Перейти к содержанию
Как правильно добавить self-test и прочую отладку в тему
Где взять тестовые сборки
Официальное хранилище ПО в виде файлов
  • 0

Прошу помощи с настройкой подсетей

booroondook

Ответ от booroondook,

 Поделиться

Вопрос

booroondook Пользователь

booroondook

Опубликовано
Опубликовано (изменено)

Я специально не буду здесь рассказывать, что я делал и как я пытался настроить - иначе вместо ответа на свои вопросы получу кучу упреков с указаниями на то, что я делал не так.

Итак, есть довольно объемная сеть с адресацией 192.168.0.0/24. Возглавляет сеть Keenetic Skipper DSL, по разным помещениям расставлены еще три "Start" и два "Lite", объединенные в WiFi-систему.

Несколько клиентских компов, три сервера, полтора десятка камер видеонаблюдения с видеорегистратором, куча всевозможных "умных" датчиков, выключателей, розеток и лампочек, "умные" колонки, пара Смарт-ТВ и т.д.

В-общем, большая помойка. Все это расположено в трехэтажном доме и двух подсобных помещениях - везде протянуты кабели, установлены неуправляемые свичи. Самое главное - разделить сеть на логические сегменты (и использовать для них разные порты роутера) физически невозможно.

Встала задача - вынести (логически, не физически) часть оборудования в отдельный сегмент сети, но при этом сохранив связь между сегментами. В качестве "выносимого" оборудования были выбраны камеры видеонаблюдения (16 шт.) в комплекте со своим видеорегистратором. Еще раз хочу уточнить - камеры не подключены к регистратору напрямую - они физически подключены к общей сети патч-кордами к тех местах, где сеть оказалась поблизости. Через свичи, естественно. Видеорегистратор тоже подключен к общей сети наравне с прочими клиентами.

Так как система видеонаблюдения использует только кабельное подключение, то наличие точек доступа в этом сегменте не нужно. DHCP-служба в этом сегменте тоже не нужна, т.к. и видеорегистратору, и всем камерам назначаются фиксированные IP-адреса.

Соответственно, возникает вопрос - как правильно организовать дополнительный сегмент сети под видеонаблюдение, чтобы при этом из основной сети можно было доступиться до всех камер и регистратора - например, чтобы вывести изображение с камеры на экран ПК, или чтобы настроить регистратор через его веб-админку. Какой адрес выбрать для шлюза, какую маску применить в подсети, как настроить маршрутизацию между сегментами?

 

Изменено пользователем booroondook

9 ответов на этот вопрос

Рекомендуемые сообщения

  • 0
booroondook Пользователь

booroondook

Опубликовано
  • Автор
Опубликовано
9 часов назад, mrGhotius сказал:

Устройства видеонаблюдения тегированный трафик понимают?

Боюсь, что нет. А если бы понимали, то что можно было бы сделать?

  • 0
CBLoner Старожил

CBLoner

Опубликовано
Опубликовано

Ну тогда управляемые коммутаторы и вперёд к VLan на основе портов...

Но что-то +- адекватное, чтобы схемы можно было мутить.

  • Лайк 1
  • 0
booroondook Пользователь

booroondook

Опубликовано
  • Автор
Опубликовано

Да ну. Никаких денег не хватит, чтобы установить вместо свичей управляемые коммутаторы. Я так приблизительно прикинул - понадобится штук 6, не меньше.

Ведь смотрите - по сути-то вторая подсеть (ну, пусть она будет 192.168.10.0/24) может существовать и без "вмешательства" Кинетика - там все адреса фиксированные (т.е., услуга DHCP не нужна), вайфай не используется, устройства знают друг друга по IP-адресам. Им нужен только шлюз для выхода в другие сети.

Ну и теперь я просто вынужден рассказать, как я решал эту задачу, иначе будет непонятно.

Я создал на Кинетике дополнительный сегмент (назвал его "CCTV") с адресом шлюза 192.168.10.1 и маской 255.255.255.0 и прописал этот шлюз в настройках сети всех камер и видеорегистратора.

Присвоил видеорегистратору и камерам адреса из диапазона 192.168.10.0/24. Система видеонаблюдения работает штатно, регистратор камеры видит, запись ведет картинку показывает.

Но.... Я не могу доступиться из основной сети (192.168.0.0/24) ни к одному устройству в подсети "CCTV". При этом адрес шлюза этой подсети (т.е., 192.168.10.1) пингуется. Пытался настроить маршрутизацию, но не сработало.

И более того - в сети "CCTV" устройства между собой пингуются, но шлюз 192.168.10.1 почему-то не пингуется (для этого "эксперимента" я временно менял настройки IP своего компа на подобные тем, что выставлены на камерах). Внешние адреса (например, 8.8.8.8) тоже из этой подсети не пингуются.

Для справки: флажок "Изоляция клиентов" в настройках сегмента на роутере выключен.

  • 0
Le ecureuil Старожил

Le ecureuil

Опубликовано
Опубликовано

Чисто теоретически, то что вы настроили, хоть и не дает никакой изоляции между сетями, но работать должно.

Вопрос насчет роутинга между этими подсетями: попробуйте сегмент CCTV сделать не protected, а private. Также вам нужно убрать isolate-private в cli, потому что у вас и так физический сегмент единый, и смысла в подобной изоляции у вас нет. После этого должно все (в теории) заработать.

  • 0
booroondook Пользователь

booroondook

Опубликовано
  • Автор
Опубликовано

Мне кажется, я нашел более простое решение. А именно:

1. Удалил этот дополнительный сегмент. Вообще.

2. Расширил маску в основной сети до 255.255.248.0 (таким образом, диапазон адресов подсети стал от 192.168.0.1 до 192.168.7.254). При этом диапазон раздачи адресов от DHCP остался прежним (т.е.. не выходит за пределы 192.168.0.X).

3. Поменял IP-адреса объектов CCTV с 192.168.10.X на 192.168.7.X

Ну, то есть, вместо маршрутизации между двумя сетями просто расширил одну сеть. Чисто формальное решение - больше для красоты, ибо технического смысла тут никакого.

  • 0
Le ecureuil Старожил

Le ecureuil

Опубликовано
Опубликовано
10 минут назад, booroondook сказал:

Мне кажется, я нашел более простое решение. А именно:

1. Удалил этот дополнительный сегмент. Вообще.

2. Расширил маску в основной сети до 255.255.248.0 (таким образом, диапазон адресов подсети стал от 192.168.0.1 до 192.168.7.254). При этом диапазон раздачи адресов от DHCP остался прежним (т.е.. не выходит за пределы 192.168.0.X).

3. Поменял IP-адреса объектов CCTV с 192.168.10.X на 192.168.7.X

Ну, то есть, вместо маршрутизации между двумя сетями просто расширил одну сеть. Чисто формальное решение - больше для красоты, ибо технического смысла тут никакого.

А зачем вы тогда вообще захотели что-то "выделять" в отдельный сегмент? Если в итоге вернулись к тому что было.

  • 0
booroondook Пользователь

booroondook

Опубликовано
  • Автор
Опубликовано
11 минуту назад, Le ecureuil сказал:

А зачем вы тогда вообще захотели что-то "выделять" в отдельный сегмент? Если в итоге вернулись к тому что было.

Да, получается, что так. Но тем не менее, получилось хоть какое-то, пусть и очень условное, разделение адресов.

  • 0
CBLoner Старожил

CBLoner

Опубликовано
Опубликовано

Ну да... по факту всё в кучу. 

Я вот сам жду топовый новый ПИК с кучей портов, чтобы всё жёстко по портовым VLan развязать.

У меня:

1. Основная

2. Гостевая

3. IP телефония

4. Умный дом и датчики

5. Камеры

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.
Примечание: Ваш пост будет проверен модератором, прежде чем станет видимым.

Гость
Ответить на вопрос...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Поделиться
Перейти к списку вопросов

  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...

Важная информация

На этом сайте используются файлы cookie. Нажимая "Я принимаю" или продолжая просмотр сайта, вы разрешаете их использование: Политика конфиденциальности.

  Я принимаю