Один из наших удаленных офисов заключил договор о безопасности с компанией, которая пришла и установила IP-камеры безопасности и сервер в нашем офисе. Они явно ничего не знали об интеграции своей системы в существующую сеть, поскольку выполнили работу, не разговаривая ни с кем из нашей команды.
Наша внутренняя сеть работает на 10.6.n.0 / 24. Они настроили свое оборудование на использование 192.168.1.0/24. Все это подключено к одной и той же сетевой инфраструктуре - одному широковещательному домену. Конечно, все их оборудование может общаться друг с другом, поэтому система безопасности работает, по крайней мере, внутренне.
Если у нас нет требований к внешнему доступу к системе безопасности или из нее, есть ли какие-либо проблемы, которые потребуют надлежащей интеграции с нашей сетью? Или я могу оставить оборудование как есть?
Есть несколько причин разделить их:
Разделить их легко: создайте две VLAN на всех своих коммутаторах, убедитесь, что все новые устройства находятся в одной VLAN, а все остальные - в другой, и все каналы между коммутаторами имеют оба. (Если у вас нет коммутаторов, которые могут обрабатывать VLAN, вам придется использовать физически отдельные коммутаторы, а затем инвестировать в некоторые правильные коммутаторы.) Если вам требуется возможность подключения между двумя сетями, используйте один коммутатор уровня 3, маршрутизатор или межсетевой экран с интерфейсами. в обеих сетях и вуаля.
NB: Лучше всего не использовать VLAN 1. Вы можете выбрать любой номер VLAN, который хотите, поэтому просто выберите любой номер, кроме 1.
Дополнительный бонус: как только ваша сеть становится более сложной, вы уже настроены на отделение других вещей в вашей сети, поскольку основа уже существует.
Это случилось со мной. Я работаю над его отменой на одном сайте. В идеале порты должны быть разделены VLAN, что должно быть легко сделать на уровне коммутатора без полной перенастройки оборудования камеры.
Основная проблема, с которой я сталкиваюсь, - это пропускная способность и перегрузка, которая влияет на несколько приложений, но настройка работает как есть.
Разве вам не нужен доступ к камерам? Может быть, от внутреннего ПК-клиента? Я обнаружил, что люди, устанавливающие эти решения, также стремятся получить внешний доступ. Это достаточно веская причина, чтобы исправить это. Но, опять же, в моем случае установка достаточно стабильна, и с моей стороны нет необходимости отменять плохую работу ...
Если вы не несете ответственности за программное обеспечение, работающее на оборудовании безопасности, я бы пошел дальше и изолировал сеть, если вы не уверены на 100%, что им не нужен (даже в будущем) доступ, всегда есть риск сетевые камеры, что они не обновлены до последней версии прошивки. Нет недостатка в уязвимости, небольшая работа теперь означает, что проблемы такого рода будут меньше беспокоить ..