实验室网络¶
PACMAN 管辖的所有场所都拥有统一的网络,包括两个办公室(9-324、8-301)、会议室(9-320)和机房(9-322),并提供有线和无线两种接入方式。
无线网络覆盖了所有的场所以及 8-202 会议室,提供 PACMAN(双频)和 PACMAN-5G 两个 SSID,口令相同(请向任何一个 PACMAN 成员线下询问)。目前实验室无线网络存在一定的访问性问题,但近期可能无法完全解决。
下列所有的配置都可以在 NetBox 中查询。
迁移计划¶
东主楼的办公室、机房将于 2024 年中搬迁到自强科技楼,具体时间线安排如下:
由于机房搬迁、新楼网络拓扑修改无法确定具体日期,故网络迁移也没有具体日程。
在迁移过程中,各类型服务均可能发生无通知的中断。请及时保存工作进度。
VLAN 划分¶
目前实验室共有以下的 VLAN:
- VLAN1:旧 PACMAN 内网,仅用于向后兼容,通常不应该使用;
- VLAN2:清华校园网(动态 IP),可由 DHCP 获得
166.111.69.0/24网段的地址,并提供 DHCPv6,连接后可作为正常校园使用(需要准入、准出); - VLAN3:清华校园网(静态 IP),可配置
166.111.68.160/28网段的静态地址,并提供 DHCPv6,但必须先向系里申请,自行配置无法使用; - VLAN4:PACMAN 内网,可由 DHCP 获得(或者自行配置)
172.23.0.0/16网段的地址,无 IPv6,是大部分设备所处的 VLAN; - VLAN5:管理网,连接了关键的网络设备(如交换机、无线 AP 等)和网关服务器,仅有明确授权的设备和接入点才能使用;
- VLAN6:清华校园网(静态 IP)备份接入:与 VLAN3 功能相同,但来自另一个物理接入点。
各种接入方式的 VLAN 配置是不同的,列举如下:
- 办公室、会议室有线网络(接入至 9-324 办公室的交换机):VLAN4 (untagged)、VLAN2 (tagged)
- 机房非核心交换机:VLAN4 (untagged)、VLAN2 (tagged)、VLAN3 (tagged)
- 机房核心交换机:所有 VLAN (tagged)
- 无线网络(PACMAN 和 PACMAN-5G):VLAN4 (untagged)
在不加任何配置的情况下,连接到网络的设备通常默认会使用 untagged 的 VLAN。而通过配置 VLAN 接口,还可以同时使用 tagged 网络。这样,一个设备只需要接入一根端口就能接入不同的网络。
PACMAN 内网¶
地址分配¶
PACMAN 内网的地址段为 172.23.0.0/16,其中 DHCP 的地址分配从 172.23.100.0 开始。如有需要,你可以自行指定静态地址,网关、DNS 服务器均为 172.23.0.1。
或者,也可以向管理员申请固定的 DHCP 地址(绑定到物理接口的 MAC 地址)。
以下的子网是预留的,请不要使用,否则可能影响正常网络服务:
172.23.[0-10].0/24:管理用途和部分服务器的固定 DHCP 地址172.23.33.0/24:gorgon集群172.23.[1-2]41.0/24:bic集群172.23.1[3-4].0/24:超算集群172.23.15.0/24:ja集群172.23.18.0/24:nico集群与相关服务器
此外,也有用户预留了部分网段,在配置静态地址时也请尽量避开:
172.23.35.0/24:于纪平(也用于“大数据系统导论”课程的虚拟机集群)
搜索域¶
所有 DHCP 的客户端将被自动注册在 lab.pacman-thu.org 的域名下,通过 hostname.lab.pacman-thu.org 即可访问。
DHCP 服务器会自动下发搜索域(search domain),你也可以手工配置为 lab.pacman-thu.org。
这样,访问内网的主机不需要书写完整的域名,只需要使用主机名即可,如:
ssh gorgon0curl http://fermat
因此,我们推荐所有用户使用 DHCP 来获得地址。否则,将失去这一便利。
端口映射(DNAT)¶
PACMAN 内网使用了 NAT,出流量的源地址为 166.111.68.168,入流量的源地址为 166.111.68.163。出入分离的设计有助于增强灵活性。
由于 NAT 的存在,外部用户如果需要直接访问内网服务器,则需要通过跳板或者端口映射(DNAT)来进行。
我们通常不推荐用户使用端口映射,因为直接向互联网暴露的开放端口显著降低了安全性,可能导致内网被攻击。如有确实需要,请联系管理员进行配置。