Jump to content

VLAN или подсеть для отделения видеонаблюдения?

Pentaxer

By Pentaxer
in У нага

 Share

Recommended Posts

Pentaxer

Pentaxer

Posted
Posted (edited)

Как правильно поступить по "фэн-шую" (по науке)?

 

В офисе сеть с маской /24.

Пока общее количество устройств порядка 60: стационарные компы, мобильные клиенты, IoT и "умный дом", NAS, принтеры, система видеонаблюдения. Географически: одно основное здание, прилегающая территория и вспомогательные строения. Ожидается рост количества клиентов.

 

Камеры и регистратор HiWatch, за ними баловства пока не зафиксировано. Используется в т.ч мобильное приложение для доступа к регистратору. Отдельного локального рабочего места у регистратора нет.

 

Логично разделить единую сеть на части. Решил начать с системы видеонаблюдения.

Сейчас так: порт роутера Mikrotik - управляемый L2 POE CISCO - камеры и видеорегистратор. То есть к L2 коммутатору подключены только клиенты из системы видеонаблюдения.

 

Как правильно разделить? 

VLAN?

Отдельная подсеть?

 

Хочется понять преимущества и недостатки каждого из вариантов.

Edited by Pentaxer
jffulcrum

jffulcrum

Posted
Posted

Камеры и реги - это самое дырявое говно дырявого говна, даже хуже принтеров, пример:

 

 

Если всё видео в отдельной L2 сети физической и так - так и оставить. Если надо всё же шарить коммутаторы - только VLAN+жёсткий ACL на L3+ firewall на роутере (а лучше в инет не выпускать, пусть по VPN ходють, и то под. отд.аккаунтами). 

Pentaxer

Pentaxer

Posted
  • Author
Posted
17 minutes ago, jffulcrum said:

Если всё видео в отдельной L2 сети физической и так - так и оставить.

 

Пока это единая сеть с остальными абонентами.

И нужно, чтобы регистратор ходил в инет.

 

Как правильно в этом случае?

straus

straus

Posted
Posted
2 часа назад, Pentaxer сказал:

Как правильно поступить по "фэн-шую" (по науке)?

 

В офисе сеть с маской /24.

Пока общее количество устройств порядка 60: стационарные компы, мобильные клиенты, IoT и "умный дом", NAS, принтеры, система видеонаблюдения. Географически: одно основное здание, прилегающая территория и вспомогательные строения. Ожидается рост количества клиентов.

 

Логично разделить единую сеть на части. Решил начать с системы видеонаблюдения.

Сейчас так: порт роутера Mikrotik - управляемый L2 POE CISCO - камеры и видеорегистратор. То есть к L2 коммутатору подключены только клиенты из системы видеонаблюдения.

 

Как правильно разделить? 

VLAN?

Отдельная подсеть?

 

Хочется понять преимущества и недостатки каждого из вариантов.

В идеале? Отдельная физическая сеть. Это связано не только с вопросами безопасности, но и с большими непрерывными потоками данных. И уже эта сеть подключается в одной точке дальше.

Pentaxer

Pentaxer

Posted
  • Author
Posted
2 hours ago, straus said:

В идеале? Отдельная физическая сеть. Это связано не только с вопросами безопасности, но и с большими непрерывными потоками данных. И уже эта сеть подключается в одной точке дальше.


По факту сейчас так и есть. Посмотрите первый пост.

Камеры и регистратор заведены на отдельный свитч. Он уже прицеплен к роутеру.

 

 

2 hours ago, jffulcrum said:

Тогда VLAN+ACL+правила FW на роутере, чтобы ходил, куда разрешите. 

 

ACL - имеется в виду связка IP и mac? Зачем? Вероятность того, что кто-то будет цеплять ноут вместо камеры - нулевая.

 

А какие правила сделать? Пока такие мысли:

1. Камеры не могут сами устанавливать соединение в другие подсети. Идентификация по IP.
2. Регистратору можно все (к нему через мобильное приложение доступ открыт). Идентификация по IP.

 

PS: камеры и регистратор HiWatch, за ними баловства пока не зафиксировано.

straus

straus

Posted
Posted
7 минут назад, Pentaxer сказал:

По факту сейчас так и есть. Посмотрите первый пост.

Камеры и регистратор заведены на отдельный свитч. Он уже прицеплен к роутеру.

Ну и не надо искать дальше приключений на свою жопу. Основное сделано.

 

8 минут назад, Pentaxer сказал:

ACL - имеется в виду связка IP и mac? Зачем? Вероятность того, что кто-то будет цеплять ноут вместо камеры - нулевая.

 

А какие правила сделать? Пока такие мысли:

1. Камеры не могут сами устанавливать соединение в другие подсети. Идентификация по IP.
2. Регистратору можно все (к нему через мобильное приложение доступ открыт). Идентификация по IP.

 

PS: камеры и регистратор HiWatch, за ними баловства пока не зафиксировано.

А какая цель преследуется? В зависимости от цели выбираются способы решния.

Ну отрежь любым способом доступ всем к сети видеонаблюдения, и отдельно дай тем, кому надо заходить на регистратор. В такой маленькой сети без накладывающихся сегментов способ вообще не принципиален, делай, как удобнее - можно подсети с роутингом, можно VLANы. Причём VLANы здесь наверное излишни. Достаточно банальнейшие две подсети с правилом только для нужных адресов. Можно ещё сделать прямо на маршрутизаторе изолированные порты, которые не видят друг друга, на обе подсети (Port-Based VLANs внутри свитча маршрутизатора, без всяких тэгов).

jffulcrum

jffulcrum

Posted
Posted
9 часов назад, Pentaxer сказал:

Вероятность того, что кто-то будет цеплять ноут вместо камеры - нулевая.

Именно так в сети и пролазят - разок подключиться и найти уязвимое устройство для закрепления и дальнейшего развития . И видимость по L2 не исключена, например в ТД или дешёвом коммутаторе "протекут" VLAN (в Микротике тоже могут, при опред.ошибках конфигурации).

 

9 часов назад, Pentaxer сказал:

Регистратору можно все (к нему через мобильное приложение доступ открыт).

Ну то есть некое облако смотрит ваше видео и так, прекрасно. Отд. Интернет-канал для этого хотя бы завести.

straus

straus

Posted
Posted (edited)

Я всё пытаюсь понять... У ТС есть полностью отдельная аппаратная сеть. То есть, идеал. Достаточно настроить доступ к ней на L3 и отрезать на L2, и всё.

Потом он пишет про VLANы. Но в отдельной сети VLANы не имеют смысла. Первая мысль - что он хочет на тот же коммутатор повесить ещё что-то. Иначе что разделять внутри отдельной сети?

А отрезание целиком сети, висящей на отдельном порту маршрутизатора, делается другими средствами.

 

Кстати, ещё интересный вопрос. У регистратора на камеры и на доступ извне два разных порта, или один? И если два - они в одной подсети, или в разных? Я встречал совершенно уникальные конфигурации.

 

P.S. До конца проснулся и прочитал первый пост полностью. Таки да, с учётом роста сети имеет смысл сделать планировку. Но не "что лучше, L3 или VLAN", а полноценную - разбить на подсети по назначению устройств, возможно разбить на аппаратные сегменты, сделать осмысленную адресацию.

Сначала я не понял, что именно ТС хотел спросить.

Edited by straus
Saab95

Saab95

Posted
Posted

Нужно просто установить везде коммутаторы / роутеры микротик и выдавать IP адреса поштучно с порта, без масок и вланов. Уже на роутере файрволом разрешать кому и куда ходить. Самое лучшее и надежное решение.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.