Какую технологию выбрать, VLAN или другую? Для домашней сети со странной структурой?

Question

[balkan]

Имеется обычная домашняя сеть. В ней куча неиспользуемый розеток, некоторые используются под телики, сервак, нас, компы и прочие обычные вещи. 16 портов впритык, с учетом роутеров, точек доступа и т.п.
Одновременно есть система IP видеонаблюдения, с камерами установленными снаружи, с легким физическим доступом злоумышленниками.

Посоветуйте бюджетный управляемый коммутатор, с VLAN или подскажите другой метод реализации следующего?
В первую группу подключаются внутренние домашние порты.
Во вторую группу подключаются камеры видеонаблюдения и видеорегистратор.
Когда злоумышленник подключится по кабелю снятому с камеры к сети, он не получит доступа далее второй группы, и не сможет достучаться к домашней части сети. Дополнительно можно привязать к портам мак адреса.

Но в такой конфигурации не будет доступа из домашней сети, к видеорегистратору, для просмотра онлайн или архива.
VLAN поддерживает добавление порта в 2 разные группы? Для получения возможности достучаться из первой группы к 1 устройству из второй группы?

Или подскажите метод решения?

Answer 1

[Армянское Радио]

Между сетями нужно поставить L3 шлюз и файерволл - обычная корпоративная практика.

Дешевле может выйдет купить два коммутатора по 16 портов тупых и воткнуть их в комп с двумя сетевухами, еще и по оптике воткнуть

Тогда даже если злобнокот вжарит в кабель от камеры шокером, выгорит только один коммутатор, а не вся сеть.

Answer 2

[xmoonlight]

Запрет входящих соединений с камер на файрволле и всё.

Answer 3

[nApoBo3]

1. Поставьте задачу перед видеонаблюдением.
Иначе оно у вас не источник безопасности, а источник рисков.
2. Не забудьте вам потребуется ещё защита портов коммутатора, иначе злоумышленники подаст в вашу сеть через провод 220, спалит ваш коммутатор выключив остальные камеры.
3. Изоляция портов можно сделать или vlan, или физическим коммутатором.
4. VLAN просто исходя из названия, оно virtual. В ИТ виртуал используется в первую очередь для повышения утилизации ресурсов. Т.е. если вам нужно 48 портов, с разделением два по 24, это дешевле, чем 48 с vlan. Использовать vlan в такой конфигурации может снизить электро потребление и снижает занимаемое место, но снижает устойчивость к отказам и увеличивает стоимость.
5. Маршрутизацию между vlan осуществляет маршрутизатор порты которого находятся в соответствующих вланах.

Answer 4

[fpir]

Простейший микротик как маршрутизатор и 2-3 тупых свича на 5-8 портов(по 1к). На круг выйдет в районе 8к, что равно простенькому свичу L3. На микротике можно рулить этим всем, как VLAN, так и подсетями и мостами между ними(например, прописав маршрут на компе до видеорегистратора, обратного маршрута на регистраторе не будет и попасть с него на комп, или в подсеть с компом, будет нельзя)
Физическая защита по току будет так-же обеспечена копеечными свичами. Злоумышленников, кидающих 220 на витую я не встречал, но молнии жгут порты видеонаблюдения постоянно, наводя на длинную витую, даже с заземлённым экраном.

Comments

[balkan]

Ubiquiti EdgeRouter X (ER-X) сможет заменить микротик в этом случае?

[fpir]

balkan, Почти любой роутер может заменить в этой схеме микротик. Даже бытовой D-Link, не очень лохматого года, при условии, что вы сможете его настроить через СLI. Я не знаком с Ubiquiti, не могу сказать - насколько удобно его настраивать. Но ,почти уверен, что он сможет. Другой вопрос - можно ли сделать это через его вебморду, не прибегая к терминалу. Это, наверное, надо создавать другой вопрос ).

Answer 5

[d-stream]

Примерно сходно будут стоить один коммутатор с вменяемым управлением vlan (на барахолках возможно даже с L2+/L3 фичами) и два "тупых" коммутатора.
Вот во втором варианте эти два коммутатора надо будет подключить к двум портам (которые в разных сетях по сути) своего маршрутизатора. Ну и научить маршрутизатор маршрутизировать между этими двумя сетями. Можно даже в ленивом варианте реализовать nat из локалки в видео)

Answer 6

[res2001]

Имеется обычная домашняя сеть.

Теперь я знаю, что такое обычная домашняя сеть :-)

Вы можете 2 VLANа направить в один порт. В этом случае на комп будет приходить тегированный трафик и вам надо будет разруливать VLANы уже на компе. Драйвер сетевого адаптера должен позволять это делать.
Так же можно в комп воткнуть 2 сетевых адаптера, каждый в своем VLANе.
Учтите, что в обоих случаях узким местом становится этот комп, который смотрит в обе сети. Если уличные кулхацкеры его сломают, то доберутся до всего остального.

Comments

[balkan]

Кулхацкеры это на всякий случай.
Обычная квартира, после ремонта много розеток, для возможности удобной работы по сети (вифи не всегда идеально работает).
Вне квартиры. в коридорах общих, будет стоять 3-4 камеры, по проводу. Для возможности посмотреть из домашней сети кто там ходит и хулиганит в реалтайме, или узнать кто ходил и гадил из архива,

По грубому, просто что бы шнурки для камер не имели прямого автоматического доступа к устройствам домашней сети :)

[res2001]

balkan, Это понятно.
Просто обычно домашняя сеть - это WiFi роутер, поставленный и настроенный провайдером. Хорошо если на холодильнике под магнитиком прилеплен листок с паролем от WiFi, но часто пароля никто не помнит, пока девайсы не забыли введенный пароль работают, а там надо будет вызывать спеца.

[balkan]

res2001, ну как никак айтишник без глубоких сетевых знаний, и те забыты.

Answer 7

[TinyQ]

Коммутатор D-Link DES-1100-16 или любой другой который поддерживает VLAN на основе порта. Порт видеорегистратора можно будет добавить в обе группы.