Разделение на VLAN и доступ к видеонаблюдению

при этом что бы не гонять весь трафик через шлюз?

как-бы шлюз для этого и нужен, чтобы маршрутизировать трафик между vlan и заодно фильтровать его (firewall)

Компы загонять в несколько VLAN

настраивать терированный порт и несколько vlan на одном компе? ну в случае с linux понятно. а вот если винда даже не знаю...

но мне это не нравится, поскольку, разные отделы тогда будут пересекаться в этом VLAN

Есть всякие механизмы: port isolation, mac acl, async vlan, private vlan (от вендера зависит). Но ты себе придумываешь проблем на будущее...

настраивать терированный порт и несколько vlan на одном компе? ну в случае с linux понятно. а вот если винда даже не знаю…

В винде тоже работает, как правило.

Есть всякие механизмы: port isolation, mac acl, async vlan, private vlan (от вендера зависит). Но ты себе придумываешь проблем на будущее…

+1

И прямо большой трафик предполагается?

200 камер по людям раскидывать. Не такой большой, но сеть гигабит. Сейчас это жарится в одной сети всё…

Видеорегистраторы есть или люди подключаются прямо к камерам?

Сами видео сервера кидать

видеосервера - это что? регистраторы?

Да. Единые сервера, которые в себе всё собирают и отдают клиентам.

Ну да, я вот хочу понять, где оправдано думать об этом, а где нет… :) Так что рад советам, что именно интересно было бы в моём случае посмотреть, если такое есть.

Ну мой совет камеры и регистраторы в отдельный vlan и доступ к регистраторам (обычным пользователям на камеры ходить не нужно, а it отдел и так полный доступ будет иметь везде) ограничить через firewall по ip на маршрутизаторе)

Сейчас так и сделано. Вопрос вот в чем:

Отделу охраны нужен доступ ко всем камерам, отделу склада - только склад, куча производственных цехов - им к своим камерам надо и т.п. - Вот взять, свозить трафик камер от цеха на маршрутзиатор через два здания, что бы потом его же пригнать на видео сервер ещё в одно здание, и потом обратно отдать… - И всё это по гигабитному линку между зданиями… - Мне не нравится. Сейчас отдельная сеть для камер, и две сетевухи в регистраторе. Одна в камеры, одна ко всем пользователям - в одну подсеть.

пригнать на видео сервер ещё в одно здание
и две сетевухи в регистраторе

регистратор и видео-сервер это одно и то-же в контексте?

И всё это по гигабитному линку между зданиями…

трафик уже упирается в гигабит?

регистратор и видео-сервер это одно и то-же в контексте?

Да, прошу прощения за путаницу.

трафик уже упирается в гигабит?

Пока ещё нет. Но, как только я сделаю все через шлюз, я трафик ведь в разы увеличу, не?

Отделу охраны нужен доступ ко всем камерам, отделу склада - только склад, куча производственных цехов - им к своим камерам надо и т.п.

Разграничивай им доступ на видеосерверах

Вот взять, свозить трафик камер от цеха на маршрутзиатор через два здания, что бы потом его же пригнать на видео сервер ещё в одно здание, и потом обратно отдать… - И всё это по гигабитному линку между зданиями… - Мне не нравится. Сейчас отдельная сеть для камер, и две сетевухи в регистраторе.

Может ты схему нарисуешь?

Одна в камеры, одна ко всем пользователям - в одну подсеть.

Все пользователи в одной подсети?

Вот взять, свозить трафик камер от цеха на маршрутзиатор через два здания, что бы потом его же пригнать на видео сервер

Можно держать видеосервера в одной подсети с камерами, тогда трафик через маршрутизатор гоняться не будет.

Пока ещё нет. Но, как только я сделаю все через шлюз, я трафик ведь в разы увеличу, не?

тут надо схему смотреть...еще влияет в каком качестве камеры отдают картинку на регистратор и в каком качестве регистратор отдает картинку пользователям
что за маршрутизатор?

в любом случае видеосервер будет отдавать трафик тому, кто его запросит. ему всё равно, запросил ли камеру склада отдел склада или отдел охраны. вообще не понимаю почему ты так озабочен этим. если ты хочешь физически отрезать возможность отделу склада смотреть камеры из цеха например, то для этого начать нужно с возможностей самого видеосервера. я думаю, он должен как-то уметь. если ну совсем никак - тогда уже спускайся на уровень ниже и пробуй фильтровать по айпи. либо напиши какой-то мидлварь, который будет иметь простенькую аутентификацию и давать доступ только к тому, что разрешено.

Планирую каждый отдел раскидать свой VLAN (для безопасности)

Сомнительная затея и сомнительная причина для нее, но окэй.

Как наиболее оптимально сделать части сотрудников доступ к видео камерам, но, при этом что бы не гонять весь трафик через шлюз?

Вывести default gw их подсетей на умный мощный L3-коммутатор внутри каждого здания. Все VLAN здания терминировать на нём, проблему доступа между VLAN решать aclками на самом коммутаторе и только при необходимости отправлять межвиланный траффик по цепочке выше, через главный маршрутизатор локации.

Сейчас всё так выглядит?

L3 (стрелками - коннекты):

[Камеры] <-- [Видеорегистратор (он же видеосервер)] <-- [Роутер] <-- [Пользователи]

L2:

[VLAN c камерами и видеорегистратором] - [роутер] - [VLANы с пользователями]

L1:

[коммутатор агрегации] - [видеорегистратор]
[коммутатор агрегации] - [PoE коммутатор] - [камеры]
[коммутатор агрегации] - [Роутер]
[коммутатор агрегации] - [Коммутаторы доступа пользователей]

в любом случае видеосервер будет отдавать трафик тому, кто его запросит. ему всё равно, запросил ли камеру склада отдел склада или отдел охраны. вообще не понимаю почему ты так озабочен этим.

Шлюз и видеосервер не в одном помещении. И часть пользователей гораздо ближе к видео серверу чем к шлюзю. Схема сети не звезда. По-этому, не хотелось бы гонять трафик через шлюз.

Да. Но комммутаторов агрегации нету. Есть условные коммутаторы агрегациии в каждом здании, и здания между собой соеденины оптикой древней, и, посокольку здания идут цепочками, то центральной точки единой нет.

Шлюз и видеосервер не в одном помещении. И часть пользователей гораздо ближе к видео серверу чем к шлюзю. Схема сети не звезда. По-этому, не хотелось бы гонять трафик через шлюз.

Сомнительная затея и сомнительная причина для нее, но окэй.

В чем сомнительность в плане безопасности? Частично я понимаю её сомнительность, нужно защищать в первую очередь данные администраторов, но, одно другое не отменяет.

Вывести default gw их подсетей на умный мощный L3-коммутатор внутри каждого здания. Все VLAN здания терминировать на нём, проблему доступа между VLAN решать aclками на самом коммутаторе и только при необходимости отправлять межвиланный траффик по цепочке выше, через главный маршрутизатор локации.

Ок! Спасибо! Тоже как идея на подумать.

Там говнософт трассир - ты его сворачиваешь, он тебе трафик всё равно лупит… Люди пришли, утром открыли, посмотрели камеры, свернули, и оно лупит трафик.

Можно держать видеосервера в одной подсети с камерами, тогда трафик через маршрутизатор гоняться не будет.

Да. Это, конечно. Так и есть. Сейчас вопрос только доступа пользователей к видеорегистраторам.

Все пользователи в одной подсети?

Да… Уже сотни…

Разграничивай им доступ на видеосерверах

Да. Вопрос только в трафике.

Есть условные коммутаторы агрегациии в каждом здании, и здания между собой соеденины оптикой древней, и, посокольку здания идут цепочками, то центральной точки единой нет.

Ок.

Вы схему выложите куда-нибудь и ссылку дайте - удобнее будет обсуждать.

Схема сети не звезда. По-этому, не хотелось бы гонять трафик через шлюз.

Лично я бы поставил ещё маршрутизатор поближе к пользователям.

если между теми, что ближе к видеосерверу и непосредственно видеосервером есть отдельный физический канал то конечно логичнее было бы использовать его, но если нет - тогда ты шлюз из песни не выкинешь.

предположим, выделенный канал есть. тогда необязательно запариваться с вланами. можешь воткнуть между клиентами и видеосервером какой-то шлюз (аппаратный, либо любой комп переделать в шлюз), и прописать в таблицах машртузации клиентов, что на видеосервер идти не через шлюз, который в др помещении, а через этот «локальный» шлюз.

Ок! Спасибо! Схему, подумаю как нарисовать постараюсь сделать. Пока идея локальных маршрутизаторов, весьма интересна. Подумаю! Вообще в это направление даже близко не думал.