Как правильно «раскидать» локальную сеть видеонаблюдения?

Question

[Петр]

Вечер добрый. Попала мне в наследство сеть видеонаблюдения. Два здания и улица. Общее количество камер 151.
Сейчас все это "живет" в сети 192.168.0.0/24. Адреса везде статические.
Как я вижу это сам. Отделить улицу, здания по разным подсетям. Условно говоря Здания 1 будет 192.168.1.0, здание 2 будет 192.168.2.0, улица 192.168.3.0. Само собой каждый регистратор от сегмента будет находиться в той же подсети.
С последующим выходом на роутер у которого будет на порту будет 192.168.0.0/20.
Насколько это все адекватно? Или же можно иначе сделать все?

Comments

[RStarun]

Возможно вы планируете и дальше увеличивать количество камер, и при этом у вас возможен вариант в котором в Здании 1 будет порядка 200 камер, в здании 2 порядка 150, улица 200. Если так, то можно и заранее озадачится этим вопросом. Ну или очень много разных проводов, разных вендоров и хочется логически разделить сети, вланы настроить.
В остальном лучше действительно не трогать если оно работает и если собрано не из палок и пластилина.

[Петр]

RStarun, ну вот логически хочется поделить улицу и здания. вланы слишком уж жирно. потом с маршрутизацией и выходом в сеть свои головняки.

[RStarun]

Примерно вланы=подсети на самом деле. Не вижу особой разницы, т.к. в данном случае вланы это просто способ работы с разными подсетями в рамках одного физического оборудования. Роутеру на борту ставить 192.168.0.0/20 наверное можно и оно даже наверное взлетит, но это костыль. Придется маршрутизацию нормальную на любом умеющем это делать оборудовании поднимать. Может на том же роутере.

[Петр]

RStarun, ну основной "папа" сети микротик. я думал отдельный порт у него выделить под видео.

[AndreySvist]

Либо использовать маску 23. При имеющихся условиях, резерва в 350 с лишним адресов должно хватить. Но вот нагрузка будет, конечно, та ещё. Всё же, как вам советовали, лучше изначально будет по разным VLAN раскидать. Не немного будет сложнее настроить маршрутизацию, чем вы и так хотите по разным диапазонам распределить. А вот сам диапазон лучше сразу сменить, как уже и советовали

[pfg21]

Петр, видеокамеры работают в одной сети с офисными компутерами ?? тогда с разделения компов и видеокамер надо начать.
деление по "политическому признаку" ничего не улучшит, хотя и не ухудшит...

[RStarun]

Я немного подумал и не могу понять архитектуру с 192.168.0.0/20. Вот есть у нас некий охранник, у которого cms и сведены все камеры. Предположим он в сети 192.168.10.0/24 (192.168.10.50 шлюз 192.168.10.1). И его cms обращается к камере (ну или регистратору) в сети 192.168.2.0/24 (192.168.2.22 шлюз 192.168.2.1).
Микротик про сети 24 не знает ничего, у него одна большая сеть 20. Я не понимаю как пакет от cms попадет камере?
И даже если CMS в сети 192.168.0.0/20, пакет до камеры дойдет, но вот камера обратно ответ не сможет отправить, т.к. для нее 192.168.10.50 находится в другой сети и она отправит пакет шлюзу на 192.168.2.1, а шлюза и нет.

[Pb_hard]

Сделать можно как угодно.
Вопрос лишь в том зачем?
Чем конкретно вас не устраивает текущая конфигурация?
Какие проблемы вы хотите решить переделав структуру сети?

[Петр]

pfg21, нет. видеонаблюдение физически отделено от сети офиса.

Answer 1

[Drno]

зачем? оно работает, диапазона хватает... сами себе работу создаёте)
когда упрётся - тогда и будете что то думать)

Answer 2

[Dupych]

Золотые правила админа.
1. Работает - не трогай.
2. Не удаляй. Переименуй.
3. Бэкапы и еще раз бэкапы.
У всех мания сети объединять по маске это фетиш какой то.
Маршрутизатор умеет маршрутизировать.
Если занимаетесь сетью то изучайте маршруты.
Через маршруты можно закрывать сети. Завтра здание ушло другой конторе взяли и отключили маршрут.
Для каждой подсети делаете свой шлюз.
Например 192.168.1.254, 192.168.2.254.
Эти адреса прописываете на маршрутезаторе. Каждая подсеть в своем VLAN.
Потом пишешь роуты.
Для того чтобы попасть в подсеть 192.168.1.0 стучись на шлюз 192.168.1.254 и так далее.
Микротик их сам автоматом создает

Comments

[hrabrahrabr]

Вы почти правы, маршрутизация это для нормальных клиентов.
Однако клиенты сетях ССТВ это камеры, они вообще не должны между собой общаться, только в сторону серверов и тут маршрутизация не нужна. да сервер должен иметь более чем один сетевой интерфейс - физический или логический.

Answer 3

[Петровский]

А в чём смысл разделения?

Ну и возьмите более промышленный диапазон 10.*

Comments

[Петр]

ну я как пример привел с адресацией.
а разделение, ну мало ли, на вырост. а при 24 маске все упрется в 254 устройства.
опять же. пришел сюда за советом, как грамотнее будет.

[Ziptar]

Петр, камеры вроде мультикастом и броадкастом не гадят особо, там что с этой точки зрения +- всё равно, ну а если количество камер расти будет, то сегментировать группами по регистраторам ну... это выглядит упорядоченно, а упорядоченность до некоторой степени вещь красивая, так что почему нет? Хотя чисто практической пользы немного.
Принцип "работает - не трогай" в данном случае не поддерживаю. Задача не сложная, и если прям хочется (НУ НАДО) и есть готовность тратить на это дело своё время - не вижу какие могут быть разумные возражения.
Единственное что подсети /24 выбирал бы где-нибудь подальше от часто используемых. Для 192.168.0.0/16 - это где-то от 192.168.150.0/24 и дальше, я думаю. Хотя я лично предпочитаю диапазон 172.16.0.0/12 использовать.

[pfg21]

Петр, упрётся - поменяешь маску.

Answer 4

[VoidVolker]

пришел сюда за советом, как грамотнее будет.

Грамотнее будет так: работает - не трогай.
У вас что-то сломалось? Планируется увеличение масштаба в несколько раз? Меняете/обновляете сетевое или видео оборудование и заодно решили обновить конфигурацию сети для упрощения администрирования? Вот в этом случае да, имеет смысл менять сетевые настройки. Разделять в подсетки улицу и здания имеет смысл только разве что для сегментирования сети и ограничения доступа к ресурсам на случай взлома сегмента. А так же подсети имеют смысл, если есть несколько групп железок, подключённых к разным коммутаторам и сеть видеонаблюдения должна быть отделена от других сетевых ресурсов, а эти коммутаторы висят в основной сети, к примеру. В остальных случаях делить на подсети нет особого смысла. Если же все кабели от видеокамер приходят/сходятся в одну точку/коммутатор - то разделение их на подсети имеет еще меньше смысла.

Answer 5

[hrabrahrabr]

Большинство комментаторов и сам ТС, начали совершенно не с той стороны.
Тут главное и первое: количество трафика и направление "потока"! Деление на сети уже второе, но тоже важное.
Имеем: "Общее количество камер 151."
Т.к. каждая камера генерирует постоянный трафик в сторону серверов, примерно от 2 до 10 Мб/с в зависимости от настроек, в обратную сторону "мелочь" - можно пренебречь. В отличии от всех других типов хостов, которые генерируют очень не предсказуемый по размеру трафик, в обе стороны.
Итого имеем в сумме от 300 Мб/с до 1,5 Гб/с АПстрим, в ядро/ к серверам. Ну и от серверов ДАУНстрим в сторону клиентов/операторы ССТВ, тоже есть и не мало, но сколько надо смотреть по месту.
Какие у вас интерфейсы на коммутаторах и серверах? смогут переварить более гигабита?
И да езернет карта на хостах, обычно не может "переварить" более 80% от максимума.

Вот исходя из этих потоков трафика в каждой точке сети и нужно делить сеть на подсети и ВЛАНы.
Но, скажу так: маска /20 в одном ВЛАНе это геморой.
Рекомендованная архитектура сети для ССТВ, примерно:
Одна логическая/физическая группа камер (обычно все на одном коммутаторе, который подключен в ядро отдельным линком, а не шлейфом к соседу) и первый интерфейс сервера в одной подсети, с маской не выше /24, в одном ВЛАН, без шлюза - маршрутизации наружу нет - и она реально не нужна! зачем вам прямой доступ к камерам откуда то извне?
Вторая логическая/физическая группа камер и второй интерфейс сервера, во второй подсети с маской не выше /24, во втором ВЛАН, без шлюза - маршрутизации наружу нет, и тд,
Для подключения к серверу клиентов/операторы ССТВ выделен отдельный интерфейс со своей сетью/ВЛАНом, тут есть уже шлюз и маршрутизация.
Эта схема позволяет убрать узкие места, где трафик излишне большой, ну и в случае проблем в одном из сегментов купировать распространение на другие сегменты .

Comments

[DMITRIJS DROBISEVSKIS]

маршрутизации наружу нет - и она реально не нужна! зачем вам прямой доступ к камерам откуда то извне?

Элементарно - камерам как то надо обновлять софт. Тем более если они разных производителей. Будете делать это вручную всем 151 камерам?

[hrabrahrabr]

DMITRIJS DROBISEVSKIS, вы их - камеры хотите выпустить в интернет, поди еще и бесконтрольно? нюню. То то сети ломают через сетевые тостеры , кофемашины , а вы тут целую пачку камер под ботнет приготовили.
Офигеваю с людей, которые вроде связаны с безопасностью, но при этом сильно на неё забивают.
Кто мешает поставить _рядом_ с сервером ССТВ, сервер с прошивками которые предварительно проверяются на вшивость?
Ещё раз - маршрутизация сетей камер не нужна, это рекомендации производетелей, того же Макроскопа.

[DMITRIJS DROBISEVSKIS]

hrabrahrabr, Отдельный VLAN, NAT и "огненную стену" вроде никто еще не отменял.