Назад | Перейти на главную страницу

Запуск двух подсетей в одной физической локальной сети

Один из наших удаленных офисов заключил договор о безопасности с компанией, которая пришла и установила IP-камеры безопасности и сервер в нашем офисе. Они явно ничего не знали об интеграции своей системы в существующую сеть, поскольку выполнили работу, не разговаривая ни с кем из нашей команды.

Наша внутренняя сеть работает на 10.6.n.0 / 24. Они настроили свое оборудование на использование 192.168.1.0/24. Все это подключено к одной и той же сетевой инфраструктуре - одному широковещательному домену. Конечно, все их оборудование может общаться друг с другом, поэтому система безопасности работает, по крайней мере, внутренне.

Если у нас нет требований к внешнему доступу к системе безопасности или из нее, есть ли какие-либо проблемы, которые потребуют надлежащей интеграции с нашей сетью? Или я могу оставить оборудование как есть?

Есть несколько причин разделить их:

  1. Один широковещательный домен равен одному домену отказа. Если что-то пойдет не так, и ваша VLAN будет затоплена, обе подсети не работают. IP-камеры могут очень легко переполнять каналы, либо аппаратный сбой или неисправность конфигурации могут сделать то же самое,
  2. Вредоносное программное обеспечение или пользователи могут получить доступ к вашим камерам без проверки, и, как упоминалось ранее, в IP-камерах имеется множество уязвимостей.
  3. Ваша сеть сбивает с толку любую третью сторону, приходящую для проекта или устранения неполадок, делая любую работу дольше и более подверженной ошибкам. Это увеличивает ваши эксплуатационные расходы или, что еще хуже: увеличивает время простоя.

Разделить их легко: создайте две VLAN на всех своих коммутаторах, убедитесь, что все новые устройства находятся в одной VLAN, а все остальные - в другой, и все каналы между коммутаторами имеют оба. (Если у вас нет коммутаторов, которые могут обрабатывать VLAN, вам придется использовать физически отдельные коммутаторы, а затем инвестировать в некоторые правильные коммутаторы.) Если вам требуется возможность подключения между двумя сетями, используйте один коммутатор уровня 3, маршрутизатор или межсетевой экран с интерфейсами. в обеих сетях и вуаля.

NB: Лучше всего не использовать VLAN 1. Вы можете выбрать любой номер VLAN, который хотите, поэтому просто выберите любой номер, кроме 1.

Дополнительный бонус: как только ваша сеть становится более сложной, вы уже настроены на отделение других вещей в вашей сети, поскольку основа уже существует.

Это случилось со мной. Я работаю над его отменой на одном сайте. В идеале порты должны быть разделены VLAN, что должно быть легко сделать на уровне коммутатора без полной перенастройки оборудования камеры.

Основная проблема, с которой я сталкиваюсь, - это пропускная способность и перегрузка, которая влияет на несколько приложений, но настройка работает как есть.

Разве вам не нужен доступ к камерам? Может быть, от внутреннего ПК-клиента? Я обнаружил, что люди, устанавливающие эти решения, также стремятся получить внешний доступ. Это достаточно веская причина, чтобы исправить это. Но, опять же, в моем случае установка достаточно стабильна, и с моей стороны нет необходимости отменять плохую работу ...

Если вы не несете ответственности за программное обеспечение, работающее на оборудовании безопасности, я бы пошел дальше и изолировал сеть, если вы не уверены на 100%, что им не нужен (даже в будущем) доступ, всегда есть риск сетевые камеры, что они не обновлены до последней версии прошивки. Нет недостатка в уязвимости, небольшая работа теперь означает, что проблемы такого рода будут меньше беспокоить ..