Làm cách nào để cấu hình một mạng máy tính nhỏ trong mạng đại học lớn hơn?

Tôi có một phòng thí nghiệm máy tính nhỏ (8 máy trạm HP, 1 máy chủ HP, 2 hộp NAS, 1 máy in nối mạng HP) trong đó hiện tại tất cả các thiết bị được kết nối trực tiếp với mạng của trường đại học của tôi. Mỗi thiết bị có một địa chỉ IP được phân bổ bởi mạng thông qua DHCP (nhưng tôi được bảo rằng các địa chỉ này được liên kết hiệu quả với các địa chỉ MAC trong một thời gian dài, vì vậy thiết bị nhận được cùng một IP mỗi khi được cấp nguồn) và tôi đã có tên máy chủ được gán cho từng thiết bị, được quản lý bởi máy chủ DNS của trường đại học.

Vấn đề tôi gặp phải là một khi đã kết nối với mạng đại học, các thiết bị sẽ mở cho bất kỳ ai trên internet; không có tường lửa toàn trường chẳng hạn. Tôi muốn cách ly một số hoặc tất cả các thiết bị này khỏi internet để tôi có thể kiểm soát cổng / dịch vụ nào trên các thiết bị này có thể truy cập được trong trường đại học (ví dụ: đồng nghiệp của tôi muốn in hoặc lưu trữ dữ liệu trên / truy cập dữ liệu từ NAS hộp) và có thể truy cập từ bên ngoài mạng lưới trường đại học. Tất cả các thiết bị tôi đề cập đều ở cùng một vị trí thực tế (một phòng máy tính), nhưng máy trạm của tôi ở trong một phòng riêng và tôi muốn tự mình truy cập từng thiết bị để quản lý.

Các máy trạm là tất cả (hoặc sẽ) chạy Khoa học Linux. Các hộp NAS là các sản phẩm Synology chạy hệ điều hành của riêng họ.

Làm thế nào tôi nên đi về việc thiết lập mạng mini này? Nó sẽ có ý nghĩa để đặt tất cả các thiết bị đằng sau một bộ định tuyến? Nếu tôi làm điều đó, vẫn có thể kết nối với từng thiết bị bằng tên máy chủ đã được định cấu hình (giả sử từ máy trạm của tôi sẽ không ở phía sau bộ định tuyến) và nếu có, tôi cần phải thiết lập những gì làm cho điều đó xảy ra?

Để theo dõi những gì @KindaVillyard đã nói, nếu bạn cần truy cập NAS hoặc các hệ thống khác từ trường nói chung, đây là những gì tôi sẽ làm:

Kết nối trường

Nói chuyện với bất cứ ai quản lý bộ định tuyến của trường và yêu cầu họ đặt trước cho bạn một khối 256 địa chỉ IP, mà tôi sẽ gọi ABC0 / 24. Các giá trị của A, B và C là dành riêng cho khuôn viên của bạn. Nếu bạn không thể nhận được 256 địa chỉ, bạn sẽ sống, nhưng nhận được ít nhất 16. Các khối dành riêng nhỏ hơn sẽ thay đổi 0 và / 24 thành các số khác nhau, tối đa / 28 nếu bạn chỉ nhận được 16 IP.

Họ cũng sẽ cần định cấu hình các bộ định tuyến khác nhau để định tuyến khối dành riêng của bạn thông qua một địa chỉ IP cụ thể trong một khối mạng khác (giống như bộ định tuyến đã đến phòng của bạn).

Nếu bạn không thể có được một khối địa chỉ được bảo lưu, bạn sẽ gặp khó khăn hơn khi NAS của bạn có thể truy cập được từ phần còn lại của trường, nhưng mọi thứ khác sẽ hoạt động tốt từ bên trong mạng ra thế giới bên ngoài. Nó chắc chắn không phải là không thể, nhưng nó có thể không đáng nỗ lực thêm. Cố gắng hết sức có thể để có được khối địa chỉ - bạn có thể cần nói chuyện với một vài người khác nếu người đầu tiên không hiểu bạn cần gì.

Nếu bạn có một khối địa chỉ dành riêng, bạn cần ghi lại địa chỉ mạng và mạng của khối đó, và cả IP bên ngoài, khối sẽ được chuyển qua. Nếu bạn không nhận được một khối địa chỉ dành riêng, có lẽ bạn sẽ kết thúc bằng cách sử dụng bộ định tuyến / tường lửa gia đình và bạn chỉ có thể sử dụng bất kỳ cài đặt nào theo mặc định.

Nếu IT trường thực sự dễ làm việc, bạn cũng có thể yêu cầu tên miền phụ DNS được ủy quyền cho phòng thí nghiệm của mình. Một cái gì đó như gavinslab.campus.edu. Nó thực sự không quan trọng nếu họ không đưa cái này cho bạn, nhưng nó tiện lợi.

Vật lý

Nếu bạn có IT trường để dành cho bạn một khối địa chỉ, hãy tìm một PC cũ mà bạn có thể đặt ba giao diện mạng. Nó hoàn toàn không phải là mạnh mẽ. Tôi đã định tuyến lưu lượng 100 Mbit trên một Pentium ban đầu và gigabit trên Pentium III. Tôi thực sự không kiểm tra các giới hạn thấp hơn, chỉ làm việc với bất cứ thứ gì có sẵn.

Nếu IT trường không thể phân bổ cho bạn một khối địa chỉ, thay vào đó hãy lấy bộ định tuyến / tường lửa gia đình.

Sau đó, lấy gigabit ethernet chuyển từ một nơi nào đó. Một chuyển đổi văn phòng tại nhà nên có nhiều, miễn là nó có đủ cổng. Nếu bạn có CNTT để phân bổ một khối địa chỉ, hãy lấy hai công tắc. Dán nhãn một công tắc "DMZ" và một công tắc khác "Nội bộ". Nếu họ không cấp cho bạn một khối địa chỉ, chỉ nhận một chuyển đổi.

Định tuyến / Tường lửa (giả sử không có khối mạng được phân bổ)

Nếu bạn không nhận được một khối địa chỉ, chỉ cần kết nối bộ định tuyến gia đình với giao diện mạng bên ngoài được cắm vào khuôn viên và một giao diện mạng bên trong được cắm vào công tắc gigabit của bạn. Đối xử với căn phòng như một mạng gia đình, nơi bạn có thể đến khuôn viên và thế giới bên ngoài mà không gặp vấn đề gì, nhưng khuôn viên và thế giới bên ngoài sẽ có một thời gian khó khăn để trở lại với bạn.

Định tuyến / Tường lửa (với một khối mạng được phân bổ)

Nếu bạn đã nhận được một khối địa chỉ, sau đó kết nối giao diện mạng trên bo mạch của PC cũ vào mạng của trường. Tôi thường cài đặt Debian trên nó.

Sau đó, tôi sẽ cài đặt card mạng thứ hai và thứ ba, sau đó sử dụng tarball tường lửa-bootstrap của tôi để định cấu hình tường lửa, DNS, DHCP và các dịch vụ quan trọng khác (chúng tôi đã loại bỏ tập lệnh đó trong lớp tôi chạy phòng thí nghiệm cho, nhưng thử nghiệm và phản hồi rộng hơn được chào đón). Nếu bạn có kinh nghiệm, hãy thoải mái làm một cái gì đó tương đương.

Mọi thứ khác (với một khối mạng được phân bổ)

Cắm một công tắc được cấp nguồn vào một trong các giao diện mạng bổ sung trong tường lửa. Kiểm tra thông điệp kernel để xem giao diện ethernet nào vừa xuất hiện. Nếu bạn đang sử dụng tập lệnh của tôi, bạn muốn chắc chắn rằng công tắc bên trong đang bật eth1 và công tắc DMZ đang bật eth2.

Các hệ thống cắm cần truy cập trực tiếp từ bên ngoài phòng vào công tắc DMZ. Cắm tất cả các hệ thống khác vào công tắc nội bộ.

Và từ đó, thành thật mà nói, bạn sẽ cần đặt thêm câu hỏi khi cần thiết. Tôi tin tưởng tập lệnh của mình để thiết lập thiết lập DNS và DHCP hoạt động cho cả hai phân đoạn mạng và chặn các kết nối bên ngoài theo mặc định. Nhưng mọi thứ khác có xu hướng cụ thể theo trang web.

Trước hết, là một người trốn thoát khỏi học viện, bạn có lời chia buồn chân thành của tôi. Không giống như các bình luận ở trên, tôi không gặp rắc rối gì khi tin rằng bạn không có tường lửa khuôn viên.

Cách đơn giản nhất, thanh lịch nhất để làm điều này sẽ là, than ôi, để có một tường lửa khuôn viên. Giải pháp tốt nhất tiếp theo, tùy thuộc vào người bạn muốn có quyền truy cập vào phòng thí nghiệm của bạn, sẽ có một loại tường lửa bộ phận nơi mọi người cần truy cập đều ở trong tường lửa của bộ phận.

Nếu bạn không thể làm một trong những điều đó - và tôi sợ bạn sẽ không - có lẽ bạn sẽ phải định cấu hình tường lửa với "cho phép từ [phạm vi ip của trường] / từ chối mọi người khác." Nếu bạn muốn truy cập các máy này từ bên ngoài tường lửa đó, có thể bạn sẽ phải sử dụng các số có thể định tuyến của trường.

Và như bạn đã nói trong bình luận của bạn:

Cảm ơn, vì vậy nếu tôi sử dụng tường lửa của riêng mình, tôi sẽ định cấu hình từng thiết bị riêng lẻ mà tôi đã đề cập (iptables trên Linux) hoặc tôi phải sắp xếp lưu lượng truy cập đến các thiết bị này để đi qua một thiết bị tường lửa riêng.

Chính xác. Có lẽ tôi chỉ cần giơ tay lên trong tuyệt vọng và sử dụng iptables, nhưng người khác có thể có câu trả lời tốt hơn cho bạn.

Cuối cùng, tôi chỉ muốn xác nhận rằng:

Mỗi thiết bị có một địa chỉ IP được phân bổ bởi mạng thông qua DHCP (nhưng tôi được bảo rằng các địa chỉ này được liên kết hiệu quả với các địa chỉ MAC trong một thời gian dài, vì vậy thiết bị nhận được cùng một IP mỗi khi được cấp nguồn) và tôi đã có tên máy chủ được gán cho từng thiết bị, được quản lý bởi máy chủ DNS của trường đại học.

có nghĩa là bạn có một đặt phòng DHCP tĩnh. Mặt khác, máy chủ DNS của trường đại học sẽ phải được cập nhật nếu những con số đó thay đổi.

Chúc may mắn!