如何在较大的大学网络中配置小型计算机网络?


8

我有一个小型计算机实验室(8个HP工作站,1个HP服务器,2个NAS盒,1个HP网络打印机),目前所有设备都直接连接到我大学的网络。每个设备都有一个通过DHCP通过网络分配的IP地址(但是我被告知,很长一段时间以来,这些地址都有效地绑定到了MAC地址,因此每次启动时设备都会获得相同的IP),我已经分配给每个设备的主机名,由大学的DNS服务器管理。

我的问题是,一旦连接到大学网络,设备就可以对互联网上的任何人开放;例如,没有校园范围的防火墙。我想将某些或所有这些设备与互联网隔离开来,以便我可以控制这些设备上的哪些端口/服务可以从大学内部访问(例如,我的同事想在NAS上打印或存储数据,或从NAS访问数据)框),并且可以从大学网络之外访问。我提到的所有设备都在同一物理位置(一个计算机室)中,但是我的工作站在单独的房间中,我想自己访问每个设备进行管理。

所有工作站都(或将要)运行Scientific Linux。NAS盒是运行它们自己的OS的Synology产品。

我应该如何建立这个小型网络?将所有设备放在路由器后面是否有意义?如果这样做,是否仍可以通过已配置的主机名(例如从不在路由器后面的我的工作站)连接到每个设备,如果是,我需要设置为做到这一点?


4
“没有校园范围的防火墙”-我发现很难相信。您是否已与大学IT员工确认了这一点?
joeqwerty

6
这个问题似乎是题外话,因为您的大学的IT员工需要问这个问题。
EEAA 2013年

2
然后要求他们提供防火墙。这对于他们来说将是很有趣的,这是他们第一次使用一个或所有。
mfinni

3
有人可以解释为什么这是旧约还是我需要做些什么使其成为主题?正如我早些时候回复@EEAA一样,我已经向大学的IT支持人员解决了这个问题,以上内容是我所获得的“建议”。我要使用该建议。正如下面的答案所暗示的那样,由于各种原因(通常是财务原因),许多学术机构的IT支持都无法提供个人帮助。因此,我们留给自己的设备。如果可以的话,我会很乐意改善Q值,但是到目前为止,除了我没有要求IT支持人员的推论外,没有人说过什么错。
加文·辛普森

4
是的,路由器通常也具有防火墙功能,反之亦然,因此有时可以互换使用这些术语。这可能是来自重新$ 20家用路由器任何东西(但请你帮个忙,不要去比较这个便宜)到$ 15,000个思科的东西,或者,其他。或$ 150,000。您可能想要在Cisco ASA 55xx周围某个地方。无论您得到什么,请记住关闭NAT。
迈克尔·汉普顿

Answers:


5

要跟进@KatherineVillyard所说的话,如果您通常需要从校园访问NAS或其他系统,请执行以下操作:

校园联系

与管理园区路由器的任何人联系,请他们为您保留256个IP地址的块,我将其称为ABC0 / 24。A,B和C的值特定于您的校园。如果您不能获得256个地址,那么您将生存,但至少要获得16个地址。较小的保留块会将0和/ 24更改为不同的数字,如果仅分配16个IP,则更改为/ 28。

他们还需要配置各种园区路由器,以通过另一个网络块(例如已经到达您房间的那个)中的特定IP地址路由您的预留块。

如果您无法保留一部分地址,则将很难使NAS可以从校园的其余部分访问,但是从网络内部到外部其他一切都应该可以正常工作。这当然不是不可能,但是可能不值得付出额外的努力。尽最大努力获得地址的地址-如果第一个人不了解您的需求,则可能需要与几个其他人交谈。

如果您获得了一个保留地址块,则需要记录该块的网络地址和网络掩码,以及该块将通过的外部IP。如果没有获得保留地址块,则可能最终将使用家用路由器/防火墙,并且可以使用默认情况下使用的任何设置。

如果校园IT真的很容易使用,您也可以为实验室要求委托的DNS子域。像gavinslab.campus.edu之类的东西。如果他们不把这个给您,这并不重要,但这很方便。

物理

如果您让园区IT保留了一部分地址,请找到一台可以放置三个网络接口的旧PC。它根本不需要功能强大。我已经在原始Pentium上路由了100 Mbit流量,在Pentium III上路由了千兆位。我真的没有测试过下限,只是使用了容易获得的任何东西。

如果校园IT无法为您分配地址块,请改为使用家用路由器/防火墙。

然后,从某个地方获取千兆以太网交换机。只要有足够的端口,家庭办公室交换机就应该足够。如果您让IT部门分配了一个地址块,请使用两个开关。标记一个开关为“ DMZ”,另一标记为“内部”。如果他们没有为您分配地址块,则只需切换一次即可。

路由/防火墙(假设没有分配的网络块)

如果您没有收到地址,只需将家用路由器与外部网络接口插入园区,然后将一个内部网络接口插入千兆交换机,即可进行连接。像对待家庭网络一样对待房间,在这里您可以毫无问题地到达校园和外界,但是校园和外界将很难找回您。

路由/防火墙(具有分配的网络块)

如果确实收到了地址块,则将旧PC的板载网络接口连接到校园网络。我通常会在上面安装Debian。

之后,我将安装第二块和第三块网卡,然后使用我的防火墙引导 tarball配置防火墙,DNS,DHCP和其他关键服务(我们在该类中击败了该脚本,运行实验室,但欢迎进行广泛的测试和反馈)。如果您有经验,请随时做其他等效的事情。

其他所有内容(带有分配的网络块)

将一台加电的交换机插入防火墙中的其他网络接口之一。检查内核消息以查看刚出现的以太网接口。如果使用的是脚本,则要确保“内部”开关位于eth1上,而DMZ开关位于eth2上。

需要从房间外部直接访问的系统插入DMZ交换机。将所有其他系统插入内部交换机。

老实说,从那里开始,您将需要根据需要提出更多问题。我相信我的脚本可以为两个网段设置有效的DNS和DHCP设置,并默认情况下阻止外部连接。但是其他所有内容往往都是特定于站点的。


10

首先,作为学术界的逃犯,我要表示诚挚的慰问。与上述评论者不同,我毫不怀疑您没有校园防火墙。

this,最简单,最优雅的方法是拥有校园防火墙。根据要访问实验室的人员的不同,下一个最佳解决方案是拥有某种部门防火墙,其中需要访问的每个人都在该部门防火墙内。

如果您不能做任何一件事情-我怕您不会做-您可能必须配置防火墙“允许来自[campus ip range]或拒绝其他任何人”。如果要从该防火墙外部访问这些计算机,则可能必须使用校园的可路由号码。

正如您在评论中所说:

谢谢,因此,如果我使用自己的防火墙,则可以相应地配置我提到的每个单独的设备(在Linux上为iptables),或者必须安排进入这些设备的流量通过单独的防火墙设备。

正确。我可能会绝望地使用iptables,但其他人可能会为您提供更好的答案。

最后,我只想确认一下:

每个设备都有一个通过DHCP通过网络分配的IP地址(但是我被告知,很长一段时间以来,这些地址都有效地绑定到了MAC地址,因此每次启动时设备都会获得相同的IP),我已经分配给每个设备的主机名,由大学的DNS服务器管理。

表示您具有静态DHCP保留。否则,如果这些数字碰巧发生变化,则必须更新大学的DNS服务器。

祝好运!


1
澄清一下,根据几个人的说法,我提供的MAC地址中IP地址的DHCP提供不是永久性的,但租约不会持续数月之久。这与他们为这些我不知道的相同机器进行的DNS有何关系。还有1件事需要澄清。也感谢其他评论。
加文·辛普森

他们正在使用可能在几个月内到期的DNS号码,因此当您忘记了所有密码后,人们可能会在几个月内随机访问这些设备。要记住的事情。
凯瑟琳·维尔德
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.