더 큰 대학 네트워크 내에서 소규모 컴퓨터 네트워크를 구성하는 방법은 무엇입니까?

현재 모든 장치가 대학의 네트워크에 직접 연결된 소규모 컴퓨터 실 (8 개의 HP 워크 스테이션, 1 개의 HP 서버, 2 개의 NAS 상자, 1 개의 HP 네트워크 프린터)이 있습니다. 각 장치에는 DHCP를 통해 네트워크에서 할당 한 IP 주소가 있습니다 (그러나 MAC 주소에 효과적으로 바인딩되어 있으므로 장치를 켤 때마다 동일한 IP를 얻습니다). 대학의 DNS 서버가 관리하는 각 장치에 할당 된 호스트 이름.

내가 가진 문제는 일단 대학 네트워크에 연결되면 장치가 인터넷상의 모든 사람에게 열려 있다는 것입니다. 예를 들어 캠퍼스 전체의 방화벽은 없습니다. 이 장치의 일부 또는 전부를 인터넷과 격리하여 대학 내에서이 장치의 어떤 포트 / 서비스에 액세스 할 수 있는지 제어 할 수 있습니다 (예 : 동료가 NAS에서 데이터를 인쇄 또는 저장하거나 데이터를 액세스하려는 경우) 대학 네트워크 너머에서 액세스 할 수 있습니다. 내가 언급 한 모든 장치는 동일한 물리적 위치 (하나의 컴퓨터 실)에 있지만 워크 스테이션은 별도의 방에 있으며 관리를 위해 각 장치에 직접 액세스하려고합니다.

워크 스테이션은 모두 Scientific Linux를 실행 중이거나 실행 중입니다. NAS 박스는 자체 OS를 실행하는 Synology 제품입니다.

이 미니 네트워크를 설정하려면 어떻게해야합니까? 모든 장치를 라우터 뒤에 두는 것이 합리적입니까? 그렇게하면 구성된 호스트 이름 (예 : 라우터 뒤에 있지 않은 내 워크 스테이션에서)으로 각 장치에 계속 연결할 수 있습니까? 그렇게합니까?

@KatherineVillyard가 말한 내용을 추적하기 위해 일반적으로 캠퍼스에서 NAS 또는 다른 시스템에 액세스 해야하는 경우 다음과 같이하십시오.

캠퍼스 연결

캠퍼스 라우터를 관리하는 사람과 대화하고 256 IP 주소 블록을 예약하도록 요청하십시오.이 주소를 ABC0 / 24라고합니다. A, B 및 C의 값은 캠퍼스마다 다릅니다. 256 개의 주소를 얻을 수 없으면 살지만 최소한 16을 얻습니다. 예약 된 작은 블록은 0과 / 24를 다른 숫자로 변경하고 16 개의 IP 만 할당하면 최대 / 28이됩니다.

또한 다른 캠퍼스 블록과 같은 다른 네트워크 블록의 특정 IP 주소를 통해 예약 된 블록을 라우팅하도록 다양한 캠퍼스 라우터를 구성해야합니다.

예약 된 주소 블록을 얻을 수 없다면, 나머지 캠퍼스에서 NAS에 액세스 할 수 있도록하는 데 어려움을 겪을 수 있지만 네트워크 내부에서 외부로 모든 것이 제대로 작동해야합니다. 확실히 불가능하지는 않지만 추가 노력을 기울일 가치가 없습니다. 주소 블록을 얻으려면 최대한 열심히 노력하십시오. 첫 번째 사람이 필요한 것을 이해하지 못하면 몇 명의 다른 사람들과 대화해야 할 수도 있습니다.

예약 된 주소 블록이있는 경우 블록의 네트워크 주소와 넷 마스크 및 블록이 라우팅되는 외부 IP를 기록해야합니다. 예약 된 주소의 블록을 얻지 못했다면 아마도 홈 라우터 / 방화벽을 사용하게 될 것입니다. 기본적으로 모든 설정을 사용할 수 있습니다.

캠퍼스 IT가 실제로 작업하기 쉬운 경우 실험실에 위임 된 DNS 하위 도메인을 요청할 수도 있습니다. gavinslab.campus.edu와 같은 것. 그들이 당신에게 이것을주지 않는다면 그것은 중요하지 않지만 편리합니다.

물리적 인

캠퍼스 IT에 주소 블록을 예약 한 경우 3 개의 네트워크 인터페이스를 넣을 수있는 오래된 PC를 찾으십시오. 전혀 강력하지 않아도됩니다. 원래 Pentium을 통해 100Mbit 트래픽을, Pentium III를 통해 기가비트로 라우팅했습니다. 나는 실제로 하한을 테스트하지 않았으며 쉽게 구할 수있는 모든 것을 사용했습니다.

캠퍼스 IT에서 주소 블록을 할당 할 수없는 경우, 대신 가정용 라우터 / 방화벽을 얻으십시오.

그런 다음 어딘가에서 기가비트 이더넷 스위치를 가져옵니다. 포트가 충분하면 본사 스위치가 충분해야합니다. IT 부서에 주소 블록을 할당해야한다면 두 개의 스위치를 확보하십시오. 한 스위치에는 "DMZ", 다른 스위치에는 "내부"라고 표시하십시오. 그들이 당신에게 주소 블록을 할당하지 않은 경우, 하나의 스위치 만 가져옵니다.

라우팅 / 방화벽 (할당 된 네트워크 블록이 없다고 가정)

주소 블록을 얻지 못한 경우 캠퍼스에 연결된 외부 네트워크 인터페이스와 기가비트 스위치에 연결된 하나의 내부 네트워크 인터페이스로 홈 라우터를 연결하십시오. 방을 홈 네트워크처럼 취급하면 문제없이 캠퍼스와 외부 세계에 갈 수 있지만 캠퍼스와 외부 세계는 다시 돌아 오는 데 어려움을 겪을 수 있습니다.

라우팅 / 방화벽 (할당 된 네트워크 블록)

주소 블록을 얻은 경우 이전 PC의 온보드 네트워크 인터페이스를 캠퍼스 네트워크에 연결하십시오. 나는 보통 데비안을 설치합니다.

그런 다음 두 번째 및 세 번째 네트워크 카드를 설치 한 다음 방화벽-부트 스트랩 타르볼을 사용하여 방화벽, DNS, DHCP 및 기타 중요한 서비스를 구성합니다. 실험실을 운영하지만 더 광범위한 테스트 및 피드백을 환영합니다). 경험이 있다면, 동등한 다른 일을 자유롭게하십시오.

기타 모든 것 (할당 된 네트워크 블록)

하나의 전원이 켜진 스위치를 방화벽의 추가 네트워크 인터페이스 중 하나에 연결하십시오. 커널 메시지를 확인하여 어떤 이더넷 인터페이스가 방금 나타 났는지 확인하십시오. 내 스크립트를 사용하는 경우 내부 스위치가 eth1에 있고 DMZ 스위치가 eth2에 있는지 확인하려고합니다.

실내 외부에서 DMZ 스위치로 직접 액세스 할 수 있어야하는 플러그 시스템. 다른 모든 시스템을 내부 스위치에 연결하십시오.

그리고 거기에서 솔직히 필요에 따라 더 많은 질문을해야합니다. 나는 두 네트워크 세그먼트 모두에 작동하는 DNS 및 DHCP 설정을 설정하고 기본적으로 외부 연결을 차단하는 스크립트를 신뢰합니다. 그러나 다른 모든 것은 사이트에 따라 다릅니다.

우선, 학계로부터의 탈출로, 당신은 나의 진심으로 애도를 가지고 있습니다. 위의 주석 자와 달리 캠퍼스 방화벽이 없다고 생각하면 문제가 없습니다.

가장 간단하고 우아한 방법은 캠퍼스 방화벽을 설치하는 것입니다. 실험실에 액세스하려는 사람에 따라 다음 최상의 솔루션은 액세스가 필요한 모든 사람이 해당 부서 방화벽 내부에있는 일종의 부서 방화벽을 갖는 것입니다.

두 가지 중 하나를 수행 할 수없고 그렇게하지 않을까 두려워한다면 "[campus ip range]에서 허용 / 다른 모든 사람으로부터 거부"로 방화벽을 구성해야 할 것입니다. 해당 방화벽 외부에서 이러한 시스템에 액세스하려면 캠퍼스의 라우팅 가능한 번호를 사용해야합니다.

그리고 당신이 당신의 의견에서 말했듯이 :

고마워, 그래서 만약 내가 자신의 방화벽을 사용한다면, 내가 언급 한 각각의 개별 장치를 구성하거나 (리눅스에서 iptables), 이들 장치로가는 트래픽이 별도의 방화벽 장치를 통과하도록해야합니다.

옳은. 나는 아마도 절망에 빠진 손을 던져 iptables를 사용할 것입니다.

마지막으로, 나는 이것을 확인하고 싶었습니다.

각 장치에는 DHCP를 통해 네트워크에서 할당 한 IP 주소가 있습니다 (그러나 MAC 주소에 효과적으로 바인딩되어 있으므로 장치를 켤 때마다 동일한 IP를 얻습니다). 대학의 DNS 서버가 관리하는 각 장치에 할당 된 호스트 이름.

정적 DHCP 예약이 있음을 의미합니다. 그렇지 않으면 해당 숫자가 변경되면 대학의 DNS 서버를 업데이트해야합니다.

행운을 빕니다!