[nbrg]

Здравствуйте.

 

Имеется  SNR-S2985G, во 2 порт подключены камеры(их не должно быть видно в сети всем, кроме регистратора), в 3 порт подключен регистратор(его должны видеть все, а он камеры).

 

 

Если 2 порту даем vlan 2, как правильно выбрать режим порта регистратора, чтобы он был виден в остальной сети?

 

Подскажите, пожалуйста, как это правильно реализовать? Вижу такие варианты: 

 

Вариант 1 : камеры interface ethernet 1/0/2 access vlan 2

 

регистратор

interface Ethernet 1/0/3 switchport mode hybrid
#switchport hybrid native vlan 3
#switchport hybrid allowed vlan 1;2;3 untag

 

Вариант 2 : камеры

Switch(config)#interface ethernet 1/0/2
Switch(Config-If-Ethernet1/0/2)#switchport mode hybrid
Switch(Config-If-Ethernet1/0/2)#switchport hybrid native vlan 2
Switch(Config-If-Ethernet1/0/2)#switchport hybrid allowed vlan 2;3 

 

регистратор Switch(Config-If-Ethernet1/0/3)#switchport mode hybrid
Switch(Config-If-Ethernet1/0/3)#switchport hybrid native vlan 3
Switch(Config-If-Ethernet1/0/3)#switchport hybrid allowed vlan 1;2;3 untag

 

Вариант 3: access vlav 2 порт на камеры

Регистратор trunk allowed 2/native vlan Либо можно по-другому?

Изменено 16 апреля, 2022 пользователем nbrg

[alibek]

В 16.04.2022 в 13:41, nbrg сказал:

Вижу такие варианты:

Ничего из перечисленного.

Регистратор и камеры выносите в отдельный VLAN.

Если на регистраторе только один сетевой интерфейс, то в этот же VLAN добавляете отдельный интерфейс маршрутизатора и настраиваете маршрут и файрвол.

[sol]

В 16.04.2022 в 13:41, nbrg сказал:

Подскажите, пожалуйста, как это правильно реализовать?

А ваш регистратор умеет в виланы?

 

[nbrg]

В 16.04.2022 в 18:42, sol сказал:

А ваш регистратор умеет в виланы?

 

Регистраторов много, вланы они не знают, сетевая карта одна на них.

 

В 16.04.2022 в 16:17, alibek сказал:

Ничего из перечисленного.

Регистратор и камеры выносите в отдельный VLAN.

Если на регистраторе только один сетевой интерфейс, то в этот же VLAN добавляете отдельный интерфейс маршрутизатора и настраиваете маршрут и файрвол.

Решение с маршрутом через роутер не хочется использовать. Роутер за несколькими свитчами, и хочется наоборот уменьшить трафик в сети, а не гонять его через всю сеть и особенно роутер.

Мне казалось типовая задача на уровне свитча разграничить сети вланами, но 1 порт видеть из разных вланов.

[YuryD]

 Из говна сделать конфету - это в раутеры, возможно и микротик. Проще в облако видео свое вещать, иногда за деньгу.

[SUrov_IBM]

Nbrg, здравствуйте.

 

В 17.04.2022 в 12:23, nbrg сказал:

Мне казалось типовая задача

Задача, которую Вы обрисовывает называется - маршрутизация. Коммутатор, не занимается маршрутизацией, если он не является L3 гибридным коммутатором (совмещающий роли маршрутизатора и коммутатора). Коммутатору и коммутируемому через него VLAN, абсолютно всё рано, есть у устройства (компьютер, регистратор, телефон, домофон, умный датчик в бачке унитаза и т.п.)  IP адрес или нет, для него это L2 уровень, где есть MAC адреса.

 

В 17.04.2022 в 12:23, nbrg сказал:

разграничить сети вланами, но 1 порт видеть из разных вланов

Чтобы что-то разграничить или маршрутизировать на L3 уровне (IP адресация), устройство должно понимать IP протокол, обычно это - маршрутизатор.

 

В Вашем случае, нужно использовать либо L3 коммутатором (с функционалом маршрутизатора), либо если коммутатор не имеет такого функционала, рядом с коммутатором можно установить маршрутизатор. К коммутатору, в качестве маршрутизатора например можно добавить MIKROTIK (за MIKROTIK меня сейчас закидают тапками, но я высказал мнение) или любой другой маршрутизатор по вкусу и возможности в данной ситуации.

[sol]

В 17.04.2022 в 12:23, nbrg сказал:

Мне казалось типовая задача на уровне свитча разграничить сети вланами,

Вы хотите разграничить сеть и это есть стандартная задача для любого коммутатора с поддеркой VLAN.

 

В 17.04.2022 в 12:23, nbrg сказал:

но 1 порт видеть из разных вланов.

А вот это задача не стандартная. Если бы VLAN-ы были Port Based то было бы проще. С dot1Q VLAN задача "в лоб" не решается.

Если для входящего в регистратор трафика можно растегировать два или больше вилана, то как понять к какому VLAN отнести ИСХОДЯЩИЙ из регистратора трафик и навесить на него правильный тэг?

 

Так-то это оксюморон. Надо построить забор, но оставить в заборе дыру для честных людей.

 

 

[pppoetest]

Port isolation?

[andpuxa]

аффтар, в схеме с вланами тебе нужно терминирующее устройство, ака роутер или l3 свитч. если у тебя его нет, используй один vlan, акцесс порты и две группы port isolation

[ShyLion]

Камеры и рег в отдельный вилан, тогда траффик с камер будет ходить напрямую на рег. Маршрутизировать между виланами роутером, устанавливая доступ уже на уровне маршрутизатора если требуется.

Маршрутизатором могут быть разные устройства. Обычно, когда нужно маршрутизировать гигабиты-десятки гигабит - ставят маршрутизатор ядра, ими как правило являются коммутаторы с функционалом Л3, при этом в них часто нет приличного statefull фаервола, а только элементарные списки доступа.