Перейти к содержимому
Калькуляторы

NAT 1:1, три десятка хостов, пара сотен мегабит - чем лучше делать?

Есть сеть с IP-камерами, адресация 192.168.1.0/24.

Всего камер примерно три десятка, суммарный битрейт около 180 Мбит/с.

Эти камеры нужно подключить к системе видеонаблюдения, где используется другая адресация (10.1.0.0/16).

Прямую маршрутизацию между сетями делать нежелательно.

Я подумываю, чтобы поставить маршрутизатор Микротик (RB4011), настроить на нем ACL и NAT 1:1 (192.168.1.x <-> 10.1.1.x).

Может быть есть способ лучше и проще?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

4 часа назад, alibek сказал:

Прямую маршрутизацию между сетями делать нежелательно.

Я подумываю, чтобы поставить маршрутизатор Микротик (RB4011), настроить на нем ACL и NAT 1:1 (192.168.1.x <-> 10.1.1.x).

И в чем будет разница-то особо? Там все равно UDP, RTSP и куча рандомных портов - только впустую проц загружать пачкой фильтров. К слову, пачка правил в forward проще и надежнее, чем пачка в NAT. 

 

Если у рега/сервера есть второй порт - ответ очевиден.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

53 минуты назад, jffulcrum сказал:

пачка в NAT

Почему пачка?

Вроде бы Микротик умеет маппить подсети.

Но даже если нет, то 30 хостов это 30 правил. Если эти правила делать не списком, а деревом, то это максимум 5-6 сравнений.

 

Я как-то подсознательно избегаю делать маршрутизацию в 192.168. Всегда получается так, что через какое-то время возникает необходимость добавления еще одной подсети и она как назло оказывается такой же 192.168.1.0/24.

Вообще задача в том, чтобы в БГ добавить камеры общественного сооружения. Для 30 камер dstnat уже неудобен, хочется что-то более простое, но при этом хочется оставить эти сети максимально изолированными друг от друга.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 часа назад, alibek сказал:

Я как-то подсознательно избегаю делать маршрутизацию в 192.168.

"подсознательно избегаю самого простого решения."

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

3 часа назад, alibek сказал:

Вроде бы Микротик умеет маппить подсети. 

 

Умеет, подтверждаю, использую.

разницы в загрузке процессора через netmap и кучи правил сурсната/дестната не заметил, но в конфиге нетмап красивей/лаконичней... подозреваю что в линуксовых(микротовых) потрохах эти правила на самом деле идентичны.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

On 6/10/2021 at 8:36 AM, alibek said:

Прямую маршрутизацию между сетями делать нежелательно.

Почему?

 

On 6/10/2021 at 8:36 AM, alibek said:

камеры нужно подключить к системе видеонаблюдения

А как камеры общаются с системой видеонаблюдения, на 4-ом уровне OSI? Камера стучится в DVR, или DVR подключается к камере? Если первое, то можно всю 192.168.1.0/24 смапить на один адрес в 10.1.0.0/16.

 

А дать камерам адреса из 10.1.0.0/16, не? Их всё равно можно будет спрятать за Mikrotik-ом от остальной сети, и даже давать им адреса из его DHCP.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Сервер подключается к камерам и берет с них потоки.

 

Я предполагаю, что впоследствии будет ещё несколько подобных случаев. И обязательно будут накладки по подсетям, поэтому лучше сразу использовать NAT.

 

Сменить адресацию на камерах нельзя. Это же чужие камеры, они и в других местах используются. Да и вообще сеть чужая и подключать ее в свою нежелательно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

10 hours ago, alibek said:

Сервер подключается к камерам и берет с них потоки.

 

Я предполагаю, что впоследствии будет ещё несколько подобных случаев. И обязательно будут накладки по подсетям, поэтому лучше сразу использовать NAT.

 

Сменить адресацию на камерах нельзя. Это же чужие камеры, они и в других местах используются. Да и вообще сеть чужая и подключать ее в свою нежелательно.

Да, значит NAT не объехать. Выработайте у себя в 10.1.0.0/16 стандартное правило, по которому выделяются диапазоны адресов для отображения "странных" сетей, и мапьте.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.