服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 如何在较大的大学networking中configuration一个小型计算机networking?
Intereting Posts
使用rsyslogd旋转和连续写入大型日志文件 在Windows Server 2008上安装Server 2008 R2时,“Windows安装程序无法find存储临时安装文件的位置” Git:我可以将已知的存储库存储在存储库中吗? HTTPS的/ wp-admin /和HTTP的一切? Kickstart – 如果操作系统已经存在,如何退出 基于Macvlan的界面从主机ping,但不是从命名空间 后缀 – 邮件转发循环 nginxdynamic虚拟主机 网站显示本地主机? LVM2延期发行 如何禁用Windows Server 2008 R2 x64上的驱动程序签名实施? 无法读取我的组拥有的目录 ssl客户端证书validation在nginx中失败 服务器RAID 1无法重build,无法启动到Windows 监视Windows工作站正常运行时间

如何在较大的大学networking中configuration一个小型计算机networking?

我有一个小型的计算机实验室(8台惠普工作站,1台惠普服务器,2台NAS机箱,1台惠普networking打印机),目前所有设备都直接连接到我大学的networking。 每个设备都有一个由networking通过DHCP分配的IP地址(但是我被告知这些地址长时间被有效绑定到MAC地址,所以每次上电时设备都获得相同的IP地址),而且我已经分配给每个设备的主机名,由大学的DNS服务器pipe理。

我遇到的问题是,一旦连接到大学networking,设备就向互联网上的任何人开放。 例如,没有校园防火墙。 我希望将部分或全部这些设备与互联网隔离开来,以便我可以控制这些设备上的哪些端口/服务可以从大学内部访问(例如,我的同事想要从NAS上打印或存储数据/访问数据盒子),并可以从大学networking以外访问。 我提到的所有设备都在同一个物理位置(一个计算机房),但是我的工作站位于一个单独的房间,我想自己访问每个设备进行pipe理。

工作站都将(或将要)运行Scientific Linux。 NAS盒子是Synology产品运行自己的操作系统。

我应该如何设置这个迷你networking? 将所有设备放在路由器后面是否有意义? 如果我这样做,是否仍然可以通过已configuration的主机名称(例如从我的工作站不在路由器后面)连接到每个设备,如果是,我需要设置什么做到这一点?

为了跟进@KatherineVillyard的说法,如果你需要从校园里访问你的NAS或其他系统,那么下面是我要做的:

校园连接

与pipe理校园路由器的人交谈,并要求他们为你预留一个256个IP地址块,我将把它称为ABC0 / 24。 A,B和C的值是特定于您的校园的。 如果你不能得到256个地址,你将会活着,但至less得到16个。如果你只有16个IP分配的话,较小的保留块会把0和/ 24变成不同的数字,最多可以变成28。

他们还需要configuration各种园区路由器,以便通过不同networking块中的特定IP地址(如已经到达您的房间的那个地址)将您的保留区块路由。

如果你不能保留一块地址,那么你将难以从校园其他地方访问你的NAS,但是从networking内部到外部世界,其他一切都可以正常工作。 这当然不是不可能的,但可能不值得花费额外的努力。 尽可能努力地获得地址块 – 如果第一个人不明白你需要什么,你可能需要和几个不同的人交谈。

如果你有一个保留的地址块,你需要logging块的networking地址和networking掩码,以及块将被路由的外部IP。 如果你没有得到一个保留地址块,你可能最终会使用家庭路由器/防火墙,你可以使用默认设置。

如果校园IT真的很容易使用,您也可以为您的实验室申请一个授权的DNS子域名。 像gavinslab.campus.edu。 如果他们不给你这个真的不重要,但是很方便。

物理

如果你有校园IT预留你一个地址块,找一个旧电脑,你可以把三个networking接口。它不必强大。 我已经在原来的Pentium上路由了100Mbit的stream量,在Pentium III上路由了千兆位。 我真的没有testing下限,只是随便用什么工作。

如果园区的IT部门无法为您分配一个地址块,只需要获得一个家庭路由器/防火墙。

然后,从某处抓住千兆以太网交换机。 家庭办公交换机应该很多,只要有足够的端口。 如果你有IT分配一个地址块,得到两个开关。 将一个开关标记为“DMZ”,另一个标记为“内部”。 如果他们没有分配给你一个地址块,只能得到一个开关。

路由/防火墙(假设没有分配的networking块)

如果你没有得到一个地址块,只需要把连接到校园的外部networking接口连接到家里的路由器上,然后把一个内部networking接口插入你的千兆交换机。 把房间当作家庭networking一样,在那里你可以毫无问题地到达校园和外面的世界,但校园和外面的世界将很难回到你身边。

路由/防火墙(带有分配的networking块)

如果您获得了一个地址块,则将旧PC的板载networking接口连接到校园networking。 我通常会安装Debian。

之后,我会安装第二个和第三个网卡,然后使用我的防火墙引导程序 tarball来configuration防火墙,DNS,DHCP和其他关键服务(我们在课堂上殴打了那个脚本运行实验室,但更广泛的testing和反馈是受欢迎的)。 如果你有经验,可以随意做其他的事情。

其他所有(使用分配的networking块)

将一个已启动的交换机插入防火墙的其中一个附加networking接口。 检查内核消息,看看哪个以太网接口刚刚出现。 如果您正在使用我的脚本,您需要确保内部交换机在eth1上,而DMZ交换机在eth2上。

需要从室外直接接入DMZ交换机的插头系统。 将所有其他系统插入内部开关。

说实话,你需要根据需要提出更多的问题。 我相信我的脚本为两个网段设置了一个可用的DNS和DHCP设置,并且默认情况下阻止外部连接。 但其他一切都倾向于特定于站点。

首先,作为学术界的一名逃跑者,您真诚的哀悼。 与上述评论者不同的是,我相信你没有校园防火墙也没有任何困难。

最简单,最优雅的方法就是拥有校园防火墙。 下一个最好的解决scheme,取决于你想要访问你的实验室的人,将有一个部门防火墙,每个需要访问的人都在部门防火墙内部。

如果你不能这样做 – 我担心你不会 – 你可能不得不configuration一个防火墙“允许从[校园IP范围] /拒绝其他人”。 如果你想从防火墙外部访问这些机器,你可能不得不使用你的校园路由数字。

正如你在评论中所说:

谢谢,所以如果我使用我自己的防火墙,我要么configuration我提到的每个单独的设备(在Linux上的iptables),或者我必须安排stream量去这些设备通过一个单独的防火墙设备。

正确。 我可能只是把我的手放在绝望,使用iptables,但别人可能会有更好的答案给你。

最后,我只是想确认一下:

每个设备都有一个由networking通过DHCP分配的IP地址(但是我被告知这些地址长时间被有效绑定到MAC地址,所以每次上电时设备都获得相同的IP地址),而且我已经分配给每个设备的主机名,由大学的DNS服务器pipe理。

意味着你有一个静态的DHCP保留。 否则,如果这些数字发生变化,大学的DNS服务器将不得不更新。

祝你好运!