Применение IP-камер в локальной сети, используя технологию VLAN на коммутаторах ZyXEL

Приведите пример использования IP-камер в локальной сети, с применением технологии VLAN на коммутаторах ZyXEL.

Эта статья содержит рекомендации о том, как использовать IP-камеры в локальной сети, используя VLAN на коммутаторах ZyXEL. Мы будем предполагать, что сервис с применением IP-камер развертывается для малых и средних предприятий, и использует одноадресную (unicast) рассылку трафика, вместо многоадресной (multicast). Взаимодействие между IP-камерой и сервером будет строго в том же домене 2-го уровня и не будет перекрываться другими шлюзами.
 
Цели:
— Использование VLAN для разделения трафика IP-камер
— Примеры настройки VLAN через веб-конфигуратор коммутатора
— Руководство по устранению неполадок VLAN
 
Рассмотрим следующую топологию сети:
 
Несколько групп IP-камер установлены по всему зданию для реализации видеонаблюдения. В нашей топологии сети разделим устройства по типам: End Devices (оконечные устройства), Access Layer (устройства уровня доступа), Aggregation Layer (устройства уровня агрегации) и Server Room (серверная комната).
 
Оконечные устройства это компьютеры, ноутбуки, принтеры, точки доступа, IP-телефоны и IP-камеры. Эти устройства, как правило, размещены и установлены по всему зданию и их физическое расположение ограничено длиной Ethernet-кабеля. В сети существуют различные оконечные устройства, подключенные к коммутатору, но в данном примере нас интересуют только IP-камеры.
 
Устройства уровня доступа — устройства в сети, к которым подключаются оконечные устройства. Оконечные устройства, как правило, подключены непосредственно к коммутатору. В нашей топологии используется PoE-коммутатор, который необходим для питания IP-камер (или других устройств) и большой гибкости размещения (не нужно будет беспокоиться о расстоянии между IP-камерой и электрической розеткой). Это позволит размещать IP-камеры в нужных местах.
 
Устройства уровня агрегации — устройство в сети, в которое сходятся все устройства уровня доступа (как правило, это коммутатор ядра). К таким распределительным коммутаторам также могут быть подключены серверы и терминалы.
 
Серверная комната, или в данном случае, Monitor Room. Сервер необходим для сбора и хранения данных, поступающих со всех IP-камер.
 
Теперь рассмотрите схему VLAN нашей сети:
 
Эта топология предполагает, что сервис IP-камер будет недоступен для несанкционированного доступа.
Компьютеры, подключенные в порты коммутатора доступа для пользователей или гостей, могут работать только в сети Интернет.
В нашей топологии аппаратный шлюз безопасности ZyWALL USG осуществляет подключение к Интернету. Разделение трафика по VLAN между IP-камерами и другими конечными устройствами может улучшить управление сетью, стабильность обслуживания и её безопасность.
 
Преимущества использования VLAN для разделения различных сервисов сети заключается в том, что администраторы смогут логически группировать конечные устройства, которые не зависят от физического местоположения или подключения. Это позволит им гибко управлять или изменять распределением трафика по сети.
 
Также преимущество использования VLAN — стабильность. Администраторы могут настроить коммутаторы для предоставления более высокого приоритета трафика со своих IP-камер, чем пользователям, использующих приоритезацию IEEE 802.1p. Это гарантирует, что если ширина полосы канала перегружена, коммутатор будет обрабатывать в первую очередь пакеты в VLAN с более высоким приоритетом. С использованием VLAN также будет улучшена стабильность сети за счет сокращения широковещательного домена, тем самым уменьшая общую передачу всех пакетов.
 
Ну и наиболее важным параметром является безопасность сегмента сети, в котором работают IP-камеры для видеонаблюдения. Если же IP-камеры будут работать в одном сегменте (в одном VLAN) с другими конечными устройствами, ваша сеть будет открыта для спуфинга. Хакеры смогут скопировать конфиденциальную информацию или отключить некоторые сетевые службы.
 
Настройка VLAN через веб-конфигуратор
 
Теперь постараемся настроить предложенную топологию, используя веб-конфигуратор коммутатора. Будем считать, что трафик с IP-камер должны иметь наивысший приоритет. Напоминаем, что аппаратный шлюз ZyWALL USG используется для подключения компьютеров к Интернету.
 
Цели:
— IP-камеры и сервер будут находиться в VLAN 10.
— Компьютеры и другие устройства (не IP-камеры) будут находиться в VLAN 20.
— Только компьютеры и другие устройства (не IP-камеры) cмогут получить доступ в Интернет.
— VLAN 10 должен иметь наивысший приоритет трафика.
 
Шаг 1: Зайдите в меню Advanced Application > VLAN > VLAN Configuration > Static VLAN Setup.
Создайте VLAN 10. Пометьте Fixed порты, к которым подключены IP-камеры, сервер и соседние коммутаторы. Установите порты к IP-камерам и серверу как untagged (т.е. не устанавливайте галочку в поле Tx Tagging).
 
Switch-01:
 
Switch-02:
 
Switch-03:
 
Switch-Core (коммутатор ядра):
 
Шаг 2: Зайдите в меню Advanced Application > VLAN > VLAN Configuration > Static VLAN Setup.
Создайте VLAN 20. Отметьте Fixed порты, которые идут к компьютеру, Интернету и на соседние коммутаторы. Отметьте порты к компьютеру и Интернету как untagged (т.е. не устанавливайте галочку в поле Tx Tagging).
 
Switch-01:
 
Switch-02:
 
Switch-03:
 
Switch-Core (коммутатор ядра):
 
Шаг 3: Зайдите в меню Advanced Application > VLAN > VLAN Configuration > VLAN Port Setup.
Настройте PVID. Порты к IP-камерам и серверу будут использовать PVID 10, а порты к компьютерам и Интернету будут использовать PVID 20. Вы можете игнорировать PVID на портах соседних коммутаторов.
 
Switch-01:
 
Switch-02:
 
Switch-03:
 
Switch-Core (коммутатор ядра):
 
Шаг 4: Зайдите в меню Basic Settings > Port Setup.
Теперь нам нужно видеотрафику IP-камер назначить наивысший приоритет. В этом случае нам нужно настроить все порты к IP-камерам и серверу, установив в поле 802.1p Priority приоритет 5.
 
Switch-01:
 
Switch-02:
 
Switch-03:
 
Switch-Core (коммутатор ядра):
 
 
Поиск и устранение неисправностей VLAN
 
1. Из порта, подключенного к IP-камере, выполните пинг IP-адреса сервера. Успешный пинг показывает, что трафик идет в обоих направлениях. Если пинг не проходит, убедитесь, что пакеты обрабатываются в правильном VLAN.
Зайдите в меню Management > MAC Table, выберите условие All и щелкните по кнопке Search. Должен появиться список MAC-таблицы.
 
Найдите MAC-адрес вашей IP-камеры. Если MAC-адрес не появится, то IP-камера, скорее всего, не отправляла никаких пакетов на коммутатор, как минимум, в течение последних пяти минут. Если MAC-адрес IP-камеры присутствует в MAC-таблице, но с неправильным VID (VLAN ID), то это признак ошибки.
 
2. Технология VLAN в коммутаторах ZyXEL использует три правила: Ingress, Forwarding и Egress.
Это относится к PVID, к портам Normal/Fixed/Forbidden и Tx Tagging соответственно. Убедитесь, что все три правила соответствуют политики вашей сети.
 
3. Обращаем ваше внимание, что конечные устройства по умолчанию не могут обрабатывать пакеты с тегами VLAN. Убедитесь, что порты коммутатора, ведущие к IP-камерам и серверу установлены в untagged (т.е. без тега).

KB-4627

Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 3 из 3

Комментарии

0 комментариев