Как правильно настроить локальную сеть (в которой есть видеонаблюдение)?

Доброго времени суток!
Случилось так, что мне в «наследство» досталось, некоторое количество оборудования, при том, что бывшего хозяина не сыскать.
Сам в сетях и настройках сетевого оборудования не силен, знания довольно поверхностные на уровне настроить домашний роутер, пробросить порты и т.д. Я больше по программным моментам и видеонаблюдению.
Был бы очень признателен за помощь/консультацию.

Вот что есть на данный момент:
Имеется локальная сеть – 192.168.1.0/24 + есть «белый» IP адрес.
На данный момент есть 4 свитча:
• SW1 – D-link DES-1210-28P (192.168.1.110)
• SW2 – D-link DES-1210-28P (192.168.1.112)
• SW3 – D-link DGS-1210-28P (192.168.1.113)
• SW4 – D-link DES-3200-26 (IP не известен, к свичу нет доступа)
Так же стоит маршрутизатор Zyxel Keenetic II, который является в том числе и шлюзом для устройств (192.168.1.1)
Два сервера видеонаблюдения:
• SRV-V1 – отвечает за внешнее видеонаблюдение (192.168.1.199)
• SRV-V2 – отвечает за внутреннее видеонаблюдение (192.168.1.200)
IP камеры, внутренние и внешние, которые подключены к SW1 и SW2 (внешние) и SW3 (внутренние).
SW1 и SW2 соединены между собой оптоволоконным кабелем через SFP, SW2 и SW3 c SW4 витой парой.
На данный момент имеется ряд проблем и вопросов:
1. На момент установки сервера SRV-V2 свитчи SW2 и SW3 соединили патчкордом, всё было хорошо, но не пинговался с роутера, и не был виден из интернета. После того как соединили SW3 и SW4, сервер стал пинговаться и стал доступным из интернета.
Почему произошла такая ситуация?
2. Если подключиться ноутбуком к SW3, то не пингутся сервер SRV-V1, а также камеры, подключенные к SW2 и SW1. Нет доступа к веб интерфейсу SW2.
3. Даже если напрямую подключиться ноутбуком к SW2, то нет пинга до камер, которые подключены к SW1 и нет доступа к веб интерфейсу SW1, а хотелось бы, т.к. SW1 территориально удален от места где располагаются SW2, SW3 и SW4. При том, что сервер SRV-V1, подключенный к SW2, прекрасно видит камеры, подключенные к SW1.
4. Никак не могу настроить VPN сервер на Zyxel, хотя компонент VPN сервера установил, включил, пользователя завел. Но подключаться к нему никак не хочет. ОС Windows 10 - пишет: "Не удается подключиться к удаленному компьютеру, поэтому порт подключения закрыт". Поддержку ключа 40 бит для протокола MPPE у себя в системе включил.

Так же хотелось бы узнать ваше мнение насчет следующих планов:
1. Разделить сеть на VLAN’ы, разделив тем самым видеонаблюдение и другие устройства в локальной сети (которые подключены к SW4), с целью снижения нагрузки внутри сети, а также для повышения безопасности. Реально ли на Keenetic пробросить порты извне во VLAN который будет для видеонаблюдения?
Имеет ли смысл разделять внутреннее и внешнее видеонаблюдение в разные VLAN’ы?
2. Можно ли (и правильно ли) сделать такое разделение в дальнейшем, если не разделять на VLAN'ы?
  • 2 – 99 – DHCP – Клиенты в т.ч. Wi-Fi
  • 100 – 110 – Switch
  • 111 – 149 – Резерв статических IP
  • 150 – 250 – Видеонаблюдение
  • 251 – 254 – Резерв

Саму схему, которую смог нарисовать прикладываю.

Заранее спасибо за ответы!

c085d8de34b04688a0db2a43ff142785.jpg
  • Вопрос задан
  • 2751 просмотр
Решения вопроса 1
@d-stream
Готовые решения - не подаю, но...
0. во избежание граблей - очень рекомендуется уйти от сетей 192.168.0.0/24 и 192.168.1.0/24

1. совершенно правильный путь

но лучше не на маршрутизаторах "шлюзовать" между собой получившиеся сети, а использовать так называемые L2+ коммутаторы (коммутаторы с небольшим, возможно ограниченным L3 функционалом)

2. лучше все-таки п.1
Ответ написан
Пригласить эксперта
Ответы на вопрос 2
Разделить сеть на VLAN’ы, разделив тем самым видеонаблюдение и другие устройства в локальной сети (которые подключены к SW4), с целью снижения нагрузки внутри сети


Уточните, а как разделение на VLAN’ы снижает нагрузку (видимо на оборудование?), ведь ширина канала при этом не меняется?
Ответ написан
@mejor-correo Автор вопроса
Вчера вечером разобрал всю вязанку проводов в том шкафу и оказалось схема слегка видоизменилась, зато часть вопросов отпала.

1b71ab9bfada4c168693123377223c4b.jpg

SW2 и SW3 соединил с роутером и всё сразу стало пинговаться и работать как мне нужно.

Вопрос с VPN тоже частично решился. Через CLI на Zyxel включил 128-битное шифрование и стало подключаться, за одним исключением. С одного места никак не хочет устанавливать соединение. Может как то шлюз быть настроен так, что он не пропускает через себя VPN ... ? Т.к. через другой шлюз из того же места всё подключается.

Остается самый сложный для меня вопрос насчёт настройки VLAN.
Если я правильно понимаю, то мне надо сделать следующее?
  • Создаю на Keenetic II VLAN ID – 20 (Видеонаблюдение внешнее), отдельный порт (2).
  • Создаю на Keenetic II VLAN ID – 30 (Видеонаблюдение внешнее), отдельный порт (3).
  • Создаю на Keenetic II VLAN ID – 40 (Клиенты локальной сети), отдельный порт (4).
  • Назначаю адрес – 192.168.2.1 (создание сети 192.168.2.0/24) для порта №2 - VLAN20
  • Назначаю адрес – 192.168.3.1 (создание сети 192.168.3.0/24) для порта №3 - VLAN30
  • Назначаю адрес – 192.168.4.1 (создание сети 192.168.4.0/24) для порта №4 - VLAN40


И эти порты соединяю со свитчами соответствующими, а в роли шлюза на свичах указываю IP который назначен на соответствующем порту Keenetic'a ?
Те порты, которые соединяют сами устройства должны быть Trunk, если я правильно понял. Порты для конечных устройств Untagged.

Это на Keenetic делается в разделе "Домашняя сеть" - "Сегменты" ?
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы