nbrg Posted April 16, 2022 Posted April 16, 2022 (edited) Здравствуйте. Имеется SNR-S2985G, во 2 порт подключены камеры(их не должно быть видно в сети всем, кроме регистратора), в 3 порт подключен регистратор(его должны видеть все, а он камеры). Если 2 порту даем vlan 2, как правильно выбрать режим порта регистратора, чтобы он был виден в остальной сети? Подскажите, пожалуйста, как это правильно реализовать? Вижу такие варианты: Вариант 1 : камеры interface ethernet 1/0/2 access vlan 2 регистратор interface Ethernet 1/0/3 switchport mode hybrid #switchport hybrid native vlan 3 #switchport hybrid allowed vlan 1;2;3 untag Вариант 2 : камеры Switch(config)#interface ethernet 1/0/2 Switch(Config-If-Ethernet1/0/2)#switchport mode hybrid Switch(Config-If-Ethernet1/0/2)#switchport hybrid native vlan 2 Switch(Config-If-Ethernet1/0/2)#switchport hybrid allowed vlan 2;3 регистратор Switch(Config-If-Ethernet1/0/3)#switchport mode hybrid Switch(Config-If-Ethernet1/0/3)#switchport hybrid native vlan 3 Switch(Config-If-Ethernet1/0/3)#switchport hybrid allowed vlan 1;2;3 untag Вариант 3: access vlav 2 порт на камеры Регистратор trunk allowed 2/native vlan Либо можно по-другому? Edited April 16, 2022 by nbrg Вставить ник Quote
alibek Posted April 16, 2022 Posted April 16, 2022 В 16.04.2022 в 13:41, nbrg сказал: Вижу такие варианты: Ничего из перечисленного. Регистратор и камеры выносите в отдельный VLAN. Если на регистраторе только один сетевой интерфейс, то в этот же VLAN добавляете отдельный интерфейс маршрутизатора и настраиваете маршрут и файрвол. Вставить ник Quote
sol Posted April 16, 2022 Posted April 16, 2022 В 16.04.2022 в 13:41, nbrg сказал: Подскажите, пожалуйста, как это правильно реализовать? А ваш регистратор умеет в виланы? Вставить ник Quote
nbrg Posted April 17, 2022 Author Posted April 17, 2022 В 16.04.2022 в 18:42, sol сказал: А ваш регистратор умеет в виланы? Регистраторов много, вланы они не знают, сетевая карта одна на них. В 16.04.2022 в 16:17, alibek сказал: Ничего из перечисленного. Регистратор и камеры выносите в отдельный VLAN. Если на регистраторе только один сетевой интерфейс, то в этот же VLAN добавляете отдельный интерфейс маршрутизатора и настраиваете маршрут и файрвол. Решение с маршрутом через роутер не хочется использовать. Роутер за несколькими свитчами, и хочется наоборот уменьшить трафик в сети, а не гонять его через всю сеть и особенно роутер. Мне казалось типовая задача на уровне свитча разграничить сети вланами, но 1 порт видеть из разных вланов. Вставить ник Quote
YuryD Posted April 17, 2022 Posted April 17, 2022 Из говна сделать конфету - это в раутеры, возможно и микротик. Проще в облако видео свое вещать, иногда за деньгу. Вставить ник Quote
SUrov_IBM Posted April 17, 2022 Posted April 17, 2022 Nbrg, здравствуйте. В 17.04.2022 в 12:23, nbrg сказал: Мне казалось типовая задача Задача, которую Вы обрисовывает называется - маршрутизация. Коммутатор, не занимается маршрутизацией, если он не является L3 гибридным коммутатором (совмещающий роли маршрутизатора и коммутатора). Коммутатору и коммутируемому через него VLAN, абсолютно всё рано, есть у устройства (компьютер, регистратор, телефон, домофон, умный датчик в бачке унитаза и т.п.) IP адрес или нет, для него это L2 уровень, где есть MAC адреса. В 17.04.2022 в 12:23, nbrg сказал: разграничить сети вланами, но 1 порт видеть из разных вланов Чтобы что-то разграничить или маршрутизировать на L3 уровне (IP адресация), устройство должно понимать IP протокол, обычно это - маршрутизатор. В Вашем случае, нужно использовать либо L3 коммутатором (с функционалом маршрутизатора), либо если коммутатор не имеет такого функционала, рядом с коммутатором можно установить маршрутизатор. К коммутатору, в качестве маршрутизатора например можно добавить MIKROTIK (за MIKROTIK меня сейчас закидают тапками, но я высказал мнение) или любой другой маршрутизатор по вкусу и возможности в данной ситуации. Вставить ник Quote
sol Posted April 17, 2022 Posted April 17, 2022 В 17.04.2022 в 12:23, nbrg сказал: Мне казалось типовая задача на уровне свитча разграничить сети вланами, Вы хотите разграничить сеть и это есть стандартная задача для любого коммутатора с поддеркой VLAN. В 17.04.2022 в 12:23, nbrg сказал: но 1 порт видеть из разных вланов. А вот это задача не стандартная. Если бы VLAN-ы были Port Based то было бы проще. С dot1Q VLAN задача "в лоб" не решается. Если для входящего в регистратор трафика можно растегировать два или больше вилана, то как понять к какому VLAN отнести ИСХОДЯЩИЙ из регистратора трафик и навесить на него правильный тэг? Так-то это оксюморон. Надо построить забор, но оставить в заборе дыру для честных людей. Вставить ник Quote
andpuxa Posted April 18, 2022 Posted April 18, 2022 аффтар, в схеме с вланами тебе нужно терминирующее устройство, ака роутер или l3 свитч. если у тебя его нет, используй один vlan, акцесс порты и две группы port isolation Вставить ник Quote
ShyLion Posted April 26, 2022 Posted April 26, 2022 Камеры и рег в отдельный вилан, тогда траффик с камер будет ходить напрямую на рег. Маршрутизировать между виланами роутером, устанавливая доступ уже на уровне маршрутизатора если требуется. Маршрутизатором могут быть разные устройства. Обычно, когда нужно маршрутизировать гигабиты-десятки гигабит - ставят маршрутизатор ядра, ими как правило являются коммутаторы с функционалом Л3, при этом в них часто нет приличного statefull фаервола, а только элементарные списки доступа. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.