Два IP адреса на одном интерфейсе [РЕШЕНО]

Обсуждение ПО и его настройки
Ответить
Despierto
Сообщения: 45
Зарегистрирован: 21 фев 2019, 16:35

Здравствуйте!

Есть большая разветвленная сеть, где в основном используется адресация 192.168.1.0/24, для роутера Mikrotik вся эта подсеть один VLAN99 и соответственно на bridge-vlan99 прописан адрес 192.168.1.1/24. Этот адрес и является шлюзом для всех устройств в этом VLAN.

При этом в этой же сети VLAN99 также имеются устройства видеонаблюдения и в них прописаны сети 192.168.20.0/24 и 192.168.42.0/24, шлюз на них не прописан - интернет на данный момент на них не нужен. Но нужно подключаться к ним с других VLAN.
Вопрос : как лучше это сделать?

Выделить их физически в отдельную сеть довольно сложно - видеокамеры территариально раскиданы и подключены в те же неуправляемые коммутаторы, что и компьютеры пользователей. А надо чтобы пользователи не могли просто найти камеры в сети. Поэтому другой адресации достаточно для безопасности.
Выделять в отдельный VLAN - придется ставить кучу управляемых свичей и искать куда же именно камеры подключены - долго и расходно.

Способ, который сейчас рассматриваю - добавить на bridge-vlan99 соответствующие адреса: 192.168.20.1/24 и 192.168.42.1/24. Можно ли так делать? Поиск конкретной информации не дал, там в основном варианты несколько IP+MAC на одном интерфейсе рассматривают
.
Думал еще про способ на bridge-vlan99 изменить адрес на 192.168.1.1/16 - но вот не знаю насколько это допустимо, не повлияет ли на маршрутизацию между VLAN. В других VLAN адресация 192.168.50.0/24, 192.168.70.0/24 и так далее.
Как вы думаете какой наилучший вариант в моей ситуации?
Последний раз редактировалось Despierto 13 май 2020, 13:24, всего редактировалось 1 раз.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

1) ну шлюзы (20.1 и 42.1) Вам по-любому придётся делать, иначе маршрутизации не будет

2) но учтите, есть такие камеры, которые в настройках не имеют шлюза, а значит с такими
камера уже будет проблема (решаема, но хитро).

3) обычно доступ к камерам напрямую не нужно давать, нужно ставить сервер/регистратор,
который уже находиться в другой сети своей другой частью и уже к нему могут люди, клиенты,
охрана подключаться и смотрят.
3.1) даже админы камер попадают в ту сеть с отдельного компьютера, и то для настройки
самой камеры и прочего административного хозяйства. А так всё должно быть
красиво, через видео-регистратор.

4) формально у Вас вся сеть в одном вилане, и что вилан1 что вилан 99 = разницы не какой,
а это значит что так не делается. Вот представляете у Вас 20 камер и каждая камера это
4 мегабитный поток, итого 80 мегабит вся видеосистема, а Вы и компьютеры туда засунули,
и камеры и всё. Смысл тогда было создавать вилан, если формально у Вас всё в одном?
А если клиент будет качать что-то гигабитное, сеть что, встанет?

5) Ну и из 4-его пункта вытекает что сеть у Вас перегружена, и в ней хаус и бардак.
Разный вид трафика или по виду или по безопасности надо разделять.
Отдельный вилан, + отдельная IP-сеть = отдельный вид связи (камеры),
такое справедливо сделать для голоса (IP-voice), ну и ещё ряд сетей,
теже WiFi точки делают отдельно.
И есть одна сеть = общая или грязная.

P.S.
Если есть возможность менять/прикупить управляемые свитчи, то советую это
сделать и расширить сеть, и вывести её на другой уровень.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Despierto
Сообщения: 45
Зарегистрирован: 21 фев 2019, 16:35

Спасибо за ответ!

1) То есть добавить шлюзы (20.1 и 42.1) на интерфейс bridge-vlan99 нормально, правильно я Вас понял?
2,3) Уточнил: специалист, который смотрит камеры, подключается к регистраторам.
4,5) Вся сеть была безо всяких виланов вовсе, это я их пытаюсь сейчас внедрить, аккуратно и постепенно, чтобы все не сломать. Для начала отделяю сервера, сеть управления, IT-отдел, гостей (по WiFi). Для начала бы эту задачу завершить, а потом может и до камер дойду. Тогда и смогу обосновать необходимость покупки управляемых свичей.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Despierto писал(а): 11 май 2020, 16:00 1) То есть добавить шлюзы (20.1 и 42.1) на интерфейс bridge-vlan99 нормально, правильно я Вас понял?
Ну на 100% не видя ничего и не понимая, я так утверждать не могу, но в целом думаю на 98% именно так
и надо сделать. Тем более, повесить дополнительные адреса это обычно ни к чему не приводит, потом взять
какое-то устройство, и проверить, что оно (устройство) имея адрес из нужной сети, может и пингует этот шлюз
(шлюз свой, из своей подсети).
Despierto писал(а): 11 май 2020, 16:00 4,5) Вся сеть была безо всяких виланов вовсе, это я их пытаюсь сейчас внедрить, аккуратно и постепенно, чтобы все не сломать. Для начала отделяю сервера, сеть управления, IT-отдел, гостей (по WiFi). Для начала бы эту задачу завершить, а потом может и до камер дойду. Тогда и смогу обосновать необходимость покупки управляемых свичей.
Ну если я правильно на уровне логики понял, Вы сейчас делаете лишнюю работу, виланы делаюсь на базе
свитчей, их у Вас нет, то что Вы сети сейчас делаете, это скорее шаблонно-красивое действие,
всё равно что в одной трубе пускать белую, синюю и красную воду, смысла нет, всё едино, всё перемешается.
Так и Вы сейчас, ну разделите в одну IP-сеть одних, в другую других, да, лёгкий порядок будет,
но без виланов, это ещё раз повторюсь - "косметика" и только.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Despierto
Сообщения: 45
Зарегистрирован: 21 фев 2019, 16:35

Vlad-2 писал(а): 11 май 2020, 17:09 в целом думаю на 98% именно так и надо сделать
Благодарю!
Vlad-2 писал(а): 11 май 2020, 17:09 Ну если я правильно на уровне логики понял, Вы сейчас делаете лишнюю работу, виланы делаюсь на базе
свитчей, их у Вас нет, то что Вы сети сейчас делаете, это скорее шаблонно-красивое действие,
всё равно что в одной трубе пускать белую, синюю и красную воду, смысла нет, всё едино, всё перемешается.
Так и Вы сейчас, ну разделите в одну IP-сеть одних, в другую других, да, лёгкий порядок будет,
но без виланов, это ещё раз повторюсь - "косметика" и только.
То ли я неясно выразился, то ли Вас не понял.
Повторюсь: я сейчас отделяю сервера, сеть управления, IT-отдел и гостей в отдельные VLAN70, VLAN80, VLAN50, VLAN10. Свитчи пока в серверной и IT-отделе.
Как управимся с этим - может и видеонаблюдение отделю в отдельный VLAN.
Адресация (20.0 и 42.0) на камерах и регистраторах в офисе и складах была исторически. Я просто сейчас пытаюсь до них достучаться из вилана IT отдела, в котором мы теперь находимся.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Despierto писал(а): 12 май 2020, 13:15 Повторюсь: я сейчас отделяю сервера, сеть управления, IT-отдел и гостей в отдельные VLAN70, VLAN80, VLAN50, VLAN10. Свитчи пока в серверной и IT-отделе.
Как управимся с этим - может и видеонаблюдение отделю в отдельный VLAN.
Значит я Вас не понял. Если есть уже хотя бы 1-2 свитча, и есть настройки на них виланов, уже не плохо!
Despierto писал(а): 12 май 2020, 13:15 Адресация (20.0 и 42.0) на камерах и регистраторах в офисе и складах была исторически. Я просто сейчас пытаюсь до них достучаться из вилана IT отдела, в котором мы теперь находимся.
Виланы созданы для безопасности и для удобства, чтобы между разными сетями ходить,
а это уровень L3 в сетях, используют роутеры, поэтому виланы разделяют Вашу сеть,
а между сетями роутер логически Вас объединяет.

То есть если грубо представить, камеры находясь в одном вилане на 3-5х разных свитчах, для друг
друга они рядом, но для сети они невидимы, но чтобы одна IP-сеть могла попасть
в другую IP-сеть, эту связку делает именно роутер. А это значит роутер должен быть в этих сетях и в этих виланах.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Despierto
Сообщения: 45
Зарегистрирован: 21 фев 2019, 16:35

Спасибо Вам большое! Попробую добавить адреса - отпишусь.


Despierto
Сообщения: 45
Зарегистрирован: 21 фев 2019, 16:35

Добавил адреса 20.1 и 42.1 на интерфейс bridge-vlan99 - всё работает отлично. Ещё раз благодарю!


Ответить