大規模な大学ネットワーク内にコンピューターの小規模ネットワークを構成するにはどうすればよいですか？

小規模なコンピューターラボ（8台のHPワークステーション、1台のHPサーバー、2台のNASボックス、1台のHPネットワークプリンター）があり、現在すべてのデバイスが大学のネットワークに直接接続されています。各デバイスには、DHCPを介してネットワークによって割り当てられたIPアドレスがあります（ただし、これらは実質的にMACアドレスに長時間バインドされているため、電源を入れるたびに同じIPが取得されると言われています）。各デバイスに割り当てられたホスト名。大学のDNSサーバーによって管理されます。

私が抱えている問題は、大学のネットワークに接続すると、デバイスはインターネット上の誰でも利用できることです。たとえば、キャンパス全体のファイアウォールはありません。これらのデバイスの一部またはすべてをインターネットから分離して、大学内からこれらのデバイスのどのポート/サービスにアクセスできるかを制御できるようにしたい（たとえば、同僚が印刷したり、NASにデータを保存したり、NASからデータにアクセスしたりしたい）ボックス）と大学のネットワークの外からアクセスできます。私が言及するすべてのデバイスは同じ物理的な場所（1つのコンピュータールーム）にありますが、ワークステーションは別の部屋にあり、管理のために各デバイスに自分でアクセスしたいと考えています。

ワークステーションはすべてScientific Linuxを実行しています（または実行する予定です）。NASボックスは、独自のOSを実行するSynology製品です。

このミニネットワークをセットアップするにはどうすればよいですか？すべてのデバイスをルーターの背後に配置することは理にかなっていますか？これを行うと、構成済みのホスト名（たとえば、ルーターの背後にないワークステーションから）を使用して各デバイスに接続できます。接続している場合は、何をセットアップする必要がありますかそれを実現しますか？

@KatherineVillyardが言ったことをフォローアップするために、キャンパス全体からNASまたは他のシステムにアクセスする必要がある場合は、次のようにします。

キャンパス接続

キャンパスルータを管理している人と話し、256個のIPアドレスのブロックを予約するように依頼してください。これをABC0 / 24と呼びます。A、B、およびCの値は、キャンパスに固有です。256個のアドレスを取得できない場合でも、実際には16個のアドレスを取得できます。小さい予約ブロックは、0と/ 24を異なる数に変更します。16個のIPしか割り当てられていない場合は、最大/ 28になります。

また、予約済みのブロックを別のネットワークブロック（既に部屋に到達しているブロックなど）の特定のIPアドレスを介してルーティングするように、さまざまなキャンパスルーターを構成する必要があります。

予約されたアドレスのブロックを取得できない場合、NASを他のキャンパスからアクセスできるようにするのは難しくなりますが、ネットワーク内から外の世界まで、他のすべては問題なく動作します。それは確かに不可能ではありませんが、余分な努力をする価値がないかもしれません。アドレスのブロックを取得するために、できる限り頑張ってください。最初の人が必要なものを理解していない場合は、数人の異なる人と話す必要があるかもしれません。

予約済みアドレスのブロックを取得した場合は、ブロックのネットワークアドレスとネットマスクを記録する必要があります。また、ブロックがルーティングされる外部IPも記録する必要があります。予約されたアドレスのブロックを取得しなかった場合は、おそらくホームルーター/ファイアウォールを使用することになるため、デフォルトの設定をそのまま使用できます。

キャンパスITが本当に使いやすい場合は、ラボ用に委任されたDNSサブドメインを要求することもできます。gavinslab.campus.eduのようなもの。彼らがあなたにこれを与えないなら、それは本当に重要ではありませんが、それは便利です。

物理的

キャンパスITでアドレスブロックを予約する場合は、3つのネットワークインターフェイスを搭載できる古いPCを見つけてください。これは、強力である必要はありません。オリジナルのPentiumを介して100 Mbitのトラフィックをルーティングし、Pentium IIIを介してギガビットをルーティングしました。私は実際には下限をテストしていませんが、簡単に入手できるものを使って作業しました。

キャンパスITがアドレスのブロックを割り当てることができなかった場合は、代わりにホームルーター/ファイアウォールを入手してください。

次に、どこかからギガビットイーサネットスイッチを取得します。十分な数のポートがある限り、ホームオフィススイッチは十分です。アドレスのブロックを割り当てる必要がある場合は、2つのスイッチを取得します。1つのスイッチに「DMZ」というラベルを付け、もう1つのスイッチに「内部」というラベルを付けます。彼らがあなたにアドレスのブロックを割り当てなかった場合、1つのスイッチのみを取得します。

ルーティング/ファイアウォール（割り当てられたネットワークブロックがない場合）

アドレスのブロックを取得できなかった場合は、キャンパスに接続された外部ネットワークインターフェイスと、ギガビットスイッチに接続された1つの内部ネットワークインターフェイスを使用して、ホームルーターを接続します。部屋をホームネットワークのように扱います。キャンパスや外の世界に問題なく到達できますが、キャンパスや外の世界に戻るのは難しいでしょう。

ルーティング/ファイアウォール（割り当てられたネットワークブロックを使用）

アドレスのブロックを取得した場合は、古いPCのオンボードネットワークインターフェイスをキャンパスネットワークに接続します。通常はDebianをインストールします。

その後、2番目と3番目のネットワークカードをインストールしてから、ファイアウォールブートストラップ tarballを使用して、ファイアウォール、DNS、DHCP、およびその他の重要なサービスを構成します（このスクリプトでは、ラボを実行していますが、より広範なテストとフィードバックを歓迎します）。経験があれば、他の同等のことを自由に行ってください。

その他すべて（割り当てられたネットワークブロックを使用）

1つの電源が入っているスイッチをファイアウォールの追加のネットワークインターフェイスの1つに接続します。カーネルメッセージをチェックして、起動したイーサネットインターフェースを確認します。私のスクリプトを使用している場合、内部スイッチがeth1にあり、DMZスイッチがeth2にあることを確認する必要があります。

部屋の外から直接アクセスできる必要があるシステムをDMZスイッチに接続します。他のすべてのシステムを内部スイッチに接続します。

そして、そこから、正直なところ、必要に応じてさらに質問をする必要があります。スクリプトを信頼して、両方のネットワークセグメントに対して有効なDNSおよびDHCPセットアップをセットアップし、デフォルトで外部接続をブロックします。しかし、それ以外はすべてサイト固有の傾向があります。

まず、学界からの脱出者として、心からお悔やみ申し上げます。上記のコメンターとは異なり、キャンパスファイアウォールがないと信じても問題はありません。

これを行う最も簡単で最もエレガントな方法は、残念ながら、キャンパスファイアウォールを使用することです。次の最適なソリューションは、ラボへのアクセスを誰に許可するかに応じて、アクセスを必要とするすべての人が部門のファイアウォールの内側にいるような部門のファイアウォールを設置することです。

これらのいずれかを実行できない場合-できないことを恐れています-おそらく、[キャンパスのIP範囲からの許可] /他のユーザーからの拒否を使用してファイアウォールを構成する必要があります。ファイアウォールの外側からこれらのマシンにアクセスする場合は、キャンパスのルーティング可能な番号を使用する必要があります。

そして、あなたのコメントで言ったように：

おかげで、自分のファイアウォールを使用する場合は、前述の各デバイス（Linuxのiptables）を個別に構成するか、これらのデバイスに向かうトラフィックが別のファイアウォールデバイスを通過するように調整する必要があります。

正しい。私はおそらく絶望の中で手を上げてiptablesを使用するでしょうが、他の誰かがあなたのためにより良い答えを持っているかもしれません。

最後に、私はこれを確認したかっただけです：

各デバイスには、DHCPを介してネットワークによって割り当てられたIPアドレスがあります（ただし、これらは実質的にMACアドレスに長時間バインドされているため、電源を入れるたびに同じIPが取得されると言われています）。各デバイスに割り当てられたホスト名。大学のDNSサーバーによって管理されます。

静的DHCP予約があることを意味します。そうしないと、これらの数値が変更された場合、大学のDNSサーバーを更新する必要があります。

幸運を！