Данный сайт является проектом ООО "Амакс". Сегодня: Понедельник, 05.12.2016, 19:43

Приветствую Вас Гость

Loading
[ Новые сообщения · Участники · Правила форума · RSS · ?
Loading
Страница 1 из 11
Неофициальный форум технической поддержки Hikvision » Оборудование и программное обеспечение Hikvision » Разное » Правильное разделение офисной сети и сети видеонаблюдения
Правильное разделение офисной сети и сети видеонаблюдения
BostonGeorgeДата: Четверг, 27.10.2016, 13:01 | Сообщение # 1
Группа: Проверенные
Сообщений: 7
Репутация: 0
Статус: Offline
Здравствуйте, друзья!
Имеется офисная сеть, организованная по следующей схеме:


Стоит задача писать видеоархив в некоторое удалённое место. Арендовали сервер под Windows Server, установили туда PCNVR, осталось дать ей доступ к регистраторам. Вот тут появилась проблема: не хотелось бы открывать доступ к офисной сети, тем более она защищена посредством прокси-сервера.

То, что придумали на сегодняшний день, выглядит следующим образом:

У нас два интернет-провайдера на случай перебоев с одним из них. Провайдера 1 не трогаем, у провайдера 2 заказываем второй IP-адрес, собираем то, что представлено на втором рисунке (после замены чем-то рабочим блока "Что-то") и отключаем коммутатор офисной сети от коммутатора видеонаблюдения. Логика следующая: доступ к видеонаблюдению будем осуществлять по второму ip-адресу провайдера 2, для остальной сети ничего не изменится. Ну и соответственно, чтобы не забивать интернет-канал, доступ к видеонаблюдению из внутренней сети тоже должен осуществляться не "через интернет", а внутри блока "Что-то".

Следовательно, блок "что-то" должен:
1. На вход WAN получать поток с 2 ip адресами и разделять его на 2 LAN выхода (на каждый LAN свой ip).
2. Уметь пробрасывать порты. Видимо, это уже будет роутер, на WAN которого будет приходить шнурок с ip адресом для видеонаблюдения. Желательно ещё, чтобы он пробрасывал порты только для набора ip-адресов, с которых к нему осуществляется доступ, а остальным ip-адресам "отказывал".
3. Проводить обмен данными между сетями внутри себя, а не "через интернет".

Блоком "Что-то" можно заменить и наш маршрутизатор, если это будет правильнее.
Подскажите, пожалуйста, какое оборудование, или набор оборудования нам нужно купить, и где искать необходимые настройки?

Спасибо!
Прикрепления: 7723579.jpg(86Kb) · 8172502.jpg(49Kb)


Сообщение отредактировал BostonGeorge - Четверг, 27.10.2016, 13:03
 
yuaa2Дата: Четверг, 27.10.2016, 15:58 | Сообщение # 2
Группа: Проверенные
Сообщений: 334
Репутация: 12
Статус: Offline
А оставить первый вариант и просто настроить проброс портов до регов не? Доступ к офисной сети как бы не откроется.

Нижний Новгород
 
BostonGeorgeДата: Четверг, 27.10.2016, 17:48 | Сообщение # 3
Группа: Проверенные
Сообщений: 7
Репутация: 0
Статус: Offline
Цитата yuaa2 ()
А оставить первый вариант и просто настроить проброс портов до регов не? Доступ к офисной сети как бы не откроется.
Большое спасибо за ответ! Дело в том, что сеть запаролена, доступ в неё осуществляется через прокси, вобщем попасть внутрь непросто. Кроме того, есть мнение, что пробрасывать порты на устройство, находящееся внутри сети, всё-таки небезопасно. Может быть, есть какая-то официальная информация на этот счёт?


Сообщение отредактировал BostonGeorge - Четверг, 27.10.2016, 18:05
 
PrometeiДата: Пятница, 28.10.2016, 00:34 | Сообщение # 4
Группа: Проверенные
Сообщений: 691
Репутация: 20
Статус: Offline
Варианты решения проблемы:
1 Пробросить порты по первому варианту и не паниковать.
2 Поставить реальный сервак в своей сети в дальний чулан.
3 Делаем вариант 2 без какого либо чего-то. Просто берем второй IP от провайдера, на него сажаем видео и из сети провайдера 2 заходим по внешнему IP. Все равно трафик завернется обратно на шлюзе провайдера.
 
sotrackДата: Пятница, 28.10.2016, 00:38 | Сообщение # 5
Группа: Проверенные
Сообщений: 44
Репутация: 3
Статус: Offline
Разделите сеть на 2 сетевых сегмента. В одном сегменте сидят сотрудники с прокси сервером, во втором - камеры с регистраторами. В Windows сервер вставте 2 сетевых карты по одной на каждый сегмент. Сервер будет иметь доступ к обоим сегментам сети. Сами сегменты не будут видеть друг друга. Внешний IP от провайдера можно использовать один на два сегмента.

Сообщение отредактировал sotrack - Пятница, 28.10.2016, 00:51
 
BostonGeorgeДата: Пятница, 28.10.2016, 12:34 | Сообщение # 6
Группа: Проверенные
Сообщений: 7
Репутация: 0
Статус: Offline
Цитата Prometei ()
Варианты решения проблемы:1 Пробросить порты по первому варианту и не паниковать.
2 Поставить реальный сервак в своей сети в дальний чулан.
3 Делаем вариант 2 без какого либо чего-то. Просто берем второй IP от провайдера, на него сажаем видео и из сети провайдера 2 заходим по внешнему IP. Все равно трафик завернется обратно на шлюзе провайдера.
Большое спасибо за ответ! Решили всё-таки остановиться на третьем варианте для спокойствия начальства. От провайдера приходит два IP-адреса на одном шнурке. Насчёт трафика провайдер ответил следующее: "Как будет ходить трафик между этими 2 адресами будет зависеть от Ваших настроек". Впринципе, у нас в чулане валяется коммутатор и роутер, поэтому решили собрать такую схему:


Пока не тестировали, но, думаю, должно работать.

Добавлено (28.10.2016, 12:34)
---------------------------------------------

Цитата sotrack ()
Разделите сеть на 2 сетевых сегмента. В одном сегменте сидят сотрудники с прокси сервером, во втором - камеры с регистраторами. В Windows сервер вставте 2 сетевых карты по одной на каждый сегмент. Сервер будет иметь доступ к обоим сегментам сети. Сами сегменты не будут видеть друг друга. Внешний IP от провайдера можно использовать один на два сегмента.
Спасибо! Да, вполне рабочий вариант, с него и начали, правда, у нас в сети стоит прокси, как работает который, толком никто и не знает, зато начальство спокойно. Так вот, этот прокси нас всё равно никуда не пустил, так что всем будет проще эту сеть вообще не трогать, а изобрести что-то вне её )
Прикрепления: 9248871.jpg(81Kb)
 
PrometeiДата: Пятница, 28.10.2016, 22:13 | Сообщение # 7
Группа: Проверенные
Сообщений: 691
Репутация: 20
Статус: Offline
Цитата BostonGeorge ()
у нас в сети стоит прокси, как работает который, толком никто и не знает,
А если же он рухнет?
Цитата BostonGeorge ()
"Как будет ходить трафик между этими 2 адресами будет зависеть от Ваших настроек".
Забавный ответ. Было бы очень замечательно если бы юзеры сами могли маршрутизировать трафик минуя провайдера. Вот хочу на торренты и плевать на росскомнадзор. Пойду прямо на торрент провайдера спрашивать не буду.
 
Неофициальный форум технической поддержки Hikvision » Оборудование и программное обеспечение Hikvision » Разное » Правильное разделение офисной сети и сети видеонаблюдения
Страница 1 из 11
Поиск: