Как отделить сеть IP-видеонаблюдения от сети компьютеров?

Question

[Алексей Поваров]

Здравствуйте, друзья!

Имеется офисная сеть, организованная по следующей схеме:


На маршрутизатор TP-Link TL-R480T+ приходит интернет от двух провайдеров, затем по выходу LAN сигнал идёт на коммутатор D-Link DES-1210-28P/C1A, к которому подключены два сервера, Wi-Fi роутер, и, сообственно, компьютеры сотрудников. Всё прекрасно работало до того момента, как внедрили IP-видеонаблюдение.

Подключили его по следующей схеме: в вышеупомянутый коммутатор включили ещё один такой же, а в него - два видеорегистратора HIKVISION DS-7716NI-E4/16P (запись на встроенные жёсткие диски) и 21 камеру моделей DS-2CD2022WD-I (10шт), DS-2CD2122FWD-IS (5шт), DS-2CD2522FWD-IS (2шт) и DS-2CD2032-I (4шт). При этом в сети (в разделе "Сеть" в Windows) с офисных компьютеров видны все камеры, но (почему-то) не видны видеорегистраторы. То, есть, видимо, второй коммутатор не создал подсеть, а включился в существующую. IP-адреса всех устройств в сети статические. И, как Вы, наверное, догадываетесь, скорость передачи данных по сети резко упала.

Подскажите, пожалуйста, как перенастроить данную систему так, чтобы отделить сеть IP-видеонаблюдения от сети компьютеров, сохранив при этом доступ к видеорегистратору для компьютера начальника по внутренней сети?

Первым вариантом, который пришёл в голову, было переподключить коммутатор видеонаблюдения (D-Link DES-1210-28P/C1A) от коммутатора сети (D-Link DES-1210-28P/C1A) к маршрутизатору (TP-Link TL-R480T+), получив следующую схему:


При этом возникает три непонятные мне вещи:
1. Можно ли обеспечить взаимодействие между этими сетями, то есть доступ к видеорегистратору к компьютера начальника не через интернет, а через внутренюю сеть (получается, через маршрутизатор TP-Link TL-R480T+)?
2. Если можно, снимет ли такое решение нагрузку от камер в сети компьютеров?
3. Возможно, нужно не менять текущую схему подключения, а перенастроить коммутатор видеонаблюдения таким образом, чтобы он создавал свою отдельную сеть? Можно ли будет при таком решении обеспечить доступ к видеорегистратору с компьютера начальника?

Кроме этого, есть ещё такой вопрос: после разделения сетей, и, соответственно, изменения маски сети видеонаблюдения, необходимо будет изменить IP-адреса видеокамер. Пропадут ли при этом записи с камер на видеорегистраторах? Нужно ли будет внести ещё какие-либо изменения в систему видеонаблюдения?

Если мои вопросы покажутся Вам слишком глупыми, просьба не кидаться тухлыми яйцами, а попробовать всё-таки помочь, или хотя бы порекомендовать, куда копать. Подобным вопросом занимаюсь впервые, и, соответственно, опыт нулевой.

Спасибо!

Answer 1

[kolossradosskiy]

Есть всего три способа разделения сетей:
1. разнести компы и камеры в разные подсети,
2. разнести в разные vlan'ы,
3. протянуть для камер отдельную физическую сеть.

Выбирайте.

Comments

[silverjoe]

отдаю голос за второй вариант + ограничение доступа из рабочей сети в сеть видеонаблюдения

[Алексей Поваров]

Для камер и протянута отдельная физическая сеть. Но она соединена с офисной сетью именно для того, чтобы иметь возможность просмотра видео с компьютера начальника. При просмотре и "не просмотре" видео с этого компьютера скорость передачи данных по офисной сети не меняется. Есть предположение, что трафик от камер гуляет по офисной сети постоянно. Вопросы в том:
1. как это проверить?
2. если это так, как этого избежать?

[kolossradosskiy]

Для диагностики сети берите любой доступный вам снифер и смотрите что в сеть пролетает (сотни широковещательных запросов от камер, мультикаст-передача от видеорегистраторов и т.п.).

Прямо сейчас измените адресацию ваших камер и регистраторов, чтобы подсети у камер и компьютеров стали разными! На компе директора добавьте алиасом IP-адрес из сети камер. Основные проблемы с тормозами должны сразу же исчезнуть и все будет нормально работать. Директор будет смотреть себе камеры, а у вас будет время неспешно разбираться как настроить виланы, маршрутизировать их и т.д.

[Алексей Поваров]

kolossradosskiy: Спасибо за ответ! Провели эксперимент: добавили алиасом IP-адреса для двух компьютеров из другой подсети, ранее не существующей и измерили скорость передачи данных между ними по этой подсети с помощью netCPS. Получилась та же самая скорость, что и при в основной сети: от 7143 KPS до 7146 KPS, время передачи 100Мб от 14.38 сек до 14.45 сек.

Я так понимаю, что если физически трафик от камер идёт по основной сети, то замена IP-адресов в данном случае не поможет, и необходимо именно физически отделить сеть видеонаблюдения от сети компьютеров, обеспечив при этом взаимодействие между ними только для компьютера директора?

[kolossradosskiy]

Не то меряли. Это вы измеряли скорость работы внутри вашей основной сети, а нужно было скорость между двумя сетями под их обычной нагрузкой.
Но тем не менее, получается "всего" 57 Мбит/с - и есть основная проблема что ли? Если других жалоб нет, таки переходите на гигабит.

[Алексей Поваров]

kolossradosskiy: Большое спасибо за ответы! Да, по сути так и сделали: Просто включили компьютер начальника в гигабитный выход коммутатора. Осталась проблема, как скрыть камеры из сети.

Доп информация по этому вопросу: утилиты netCPS и netSpeed могут давать неверную оценку скорости. В нашем случае проверили это, соединив два компьютера отдельным коммутатором и получив скорость передачи данных между ними те же 57 Мбит/с. А вот утилита Iperf, похоже, показывает правильные значения.

Answer 2

[andreyNN]

vlan видимо вам нужен.

Answer 3

[Константин Степанов]

ИМХО, ставьте модифицированную схему сети, Dlink'и в режим "неуправляемых" коммутаторов.
Сеть не очень большая, проблем не должно возникать и при текущем варианта. Проверьте, скорее всего на камерах или регистраторах включен multicast, который забивает коммутаторы мусором.

З.Ы. коммутаторы к TpLinkу подключайте через транковые порты (26-28), камеры в юзерские. После этого траффик между регистраторами и остальной сетью будет только рабочий, в пределах 2-4 мегабит на подключенного пользователя.