Система видеонаблюдения своими руками - 2

РЕКЛАМА НА ФОРУМХАУС

вот пример на кинетике

порты 1 и 2 - на них висят устройства в изолированном сегменте как раз
порты 3 и 4 - это висящий рядом управляемый свич и стоящая на другом конце дома mesh-ТД

 

Подскажите (простыми словами), для чего делают изоляцию камер в отдельный VLAN?
У меня роутер RT-GM-2.
В него могу подключить отдельный POE свич для камер (п. 2 вашего списка).
Как настроить такой роутер?

 

Чтоб трафик с камер не бегал по всей сети, снижая общую пропускную способность и чтоб случайные гости не имели доступа к камерам (при подключении к вашему вайфаю) По большому счету в ситуации описанной выше и vlanы не особо нужны. Можно организовать сегментацию на роутере (если он поддерживает подобное) и без vlan, просто разделив на подсети, изолировав их друг от друга и настроив определенные правила доступа. На роутерах кинетик это делается достаточно просто. Другое дело, что на вашем RT-GM-2 такой трюк провернуть не получится.

 

Это, простите, как? Трафик от камер не широковещательный

Обычно гостям делают гостевую сеть в принципе. Да и оставлять камеры даже в локалке без паролей - дурной стиль. До добра не доведет

Зачем, чтобы 1 раз и глобально закрыть ему доступ в интернет. Потом думать, как обеспечить доступ извне к NVR, если вам это надо - но очень продумано.

Китайские камеры ломали, ломают и будут ломать.

Могу в общих чертах, про роутер не знаю

где-то в настройках роутера создаете отделый сегмент сети. Каждый сегмент со своими вайфаем (можно отключить) и со всеми своими настройками.

потом в настройках портов роутера прописываете один порт на этот сегмент, и втыкаете в него свой тупой POE-коммутатор, вешаете на него и NVR (хоть ему и не нужно POE) и камеры. Если вдруг дефицит портов, а на роутере есть свободные - еще забираете порт у роутера и прописываете его в тот же сегмент

 

Удаленное наблюдение за объектом (дом, дача) одна из основных задач.
Если кто-то подключится к моим камерам сильно не расстроюсь.
Главное самому к ним доступ не потерять.

 

На камеру за NATом взлом может идти только с сайта производителя. А с некоторыми провайдерами получается двойной NAT. Но поддерживаю разделение по VLAN видео и остального трафика. Себе еще и media устройства (TV, NAS) вывел в отдельный VLAN.

 

А вот это спорное решение. В этом случае обращение к NAS из других vlanов, например ПК, ноутов или мобильных клиентов будет ограниченно скоростью портов роутера и производительностью процессора этого самого роутера. А бытовые роутеры обычно не блещут производительностью и могут просто не справиться с маршрутизацией трафика между vlanами, ну или скорость между узлами будет сильно меньше чем могла бы. Хотя возможно у вас есть коммутатор с L3 функционалом и маршрутизация выполняется на нем, тогда все в порядке.

 

Как рекомендация- не берите на ОЗОН, дойдите до магазина. На озон из 12 карт не работают с камерами ни одна. Из магазина DNS работают все. Внешне- упаковки одинаковы, но при вскрытии пленочки-холдеры разные. Класс карт написан одинаковый, но программа SD Card Test даёт разный результат по скорости. Цены плюс минус 100р. Покупал кингстон, смартбай - озон сплошная подделка.

 

Открыть доступ к NVR, аккуратно

Ну как бы история со взломами обильная, вплоть до перешивок камер на хакерские прошивки и превращение в узлы бот-сетей. Если есть возможность перебздеть, лучше перебздеть. Мне проще следить за обновлениями одного NVR, чем за зоопарком разных камер разных производителей, а автообновления - палка о двух концах, из vstarcam пришлось выбивать палкой старую прошивку

 

Не у всех есть NAT, некоторые с белыми адресами. И вот недавно слышал про взлом за NAT. Была тема что через облако как-то камеры заставляли обновляться прошивкой с левого источника. Для себя - мне проще прикрыть трафик от камер наружу, благо все пишет NVR. А для других - каждый сам для себя решает, я просто про эту опцию (она достаточно стандартна) упомянул в обсуждении картинки с проводами и тупыми свичами.

 

Оно и так ограничено скоростью портов. Не роутера, но свича. Которое или одинаковое, или, как у меня, с портами в 1Гбс (сейчас уже совсем не дорого). Но и 100Мбс - вполне достаточно быстро даже на сегодня.
Скорость маршрутизации роутером - ни разу не встречал проблем. Тем более, тут вопрос про новый роутер.
Потоки видео, даже mkv контейнеры BlueRay копий - редко превышают даже 40мбс.

 

Как раз, наоборот. Чаще всего NAT у провайдера, реже - серый адрес, а за белый - платить дополнительно приходится.
ЗЫ. IP4 давно не резиновый.

 

Маршрутизация между vlanами выполняется на роутере (или L3 свитче). Если NAS 10-гигабитным портом подключен в 10-гигабитный порт L2 свитча и ПК через 10-гигабитную сетевуху подключен к 10-гигабитному порту этого же свитча, но при этом ПК и NAS в разных vlan и роутер имеет 100-мегабитные порты, то линк между ПК и NASом будет 100-мегабитным, несмотря на то, что они подключены в один коммутатор через 10-гигабитные порты.

 

Совершенно верно. Но:
1. Зачем дома 10 Гбс? Я в особых случаях использовал bonding двух 1 Гбс интерфейсов.
2. 100 Мбс порт копирует 3 Гб за 5 минут.

 

Можно короче: если сеть делал придурок, то все будет хреново! И ведь не оспорите

Не, ставить 10-гигабытное железо и объединять сеть 100-мегабитным роутером - это достойный поступок, и надо срочно воткнуть L3 для его более глубокого осмысления В общем, если человеку зачем-то очень-очень-очень надо сделать сеть вот настолько придурошную, он знает почему именно такое железо выбрал, и деваться некуда - L3 коммутатор ему в помощь.