Jump to content
Sign in to follow this  
unlifer

Настройка VLAN

Recommended Posts

Цитата

большой минус для меня это одна сетевая карта, в общую сеть не включить, очень сильно ее нагрузит и камеры будут видны как устройства в общей сети

Чем сервер может нагрузить сеть? Если он будет воткнут в один коммутатор с камерами, то нагрузка на общую сеть фактически отсутствует - он будет нагружать общую сеть не больше любого другого ПК в сети.

Если у Вас камеры сидят на управляемых коммутаторах, то ничто не мешает настроить на них VLAN и тем самым раскидать видеонаблюдение и общую сеть. При наличии шлюза поднимаете виртуальные интерфейсы и делаете проброс с нужных ПК из общей сети к серверу, чтобы камеры смотреть через ПО Линия

Если нет управляемых коммутаторов - настройте разные подсети для видеонаблюдения и общей сети, а на шлюзе, который отвечает за работу сетей настройте проброс с нужных ПК из общей сети к серверу либо поднимаете второй алиас на нужных ПК для сетевой карты с IP-адресом из подсети видеонаблюдения, чтобы камеры смотреть через ПО Линия.

Share this post


Link to post
Share on other sites
1 час назад, mishaNT сказал:

Здравствуйте.

Очень вкусное устройство получается, но большой минус для меня это одна сетевая карта, в общую сеть не включить, очень сильно ее нагрузит и камеры будут видны как устройства в общей сети.

Лучше для IP камер сделать отдельную сетевую карту на 100mb.

Как CCNP я тут как раз соглашусь (насчёт общей сети) - для IP камер и клиентов придётся использовать один и тот же VLAN, если не внедрять такую редкую вещь как PrivateVLAN (когда X порт свича видит порты A B Y Z, а порты Y Z видят только X). 

Вариант два - блокировать access-list’ами доступ (кроме IP-адреса XVR и админа) на свиче либо на камерах.

На практике камеры взламывают редко, так что усложнять железку вторым интерфейсом ни к чему.

Edited by i3laze

Share this post


Link to post
Share on other sites

P.S. Предложенные unlifer варианты гонять видео-трафик между клиентским и видео-VLAN’ами (либо просто интерфейсами) через роутер как раз сильно нагрузят его (если только это не L3-свич), и всё равно на нём потребуются access-list’ы (иначе ничто не помешает из одной сети ходить через роутер в другую).

Edited by i3laze

Share this post


Link to post
Share on other sites

Все это хорошо, но я практик и как показывает практика, приходя на объект для установки видеонаблюдения, в 90% нет возможности менять уже существующие сети, а доступ к удаленному клиенту нужно: вот этому, вот этому и еще у нас в соседнем здании Павел Петрович (директор) сидит и ему тоже надо и тут начинаются танцы, с установкой вторых сетевых карт, пробросу портов, vpn подключения и т.д.

Если вы скажете, то через интернет же быстро (раз и готово) так вот и такое не всегда, скорость может быть ограничена, порты закрыты, прокси раздает и т.д.

Всем спасибо. Я высказал свое мнение.

Edited by mishaNT

Share this post


Link to post
Share on other sites

Дублирование физической инфраструктуры сетей самое последнее дело. Достаточно  access-list’ов. В Наблюдательном посте - Администрирование сервера - Сеть они, кстати, тоже есть.

У разработчиков ещё есть возможность выкрутиться:

Нужно реализовать в XVR поддержку суб-интерфейсов и VLAN-меток и настройку этого всего с клиентского Наблюдательного Поста через Администрирование - Сеть. 

Тогда порт свича можно будет пометить как trunk и два разных VLAN’а будут дружить с портом XVR обмениваясь теггированным трафиком.

Вот так, например, выглядят настройки VLAN в интерфейсе Диспетчера Microsoft Hyper-V:

svdc.png

Edited by i3laze

Share this post


Link to post
Share on other sites
Цитата

Предложенные unlifer варианты гонять видео-трафик между клиентским и видео-VLAN’ами (либо просто интерфейсами) через роутер как раз сильно нагрузят его

Я ни в коем разе не предлагал гонять видео-трафик между vlan'ами.

Основной трафик - это трафик между камерами и сервером, которые, по-хорошему, должны сидеть на одном коммутаторе (что я и предложил сделать), и они же будут находиться в рамках одного vlan (чтобы отделить камеры от общей сети, то есть что mishaNT и хочет сделать). Даже на самом роутере не надо ничего пробрасывать и не надо поднимать виланы на интерфейсах, если хочется, чтобы камеры не были видны в общей сети. Но так как клиенты в общей сети, то читаем мой пост дальше.

Между клиентами и сервером трафик очень даже скудный, так что выражение "гонять видео-трафик" абсолютно не верно для тех вариантов, что я предложил. Даже если клиенты будут в общей сети, а сервер в видео-сети.

Роутер тоже не будет нагружен, потому что в рамках одной подсети трафик идёт напрямую между портами одного vlan'а, потому что на нём имеется собственная динамическая таблица маршрутизации. Максимум вырастит нагрузка на самом коммутаторе этак на 2-3%, на котором будут висеть только камеры и сервер, потому что пакеты вырастут в размере за счёт идентификатора вилана.

К тому же, если mishaNT воткнул сервер в рядом стоящий с собой коммутатор, на котором собственно и находится общая сеть, то он уже нарушил собственное правило - "снизить трафик в общей сети". Если у него камеры раскиданы по всей сети и общая сеть с ними фактически неразделима, то опять сам же нарушил уже тоже самое правило.

Цитата

если только это не L3-свич

Во-первых, не только L3-свичи умеют работать с виланами, L2 тоже это умеют. Даже современные домашние роутеры тоже это умеют.

Во-вторых, настройка виланов уже подразумевает наличие подобных свичей в сети, а если быть ещё более точным - я это и указывал постом ранее.

Если же все коммутаторы неуправляемые \ ненастраиваемые, то вариант с 2-й подсетью (для видеонаблюдения) тоже никак не увеличит трафик в общей сети, если (повторюсь в который раз) сервер и камеры находятся на одном коммутаторе.

Цитата

всё равно на нём потребуются access-list’ы

И это тоже не верно. Vlan'ы сами по себе уже закрывают доступ с других vlan'ов и никаких acl-списков заводить не надо - ни на коммутаторе, ни на роутере. И, кстати говоря, как раз Ваше утверждение, если его воплотить, и увеличит нагрузку на сеть, при том значительно.

Единственные порты, которые могут видеть всё и вся - тегированные. При том, к этим портам должен быть подключен роутер или другое железо, на котором должны быть подняты виртуальные интерфейсы, чтобы он мог видеть, что творится за пределами тэгированного порта. И даже после этого - vlan'ы не увидят друг друга без прописывания нужных правил iptables (если роутер, например, на linux).

Если настройщик коммутатора не имеет представление даже, что такое тэгированные порты, нетэгированные порты и порты, не являющиеся членами какого-либо vlan'а, то извините, но я не в силах спорить и переубеждать кого-либо в чём-то.

Цитата

иначе ничто не помешает из одной сети ходить через роутер в другую

Чуть выше я уже отписался, что и как помешает, а вот чтобы клиенты могли безболезненно из общей сети цепляться к серверу нужно всего два правила в iptables - prerouting и forward - для портов 9780, 9779 и 9786. Либо настройка проброса портов через GUI.

Share this post


Link to post
Share on other sites

unliferСпасибо, посмеялся. На ошибки указывать не буду.

Все описанные в этой теме попытки улучшить безопасность решаются паролями и ACL на сервере Линии и на IP-камерах (в веб-мордах современных камер часто есть настройка списка IP, с которых разрешено подключение). VLANы, роутеры и выделенные физические сети и коммутаторы - слишком сложно для рядовых установщиков ;)

Edited by i3laze

Share this post


Link to post
Share on other sites

Хорошо у таких сетей садмины есть, которые не пускают нас к своему управляемому сетевому железу :) А если сеть только наша, для видео, я в неё никого не пускаю. 

Ставьте AHD Full HD - это для локалок полезнее. 

Edited by Fox

Share this post


Link to post
Share on other sites
Цитата

Спасибо, посмеялся. На ошибки указывать не буду

Да нет, укажите тоже посмеюсь :)

Цитата

Все описанные в этой теме попытки улучшить безопасность решаются ACL и паролями на сервере Линии и на IP-камерах (в веб-мордах современных камер часто есть настройка списка разрешенных для подключения IP)

С этим никто не спорит. Вот только одно смущает. Эти списки никоим образом не помогут разделить камеры и общую сеть (чего и добивается человек), их всё также будет видно в общей сети посредством какого-нибудь ip-сканера.

Да, на камерах можно прописать список разрешённых IP, а кто помешает вручную прописать нужный IP-адрес у себя и зайти на камеру? Или прописать адрес камеры, из-за чего она отвалится на сервере? Скажите.

Цитата

VLANы, роутеры и выделенные физические сети и коммутаторы - слишком сложно для рядовых установщиков

А вот это не сложно? :

Цитата

тоже надо и тут начинаются танцы, с установкой вторых сетевых карт, пробросу портов, vpn подключения

Сам автор нашего с Вами спора это написал.

И раз пошла речь об ошибках, но Вы мои озвучивать не хотите, то я озвучу Вашу:

Цитата

Тогда порт свича можно будет пометить как trunk и два разных VLAN’а будут дружить с портом XVR обмениваясь теггированным трафиком.

Не путайте балансировку и оптимизацию пропускной способности посредством объединения нескольких портов в один (trunking) и распределение виртуальных сетей (добавляется порт не в trunk, а в tagged).

Share this post


Link to post
Share on other sites
В 15.11.2017 в 16:19, unlifer сказал:

Не путайте балансировку и оптимизацию пропускной способности посредством объединения нескольких портов в один (trunking) и распределение виртуальных сетей (добавляется порт не в trunk, а в tagged).

unlifer, прочитайте и вам все станет понятно.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

  • Similar Content

    • By anc2002
      Добрый день!
      Не подскажите, совместим ли линия xvr с модулем интеграции 1с, т.е можно ли писать события архива и накладывать текст  из 1с на камеры, подключенные к xvr
    • By Станислав
      Компания «Девлайн» представляет новинку — «Линия XVR». Это видеорегистраторы, которые могут работать с форматами записи СVI, CVBS, АНD, TVI и IР. Оборудование работает на базе предактивированных лицензий программного обеспечения «Линия» и имеет возможность подключения до 16 камер одновременно, при этом каждый канал настраивается индивидуально.
      IР-видеокамеры, которые можно будет использовать при работе с «Линия XVR» указаны в списке интегрированных камер. Также возможна работа с аналоговыми камерами разрешением UltraНD и ниже.
      Новые устройства позволяют пользоваться всеми возможностями программного обеспечения «Линия»: настройка уровня доступа для различных пользователей, детектор движения с функцией видеоаналитики, «Линия Облако», интеллектуальный модуль «Реакции» и другое.
      Внутри устройства предусмотрено место под два жестких диска для хранения данных.
      Регистратор имеет разъемы VGА и НDMI, через которые можно подключить мониторы и просматривать изображение с 16 видеокамер. Также имеется разъем USB, что позволяет использовать мышку.
      Управление системой видеонаблюдения и ее настройка осуществляются через любое бесплатное клиентское место «Линия» на Windows. Предусмотрено использование смартфонов на базе ОС Аndroid и iОS для управления видеорегистратором.
      Презентация видеорегистратора «Линия XVR»:
    • By Dellirium
      Ещё созрел вопрос, есть объект, на нём 6 серверов Линии по 16 камер.. Они находятся в сети, где почти все IP адреса заняты, все сервера IP-шные и в каждом серваке 2 сетевухи... например сеть самого объекта 192.168.1.1\255... а все камеры в сети 192.168.138.1\255
      Хочу добавить 7й сервер в виде XVR, но как придумать, чтобы и камеры на него писались с сети 138.1\255 и все 12 клиентов могли их просматривать по сети 1.1\255 ???
      Сетевуха в реге одна, а как было бы не плохо, если было бы хотя бы две.. Кто что подскажет.
      Облако не вариант, скорость интернета на объекте 3-5мбит + на нём сидит куча народа.
    • By Ivan_Sc
      Всем здравствуйте!
      Итак, приобретен и установлен на объекте регистратор XVR.
      В целом все нормально, но есть замечания/пожелания.
      1.  Сетевые настройки (как и настройки времени) можно сделать только из admin tool. В самом интерфейсе администирования через пост наблюдения нельзя эти параметры поменять нигде. Не очень, на мой взгляд. NTP сервер тоже нигде не укажешь (либо я пропустил).
      2. В ситуации, когда вместо старого регистратора ставишь XVR, жесткие диски не видны, если просто переставить - необходимо тащить их в комп,  форматировать (я в NTFS форматировал) и уже тогда вставлять в XVR. Регистратор до этого момента вообще не подозревает о существовании винтов на борту.
      3. Касательно самого корпуса. Вот не очень понятно - зачем там столько крепящих крышку винтиков?  Такие вещи делают практически все производители регистраторов. Антивандальность? Время доступа потенциального злоумышленника до дисков? Дык ему быстрее все устройство забрать (что, к слову, и происходит в такого рода случаях).
      Единственное, что дает такой способ крепления крышки - это тренировка в придумывании новых нецензурных словестных конструкций в процессе отвинчивания, особенно если уже подключены камеры, сеть и прочие разъемы, а сам регер стоит где нибудь в шкафу... А вам сменить жесткий диск нужно, к примеру...
      Возможно, стоит сделать нечто более быстросъемное? Так - пожелание на будущее.
      4. Не очень понятно, как сделать определенную матрицу камер для вывода на монитор регистратора по умолчанию.
      5. Не видно, каким пользователем грузится регистратор.
      Однако, повторюсь, в целом все отлично пока. Такого решения давно не хватало, на мой взгляд.
    • By harmful
      Вот первое наблюдение уже: У нас хорошо так просела скорость интернета. Подключаемся через облачный сервис. Единственное используем имя не по умолчанию, а свое зарегистрировали. Какой вообще дает трафик облако на интернет когда к нему никто не подключен для просмотра камер?
×