Como configurar uma pequena rede de computadores dentro de uma rede universitária maior?

Para acompanhar o que o @KatherineVillyard disse, se você precisar acessar seu NAS ou outros sistemas do campus em geral, aqui está o que eu faria:

Conexões do campus

Fale com quem gerencia o roteador do campus e peça que reservem um bloco de 256 endereços IP, que eu chamarei de A.B.C.0 / 24. Os valores de A, B e C são específicos do seu campus. Se você não puder obter 256 endereços, você viverá, mas obterá pelo menos 16. Blocos reservados menores irão alterar o número 0 e o número / 24 para números diferentes, até / 28 se você receber apenas 16 IPs alocados.

Eles também precisam configurar vários roteadores de campus para rotear seu bloco reservado por meio de um endereço IP específico em um bloco de rede diferente (como o que já chega ao seu quarto).

Se você não puder obter um bloco de endereços reservados, terá mais dificuldade em tornar seu NAS acessível a partir do resto do campus, mas tudo o mais deverá funcionar corretamente de dentro da rede para o mundo externo. Certamente não é impossível, mas pode não valer a pena o esforço extra. Tente o máximo possível para obter o bloco de endereços - talvez seja necessário conversar com algumas pessoas diferentes se a primeira delas não entender o que você precisa.

Se você tiver um bloco de endereços reservados, será necessário registrar o endereço de rede e a máscara de rede do bloco e também o IP externo pelo qual o bloco será roteado. Se você não conseguiu um bloco de endereços reservados, provavelmente acabará usando um roteador / firewall doméstico e poderá usar as configurações que tiver por padrão.

Se a TI do campus for realmente fácil de trabalhar, você também poderá solicitar um subdomínio de DNS delegado para o seu laboratório. Algo como gavinslab.campus.edu. Não é realmente crítico se eles não derem isso a você, mas é conveniente.

Física

Se você conseguiu que a TI do campus lhe reserve um bloco de endereços, encontre um PC antigo no qual possa colocar três interfaces de rede. Ele não precisa ser poderoso. Eu roteei o tráfego de 100 Mbit em um Pentium original e gigabit em um Pentium III. Eu realmente não testei os limites inferiores, apenas trabalhei com o que estava facilmente disponível.

Se o departamento de TI do campus não puder alocar um bloco de endereços, basta usar um roteador residencial / firewall.

Em seguida, pegue os switches Gigabit Ethernet em algum lugar. Um switch de home office deve ser suficiente, desde que tenha portas suficientes. Se você conseguir que a TI aloque um bloco de endereços, obtenha dois switches . Rotule um switch "DMZ" e o outro "Internal". Se eles não alocaram um bloco de endereços, só consiga um switch.

Roteamento / Firewall (supondo que não haja bloco de rede alocado)

Se você não obtiver um bloco de endereços, basta conectar o roteador doméstico à interface de rede externa conectada ao campus e uma interface de rede interna conectada ao seu switch gigabit. Trate a sala como uma rede doméstica, onde você pode chegar ao campus e ao mundo exterior sem problemas, mas o campus e o mundo lá fora terão dificuldade em voltar para você.

Roteamento / Firewall (com um bloco de rede alocado)

Se você recebeu um bloco de endereços, conecte a interface de rede integrada do antigo PC à rede do campus. Eu normalmente instalo o Debian nele.

Depois, eu instalaria as segunda e terceira placas de rede e, em seguida, usaria o meu tarball firewall-bootstrap para configurar o firewall, o DNS, o DHCP e outros serviços críticos (superamos esse roteiro em uma classe para a qual estou executando os laboratórios, mas testes e comentários mais amplos são bem-vindos). Se você tiver a experiência, sinta-se à vontade para fazer outra coisa equivalente.

Todo o resto (com um bloco de rede alocado)

Conecte um comutador ligado a uma das interfaces de rede adicionais no firewall. Verifique as mensagens do kernel para ver qual interface ethernet acabou de surgir. Se você está usando meu script, você quer ter certeza de que o switch interno está em eth1, e o switch DMZ está em eth2.

Conecte os sistemas que precisam estar diretamente acessíveis de fora da sala no comutador DMZ. Conecte todos os outros sistemas ao switch interno.

E a partir daí, honestamente, você precisará fazer mais perguntas conforme necessário. Confio no meu script para configurar o DNS e o DHCP em funcionamento para ambos os segmentos de rede e para bloquear conexões externas por padrão. Mas todo o resto tende a ser específico do site.

A maneira mais simples e elegante de fazer isso seria, infelizmente, ter um firewall no campus. A próxima melhor solução, dependendo de quem você deseja ter acesso ao seu laboratório, seria ter algum tipo de firewall de departamento onde todos que precisassem de acesso estivessem dentro do firewall do departamento.

Se você não puder fazer nada disso - e temo que não vai - você provavelmente terá que configurar um firewall com "allow from [ranges de ip do campus] / deny de todos os outros." Se você quiser acessar essas máquinas de fora do firewall, provavelmente precisará usar os números roteáveis de seus campi.

E como você disse no seu comentário:

Thanks, so if I use my own firewall, I either configure each individual device I mentioned accordingly (iptables on Linux), or I have to arrange for traffic going to these devices to pass through a separate firewall device.

Correto. Eu provavelmente jogaria minhas mãos em desespero e usaria o iptables, mas alguém poderia ter uma resposta melhor para você.

Por fim, só queria confirmar isso:

Each device has an IP address allocated by the network via DHCP (but I am told that these are effectively bound to the MAC addresses for a long time, so the device gets the same IP each time it is powered up), and I have had hostnames assigned to each device, managed by the university's DNS server.

significa que você tem uma reserva DHCP estática. Caso contrário, o servidor DNS da universidade terá que ser atualizado se esses números mudarem.

Boa sorte!