如何在更大的大学网络中配置小型计算机网络?

Modified on: Sun, 24 Mar 2019 03:00:03 +0800

我有一个小型计算机实验室(8个HP工作站,1个HP服务器,2个NAS盒,1个HP联网打印机),目前所有设备都直接连接到我大学的网络。每个设备都有一个由网络通过DHCP分配的IP地址(但我被告知这些设备长时间有效地绑定到MAC地址,因此设备每次上电都会获得相同的IP),而且我有分配给每个设备的主机名,由大学的DNS服务器管理。

我遇到的问题是,一旦连接到大学网络,设备对互联网上的任何人开放;例如,没有校园范围的防火墙。我想从互联网上隔离部分或全部这些设备,以便我可以控制这些设备上的哪些端口/服务可以从大学内部访问(例如,我的同事想要打印,或者在NAS上存储数据/访问数据盒子),可从大学网络以外访问。我提到的所有设备都在同一个物理位置(一个计算机房),但我的工作站在一个单独的房间里,我想自己访问每个设备进行管理。

工作站全部(或将要)运行Scientific Linux。 NAS盒是Synology产品,运行自己的操作系统。

我应该如何设置这个迷你网络?将所有设备放在路由器后面是否有意义?如果我这样做,是否仍然可以通过已配置的主机名(例如从我的工作站不会在路由器后面)连接到每个设备,如果是,我需要设置为什么让这种情况发生?

最佳答案

要跟进@KatherineVillyard所说的话,如果您需要从校园访问您的NAS或其他系统,这就是我要做的事情:

校园连接

与管理校园路由器的人交谈,并要求他们为您保留256个IP地址块,我将其称为A.B.C.0 / 24。 A,B和C的值特定于您的校园。如果你不能得到256个地址,你就会活,但至少得到16个。较小的保留块会将0和/ 24改为不同的数字,如果你只分配了16个IP,则最多为/ 28。

他们还需要配置各种园区路由器,以便通过不同网络块中的特定IP地址(例如已经到达您房间的IP地址)路由您的保留块。

如果您无法获得预留的地址块,那么您将很难从校园的其他地方访问NAS,但其他一切都应该可以从网络内部到外部世界正常工作。这当然不是不可能的,但可能不值得付出额外的努力。尽可能努力地获取地址块 - 如果第一个人不理解您需要的话,您可能需要与几个不同的人交谈。

如果你有一个保留地址块,你需要记录块的网络地址和网络掩码,以及块将被路由到的外部IP。如果你没有得到一块保留地址,你可能最终会使用家用路由器/防火墙,你可以使用默认设置。

如果校园IT非常容易使用,您也可以为您的实验室申请委派的DNS子域。像gavinslab.campus.edu这样的东西。如果他们不给你这个,那真的不是关键,但这很方便。

物理强>

如果您让校园IT部门为您预留了一块地址,那么找一台可以放入三个网络接口的旧PC。它根本不必是强大的。我已经在原始Pentium上传输了100 Mbit流量,在Pentium III上传输了千兆位。我真的没有测试下限,只是使用了很容易获得的东西。

如果校园IT无法为您分配一块地址,请改为使用家用路由器/防火墙。

然后,从某处抓取千兆以太网交换机。只要有足够的端口,家庭办公室交换机就应该充足。如果您让IT分配一个地址块,请获取两个开关。标记一个开关“DMZ”,另一个标记为“内部”。如果他们没有为您分配一块地址,只能获得一个开关。

路由/防火墙(假设没有分配的网络块)

如果您没有获得地址块,只需将家庭路由器连接到插入园区的外部网络接口,并将一个内部网络接口插入千兆交换机。像对待家庭网络一样对待房间,在那里你可以毫无问题地到达校园和外面的世界,但校园和外面的世界将很难回到你身边。

路由/防火墙(使用分配的网络块)

如果您确实获得了一块地址,请将旧PC的板载网络接口连接到园区网络。我通常会在上面安装Debian。

之后,我会安装第二张和第三张网卡,然后使用我的firewall-bootstrap tarball配置防火墙,DNS,DHCP和其他关键服务(我们在运行实验室的类中击败了该脚本,但欢迎更广泛的测试和反馈)。如果您有经验,请随意做其他事情。

其他所有内容(使用已分配的网络块)

将一个已通电的交换机插入防火墙中的其他网络接口之一。检查内核消息以查看刚出现的以太网接口。如果您正在使用我的脚本,您需要确保内部开关在eth1上,并且DMZ开关在eth2上。

需要从房间外直接进入DMZ开关的插头系统。将所有其他系统插入内部交换机。

从那里,老实说,你需要根据需要提出更多问题。我相信我的脚本可以为两个网段设置有效的DNS和DHCP设置,并默认阻止外部连接。但其他一切往往都是针对特定地点的。

作者:,Mike Renfro

相关问答

添加新评论