Перейти к контенту
Форум о видеонаблюдении
unlifer

Настройка VLAN

Рекомендуемые сообщения

Цитата

большой минус для меня это одна сетевая карта, в общую сеть не включить, очень сильно ее нагрузит и камеры будут видны как устройства в общей сети

Чем сервер может нагрузить сеть? Если он будет воткнут в один коммутатор с камерами, то нагрузка на общую сеть фактически отсутствует - он будет нагружать общую сеть не больше любого другого ПК в сети.

Если у Вас камеры сидят на управляемых коммутаторах, то ничто не мешает настроить на них VLAN и тем самым раскидать видеонаблюдение и общую сеть. При наличии шлюза поднимаете виртуальные интерфейсы и делаете проброс с нужных ПК из общей сети к серверу, чтобы камеры смотреть через ПО Линия

Если нет управляемых коммутаторов - настройте разные подсети для видеонаблюдения и общей сети, а на шлюзе, который отвечает за работу сетей настройте проброс с нужных ПК из общей сети к серверу либо поднимаете второй алиас на нужных ПК для сетевой карты с IP-адресом из подсети видеонаблюдения, чтобы камеры смотреть через ПО Линия.

Поделиться этим сообщением


Ссылка на сообщение
Поделиться на других сайтах
1 час назад, mishaNT сказал:

Здравствуйте.

Очень вкусное устройство получается, но большой минус для меня это одна сетевая карта, в общую сеть не включить, очень сильно ее нагрузит и камеры будут видны как устройства в общей сети.

Лучше для IP камер сделать отдельную сетевую карту на 100mb.

Как CCNP я тут как раз соглашусь (насчёт общей сети) - для IP камер и клиентов придётся использовать один и тот же VLAN, если не внедрять такую редкую вещь как PrivateVLAN (когда X порт свича видит порты A B Y Z, а порты Y Z видят только X). 

Вариант два - блокировать access-list’ами доступ (кроме IP-адреса XVR и админа) на свиче либо на камерах.

На практике камеры взламывают редко, так что усложнять железку вторым интерфейсом ни к чему.

Изменено пользователем i3laze

Поделиться этим сообщением


Ссылка на сообщение
Поделиться на других сайтах

P.S. Предложенные unlifer варианты гонять видео-трафик между клиентским и видео-VLAN’ами (либо просто интерфейсами) через роутер как раз сильно нагрузят его (если только это не L3-свич), и всё равно на нём потребуются access-list’ы (иначе ничто не помешает из одной сети ходить через роутер в другую).

Изменено пользователем i3laze

Поделиться этим сообщением


Ссылка на сообщение
Поделиться на других сайтах

Все это хорошо, но я практик и как показывает практика, приходя на объект для установки видеонаблюдения, в 90% нет возможности менять уже существующие сети, а доступ к удаленному клиенту нужно: вот этому, вот этому и еще у нас в соседнем здании Павел Петрович (директор) сидит и ему тоже надо и тут начинаются танцы, с установкой вторых сетевых карт, пробросу портов, vpn подключения и т.д.

Если вы скажете, то через интернет же быстро (раз и готово) так вот и такое не всегда, скорость может быть ограничена, порты закрыты, прокси раздает и т.д.

Всем спасибо. Я высказал свое мнение.

Изменено пользователем mishaNT

Поделиться этим сообщением


Ссылка на сообщение
Поделиться на других сайтах

Дублирование физической инфраструктуры сетей самое последнее дело. Достаточно  access-list’ов. В Наблюдательном посте - Администрирование сервера - Сеть они, кстати, тоже есть.

У разработчиков ещё есть возможность выкрутиться:

Нужно реализовать в XVR поддержку суб-интерфейсов и VLAN-меток и настройку этого всего с клиентского Наблюдательного Поста через Администрирование - Сеть. 

Тогда порт свича можно будет пометить как trunk и два разных VLAN’а будут дружить с портом XVR обмениваясь теггированным трафиком.

Вот так, например, выглядят настройки VLAN в интерфейсе Диспетчера Microsoft Hyper-V:

svdc.png

Изменено пользователем i3laze

Поделиться этим сообщением


Ссылка на сообщение
Поделиться на других сайтах
Цитата

Предложенные unlifer варианты гонять видео-трафик между клиентским и видео-VLAN’ами (либо просто интерфейсами) через роутер как раз сильно нагрузят его

Я ни в коем разе не предлагал гонять видео-трафик между vlan'ами.

Основной трафик - это трафик между камерами и сервером, которые, по-хорошему, должны сидеть на одном коммутаторе (что я и предложил сделать), и они же будут находиться в рамках одного vlan (чтобы отделить камеры от общей сети, то есть что mishaNT и хочет сделать). Даже на самом роутере не надо ничего пробрасывать и не надо поднимать виланы на интерфейсах, если хочется, чтобы камеры не были видны в общей сети. Но так как клиенты в общей сети, то читаем мой пост дальше.

Между клиентами и сервером трафик очень даже скудный, так что выражение "гонять видео-трафик" абсолютно не верно для тех вариантов, что я предложил. Даже если клиенты будут в общей сети, а сервер в видео-сети.

Роутер тоже не будет нагружен, потому что в рамках одной подсети трафик идёт напрямую между портами одного vlan'а, потому что на нём имеется собственная динамическая таблица маршрутизации. Максимум вырастит нагрузка на самом коммутаторе этак на 2-3%, на котором будут висеть только камеры и сервер, потому что пакеты вырастут в размере за счёт идентификатора вилана.

К тому же, если mishaNT воткнул сервер в рядом стоящий с собой коммутатор, на котором собственно и находится общая сеть, то он уже нарушил собственное правило - "снизить трафик в общей сети". Если у него камеры раскиданы по всей сети и общая сеть с ними фактически неразделима, то опять сам же нарушил уже тоже самое правило.

Цитата

если только это не L3-свич

Во-первых, не только L3-свичи умеют работать с виланами, L2 тоже это умеют. Даже современные домашние роутеры тоже это умеют.

Во-вторых, настройка виланов уже подразумевает наличие подобных свичей в сети, а если быть ещё более точным - я это и указывал постом ранее.

Если же все коммутаторы неуправляемые \ ненастраиваемые, то вариант с 2-й подсетью (для видеонаблюдения) тоже никак не увеличит трафик в общей сети, если (повторюсь в который раз) сервер и камеры находятся на одном коммутаторе.

Цитата

всё равно на нём потребуются access-list’ы

И это тоже не верно. Vlan'ы сами по себе уже закрывают доступ с других vlan'ов и никаких acl-списков заводить не надо - ни на коммутаторе, ни на роутере. И, кстати говоря, как раз Ваше утверждение, если его воплотить, и увеличит нагрузку на сеть, при том значительно.

Единственные порты, которые могут видеть всё и вся - тегированные. При том, к этим портам должен быть подключен роутер или другое железо, на котором должны быть подняты виртуальные интерфейсы, чтобы он мог видеть, что творится за пределами тэгированного порта. И даже после этого - vlan'ы не увидят друг друга без прописывания нужных правил iptables (если роутер, например, на linux).

Если настройщик коммутатора не имеет представление даже, что такое тэгированные порты, нетэгированные порты и порты, не являющиеся членами какого-либо vlan'а, то извините, но я не в силах спорить и переубеждать кого-либо в чём-то.

Цитата

иначе ничто не помешает из одной сети ходить через роутер в другую

Чуть выше я уже отписался, что и как помешает, а вот чтобы клиенты могли безболезненно из общей сети цепляться к серверу нужно всего два правила в iptables - prerouting и forward - для портов 9780, 9779 и 9786. Либо настройка проброса портов через GUI.

Поделиться этим сообщением


Ссылка на сообщение
Поделиться на других сайтах

unliferСпасибо, посмеялся. На ошибки указывать не буду.

Все описанные в этой теме попытки улучшить безопасность решаются паролями и ACL на сервере Линии и на IP-камерах (в веб-мордах современных камер часто есть настройка списка IP, с которых разрешено подключение). VLANы, роутеры и выделенные физические сети и коммутаторы - слишком сложно для рядовых установщиков ;)

Изменено пользователем i3laze

Поделиться этим сообщением


Ссылка на сообщение
Поделиться на других сайтах

Хорошо у таких сетей садмины есть, которые не пускают нас к своему управляемому сетевому железу :) А если сеть только наша, для видео, я в неё никого не пускаю. 

Ставьте AHD Full HD - это для локалок полезнее. 

Изменено пользователем Fox

Поделиться этим сообщением


Ссылка на сообщение
Поделиться на других сайтах
Цитата

Спасибо, посмеялся. На ошибки указывать не буду

Да нет, укажите тоже посмеюсь :)

Цитата

Все описанные в этой теме попытки улучшить безопасность решаются ACL и паролями на сервере Линии и на IP-камерах (в веб-мордах современных камер часто есть настройка списка разрешенных для подключения IP)

С этим никто не спорит. Вот только одно смущает. Эти списки никоим образом не помогут разделить камеры и общую сеть (чего и добивается человек), их всё также будет видно в общей сети посредством какого-нибудь ip-сканера.

Да, на камерах можно прописать список разрешённых IP, а кто помешает вручную прописать нужный IP-адрес у себя и зайти на камеру? Или прописать адрес камеры, из-за чего она отвалится на сервере? Скажите.

Цитата

VLANы, роутеры и выделенные физические сети и коммутаторы - слишком сложно для рядовых установщиков

А вот это не сложно? :

Цитата

тоже надо и тут начинаются танцы, с установкой вторых сетевых карт, пробросу портов, vpn подключения

Сам автор нашего с Вами спора это написал.

И раз пошла речь об ошибках, но Вы мои озвучивать не хотите, то я озвучу Вашу:

Цитата

Тогда порт свича можно будет пометить как trunk и два разных VLAN’а будут дружить с портом XVR обмениваясь теггированным трафиком.

Не путайте балансировку и оптимизацию пропускной способности посредством объединения нескольких портов в один (trunking) и распределение виртуальных сетей (добавляется порт не в trunk, а в tagged).

Поделиться этим сообщением


Ссылка на сообщение
Поделиться на других сайтах
В 15.11.2017 в 16:19, unlifer сказал:

Не путайте балансировку и оптимизацию пропускной способности посредством объединения нескольких портов в один (trunking) и распределение виртуальных сетей (добавляется порт не в trunk, а в tagged).

unlifer, прочитайте и вам все станет понятно.

Поделиться этим сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или авторизуйтесь, чтобы оставить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

Создать аккаунт

Зарегистрировать новый аккаунт в нашем сообществе. Это несложно!

Зарегистрировать новый аккаунт

Войти

Есть аккаунт? Войти.

Войти

  • Похожий контент

    • Автор: Станислав
      Компания «Девлайн» представляет новинку — «Линия XVR». Это видеорегистраторы, которые могут работать с форматами записи СVI, CVBS, АНD, TVI и IР. Оборудование работает на базе предактивированных лицензий программного обеспечения «Линия» и имеет возможность подключения до 16 камер одновременно, при этом каждый канал настраивается индивидуально.
      IР-видеокамеры, которые можно будет использовать при работе с «Линия XVR» указаны в списке интегрированных камер. Также возможна работа с аналоговыми камерами разрешением UltraНD и ниже.
      Новые устройства позволяют пользоваться всеми возможностями программного обеспечения «Линия»: настройка уровня доступа для различных пользователей, детектор движения с функцией видеоаналитики, «Линия Облако», интеллектуальный модуль «Реакции» и другое.
      Внутри устройства предусмотрено место под два жестких диска для хранения данных.
      Регистратор имеет разъемы VGА и НDMI, через которые можно подключить мониторы и просматривать изображение с 16 видеокамер. Также имеется разъем USB, что позволяет использовать мышку.
      Управление системой видеонаблюдения и ее настройка осуществляются через любое бесплатное клиентское место «Линия» на Windows. Предусмотрено использование смартфонов на базе ОС Аndroid и iОS для управления видеорегистратором.
      Презентация видеорегистратора «Линия XVR»:
    • Автор: Dellirium
      Ещё созрел вопрос, есть объект, на нём 6 серверов Линии по 16 камер.. Они находятся в сети, где почти все IP адреса заняты, все сервера IP-шные и в каждом серваке 2 сетевухи... например сеть самого объекта 192.168.1.1\255... а все камеры в сети 192.168.138.1\255
      Хочу добавить 7й сервер в виде XVR, но как придумать, чтобы и камеры на него писались с сети 138.1\255 и все 12 клиентов могли их просматривать по сети 1.1\255 ???
      Сетевуха в реге одна, а как было бы не плохо, если было бы хотя бы две.. Кто что подскажет.
      Облако не вариант, скорость интернета на объекте 3-5мбит + на нём сидит куча народа.
    • Автор: Ivan_Sc
      Всем здравствуйте!
      Итак, приобретен и установлен на объекте регистратор XVR.
      В целом все нормально, но есть замечания/пожелания.
      1.  Сетевые настройки (как и настройки времени) можно сделать только из admin tool. В самом интерфейсе администирования через пост наблюдения нельзя эти параметры поменять нигде. Не очень, на мой взгляд. NTP сервер тоже нигде не укажешь (либо я пропустил).
      2. В ситуации, когда вместо старого регистратора ставишь XVR, жесткие диски не видны, если просто переставить - необходимо тащить их в комп,  форматировать (я в NTFS форматировал) и уже тогда вставлять в XVR. Регистратор до этого момента вообще не подозревает о существовании винтов на борту.
      3. Касательно самого корпуса. Вот не очень понятно - зачем там столько крепящих крышку винтиков?  Такие вещи делают практически все производители регистраторов. Антивандальность? Время доступа потенциального злоумышленника до дисков? Дык ему быстрее все устройство забрать (что, к слову, и происходит в такого рода случаях).
      Единственное, что дает такой способ крепления крышки - это тренировка в придумывании новых нецензурных словестных конструкций в процессе отвинчивания, особенно если уже подключены камеры, сеть и прочие разъемы, а сам регер стоит где нибудь в шкафу... А вам сменить жесткий диск нужно, к примеру...
      Возможно, стоит сделать нечто более быстросъемное? Так - пожелание на будущее.
      4. Не очень понятно, как сделать определенную матрицу камер для вывода на монитор регистратора по умолчанию.
      5. Не видно, каким пользователем грузится регистратор.
      Однако, повторюсь, в целом все отлично пока. Такого решения давно не хватало, на мой взгляд.
    • Автор: harmful
      Вот первое наблюдение уже: У нас хорошо так просела скорость интернета. Подключаемся через облачный сервис. Единственное используем имя не по умолчанию, а свое зарегистрировали. Какой вообще дает трафик облако на интернет когда к нему никто не подключен для просмотра камер?
    • Автор: didos
      Добрый день! Почему то XVR не управляет камерой AXIS P5534-E, когда сервер стоял на компьютере, через наблюдательный пост управлялась. 
×