Здравствуйте!
Есть большая разветвленная сеть, где в основном используется адресация 192.168.1.0/24, для роутера Mikrotik вся эта подсеть один VLAN99 и соответственно на bridge-vlan99 прописан адрес 192.168.1.1/24. Этот адрес и является шлюзом для всех устройств в этом VLAN.
При этом в этой же сети VLAN99 также имеются устройства видеонаблюдения и в них прописаны сети 192.168.20.0/24 и 192.168.42.0/24, шлюз на них не прописан - интернет на данный момент на них не нужен. Но нужно подключаться к ним с других VLAN.
Вопрос : как лучше это сделать?
Выделить их физически в отдельную сеть довольно сложно - видеокамеры территариально раскиданы и подключены в те же неуправляемые коммутаторы, что и компьютеры пользователей. А надо чтобы пользователи не могли просто найти камеры в сети. Поэтому другой адресации достаточно для безопасности.
Выделять в отдельный VLAN - придется ставить кучу управляемых свичей и искать куда же именно камеры подключены - долго и расходно.
Способ, который сейчас рассматриваю - добавить на bridge-vlan99 соответствующие адреса: 192.168.20.1/24 и 192.168.42.1/24. Можно ли так делать? Поиск конкретной информации не дал, там в основном варианты несколько IP+MAC на одном интерфейсе рассматривают
.
Думал еще про способ на bridge-vlan99 изменить адрес на 192.168.1.1/16 - но вот не знаю насколько это допустимо, не повлияет ли на маршрутизацию между VLAN. В других VLAN адресация 192.168.50.0/24, 192.168.70.0/24 и так далее.
Как вы думаете какой наилучший вариант в моей ситуации?
Два IP адреса на одном интерфейсе [РЕШЕНО]
-
- Сообщения: 45
- Зарегистрирован: 21 фев 2019, 16:35
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
1) ну шлюзы (20.1 и 42.1) Вам по-любому придётся делать, иначе маршрутизации не будет
2) но учтите, есть такие камеры, которые в настройках не имеют шлюза, а значит с такими
камера уже будет проблема (решаема, но хитро).
3) обычно доступ к камерам напрямую не нужно давать, нужно ставить сервер/регистратор,
который уже находиться в другой сети своей другой частью и уже к нему могут люди, клиенты,
охрана подключаться и смотрят.
3.1) даже админы камер попадают в ту сеть с отдельного компьютера, и то для настройки
самой камеры и прочего административного хозяйства. А так всё должно быть
красиво, через видео-регистратор.
4) формально у Вас вся сеть в одном вилане, и что вилан1 что вилан 99 = разницы не какой,
а это значит что так не делается. Вот представляете у Вас 20 камер и каждая камера это
4 мегабитный поток, итого 80 мегабит вся видеосистема, а Вы и компьютеры туда засунули,
и камеры и всё. Смысл тогда было создавать вилан, если формально у Вас всё в одном?
А если клиент будет качать что-то гигабитное, сеть что, встанет?
5) Ну и из 4-его пункта вытекает что сеть у Вас перегружена, и в ней хаус и бардак.
Разный вид трафика или по виду или по безопасности надо разделять.
Отдельный вилан, + отдельная IP-сеть = отдельный вид связи (камеры),
такое справедливо сделать для голоса (IP-voice), ну и ещё ряд сетей,
теже WiFi точки делают отдельно.
И есть одна сеть = общая или грязная.
P.S.
Если есть возможность менять/прикупить управляемые свитчи, то советую это
сделать и расширить сеть, и вывести её на другой уровень.
2) но учтите, есть такие камеры, которые в настройках не имеют шлюза, а значит с такими
камера уже будет проблема (решаема, но хитро).
3) обычно доступ к камерам напрямую не нужно давать, нужно ставить сервер/регистратор,
который уже находиться в другой сети своей другой частью и уже к нему могут люди, клиенты,
охрана подключаться и смотрят.
3.1) даже админы камер попадают в ту сеть с отдельного компьютера, и то для настройки
самой камеры и прочего административного хозяйства. А так всё должно быть
красиво, через видео-регистратор.
4) формально у Вас вся сеть в одном вилане, и что вилан1 что вилан 99 = разницы не какой,
а это значит что так не делается. Вот представляете у Вас 20 камер и каждая камера это
4 мегабитный поток, итого 80 мегабит вся видеосистема, а Вы и компьютеры туда засунули,
и камеры и всё. Смысл тогда было создавать вилан, если формально у Вас всё в одном?
А если клиент будет качать что-то гигабитное, сеть что, встанет?
5) Ну и из 4-его пункта вытекает что сеть у Вас перегружена, и в ней хаус и бардак.
Разный вид трафика или по виду или по безопасности надо разделять.
Отдельный вилан, + отдельная IP-сеть = отдельный вид связи (камеры),
такое справедливо сделать для голоса (IP-voice), ну и ещё ряд сетей,
теже WiFi точки делают отдельно.
И есть одна сеть = общая или грязная.
P.S.
Если есть возможность менять/прикупить управляемые свитчи, то советую это
сделать и расширить сеть, и вывести её на другой уровень.
-
- Сообщения: 45
- Зарегистрирован: 21 фев 2019, 16:35
Спасибо за ответ!
1) То есть добавить шлюзы (20.1 и 42.1) на интерфейс bridge-vlan99 нормально, правильно я Вас понял?
2,3) Уточнил: специалист, который смотрит камеры, подключается к регистраторам.
4,5) Вся сеть была безо всяких виланов вовсе, это я их пытаюсь сейчас внедрить, аккуратно и постепенно, чтобы все не сломать. Для начала отделяю сервера, сеть управления, IT-отдел, гостей (по WiFi). Для начала бы эту задачу завершить, а потом может и до камер дойду. Тогда и смогу обосновать необходимость покупки управляемых свичей.
1) То есть добавить шлюзы (20.1 и 42.1) на интерфейс bridge-vlan99 нормально, правильно я Вас понял?
2,3) Уточнил: специалист, который смотрит камеры, подключается к регистраторам.
4,5) Вся сеть была безо всяких виланов вовсе, это я их пытаюсь сейчас внедрить, аккуратно и постепенно, чтобы все не сломать. Для начала отделяю сервера, сеть управления, IT-отдел, гостей (по WiFi). Для начала бы эту задачу завершить, а потом может и до камер дойду. Тогда и смогу обосновать необходимость покупки управляемых свичей.
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
Ну на 100% не видя ничего и не понимая, я так утверждать не могу, но в целом думаю на 98% именно так
и надо сделать. Тем более, повесить дополнительные адреса это обычно ни к чему не приводит, потом взять
какое-то устройство, и проверить, что оно (устройство) имея адрес из нужной сети, может и пингует этот шлюз
(шлюз свой, из своей подсети).
Ну если я правильно на уровне логики понял, Вы сейчас делаете лишнюю работу, виланы делаюсь на базеDespierto писал(а): ↑11 май 2020, 16:00 4,5) Вся сеть была безо всяких виланов вовсе, это я их пытаюсь сейчас внедрить, аккуратно и постепенно, чтобы все не сломать. Для начала отделяю сервера, сеть управления, IT-отдел, гостей (по WiFi). Для начала бы эту задачу завершить, а потом может и до камер дойду. Тогда и смогу обосновать необходимость покупки управляемых свичей.
свитчей, их у Вас нет, то что Вы сети сейчас делаете, это скорее шаблонно-красивое действие,
всё равно что в одной трубе пускать белую, синюю и красную воду, смысла нет, всё едино, всё перемешается.
Так и Вы сейчас, ну разделите в одну IP-сеть одних, в другую других, да, лёгкий порядок будет,
но без виланов, это ещё раз повторюсь - "косметика" и только.
-
- Сообщения: 45
- Зарегистрирован: 21 фев 2019, 16:35
Благодарю!
То ли я неясно выразился, то ли Вас не понял.Vlad-2 писал(а): ↑11 май 2020, 17:09 Ну если я правильно на уровне логики понял, Вы сейчас делаете лишнюю работу, виланы делаюсь на базе
свитчей, их у Вас нет, то что Вы сети сейчас делаете, это скорее шаблонно-красивое действие,
всё равно что в одной трубе пускать белую, синюю и красную воду, смысла нет, всё едино, всё перемешается.
Так и Вы сейчас, ну разделите в одну IP-сеть одних, в другую других, да, лёгкий порядок будет,
но без виланов, это ещё раз повторюсь - "косметика" и только.
Повторюсь: я сейчас отделяю сервера, сеть управления, IT-отдел и гостей в отдельные VLAN70, VLAN80, VLAN50, VLAN10. Свитчи пока в серверной и IT-отделе.
Как управимся с этим - может и видеонаблюдение отделю в отдельный VLAN.
Адресация (20.0 и 42.0) на камерах и регистраторах в офисе и складах была исторически. Я просто сейчас пытаюсь до них достучаться из вилана IT отдела, в котором мы теперь находимся.
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
Значит я Вас не понял. Если есть уже хотя бы 1-2 свитча, и есть настройки на них виланов, уже не плохо!
Виланы созданы для безопасности и для удобства, чтобы между разными сетями ходить,
а это уровень L3 в сетях, используют роутеры, поэтому виланы разделяют Вашу сеть,
а между сетями роутер логически Вас объединяет.
То есть если грубо представить, камеры находясь в одном вилане на 3-5х разных свитчах, для друг
друга они рядом, но для сети они невидимы, но чтобы одна IP-сеть могла попасть
в другую IP-сеть, эту связку делает именно роутер. А это значит роутер должен быть в этих сетях и в этих виланах.
-
- Сообщения: 45
- Зарегистрирован: 21 фев 2019, 16:35
Спасибо Вам большое! Попробую добавить адреса - отпишусь.
-
- Сообщения: 45
- Зарегистрирован: 21 фев 2019, 16:35
Добавил адреса 20.1 и 42.1 на интерфейс bridge-vlan99 - всё работает отлично. Ещё раз благодарю!