Как организовать доступ между двумя подсетями в одном стеке коммутаторов?

Question

[Amalgama777]

Добрый день! Есть система видеонаблюдения (СВН) с отечественным ПО SecurOS (сервер с отключенным интернетом) и основная сеть предприятия находятся в разных подсетях. Линки заведены в один стек коммутаторов QTECH-3310 (VLANы настроены на разные подсети). Я правильно понимаю, что это соответствует принципам безопасности? Но сейчас стоит задача на 1-2 машины из основной сети дать доступ на просмотр видеокамер. Т.е. нужен доступ с 1-2-машин (PC-1 10.*.*.*) одного VLAN попасть в другой VLAN (172.16.99.*). На PC-1 установлена 1 сетевая карта Realtek GBe Gaming Family Controller, поддерживающая VLAN (утилитой Realtek Ethernet Diagnostic Utility задали второй IP для компа - из подсети видео 172.16.99.*). Подскажите, пожалуйста, в какой режим работы нужно перевести на коммутаторе порт PC-1, чтобы осталась работоспособность основной сети и доступ к видео?

Или есть другие способы предоставить доступ к камерам, не создавая дыру безопасности (физически тащить еще один кабель и одну сетевую для PC не предлагать)?

Comments

[Akina]

Я правильно понимаю, что это соответствует принципам безопасности?

Зависит от конкретной реализации и установленных у вас норм безопасности. Например, если сеть и видеосеть - это разные VLAN, а установленные у вас нормы безопасности не требуют физической изоляции, то соответствует.

[Владимир]

А сисадмина нанять?

Answer 1

[Руслан Федосеев]

Ну по человечески это настраивается на маршрутизаторе. Разрешить с определенных ип рабочих машин доступ в сеть видеонаблюдения.

Comments

[Amalgama777]

можно подробнее, пожалуйста. надо сделать

[Руслан Федосеев]

куда подробнее?
схема сети, используемое оборудование, конфигурация маршрутизатора?
Вот как минимум то, что надо выложить, чтобы вам дали подробный ответ...
А так... Теоретически предполагаю, что влан с сетью видеонаблюдения оконечен на роутере, и влан с интернетом оконечен на роутере. Также предполагаю, что это один и тот же роутер.
Надо зайтти на роутер, и в настройках его фаервола разрешить прохождение трафика от ип нужных машин в сеть видеонаблюдения....

[lex899]

Если без дыр то в случае когда трафик ходит через маршрутизатор нужен 3й vlan и 3я подсеть для компов которым можно и туда и туда. Иначе у нас получится авторизация по ip.

[Владимир Пилипчук]

Для начала нужно эти сети смаршрутизировать, в соответствии с поставленной задачей. Ибо есть процесс коммутации L2 и процесс маршрутизации L3. Это разные уровни OSI.
Подсеть - понятие из L3, а vlan из L2.
Их нужно подружить сначала.
После того, как подсети будут смарштктиз ровпны, средствами экранирования (acl или fw) вы можете ограничить эту маршрутизацию (или трансляцию, если используется Nat) в соответствии с вашими потребностями.

Answer 2

[Akina]

На PC-1 установлена 1 сетевая карта Realtek GBe Gaming Family Controller, поддерживающая VLAN (утилитой Realtek Ethernet Diagnostic Utility задали второй IP для компа - из подсети видео 172.16.99.*).

Сейчас найти карту, которая поддерживает VLAN, проще, чем карту, которая НЕ поддерживает.

Основной вопрос - поддерживает ли ваша карта multi-VLAN? Или иначе - после установки REDU, её запуска и выбора в левом окне вашей сетевой карты - появляется ли в среднем окне в дереве пункт VLAN?

Если нет, то всё плохо, и простого решения нет.

Если пункт есть, то всё элементарно:

1. Перенастроить порт свича к этой сетевой карте в режим транка, и включить его в оба VLAN в режим tagged.
   
2. С помощью REDU создать два указанных VLAN на сетевой карте. Рекомендую каждому VLAN присвоить вручную VMAC из диапазона незарегистрированных, и чтобы последние 4 цифры указывали на VLANID.
   
3. В свойствах сетевых подключений для каждого подключения установить требуемый адрес.
   

Comments

[Amalgama777]

Multi-VLAN на карте нет.
Не достаточно иметь 1 физическую сетевую и созданный в REDU один VLAN на этой сетевой?

[Akina]

Amalgama777, прописывание VLAN на сетевой карте однозначно инструктирует её на то, чтобы принимать только тегованный трафик из указанного VLANID. То есть - кроме всего прочего, перестать принимать нетегованный трафик.

В вашем случае простейшее решение - вторая сетевая карта в компе. Возможно, USB-карта.

[Руслан Федосеев]

о, новый режим придумали, мультивлан... А это что, простите?
под линухом поддержка вланов есть на любой сетевухе.
Создайте два влана на сетевой, получите два интерфейса в системе. Номера вланов ессно должны совпадать с используемыми вами. На коммутаторе - порт в транк, тегом отдать оба влана... На интерфейсы назначить нужные ип. Например по dhcp, если он у вас есть...

[Akina]

Руслан Федосеев, всё б хорошо, но у товарища немножко Windows. И там создание виртуальных интерфейсов, подключающихся в разные виланы, не такое уж и простое дело.

[Ziptar]

Akina,

прописывание VLAN на сетевой карте однозначно инструктирует её на то, чтобы принимать только тегованный трафик из указанного VLANID.

а в гибридном режиме они работать не умеют? =/
Upd А, ну хотя какой в этом смысл для единственного интерфейса
Надо глянуть, можно ли через виртуальный коммутатор hyper-v разрулить, гм
UPD2 Нет, нельзя

[Akina]

Ziptar, если со стороны драйвера и чипа есть поддержка - да, умеет и в гибриде. Если такой поддержки нет - не умеет, только аксесс или сингл-влан.

Во всяком случае, это верно для Реалтеков. У меня, скажем, есть две гигабитных USB2LAN на Реалтековых чипах, одна может мультивлан, вторая нет, хоть убейся. Причём для их поддержки грузятся абсолютно одни и те же файлы драйвера.

[Muhammadyusuf]

Akina, вроде на винде тоже можно. Я сижу давно на линуксе, но помнится можно через режим моста создать виртуальные интерфейсы.

[Akina]

Muhammadyusuf, можно, я не говорил что нельзя. Но это процесс жуть какой геморройный. ЕМНИП там включается тиминг, потом создаются виртуальные интерфейсы, которые крутятся на физ. адаптеры, именно они настраиваются каждый в свой влан... длинно, геморройно, и, помнится, не без подводных камней. И всё равно поддержка и со стороны драйвера, и аппаратная - необходимы.

[lex899]

Akina, мне помнится nic teaming работает только в серверной линейке win.

[Muhammadyusuf]

Akina, Даа. С этим не поспоришь

Answer 3

[d-stream]

QTECH-3310 заявлен как L3 - то бишь как минимум должен уметь ACL и простую маршрутизацию между vlan

Comments

[Amalgama777]

Можно подробнее, пожалуйста

[Руслан Федосеев]

СДСМ

[Akina]

Если организовать маршрутизацию средствами коммутатора, придётся ещё и озаботиться фильтрацией, чтобы к камерам не лезли те, кому не надо.

Answer 4

[Максим Корнеев]

самый простой и быстрый способ - установить на нужные ПК дополнительные сетевые карты (можно USB) и подключить их в сегмент видеонаблюдения.

при включении маршрутизации на коммутаторе она будет работать для всех. поэтому придется писать ACL чтобы доступ был только у тех, кому положено.

можно сервер выставить в обе сети и задать права на просмотр на нем. а доступ в интернет для сервера резать на граничном устройстве. я бы рекомендовал именно этот вариант - доступа к самим камерам тогда не будет, а это лучше.

VLAN на сетевой карте - не Ваш случай. рекомендую не рассматривать этот вариант. можете потестировать его, если интересно.