Я пытаюсь спроектировать новую сеть для моего дома, которая распределена по 4 этажам. Я думал о своих требованиях, и я попытался записать

Требования

Камеры наблюдения

  • камеры видеонаблюдения не должны иметь доступа в интернет;
  • камеры безопасности должны иметь доступ к сетевому видеорегистратору (NVR);
  • NVR должен иметь доступ к удаленному почтовому серверу для отправки уведомлений по электронной почте в случае инцидентов безопасности
  • специальная камера видеонаблюдения потребует доступа в интернет и доступа к NVR; Обновление: специальное здесь означает, что камера позволяет осуществлять двустороннюю аудиосвязь через Интернет, например, разговаривать с человеком перед камерой.
  • Я должен быть в состоянии получить доступ к NVR (даже Ethernet только в порядке);

Система обогрева

  • термостат не должен иметь доступа в интернет;
  • термостатические клапаны не должны иметь доступа в интернет;
  • семья должна иметь доступ к системе отопления (Wi-Fi);

Домашний офис

  • 2 ПК в сети Ethernet (VLAN 4)
  • 1 ПК по Wi-Fi
  • принтер
  • NAS

Другие разные устройства

  • Умные телевизоры с доступом в интернет;
  • Игровые системы с доступом в интернет;

Покрытие Wi-Fi сети

  • Гостевой доступ (полностью изолированная сеть)
  • Семейный доступ (может получить доступ к системе отопления и NAS)

Грубая структура сети

Сетевая диаграмма ASCII

Сомнения и вопросы

  • Я думаю о следующих VLAN:

    1. камеры
    2. специальная камера
    3. NVR
    4. гость
    5. обогрев
    6. офис
    7. семейный сейф (для внутреннего вайфай)
    8. семья небезопасна (системы gamign, тв и т. д.)

Это расстройство разумно? Мне неясно, удовлетворит ли это все мои требования. Например, смогу ли я настроить сеть так, чтобы я мог получить доступ к NVR (VLAN 4) и специальной камере (VLAN 3) из VLAN 8 или 7?

  • Насколько интенсивна маршрутизация между VLAN? Я предполагаю, что это может быть обработано Edge Router (питание от dd-wrt).

  • "Специальная камера" представляет собой потенциальную угрозу безопасности ... верно? Достаточно ли для этого быть в своей собственной VLAN?

  • Я рассматриваю возможность использования CAT6A для всех моих подключений и 1Gigabit Ethernet для транкинговых портов между коммутаторами. Будет ли другая кабельная категория или магистральная скорость (10Gigabit Ethernet?) быть более подходящим для подключения переключателей? Я изначально не планирую использовать любое сетевое устройство 10G. Это может измениться в будущем для NAS.

  • Есть ли какая-то особенность, которую я должен искать в коммутаторе, который я собираюсь купить?

  • Нужен ли DHCP-сервер для каждой VLAN для динамического назначения? Может ли один маршрутизатор обрабатывать адресацию для всех VLAN?

Извините за длину вопроса (и подвопросов:D). Я надеюсь, что это не OT: выглядит подходящим, давая список тем здесь.

Спасибо за вашу помощь!

|источник

2 ответа2

1

Это действительно большой проект с большим выбором.

Насколько интенсивна маршрутизация между VLAN? Я предполагаю, что это может быть обработано Edge Router (питание от dd-wrt).

камера видеонаблюдения -> NVR трафик может достигать 2 - 7 Мбит / с на камеру в зависимости от марки камеры и режимов записи.

UPD. Он может встать на колени универсального маршрутизатора WRT. WRT1900ACS - 2-ядерный процессор с частотой 1,6 ГГц. И заявить о производительности 1900 Мбит / с

"Специальная камера" представляет собой потенциальную угрозу безопасности ... верно? Достаточно ли для этого быть в своей собственной VLAN?

Зависит от того, что особенного в этом.

Я рассматриваю возможность использования CAT6A для всех моих подключений и 1Gigabit Ethernet для транкинговых портов между коммутаторами. Будет ли другая кабельная категория или магистральная скорость (10Gigabit Ethernet?) быть более подходящим?

10G оборудование стоит дороже. Так что это более бюджетный вопрос.

Вы планируете использовать устройства 10G (NAS, ПК ...)?

Когда используется скрытая скрытая проводка и замена кабеля затруднена. Рекомендуется использовать класс кабеля, который позволит при необходимости повысить скорость соединения в будущем.

Нужен ли DHCP-сервер для каждой VLAN для динамического назначения? Может ли один маршрутизатор обрабатывать адресацию для всех VLAN?

С полностью изолированными VLAN да.

Но многие управляемые коммутаторы поддерживают какую-то изоляцию / утечку портов.

Например: NVR, маршрутизатор и камеры в одной VLAN, но в разных группах изоляции, поэтому любая камера может обмениваться данными только с NVR, но не с маршрутизатором или другими компьютерами.

PS.

Одной Wi-Fi AP может не хватить для 4-х этажного дома. Так что планируйте VLAN для гостевого Wi-Fi и семейного Wi-Fi

Когда вы выбираете более сложную конфигурацию, тогда требуется больше ресурсов для реализации, обслуживания и устранения неполадок. Быть мудрым. Посмотрите с точки зрения сценариев угроз.

UPD2. Чтобы сохранить качество проводки, придерживайтесь этой UTP ПРАВИЛА УСТАНОВКИ КАБЕЛЯ

  • Во избежание растяжения натяжение не должно превышать 110 Н (25 фунтов ƒ) для 4-парных кабелей.

  • Установленные радиусы изгиба не должны превышать:

    • 4 раза диаметр кабеля для горизонтальных кабелей UTP.
    • 10-кратный диаметр кабеля для многопарных магистральных UTP-кабелей.

  • Избегайте нагрузки на кабель, вызванной:

    • перекручивание кабеля при вытягивании или установке
    • натяжение в подвесных кабельных трассах
    • крепко защемленные кабельные стяжки или скобы
    • радиус изгиба
|источник
0

VLANS по своей сути разделены, и я бы рекомендовал сохранять их как можно более разделенными, то есть минимизировать / исключить любую маршрутизацию между VLAN. В конце концов, это действительно должно позволить вам решить, как разделить одно интернет-соединение между всеми VLAN.

Физически все ваши провода могут быть объединены в единую коммутационную панель для удобства управления. Затем вы можете запустить VLAN от управляемого коммутатора, если вы хотите упростить ваше оборудование.

Но вам не нужно запускать VLAN, вы можете просто запустить отдельные LAN, а также отдельные коммутаторы для каждой LAN. Виртуальные локальные сети могут помочь в прочесывании режимов отказа оборудования, поэтому вам не нужно управлять всеми другими коммутаторами отдельно, но это не требуется.

Отсюда все зависит от того, как вы хотите управлять вещами. Окончательная, полная сегрегация является лучшей. Или вы можете объединить небезопасные интернет-ресурсы (3,5 и 9), безопасные интернет-материалы (7,8) и неинтернет-материалы (2,4 и 6) таким образом, чтобы это имело смысл. В любом случае вы можете перенести сети на очень настраиваемый маршрутизатор или Linux, чтобы управлять межсетевой маршрутизацией. Или, или, или ...

Существует множество способов настроить все это, потому что у вас есть опции на каждом уровне модели OSI. Пройдите по слоям OSI и закрепите нужные параметры на каждом слое и реализуйте их. То, что ВЫ реализуете, будет зависеть от ВАШЕГО варианта использования, ВАШИХ потребностей, ВАШЕГО бюджета и т.д.

Это на самом деле более длинное многословное замечание, но в нем не хватило места для комментария, и поэтому я ожидал бы, что этот вопрос будет закрыт из-за его слишком широкого охвата.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .