• Здраво и добредојдовте на форумот на IT.mk.

    Доколку сеуште не сте дел од најголемата заедница на ИТ професионалци и ентузијасти во Македонија, можете бесплатно да се - процесот нема да ви одземе повеќе од 2-3 минути, а за полесна регистрација овозможивме и регистрирање со Facebook и Steam.

Мислење околу дизајн на мрежа

  • Ја почнал/а темата
  • #1

smole

Unstoppable
18 април 2007
3,404
3,993
Ситуацијате е следна:

Рутер Mikrotik RB2011 (во него влага оптика)
мрежата се користи за уреди да се врзуваат на Интернет
на мрежата има DVR кој има отворени порти кон Интернет за да може да се пристапува кон него од WAN (истово може да се реши и со VPN но сега за сега не е потребно).

Се планира воведување на IP CCTV (switch до подалечните места и од него да искача мрежен кабел за во IP камерите) и прашањето ми е дали да се оди со managed switch за да се оддели IP video traffic-от од останатиот трафик преку VLAN, а бидејќи DVR е отворен кон интернет да не е џабе VLAN-от.

Ако се оди со managed switch планирам да земам Mikrotik CRS328-24P-4S+RM .
 

bogoevski

Unstoppable
29 ноември 2009
1,668
2,583
Hønsebybotn
bogoevski's setup  
Processor & Cooler
Повеќејадрен со множител
Motherboard
Црна со црвени детали
Storage
Препун
PSU
Предимензионирано
RAM
Доволно
Video card
Нај јака со 8 гигавати
Case
Гломазно
Mouse
Немам, чувам мачки.
Keyboard
Тивка
Audio
Стерео со двигател
Monitor
Прецизен
OS
Џам
Убаво е да го одвоиш сообраќајот со VLAN tagging.
Мада, ако имаш доволно бендвит низ внатрешната мрежа и немора.
CRS328 ти е супер future-proof варијанта, ако утре/задутре се решиш да одвоиш VoIP, NVR и други типови на сообраќај во свои VLAN-и.
 

Luki Junior

Gaining Experience
28 декември 2015
151
266
Јас би го одделил сообраќајот. Ем поради технички причини, ем поради легални причини штом веќе ќе имаш CCTV. Со “физичкото“ одделување го минимизираш ризикот за недозволен пристап до самите камери. Или и обратно. Ако некој се закачи за камерите, нема да има достап до податоците во другата мрежа. Штом се работи за CCTV и најчесто снимање на локации кадешто може да дојде до конфликт или злоупотреба на лични информации, снимки, за да бидеш технички и легално посигурен на долгорочен план е подобро одделувањето на сообраќајот.

“Физичкото“ одделување (ако е возможно и исплатливо) е модел кој има релативно низок ризик од надворешни влијанија. Имам едно прашање: Зошто мораш да користиш ДВР, кога всушност ти треба НВР како што ја опишуваш целата мрежа и конструкција?
 
  • Ја почнал/а темата
  • #4

smole

Unstoppable
18 април 2007
3,404
3,993
“Физичкото“ одделување (ако е возможно и исплатливо) е модел кој има релативно низок ризик од надворешни влијанија. Имам едно прашање: Зошто мораш да користиш ДВР, кога всушност ти треба НВР како што ја опишуваш целата мрежа и конструкција?
Ова што сега го имам е пентабрид ДВР т.е. уред кој е хибриден микс на DVR+NVR, за да се користат старите аналогни камери а и во исто време има во уредов можност за користење и на IP камери.

Ако во иднина се покаже потреба од повеќе IP камери одошто може сегашниот уред да поддржи ќе се оди на Blue Iris (компјутерска конфигурација со Windows наменета специјално за оваа задача) - аналогните IP камери во него ќе влагаат како RTSP стримови а IP камерите директно во него ќе влагаат и само он ќе снима,а сегашниот DVR ќе служи само за енкодирање на аналогното видео од старите камери и транспорт до Blue Iris.


Мрежата сега а и во блиска иднина е под моја контрола т.е. нема надворешни лица, но бидејќи постои некаква можност некогаш да треба да се прави дополнителен VLAN за други лица, затоа гледам еднаш да купам managed switch и да завршам со тоа.

Мене најбитното прашање ми е:
VLAN1 - PC мрежа
VLAN2 - DVR и IP камери

Дали е можно DVR да се гледа и пристапува покрај default VLAN-от 2 и од VLAN1 и од WAN, а IP камерите да се достапни само од VLAN2?
 

Luki Junior

Gaining Experience
28 декември 2015
151
266
Би требало да може со InterVLAN switching, во кој дефинираш кои IP адреси/уреди можат да комуницираат едни со други. За таа намена има мрежни свичови со вградени routing capabilities. Модерните рутери кои поддржуваат повеќе VLAN мрежи можеби и имаат и таква опција.

Логички гледано од страна, ствараш локален интернет во мало со две посебни мрежи. Се што треба е да го средиш самиот routing меѓу двете, а тоа е прашање на конфигурација и хардвер со таа намена. Но ова ти го кажувам како лаик, некој што си разбира повеќе од мрежи може сигурно повеќе да ти помогне (Ако сака де).
 
  • Ја почнал/а темата
  • #6

smole

Unstoppable
18 април 2007
3,404
3,993
Ме интересираше дали е изводливо, и јас не сум профи во оваа проблематика но затоа има гледам искусни на форумов, ако заглавам ќе се договорам со некој да дојде и да сетира све и решена работа :)
 

Luki Junior

Gaining Experience
28 декември 2015
151
266
Ме интересираше дали е изводливо, и јас не сум профи во оваа проблематика но затоа има гледам искусни на форумов, ако заглавам ќе се договорам со некој да дојде и да сетира све и решена работа :)
Од извори блиски дo @Oktar дознав дека тоа што го сакаш е изводливо со рутер кој ќе ги поврзе двете VLAN мрежи, што ја потврди и мојата претпоставка напишана погоре.

пс. Октар е човек што си разбира од мрежи.
 

Zippo

On your way to fame
22 октомври 2014
849
713
Zippo's setup  
Processor & Cooler
Intel i7-3930K CM Hyper D92
Motherboard
ASUS SABERTOOTH X79
Storage
Samsung 750 EVO 500GB
PSU
CM V 650
RAM
32GB DDR3 1333
Video card
Onboard
Case
CM Storm Trooper
Mouse
Gembird Bluetooth
OS
Windows 10, Windows Server 2016
Ја би го направил со ист гејтвеј и со firewall ограничување.
 

Oktar

Epic
23 октомври 2012
3,949
12,067
Skopje
Oktar's setup  
Processor & Cooler
Intel® Core™ i7-8700k + Noctua NH D14
Motherboard
Asus Prime Z370-A
Storage
SM951 256 + PM981 512 + 850 Pro 512 + 840 Evo 250 + WD Blue 1TB + WD Red 2TB + WD Red 3TB
PSU
Cooler Master Vanguard v850
RAM
Kingston HyperX Predator 2x16GB Kit (2x8GB) DDR4 3200MHz
Video card
Asus Strix GTX1080
Case
BeQuiet Pure Base 600
Mouse
Logitech MX Master 2s
Keyboard
Razer Blackwidow Lite
Monitor
Dell U2515H
OS
Windows 7 + MacOS

Zippo

On your way to fame
22 октомври 2014
849
713
Zippo's setup  
Processor & Cooler
Intel i7-3930K CM Hyper D92
Motherboard
ASUS SABERTOOTH X79
Storage
Samsung 750 EVO 500GB
PSU
CM V 650
RAM
32GB DDR3 1333
Video card
Onboard
Case
CM Storm Trooper
Mouse
Gembird Bluetooth
OS
Windows 10, Windows Server 2016

Zippo

On your way to fame
22 октомври 2014
849
713
Zippo's setup  
Processor & Cooler
Intel i7-3930K CM Hyper D92
Motherboard
ASUS SABERTOOTH X79
Storage
Samsung 750 EVO 500GB
PSU
CM V 650
RAM
32GB DDR3 1333
Video card
Onboard
Case
CM Storm Trooper
Mouse
Gembird Bluetooth
OS
Windows 10, Windows Server 2016
@Oktar не се срами, напиши го соодветното решение за нас кои не се разбираме од мрежи.
 

lumixoid

Gaining Experience
22 септември 2008
135
149
Одвоени секако. Од многу причини веќе наведени претходно и уште еден куп други.

И двете мрежи ќе завршуваат (ќе имаат Gateway) на mikrotik firewall-от. Тука ќе го решиш пристапот од една кон друга мрежа и обратно. Мал ќе биде протокот меѓу нив, не ти треба L3 switch.

Sent using Tapatalk
 

Oktar

Epic
23 октомври 2012
3,949
12,067
Skopje
Oktar's setup  
Processor & Cooler
Intel® Core™ i7-8700k + Noctua NH D14
Motherboard
Asus Prime Z370-A
Storage
SM951 256 + PM981 512 + 850 Pro 512 + 840 Evo 250 + WD Blue 1TB + WD Red 2TB + WD Red 3TB
PSU
Cooler Master Vanguard v850
RAM
Kingston HyperX Predator 2x16GB Kit (2x8GB) DDR4 3200MHz
Video card
Asus Strix GTX1080
Case
BeQuiet Pure Base 600
Mouse
Logitech MX Master 2s
Keyboard
Razer Blackwidow Lite
Monitor
Dell U2515H
OS
Windows 7 + MacOS
@Oktar не се срами, напиши го соодветното решение за нас кои не се разбираме од мрежи.
Ајде едно прашање, на кој огнен ѕид ке ги поставиш тие ограничувања ако се во ист сегмент односно сите имаат ист гејтвеј? Дали знаеш дека хостовите го користат гејтвејот само за комуникација со уреди кои се надвор од нивниот сабнет. Тоа значи дека камера со адреса 10.0.0.10 за да испрати стрим (податочни пакети ппреку интернет протокол) на NVR со адреса 10.0.0.11 (и притоа двата уреди имаат ист гејтвеј, 10.0.0.1 и маска 255.255.255.0), секогаш ке комуницираат директно и никогаш преку гејтвејот/рутерот/огнениот ѕид.
Поентата е да се издвојата двата типа на сообраќај, камери и останат трансфер на податоци, тоа може да се постигне само со сабнетирање и со издвојување на двете посебни мрежи.

Дополнително, дури и има некое сценарио каде камерите и NVR-от комуницираат преку некој огнен ѕид, тоа е погрешно од многу проста причина што секој пакет треба да се рутира, треба да пројде низ листа од правила и тек потоа да дојде до корисникот, т.е. NVR-от. Бидејки протокот на овие податоци е константен, тоа значи константен товар на централната процесирачка единица. Целосно непотребно кога се се решава со проста сегментација.

Се извинувам што почека за одговор, ова е во куси црти и набрзинка, тогаш не пишав затоа што бев на пат и сурфав од мобилен, сакав само кусо да го упатам релативно драгиот форумџија @smole да не чини грешка.

П.С. @smole ти бар знаеш, идеш у грција, јадеш гиро, пазариш и си земаш такс фри, ем сезона на викенди е, шо му ја мислиш. Зборам за набавка на статив.
 

G4M3R

On your way to fame
26 јуни 2012
664
690
Гледам горе споменат пример да се изведе со InterVLAN Routing, тогаш нели би можело ова да се реши со еден L2 свич и конфигурирање на рутерот како цисковиот сетап router on a stick? Незнам дали беше лимитирано тоа само за на цискови рутери или може и кај микротикот?
 

Oktar

Epic
23 октомври 2012
3,949
12,067
Skopje
Oktar's setup  
Processor & Cooler
Intel® Core™ i7-8700k + Noctua NH D14
Motherboard
Asus Prime Z370-A
Storage
SM951 256 + PM981 512 + 850 Pro 512 + 840 Evo 250 + WD Blue 1TB + WD Red 2TB + WD Red 3TB
PSU
Cooler Master Vanguard v850
RAM
Kingston HyperX Predator 2x16GB Kit (2x8GB) DDR4 3200MHz
Video card
Asus Strix GTX1080
Case
BeQuiet Pure Base 600
Mouse
Logitech MX Master 2s
Keyboard
Razer Blackwidow Lite
Monitor
Dell U2515H
OS
Windows 7 + MacOS
Ако добро памтам, рутер на стап не беше пропрајатери протокол на циско, би требало да може и на микротик, ама тоа значи дека и свичот треба да го поддржува овој протокол. Од друга страна, ова се користеше порано кога уредите немаа доволно порти, сега смоле има 8 порти на располагање на 2011 или така нешто...
 

Zippo

On your way to fame
22 октомври 2014
849
713
Zippo's setup  
Processor & Cooler
Intel i7-3930K CM Hyper D92
Motherboard
ASUS SABERTOOTH X79
Storage
Samsung 750 EVO 500GB
PSU
CM V 650
RAM
32GB DDR3 1333
Video card
Onboard
Case
CM Storm Trooper
Mouse
Gembird Bluetooth
OS
Windows 10, Windows Server 2016
Ајде едно прашање, на кој огнен ѕид ке ги поставиш тие ограничувања ако се во ист сегмент односно сите имаат ист гејтвеј? Дали знаеш дека хостовите го користат гејтвејот само за комуникација со уреди кои се надвор од нивниот сабнет. Тоа значи дека камера со адреса 10.0.0.10 за да испрати стрим (податочни пакети ппреку интернет протокол) на NVR со адреса 10.0.0.11 (и притоа двата уреди имаат ист гејтвеј, 10.0.0.1 и маска 255.255.255.0), секогаш ке комуницираат директно и никогаш преку гејтвејот/рутерот/огнениот ѕид.
Поентата е да се издвојата двата типа на сообраќај, камери и останат трансфер на податоци, тоа може да се постигне само со сабнетирање и со издвојување на двете посебни мрежи.

Дополнително, дури и има некое сценарио каде камерите и NVR-от комуницираат преку некој огнен ѕид, тоа е погрешно од многу проста причина што секој пакет треба да се рутира, треба да пројде низ листа од правила и тек потоа да дојде до корисникот, т.е. NVR-от. Бидејки протокот на овие податоци е константен, тоа значи константен товар на централната процесирачка единица. Целосно непотребно кога се се решава со проста сегментација.

Се извинувам што почека за одговор, ова е во куси црти и набрзинка, тогаш не пишав затоа што бев на пат и сурфав од мобилен, сакав само кусо да го упатам релативно драгиот форумџија @smole да не чини грешка.

П.С. @smole ти бар знаеш, идеш у грција, јадеш гиро, пазариш и си земаш такс фри, ем сезона на викенди е, шо му ја мислиш. Зборам за набавка на статив.
Фала за исцрпниот одговор. Што значи дека подобро е со рутирање да се дизајнира мрежата, детално да ги дефинира корисникот рутите? Да направи посебни VLan-ови за нив?
 

Oktar

Epic
23 октомври 2012
3,949
12,067
Skopje
Oktar's setup  
Processor & Cooler
Intel® Core™ i7-8700k + Noctua NH D14
Motherboard
Asus Prime Z370-A
Storage
SM951 256 + PM981 512 + 850 Pro 512 + 840 Evo 250 + WD Blue 1TB + WD Red 2TB + WD Red 3TB
PSU
Cooler Master Vanguard v850
RAM
Kingston HyperX Predator 2x16GB Kit (2x8GB) DDR4 3200MHz
Video card
Asus Strix GTX1080
Case
BeQuiet Pure Base 600
Mouse
Logitech MX Master 2s
Keyboard
Razer Blackwidow Lite
Monitor
Dell U2515H
OS
Windows 7 + MacOS
Пак сум на мобилен и на ајродром :D Ке пишам покасно или утре освен ако некој не објасни во меѓувреме.
 

G4M3R

On your way to fame
26 јуни 2012
664
690
Фала за исцрпниот одговор. Што значи дека подобро е со рутирање да се дизајнира мрежата, детално да ги дефинира корисникот рутите? Да направи посебни VLan-ови за нив?
Јас да си земам за право да одговорам по свое, пред да ме покоси октар :D. Како што сконтав целата идеја е да се одвои сообраќајот меѓу камерите и рестото. Пример со VLAN-ови т.е да се направат два засебни таканаречени broadcast домејни кои би го изолирале сообраќајот еден од друг(со посебни gateway-ови).
До Октар, најверојатно си во право и бидејќи би биле само два VLAN-ови нема многу да смени плус една порта наместо да оди со рутер он а стап и сабинтерфејси :D.
 
  • Ја почнал/а темата
  • #19

smole

Unstoppable
18 април 2007
3,404
3,993
П.С. @smole ти бар знаеш, идеш у грција, јадеш гиро, пазариш и си земаш такс фри, ем сезона на викенди е, шо му ја мислиш. Зборам за набавка на статив.
Промена на планот:

Ќе се иде со Mikrotik CRS112-8P-4S-IN , CRS328 e overkill за намената.

Каблирањето ќе биде:
cat6a/cat7 за главен линк (RB2011 - CRS112) - долг кабел ќе е и не можам стално да го менувам, нека стои ако некогаш има потреба за 10Gb само ќе сменам опрема која поддржува толкава брзина
cat6 CRS112 - IP камери

Во план е и wall mounted 6U или 9U rack, cat 6 patch panel, за сè да изгледа профи.

Ако имам уште некое прашање ќе пишам + ќе има апдејт кога ќе се намести опремата.

За грчка и гирото, тоа помина викендов, статив ќе да зимам од Али, а опремата од скопска фирма пошто ќе се оди преку фактура.

 
  • Ја почнал/а темата
  • #21

smole

Unstoppable
18 април 2007
3,404
3,993
Да дадам мал апдејт:

Периодов се чекаше (и се дочека) испорака на:

1.NF-8601
2.Brother PT-E300
3.Dahua IPC-HFW5231E-Z

Кабли и свич уште немам земено.

Околу свичот - по ipcam форуми многу го фалат Ubiquity US-8-150W , за разлика од него CRS112 е релативно нов, Edit: макс моќност по порт 30W, кај UBNT си пишува колку струја троши максимум - 150W и колку струја максимум по порт може да испорача (34.2W) и ми се чини дека е подобра опција, а ценовно се тука негде двата. Прочитав дека на свичов ќе му трeба мрежен контролер, но бидејќи имам RPi тоа би го употребил.

Читајќи по спецификациите на UBNT 8-150W Vlan поддржува така да претпоставувам дека не би имал проблем да одделам VLAN traffic.

Совет кој од двава да го купам?
 
Последна промена:
  • Ја почнал/а темата
  • #22

smole

Unstoppable
18 април 2007
3,404
3,993
Нов апдејт: Купен CRS112-8P-4S-IN .

1. IP камерава иде по дефолт со статична IP адреса - дали така да оставам (нормално ќе ја сменам да е во IP рејнџ на рутерот) или да идам со динамична?

2.Конфигурацијата ќе е следна:

Оптика (Wan) > RB2011 (DVR, други компјутери) > CRS112 (за сега само IP камерава). Како да направам VLAN (или друг начин) мрежната комуникација од IP камерата да иде само до DVR и 1 компјутер (други уреди на мрежата да не можат да ја вида IP камерата) и IP камерата да нема излез на интернет?
 

HardCorec

Unbeatable
4 ноември 2013
3,342
4,774
HardCorec's setup  
Processor & Cooler
Intel i7 4790
Motherboard
Asus B85 Pro Gamer
Storage
SSD Kingston 240 & 480gb
PSU
Cooler Master B500
RAM
HyperX Beast 4x4gb 1600mhz
Video card
Radeon RX570 4gb gddr5
Case
Cooler Master HAF
Mouse
Asus Echelon
Keyboard
Cooler Master Storm
Monitor
Philips 276E
OS
Windows 10 Pro 64bit
1. Статична
2. Ке извозиш рута од адресата на камерата према DVR-от и PC-то, адресата која ке ја доделиш до камерата да не ти биде натирана.
 

Нови мислења

Последни Теми

Статистика

Теми
42,647
Мислења
822,395
Членови
28,283
Најнов член
MilMil1998
На врв Дно