正式下达了合并文件，将两所学校并为一所。一所新的学校成立了，但也形成了一校两址的情况。这种情况对学校的教育教学、管理都带来了不少问题。比如两校合并之后，一个校长怎样处理两地的日常教育教学，学校管理工作呢？况且原来的三十五中学有一套1998年建成并投入使用的千兆全交换高速以太网。网上运行 “科利华校长办公系统”、“科利华校园网系统”、“科利华教学资源库”、“K12教育教学资源库”“VOD视频点播”、“国之源教育教学资源库”等等资源，而合并以后的初中部却只有一间有7-8台联网的计算机机房，网上没有任何资源。大家都有些疑虑：为了保持高、初中部的教育教学资源一致，初中部是否也需要重新投资建立资源库呢？另外，每天两校之间的各种各样的工作怎样互相勾通，及时作出部署呢？还有的教师说，高、初中部的教师在两地上课，要听一节公开课要两地的跑，太浪费时间了等等。
一校两地的情况已经是事实，而且没有条件合为一处。究竟怎样解决这些问题呢？校领导经过反复研究，也没有磋商出特别理想的方法，决定将此任务交给学校现代教育技术处来完成。技术处的同志经过调查，他们认为：可以通过利用互连网技术，将分开两地的学校，组成一个整体的“虚拟35中学”。校领导、两地的教师可以通过互连网来管理学校、运用学校资源。可是问题又来了，由于两地的网络都没有固定IP，本部的网上资源也不允许在不建立任何安全策略的情况下对它进行访问。“利用无线”是大家想出的第一个方案——直接将两地联接在一起，其特点是联接方便、费用较低。可它要求联接距离在可视范围内，另外中间如果有较大的障碍物还会严重影响接收效果。问题是在两地学校之间有几幢较高的大楼，阻挡了信号交流，会影响此种方法的效果。于是又想到利用光缆联接，但因为造价昂贵，城市里也不允许随意铺设，也无法实现。

最终选定的方案是采用VPN（VIRTUAL PRIVATE NETWORK）技术。到2001年，VPN技术的发展已经比较成熟了，将它应用到两地的联接上非常适宜。因为VPN虚拟网络技术可以在公用数据网上构建属于35中自己的专用网络。实现由35中本部到分部的互访。同时又具有与真实的专用网相似的独立性、保密性、安全性。既适合我们学校的实际情况，实施起来费用较低又可以不需要进行大量的布线工作。最终我们采用了LAN TO LAN 结构的VPN的方式。
建成后教职工在任何地点，任何时间都可以访问学校主机上的资源。使教师办公地点灵活化：在家中作好的课件、通知、给学生的教学重点、答案等等也能及时发送到学校的校园网上，而学生也可以在家里随时访问学校资源，学校领导对学校一些日常事务的处理也能做到及时处理。实践证明这是一次非常成功的兼并，网络和信息资源都得到了充分结合利用。

VPN实施方案
校园内部的服务器都是WEB服务器，大部分的信息都是通过网页的形式发布的，对于客户机来说都能通过Internet Explorer 来进行浏览，访问学校所拥有的资源。
配置：服务器 DELL 4400
操作系统：WINDOWS 2000 SERVER
防火墙/VPN：Internet Security & Accelatation (ISA SERVER )
系统任务：将此服务器与原有的清华同方服务器即域控制器作很好的集成，做成了额外的域控制器，负责为远程拨号用户提供认证的服务,并且也能在第一台域控制器出现故障时能够对内网用户做很好的认证，这样也就减少了网络由于认证问题出现故障的几率。
功能服务：防止外来攻击的防火墙，并且负责远程拨号用户的接入，提供内部用户DNS服务。
网卡的设定：内网卡(本地连接2)：
IP  188.10.100.188  255.255.0.0
DNS 188.10.100.10   255.255.0.0
外网卡（本地连接）：
IP  202.108.191.67  255.255.255.0
网关 202.108.191.1  255.255.255.0
DNS  202.106.196.115 255.255.255.0
202.106. 0 . 20  255.255.255.0
DNS服务的设置：
此服务为C/S结构没有域名解析
科利华校长办公系统
Network.www.35.edu
科利华校园网操作系统
Csc.www.35.edu
科利华资源库
K12.www.35.edu
K12资源库
Metrec.www.35.edu
国之源资源库
Ftp.www.35.edu
文件上传服务器

安全性的考虑：
外网的安全性：主要是采用ISA来做为防护外网的防火墙，并且已经对其进行了策略的设置，目前对于简单的攻击应该是不存在问题内网的安全性：远程拨号用户也将其规划到内网中，对其发动攻击的安全性设置是对远程访问设置了策略，目前已将访问定位到固定的某服务器上，缩小了攻击范围用户的安全性问题应该在域控制器做好用户的管理，重新对教师、学生的访问设置帐号和权限，并且在内网的WINDOWS 98上由原来的共享级访问控制更改为用户级访问控制，再有就是在服务器上设置用户的教师工作区，在学校所做的课件或是备课必须上传到服务器上，以便于集中管理。
申请的ADSL线路：线路的速度下行512K/BPS 上行640K/BPS
     IP 202.255.255.255.0
        202.255.255.255.0
        202.255.255.255.0
        202.255.255.255.0
网关    202.255.255.255.0
DNS 主202.106.0 .20    
        255.255.255.0
     辅 202.106.196.115
        255.255.255.0
VPN客户端所能实现的功能：
能够浏览网络的WEB服务器的资源，可以上传下载自己的所要的资源，以备在家中办公，在教师家中所做的课件能够及时上传到服务器上，因为服务器的资源库源比较集中，这样也就方便了教师在互联网上搜索资源，减少了工作量和难度，提高效率，并且可以提供家长对学校意见的及时反馈，也能为家长提供分数的查询，还可以做到班主任教师和家长的充分沟通，能够方便纠正学生的思路，更有利于家长对学生的了解。

VPN 客户端的实现方式：

WINDOWS 98 系统（建议不要用WINDOWS ME 操作系统）
前提条件：家中的计算机能够登录互联网，线路可以是ADSL，ISDN，MODEM等拨号线路。
1、具体步骤：网上邻居-右键属性-配置选项卡-添加-出现"选择组件类型"-选择适配器-厂商里选择MICROSOFT-拨号适配器-确定(ISDN,MODEM拨号用户可剩去此步骤）;
2、同样步骤在添加MICROSOFT 虚拟专用网络适配器;
3、打开我的电脑-打开拨号网络-建立新连接-输入此连接的名称VPN--选择设备中选MICROSOFT VPN ADAPTER -下一步-输入IP地址202.108.191.67-下一步-完成;
4、右键属性所建立的连接VPN-服务器类型选项卡-TCP/IP设置-指定名称服务器的IP地址-主控DNS输入188.10.100.188;
5、双击你所建立的连接VPN，输入所给你的用户名和密码，即可登陆到校园网络上;
6、双击Internet Explorer ,在地址栏里输入内部网络服务器的域名即可。
如：Network.www.35.edu  科利华校园网操作系统。
WINDOWS 2000 个人版或是服务器版
前提条件：本机能够上互联网，指单机上网通过ADSL、MODEM、ISDN等拨号方式或是接入到互联网上为客户机做NAT转换或是网关的那台机器负责连入互联网络，下面的客户机也可通过代理服务器登陆到内部网络上。

具体步骤：
1、网上邻居--右键属性-新建连接-下一步-点击通过Internet 连接到专用网络-下一步-不初始化连接;
2、输入IP地址202.108.191.67-下一步-所有用户均使用此连接与只有此用户使用本连接均可-启用此连接的Internet共享选中与不选均可;
3、输入此连接的名称VPN;
4、右键VPN连接属性-点击网络选项卡-Internet 协议（TCP/IP）属性-点击使用下列DNS服务器地址-188.10.100.188-确定;
5、双击VPN虚拟专用网络连接-输入分配的用户名/密码即可登陆到校园内部网;
6、双击Internet Explorer ,在地址栏输入校园网WEB服务器的域名。
用户名/密码：
方案完成后教职工在任何地点，任何时间都可以访问学校主机上的资源。