Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: darebacik 02. 10. 2025, 16:43:05
-
Mame malu LAN, kde su aj IP kamery, manazovatelny PoE switch, NVR (vsetko hikvision) a pristup na internet zabezpecuje mikrotik.
Uvazujem ako to nastavit.
Teoreticky by to mohlo byt na jednej LAN, ale moze to byt rozdelene aj na viac sieti.
1. Kamery
2. Personal
3. Ostatny
(2-3) by mohlo byt teoreticky v jednej LAN
Je lepsie nastavit mikrotik tak, ze pre jeden port (kamery) nastavim napr. 192.168.10.0/24 a pre personal a ostatnych druhy port na 192.168.20.0/24.
Alebo je lepsie pouzit VLAN.
-
Ci su lepsie rozdelene subnety alebo VLAN Ti napovie najlepsie odpoved na otazku, ci sa maju vidiet niektore zariadenia aj "krizom" (napr. ci v sekcii Ostatne nemas nejaky home automation/security ktory ma na tie kamery reagovat) a ako casto predpokladas, ze sa bude konfiguracia menit.
Ak si OK so striktnym a nemennym rozdelenim, subnety su jasna a rychla volba.
V ostatnych pripadoch je lepsia volba VLAN.
-
Jakmile tam budou VLANy, líp se ten provoz filtruje. V podstatě dřív nebo později bude následovat nějaká wifi pro hosty, aby se jejich pochybná zařízení nedostávala do běžné sítě.
Takže za mě VLANy, Mikrotik s tím nemá problém, switch s podporou tam je taky, není co řešit.
-
Já asi nechápu dotaz, přece používání různých subnetů s jedním switchem automaticky znamená rozdělení na VLANy?
-
Já asi nechápu dotaz, přece používání různých subnetů s jedním switchem automaticky znamená rozdělení na VLANy?
VLANy jsou v tomto příkladu obdobnou tří nepropojených switchů, kde do jednoho jdou všechny kamery, druhého personál a třetího ostatní. Takže pokud si někdo z personálu nastaví IP z rozsahu kamer, tak se na ně stejně nedostane. Pokud by tam byl switch bez konfigurace VLAN, tak by se na ně dostal.
-
VLANy jsou v tomto příkladu obdobnou tří nepropojených switchů, kde do jednoho jdou všechny kamery, druhého personál a třetího ostatní. Takže pokud si někdo z personálu nastaví IP z rozsahu kamer, tak se na ně stejně nedostane. Pokud by tam byl switch bez konfigurace VLAN, tak by se na ně dostal.
Já jsem variantu provozovat více subnetů na jednom interface/nonVLAN switchi vůbec neuvažoval, protože to není síť ale prasárna, tam nebude fungovat ani DHCP. To tu nemůžeme nikomu radit jako řešení.
-
Souhlas a nechť je to i odpověď pro tazatele ...
-
OK, takze pojdem do VLANov
-
Já asi nechápu dotaz, přece používání různých subnetů s jedním switchem automaticky znamená rozdělení na VLANy?
Ne, neznamená :-). U slušného směrovače není problém mít na jednom rozhraní (=v jedné VLAN) více IP adres, míněno z různých [pod]sítí. Pomocí DHCP lze obsluhovat jednu [pod]síť, ostatní musí být spravovány staticky. Hodí se to při experimentování na živé síti. Na L2 se pochopitelně uzly budou vidět.
-
Pomocí DHCP lze obsluhovat jednu [pod]síť, ostatní musí být spravovány staticky.
Ono to všechno může dělat DHCP. Může tam být jen jeden DHCP server, ale pokud si člověk nastaví dva subnety a to jedno DHCP do nich obou nějak rozhazuje, třeba statickým bindem podle MAC, tak to fungovat bude. Jo, spoléháme pak na to, že zařízení nebudou pokoutně měnit IP, ale u domácího síťování tohle může být dostačující, a nevyžaduje to switche s VLAN.
-
Ono jde DHCPkem obsluhovat klidně víc subnetů bez VLAN, akorát se musí řešit identifikace terminálu při žádosti o adresu, tzn. zařízení se musí DHCP serveru ohlásit identifikátorem, umožňujícím jednoznačně určit, do kterého rozsahu to zařízení patří. Dělá se to třeba pro IP telefony, aby dostaly adresu SFTP serveru s konfigurací a dokázaly se zaregistrovat k ústředně, ale aby se tenhle option zároveň neposílal jiným zařízením než VoIP telefonním přístrojům. Je to dost ruční práce navíc, a ta práce by se s VLANami vůbec nemusela dělat. A ta zařízení ten identifikátor musí mít nebo aspoň umožňovat nastavit. Což je, speciálně u starších / levnějších věcí, docela problém
Eventuálně se dají do DHCP serveru nabouchat statické leasy podle MAC adres, ale opět je to hromada práce pro práci, a musí se to udělat pro každé zařízení s dynamickou adresou.
A je to z hlediska zabezpečení sítě takový ... bleh, takže není dobrý to používat, pokud to jde udělat správně (tzn. zařízení podle druhu a účelu rozdělit do VLAN).
Přes subnety na jednom rozhraní to má smysl jedině v případě, pokud mám např jedinou zásuvku na místnost, a nemám rozpočet pro nasazení managovatelných switchů které ten jeden kabel rozpajtlují na VLANy, ani zařízení umožňující nastavení VLAN ID přímo na zařízení, a zároveň bych vícenáklady neobhájil / neprosadil.