AntonioShum Posted March 3 Posted March 3 Добрый день! В сетях я новенький, поэтому прошу отнестись с пониманием и поделиться опытом работы. Строим сеть на GPONe для системы видеонаблюдения в небольшом городе и прилегающих поселках. На данный момент база на 100 точек, но есть в планах куда расти. Подскажите как обезопасить сеть от проникновения "инородных" устройств - имеется ввиду левых ПК, камер, петель и прочего. Каким образом ограничить доступ в сеть - по mac-адресу или иными методами аутентификации? И какое оборудование и ПО порекомендуете? Голова Eltex, онушки тоже. Буду благодарен за наставление! Вставить ник Quote
AlexMSQ Posted March 3 Posted March 3 1. DHCP-Snooping и желательно еще DHCP-Relay 2. Option 82 2.1 в качестве Cirсuit-ID можно MAC или IP ONT использовать или любой другой идентификатор ейный 2.2 Remote-ID использовать IP головы, можно еще на каждый PON-порт головы настроить отдельный remote-ID 3. Ip Source Guard 4. DHCP-сервер, настроенный, на обработку Option 82 Простейшая рабочая схема. Можно еще в DHCP-сервере включить еще и проверку MAC. И потом фильтровать чем-нибудь эти MAC-и на входе в вашу сеть, тот же IPSET например или управлять ACL-ом на свитче по SNMP. Вставить ник Quote
TheUser Posted March 3 Posted March 3 5 часов назад, AntonioShum сказал: левых ПК, камер, петель и прочего Если вы сеть строите под видеокамеры, то зачем им доступ в Интернет? С камеры доступ только к серверу видеонаблюдения. Вставить ник Quote
AntonioShum Posted March 3 Author Posted March 3 1 час назад, TheUser сказал: Если вы сеть строите под видеокамеры, то зачем им доступ в Интернет? Всё верно, в интернет они ходить не будут. Только для передачи данных от камеры и до серверного оборудования. 1 час назад, AlexMSQ сказал: 1. DHCP-Snooping и желательно еще DHCP-Relay 2. Option 82 2.1 в качестве Cirсuit-ID можно MAC или IP ONT использовать или любой другой идентификатор ейный 2.2 Remote-ID использовать IP головы, можно еще на каждый PON-порт головы настроить отдельный remote-ID 3. Ip Source Guard 4. DHCP-сервер, настроенный, на обработку Option 82 Простейшая рабочая схема. Можно еще в DHCP-сервере включить еще и проверку MAC. И потом фильтровать чем-нибудь эти MAC-и на входе в вашу сеть, тот же IPSET например или управлять ACL-ом на свитче по SNMP. Спасибо за информацию. Очень много непонятного и неизвестного, но будем изучать. А у Вас случаем нет ссылок на порталы с примерной рабочей конфигурацией чтобы понимать что и как Вставить ник Quote
AlexMSQ Posted March 4 Posted March 4 Quote Спасибо за информацию. Очень много непонятного и неизвестного, но будем изучать. А у Вас случаем нет ссылок на порталы с примерной рабочей конфигурацией чтобы понимать что и как Вы знаете, вот для каждой PON-головы свой рабочий комплект этого дела, даже может быть для разных серий одной модели! Я знаю модели, например, где Snooping и Relay не могут работать одновременно... Про DHCP с Option 82 была статья на Хабре, кажется, там через классы прописывали сервер. Вставить ник Quote
Saab95 Posted March 11 Posted March 11 В 03.03.2026 в 16:52, AntonioShum сказал: Спасибо за информацию. Очень много непонятного и неизвестного, но будем изучать. А у Вас случаем нет ссылок на порталы с примерной рабочей конфигурацией чтобы понимать что и как Это все не требуется. В 03.03.2026 в 10:02, AntonioShum сказал: Подскажите как обезопасить сеть от проникновения "инородных" устройств - имеется ввиду левых ПК, камер, петель и прочего. Каким образом ограничить доступ в сеть - по mac-адресу или иными методами аутентификации? И какое оборудование и ПО порекомендуете? Нужно настроить схему VLAN на ONU. Заводите каждый влан на роутер (лучше использовать микротик). 1. Если используете статическую адресацию, то есть вручную устанавливаете IP камерам и другому оборудованию - можно в центре сети на роутере жестко привязать IP - ARP записи к MAC адресам камер и устройств. В таком случае, если кто-то подключится к сети с камерами (например к одной из онушек), он увидит только устройство от этой онушки (в этом влане), получить доступ в сеть не сможет, т.к. ARP записи для его устройства нет. Если он посмотрит мак адрес на камере и поставит себе его - то сможет получить доступ в сеть. 2. Если раздаете IP адреса автоматически - так же можно по мак адресу сделать привязку ARP. Но самое лучше это использование PPPoE для подключения камер - в таком случае никто никуда не сможет подключиться, т.к. для каждой камеры свой логин и пароль используется. Вставить ник Quote
AntonioShum Posted March 12 Author Posted March 12 Добрый день. 13 часов назад, Saab95 сказал: Нужно настроить схему VLAN на ONU. Заводите каждый влан на роутер (лучше использовать микротик). Так и сделано. В данный момент используется статическая адресация без привязки к MAC адресам. 13 часов назад, Saab95 сказал: 2. Если раздаете IP адреса автоматически - так же можно по мак адресу сделать привязку ARP. Думал пойти по второму варианту, но не совсем понимаю как использовать PPPoE на камерах. Поднял сейчас тестовые PPPoE-сервер на микротике и завел тестового клиента. Через PPPoE привязал ему IP, соединение поднялось, но не могу понять следующее. Если я сделаю что ip-адрес камера будет получать автоматически от DHCP-сервера с привязкой по МАС, то что дает тогда PPPoE-авторизация и её отдельный IP? Прошу пожалуйста объяснить, а то не до конца понял что и как должно работать. Вставить ник Quote
Saab95 Posted March 12 Posted March 12 Все IP камеры умеют подключаться через PPPoE соединение. То есть на камере вы никакой IP адрес не настраиваете - сразу выбираете раздел настроек PPPoE и вводите логин и пароль. Заходить будете по тому IP адресу, который указали в учетной записи этого подключения на микротике. При таком способе получаете следующие преимущества: 1. Ограничение доступа на камеры - доступ можно получить только через PPPoE сервер - где можете настроить любые ограничения. Подключиться вне центра не получиться (при работе с IP адресами, по старинке, получить доступ на камеру можно находясь рядом с камерой). 2. Защиту от подмены камеры - не зная логина и пароля невозможно установить (подменить) камеру. В случае работы с IP адресами, можно узнать ее адрес и подменить картинку с камеры. 3. Удобный контроль работы камер - в списке подключений PPPoE сервера будут показаны все активные подключения, время работы. Если какая-то камера постоянно переподключается - это легко обнаружить. В случае же работы с IP адресами, какие-то временные обрывы связи могут быть не заметны, если специально пингом не контролировать. Вставить ник Quote
sdy_moscow Posted March 12 Posted March 12 1. Давайте начнем с того, какую безопасность надо обеспечить? Левое устройство, если отключить авторегистрацию на голове, просто так в ПОН сеть не подключить. А вот сделать так, чтобы ветка ПОН перестала работать и вы замучились искать причину, при наличии физического доступа к части сети можно без проблем, для важных объектов это может быть существенной проблемой. 2. Выбирая ПОН в качестве среды для видеонаблюдения вам стоит ВНИМАТЕЛЬНО посчитать насколько вам подойдет такая технология. Обратный канал делится между всем точками, без потери качества вы сможете задействовать его где-то процентов на 50, это (для обычного не 10ГБитного пона) будет 500 Мбит в пределе, при превышении будут потери и выпадения, для видеонаблюдения это совсем не айс. Если поставите хорошие IP камеры, то может оказаться, что больше 15-25 камер на ветку не подключить, так-что ДУМАЙТЕ и СЧИТАЙТЕ ТЩАТЕЛЬНЕЕ! Вставить ник Quote
Ivan_83 Posted March 12 Posted March 12 Так в PoN есть стандартные средства. Обычно там терминал по S/N аутентифицируется + привязка MAC для подключённого девайса. Вариант PPPoE - аттавизм для переползающих с ADSL телефонистов. Это вариант когда терминал бриджом стоит, а для устройства он как розетка с эзернетом где адрес выдаётся по DHCP. Петель там нет, изоляцию между клиентами на голове вроде можно включить. Дальше на каждую головную станцию по влану с отельной сетью до сервера куда потоки льются. Если прям надо защищаться от подмены камеры - это уже отдельная история, PoN тут не при делах вообще, его задача пакеты доставлять. И вам правильно сказали что PoN предназначен чтобы абоненты качали но не раздавали, оно ассиметричное как и ADSL, те возможно это не самое лучшее решение, как минимум оно в такой конфигурации будет работать не оптимально. Вставить ник Quote
Saab95 Posted March 13 Posted March 13 20 часов назад, Ivan_83 сказал: И вам правильно сказали что PoN предназначен чтобы абоненты качали но не раздавали, оно ассиметричное как и ADSL, те возможно это не самое лучшее решение, как минимум оно в такой конфигурации будет работать не оптимально. Пон делают по причине того, что достаточно одного волокна. У нас есть сети в поселках, где по 30-50 камер подключены через пон на столбах, совместно с абонентскими подключениями. На одном волокне висело, самое большое, камер 20-25, поток с камер 12-13мбит, никаких проблем не возникало. Были настроены приоритеты видео трафика над абонентским. Абоненты тоже особо не страдали, т.к. обратный канал в сторону интернета загружен не сильно. 20 часов назад, Ivan_83 сказал: Обычно там терминал по S/N аутентифицируется + привязка MAC для подключённого девайса. Вариант PPPoE - аттавизм для переползающих с ADSL телефонистов. PPPoE вводится на камере в качестве L2 доступа. 21 час назад, sdy_moscow сказал: 1. Давайте начнем с того, какую безопасность надо обеспечить? Левое устройство, если отключить авторегистрацию на голове, просто так в ПОН сеть не подключить. Никто не будет подключать другое устройство ПОН в сеть - могут открыть ящик на столбе и подключиться к камерам. Вставить ник Quote
Ivan_83 Posted March 13 Posted March 13 1 hour ago, Saab95 said: PPPoE вводится на камере в качестве L2 доступа. Так бесполезное же занятие. Достаточно было привязать мак камеры к IP и порту. Вставить ник Quote
sdy_moscow Posted March 13 Posted March 13 2 часа назад, Saab95 сказал: Никто не будет подключать другое устройство ПОН в сеть - могут открыть ящик на столбе и подключиться к камерам. Можно! А ЗАЧЕМ? Вставить ник Quote
straus Posted March 13 Posted March 13 2 часа назад, Saab95 сказал: PPPoE вводится на камере в качестве L2 доступа Я где-то слышал, что L2 это устаревшая технология. Вставить ник Quote
Saab95 Posted March 13 Posted March 13 2 часа назад, Ivan_83 сказал: Так бесполезное же занятие. Достаточно было привязать мак камеры к IP и порту. Когда камера работает через PPPoE - на нее не попадает всякий мусорный трафик, вроде ARP запросов, от которого камеры периодически зависают или теряют управление. Поэтому если камеры подключаются в большой сети, например в коммутатор, где много других устройств - PPPoE соединение будет работать лучше. 1 час назад, sdy_moscow сказал: Можно! А ЗАЧЕМ? Подключиться к камерам, посмотреть картинки и т.п. 1 час назад, straus сказал: Я где-то слышал, что L2 это устаревшая технология. Да, так и есть - вся передача данных должна идти поверх IP, то есть уровень L3. Вставить ник Quote
sdy_moscow Posted March 13 Posted March 13 16 минут назад, Saab95 сказал: Подключиться к камерам, посмотреть картинки и т.п. Надо быть отчаянным идиотом, что-бы это делать возле работающей камеры! Вставить ник Quote
Ivan_83 Posted March 14 Posted March 14 2 hours ago, Saab95 said: Поэтому если камеры подключаются в большой сети, например в коммутатор, где много других устройств - PPPoE соединение будет работать лучше. Так я же написал про изоляцию между клиентами включённую на голове, а дальше голова в отдельном влане до маршрутизатора/сервера, в итоге там будет только арп от роутера/сервера на камеру лететь. Возится с настройкой пппое - нуегонафиг. 2 hours ago, Saab95 said: Да, так и есть - вся передача данных должна идти поверх IP, то есть уровень L3. Ага, а на п2п линках можно вместо эзернет сразу IP заголовок в кадр писать %) Вставить ник Quote
dvb2000 Posted March 14 Posted March 14 (edited) Quote Добрый день! В сетях я новенький, поэтому прошу отнестись с пониманием и поделиться опытом работы. Строим сеть на GPONe для системы видеонаблюдения в небольшом городе и прилегающих поселках. На данный момент база на 100 точек, но есть в планах куда расти. Подскажите как обезопасить сеть от проникновения "инородных" устройств - имеется ввиду левых ПК, камер, петель и прочего. Каким образом ограничить доступ в сеть - по mac-адресу или иными методами аутентификации? И какое оборудование и ПО порекомендуете? Голова Eltex, онушки тоже. Буду благодарен за наставление! Начнём с начала. Так как уже тут правильно подметили, такое на GPONe не делают. В худшем случае это можно делать на XGS-PONе. И то, если в одной из точек, какой-то вредитель, "засветит" оптику, то ляжет вся эта сеть. И всё из за сего, а, из за того, что любой PON, это BUS, шина, в которой один поганый лист, может положить всё дерево. Далее, в каждой из ста точек, в ящике к ONU подключаем коммутатор, на нужное количество портов, скажем 24 или 48 и он должен быть PoE, чтоб питать камеры, а от него уже до камер медный сетевой кабель. На портах доступа этого коммутатора настраиваем dhcp snooping, loopback detection, broadcast storm control и самое главное IEEE 802.1X. Так пионеры вредители не смогут вместо камер подключить свой вредоносные приблуды. Камеры конечно тоже должны поддерживать IEEE 802.1X. А сегодня это делают даже последние китайские hikvision и dahua. А терминировать и IEEE 802.1X авторизировать всех клиентов можно даже на FreeRADIUS сервере. Этого достаточно чтобы минимизировать начинающих вредоносов Edited March 14 by dvb2000 Вставить ник Quote
vurd Posted March 14 Posted March 14 21 час назад, Saab95 сказал: Никто не будет подключать другое устройство ПОН в сеть - могут открыть ящик на столбе и подключиться к камерам. Потоки камер закрыты user:pass, ничего там никто не увидит. Какой еще нафиг микротик и pppoe вы предлагаете? Совсем уже что-ли? @AntonioShum Непонятно какая задача. Начать надо с этого. Прямо четко надо понять ЧТО мы хотим. Петли обрубаются включением их определения. Жесткий доступ регулируется мак фильтром на порту апстрима или на пон-порту, по возможности. Если один влан на всю сеть. Сверху опциональный ДХЦП со статическим лизами ip-mac. Всё. Остальное избыточно и ненужно. Вставить ник Quote
Saab95 Posted March 14 Posted March 14 7 часов назад, dvb2000 сказал: Далее, в каждой из ста точек, в ящике к ONU подключаем коммутатор, на нужное количество портов, скажем 24 или 48 и он должен быть PoE, чтоб питать камеры, а от него уже до камер медный сетевой кабель. 24 или 48 камер на одну онушку? На улице это первым и сгорит. Вставить ник Quote
dvb2000 Posted March 15 Posted March 15 (edited) Если делать на вменяемом оборудовании, а не на каком то голимом микротике, то ничего и не сгорит. Кроме того, каждая точка, это всегда какое-то количество камер, а подключать в одной точке к каждой камере отдельный ONU, и запитывать каждую камеру отдельно, вместо установки коммутатора с PoE может вообразить только тот кто пользуется микротиками. Edited March 15 by dvb2000 Вставить ник Quote
Andrei Posted March 15 Posted March 15 22 часа назад, dvb2000 сказал: в каждой из ста точек, в ящике к ONU подключаем коммутатор, на нужное количество портов, скажем 24 или 48 и он должен быть PoE, чтоб питать камеры, а от него уже до камер медный сетевой кабель. Горит такая схема во время гроз аки свечка. Проверено. Вставить ник Quote
Saab95 Posted March 15 Posted March 15 11 часов назад, dvb2000 сказал: Если делать на вменяемом оборудовании, а не на каком то голимом микротике, то ничего и не сгорит. Сгорит как раз очень быстро. Не забывайте как устроена схемотехника подобных коммутаторов - все линии питания объединены вместе, гальванической развязки по портам нет. И если подключить 10 кабелей по 50 метров, то суммарная длина объединенных соединений будет 500 метров. Тут любая маленькая наводка, при такой длине проводников для ее накопления, приводит к поломкам. 11 часов назад, dvb2000 сказал: запитывать каждую камеру отдельно, вместо установки коммутатора с PoE может вообразить только тот кто пользуется микротиками. У нас тысячи и десятки тысяч установок камер, и все камеры подключены через блоки PoE от UBNT (48 вольт), проблем вообще никаких нет, многие блоки и камеры уже более 10 лет работает без отказов. В том числе и уличных ящиках без подогрева. Если есть заземление - экранированный кабель витая пара, экран отдельно зажат под винтовые клеммы с кабелем заземления. Вот как раз в местах, где какие-то PoE коммутаторы - там или порты/камеры сгорают, или непонятные перезагрузки / зависания, да и коммутаторы раз в 3-4 года выходят из строя. Коммутаторы разных производителей, в том числе и хуавей, циски, купленные новыми. Не сгорают и не глючит ничего в коммутаторах руджедтком - но там и гальваническая развязка есть, и схемотехника питания с двойным запасом по мощности, цена правда такая, что можно по 10 блоков отдельного питания на каждую камеру приобрести. Вставить ник Quote
Ivan_83 Posted March 15 Posted March 15 On 3/14/2026 at 11:51 AM, dvb2000 said: самое главное IEEE 802.1X. On 3/14/2026 at 11:51 AM, dvb2000 said: Так пионеры вредители не смогут вместо камер подключить свой вредоносные приблуды. ЛАЖА. Я тут пока гулял понял почему 802.1X полностью бесполезен: выключаем клиента, подключаем его через хаб/неуправляемый свич. На стороне вумного коммутатора порт флапается и переходит к запросу аутентификации, на стороне клиента тоже самое. Клиент делает аутентификацию и всё начинает работать. Подключаемся ноутом/чем угодно к нашему неуправляемому свичу, снифаем мак камеры, прописываем его себе вместе с IP адресом камеры и можем под видом камеры делать что угодно в сети типа защищённой 802.1Х. Те это всё трата времени, и если в 1990х это была дорогая атака ибо ноут дорогой и коммутатор дорогой то сейчас необходимое можно на свалке найти. Проще настроить фильтрацию по МАК - будет почти тоже самое: совсем дятлы и про такое не догадаются. Вставить ник Quote
sdy_moscow Posted March 16 Posted March 16 @Ivan_83 Я бы так сказал, что любые методы защиты информации основанные не на сильной криптографии с закрытыми ключами и гарантией физической защиты ключей шифрования будут так или иначе уязвимы. Если у кого-то будет свободный доступ к вашей PON сети, я бы боялся не того, что кто-то в неё подключится (ну не припомню я таких случаев), а того, что у вас украдут оборудование или физически повредят оборудование или кабели. Из забавных инцидентов вспомню разве ситуацию, как какие-то умники вварились в наши кабели в темные волокна, вместо того, что-бы строить свои сети, при очередных работах были отрезаны.... Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.