1. Здраво и добредојдовте на форумот на IT.mk.

    Доколку сеуште не сте дел од најголемата заедница на ИТ професионалци и ентузијасти во Македонија, можете бесплатно да се - процесот нема да ви одземе повеќе од 2-3 минути, а за полесна регистрација овозможивме и регистрирање со Facebook и Steam.
    Сокриј

Мислење околу дизајн на мрежа

Дискусија во форумот 'LAN // WAN // MAN // PAN // CAN' започната од smole, 17 Мај 2018.

Тагови:
  1. smole

    smole
    Unstoppable

    2,924
    3,275
    18 Април 2007
    Ситуацијате е следна:

    Рутер Mikrotik RB2011 (во него влага оптика)
    мрежата се користи за уреди да се врзуваат на Интернет
    на мрежата има DVR кој има отворени порти кон Интернет за да може да се пристапува кон него од WAN (истово може да се реши и со VPN но сега за сега не е потребно).

    Се планира воведување на IP CCTV (switch до подалечните места и од него да искача мрежен кабел за во IP камерите) и прашањето ми е дали да се оди со managed switch за да се оддели IP video traffic-от од останатиот трафик преку VLAN, а бидејќи DVR е отворен кон интернет да не е џабе VLAN-от.

    Ако се оди со managed switch планирам да земам Mikrotik CRS328-24P-4S+RM .
     
  2. bogoevski

    bogoevski
    Unstoppable

    1,685
    2,662
    29 ноември 2009
    Машко
    Сваштара
    Убаво е да го одвоиш сообраќајот со VLAN tagging.
    Мада, ако имаш доволно бендвит низ внатрешната мрежа и немора.
    CRS328 ти е супер future-proof варијанта, ако утре/задутре се решиш да одвоиш VoIP, NVR и други типови на сообраќај во свои VLAN-и.
     
    На null_ptr и smole им се допаѓа ова.
  3. Luki Junior

    Luki Junior
    Gaining Experience

    150
    261
    28 Декември 2015
    Машко
    Јас би го одделил сообраќајот. Ем поради технички причини, ем поради легални причини штом веќе ќе имаш CCTV. Со “физичкото“ одделување го минимизираш ризикот за недозволен пристап до самите камери. Или и обратно. Ако некој се закачи за камерите, нема да има достап до податоците во другата мрежа. Штом се работи за CCTV и најчесто снимање на локации кадешто може да дојде до конфликт или злоупотреба на лични информации, снимки, за да бидеш технички и легално посигурен на долгорочен план е подобро одделувањето на сообраќајот.

    “Физичкото“ одделување (ако е возможно и исплатливо) е модел кој има релативно низок ризик од надворешни влијанија. Имам едно прашање: Зошто мораш да користиш ДВР, кога всушност ти треба НВР како што ја опишуваш целата мрежа и конструкција?
     
    На smole му/ѝ се допаѓа ова.
  4. smole

    smole
    Unstoppable

    2,924
    3,275
    18 Април 2007
    Ова што сега го имам е пентабрид ДВР т.е. уред кој е хибриден микс на DVR+NVR, за да се користат старите аналогни камери а и во исто време има во уредов можност за користење и на IP камери.

    Ако во иднина се покаже потреба од повеќе IP камери одошто може сегашниот уред да поддржи ќе се оди на Blue Iris (компјутерска конфигурација со Windows наменета специјално за оваа задача) - аналогните IP камери во него ќе влагаат како RTSP стримови а IP камерите директно во него ќе влагаат и само он ќе снима,а сегашниот DVR ќе служи само за енкодирање на аналогното видео од старите камери и транспорт до Blue Iris.


    Мрежата сега а и во блиска иднина е под моја контрола т.е. нема надворешни лица, но бидејќи постои некаква можност некогаш да треба да се прави дополнителен VLAN за други лица, затоа гледам еднаш да купам managed switch и да завршам со тоа.

    Мене најбитното прашање ми е:
    VLAN1 - PC мрежа
    VLAN2 - DVR и IP камери

    Дали е можно DVR да се гледа и пристапува покрај default VLAN-от 2 и од VLAN1 и од WAN, а IP камерите да се достапни само од VLAN2?
     
  5. Luki Junior

    Luki Junior
    Gaining Experience

    150
    261
    28 Декември 2015
    Машко
    Би требало да може со InterVLAN switching, во кој дефинираш кои IP адреси/уреди можат да комуницираат едни со други. За таа намена има мрежни свичови со вградени routing capabilities. Модерните рутери кои поддржуваат повеќе VLAN мрежи можеби и имаат и таква опција.

    Логички гледано од страна, ствараш локален интернет во мало со две посебни мрежи. Се што треба е да го средиш самиот routing меѓу двете, а тоа е прашање на конфигурација и хардвер со таа намена. Но ова ти го кажувам како лаик, некој што си разбира повеќе од мрежи може сигурно повеќе да ти помогне (Ако сака де).
     
    На smole му/ѝ се допаѓа ова.
  6. smole

    smole
    Unstoppable

    2,924
    3,275
    18 Април 2007
    Ме интересираше дали е изводливо, и јас не сум профи во оваа проблематика но затоа има гледам искусни на форумов, ако заглавам ќе се договорам со некој да дојде и да сетира све и решена работа :)
     
    На Luki Junior му/ѝ се допаѓа ова.
  7. Luki Junior

    Luki Junior
    Gaining Experience

    150
    261
    28 Декември 2015
    Машко
    Од извори блиски дo @Oktar дознав дека тоа што го сакаш е изводливо со рутер кој ќе ги поврзе двете VLAN мрежи, што ја потврди и мојата претпоставка напишана погоре.

    пс. Октар е човек што си разбира од мрежи.
     
    На smole и Oktar им се допаѓа ова.
  8. Zippo

    Zippo
    On your way to fame

    683
    626
    22 oктомври 2014
    Data Analyst
    Ја би го направил со ист гејтвеј и со firewall ограничување.
     
  9. Oktar

    Oktar
    Guru

    3,264
    9,397
    23 oктомври 2012
    Машко
    Лошо. Многу лошо.
     
    На yasho и HardCorec им се допаѓа ова.
  10. Zippo

    Zippo
    On your way to fame

    683
    626
    22 oктомври 2014
    Data Analyst
    Објасни што е лошо. И јас нешто позитивно да научам.
     
  11. Zippo

    Zippo
    On your way to fame

    683
    626
    22 oктомври 2014
    Data Analyst
    @Oktar не се срами, напиши го соодветното решение за нас кои не се разбираме од мрежи.
     
  12. lumixoid

    lumixoid
    Gaining Experience

    115
    128
    22 Септември 2008
    Одвоени секако. Од многу причини веќе наведени претходно и уште еден куп други.

    И двете мрежи ќе завршуваат (ќе имаат Gateway) на mikrotik firewall-от. Тука ќе го решиш пристапот од една кон друга мрежа и обратно. Мал ќе биде протокот меѓу нив, не ти треба L3 switch.

    Sent using Tapatalk
     
  13. Oktar

    Oktar
    Guru

    3,264
    9,397
    23 oктомври 2012
    Машко
    Ајде едно прашање, на кој огнен ѕид ке ги поставиш тие ограничувања ако се во ист сегмент односно сите имаат ист гејтвеј? Дали знаеш дека хостовите го користат гејтвејот само за комуникација со уреди кои се надвор од нивниот сабнет. Тоа значи дека камера со адреса 10.0.0.10 за да испрати стрим (податочни пакети ппреку интернет протокол) на NVR со адреса 10.0.0.11 (и притоа двата уреди имаат ист гејтвеј, 10.0.0.1 и маска 255.255.255.0), секогаш ке комуницираат директно и никогаш преку гејтвејот/рутерот/огнениот ѕид.
    Поентата е да се издвојата двата типа на сообраќај, камери и останат трансфер на податоци, тоа може да се постигне само со сабнетирање и со издвојување на двете посебни мрежи.

    Дополнително, дури и има некое сценарио каде камерите и NVR-от комуницираат преку некој огнен ѕид, тоа е погрешно од многу проста причина што секој пакет треба да се рутира, треба да пројде низ листа од правила и тек потоа да дојде до корисникот, т.е. NVR-от. Бидејки протокот на овие податоци е константен, тоа значи константен товар на централната процесирачка единица. Целосно непотребно кога се се решава со проста сегментација.

    Се извинувам што почека за одговор, ова е во куси црти и набрзинка, тогаш не пишав затоа што бев на пат и сурфав од мобилен, сакав само кусо да го упатам релативно драгиот форумџија @smole да не чини грешка.

    П.С. @smole ти бар знаеш, идеш у грција, јадеш гиро, пазариш и си земаш такс фри, ем сезона на викенди е, шо му ја мислиш. Зборам за набавка на статив.
     
    На philldm, smole, igor_xxxx и уште 3 други им се допаѓа ова.
  14. G4M3R

    G4M3R
    Gaining Experience

    440
    335
    26 Јуни 2012
    Машко
    Гледам горе споменат пример да се изведе со InterVLAN Routing, тогаш нели би можело ова да се реши со еден L2 свич и конфигурирање на рутерот како цисковиот сетап router on a stick? Незнам дали беше лимитирано тоа само за на цискови рутери или може и кај микротикот?
     
    На Oktar му/ѝ се допаѓа ова.
  15. Oktar

    Oktar
    Guru

    3,264
    9,397
    23 oктомври 2012
    Машко
    Ако добро памтам, рутер на стап не беше пропрајатери протокол на циско, би требало да може и на микротик, ама тоа значи дека и свичот треба да го поддржува овој протокол. Од друга страна, ова се користеше порано кога уредите немаа доволно порти, сега смоле има 8 порти на располагање на 2011 или така нешто...
     
    На G4M3R му/ѝ се допаѓа ова.
  16. Zippo

    Zippo
    On your way to fame

    683
    626
    22 oктомври 2014
    Data Analyst
    Фала за исцрпниот одговор. Што значи дека подобро е со рутирање да се дизајнира мрежата, детално да ги дефинира корисникот рутите? Да направи посебни VLan-ови за нив?
     
  17. Oktar

    Oktar
    Guru

    3,264
    9,397
    23 oктомври 2012
    Машко
    Пак сум на мобилен и на ајродром :D Ке пишам покасно или утре освен ако некој не објасни во меѓувреме.
     
    На Zippo му/ѝ се допаѓа ова.
  18. G4M3R

    G4M3R
    Gaining Experience

    440
    335
    26 Јуни 2012
    Машко
    Јас да си земам за право да одговорам по свое, пред да ме покоси октар :D. Како што сконтав целата идеја е да се одвои сообраќајот меѓу камерите и рестото. Пример со VLAN-ови т.е да се направат два засебни таканаречени broadcast домејни кои би го изолирале сообраќајот еден од друг(со посебни gateway-ови).
    До Октар, најверојатно си во право и бидејќи би биле само два VLAN-ови нема многу да смени плус една порта наместо да оди со рутер он а стап и сабинтерфејси :D.
     
    На Zippo и Oktar им се допаѓа ова.
  19. smole

    smole
    Unstoppable

    2,924
    3,275
    18 Април 2007
    Промена на планот:

    Ќе се иде со Mikrotik CRS112-8P-4S-IN , CRS328 e overkill за намената.

    Каблирањето ќе биде:
    cat6a/cat7 за главен линк (RB2011 - CRS112) - долг кабел ќе е и не можам стално да го менувам, нека стои ако некогаш има потреба за 10Gb само ќе сменам опрема која поддржува толкава брзина
    cat6 CRS112 - IP камери

    Во план е и wall mounted 6U или 9U rack, cat 6 patch panel, за сè да изгледа профи.

    Ако имам уште некое прашање ќе пишам + ќе има апдејт кога ќе се намести опремата.

    За грчка и гирото, тоа помина викендов, статив ќе да зимам од Али, а опремата од скопска фирма пошто ќе се оди преку фактура.

    [​IMG]
     
    На Oktar му/ѝ се допаѓа ова.
  20. G4M3R

    G4M3R
    Gaining Experience

    440
    335
    26 Јуни 2012
    Машко
    На smole и Oktar им се допаѓа ова.
  21. smole

    smole
    Unstoppable

    2,924
    3,275
    18 Април 2007
    Да дадам мал апдејт:

    Периодов се чекаше (и се дочека) испорака на:

    1.NF-8601
    2.Brother PT-E300
    3.Dahua IPC-HFW5231E-Z

    Кабли и свич уште немам земено.

    Околу свичот - по ipcam форуми многу го фалат Ubiquity US-8-150W , за разлика од него CRS112 е релативно нов, Edit: макс моќност по порт 30W, кај UBNT си пишува колку струја троши максимум - 150W и колку струја максимум по порт може да испорача (34.2W) и ми се чини дека е подобра опција, а ценовно се тука негде двата. Прочитав дека на свичов ќе му трeба мрежен контролер, но бидејќи имам RPi тоа би го употребил.

    Читајќи по спецификациите на UBNT 8-150W Vlan поддржува така да претпоставувам дека не би имал проблем да одделам VLAN traffic.

    Совет кој од двава да го купам?
     
    Последна промена: 8 Јули 2018
    На bxxxn му/ѝ се допаѓа ова.
  22. smole

    smole
    Unstoppable

    2,924
    3,275
    18 Април 2007
    Нов апдејт: Купен CRS112-8P-4S-IN .

    1. IP камерава иде по дефолт со статична IP адреса - дали така да оставам (нормално ќе ја сменам да е во IP рејнџ на рутерот) или да идам со динамична?

    2.Конфигурацијата ќе е следна:

    Оптика (Wan) > RB2011 (DVR, други компјутери) > CRS112 (за сега само IP камерава). Како да направам VLAN (или друг начин) мрежната комуникација од IP камерата да иде само до DVR и 1 компјутер (други уреди на мрежата да не можат да ја вида IP камерата) и IP камерата да нема излез на интернет?
     
    На Oktar му/ѝ се допаѓа ова.
  23. HardCorec

    HardCorec
    Unbeatable

    3,121
    4,277
    4 ноември 2013
    Машко
    1. Статична
    2. Ке извозиш рута од адресата на камерата према DVR-от и PC-то, адресата која ке ја доделиш до камерата да не ти биде натирана.
     
    На philldm и smole им се допаѓа ова.

Сподели

Вчитување...