Konfiguracja VLAN dla CCTV

Data dodania: 2023-09-18

Konfiguracja projektu sieciowego z wykorzystaniem technologii VLAN (Virtual LAN) jest niezwykle istotna dla organizacji, które potrzebują efektywnie zarządzać ruchem w swojej sieci, zapewniać bezpieczeństwo oraz izolację między różnymi grupami urządzeń. Ten artykuł przedstawia praktyczny przewodnik konfiguracji projektu sieciowego, wykorzystując jako przykład urządzenia DrayTek Vigor i Zyxel. Omówimy również pojęcia tagowania i trunkingu, kluczowe dla efektywnego zarządzania sieciami VLAN.

Konfiguracja projektu sieciowego z wykorzystaniem technologii VLAN
 
Poniższy materiał został zrealizowany przy pomocy następujących urządzeń
router - DrayTek Vigor 2927
switch - Zyxel GS1920-24HPv2
rejestrator - Hikvision DS-7600 Series
kamery - Hikvision DS-2CD2T26G1-4I

 
Czym są VLANy

VLAN, czyli "Virtual LAN" (wirtualna sieć lokalna), to technologia stosowana w sieciach komputerowych, która umożliwia podział jednej fizycznej sieci lokalnej na wiele logicznych, niezależnych sieci. Każda z tych logicznych sieci nazywana jest VLAN-em i działa jak oddzielna, niezależna sieć, choć fizycznie wszystkie urządzenia mogą być podłączone do tego samego przełącznika lub segmentu sieci.
 
VLAN-y pozwalają na lepszą organizację ruchu w sieci, zwiększają bezpieczeństwo i wydajność, ponieważ segregują ruch między różnymi grupami urządzeń, co minimalizuje zbędny ruch i zapewnia izolację między nimi. To przydatne narzędzie w zarządzaniu sieciami, szczególnie w większych organizacjach, gdzie istnieje potrzeba kontrolowania dostępu i zarządzania ruchem w sieci.
 

 
 
Załóżmy, że mamy do czynienia z prostą firmą, w której mieści się biuro pracowników oraz w firmie zainstalowany jest monitoring. Ze względów bezpieczeństwa nie chcemy aby pracownicy biurowi mieli dostęp do monitoringu oraz aby kamery nie były bezpośrednio połączone z biurem. Dodatkowo przydałoby się skonfigurować tą sieć tak aby stworzyć administratorów którzy mieliby dostęp do obu sieci jednocześnie. W tym przypadku możemy skorzystać z Vlanów. Pozwoli on nam na wirtualne oddzielenie tych dwóch sieci , tak aby nie były w stanie się ze sobą komunikować. Dodajmy jeszcze kolejny warunek. Stwórzmy taką sieć, że troche urządzeń z vlanu 10 i 20 będzie podłączonych zarówno do pierwszego i drugiego switcha. Pozwala to stworzyć realną sytuacje i możliwe problemy, ponieważ nie zawsze odległość pomiędzy urządzeniami pozwala na sensowne połączenie ich do jednego switcha.
 

 
Router: Do routera należy podłączyć sieć WAN oraz przewód łączący ze switchem pierwszym. W moim przypadku wychodzi on z portu 5 routera a wchodzi na port 25 switcha. W celu początkowej konfiguracji najłatwiej podłączyć nasze urządzenie (PC lub laptop) do portu 1 routera.
 
Switch 1: Do switcha pierwszego podłączone zostały 2 kamery odpowiednio do portu 2 i 4, a urządzenie biurowe w naszym przypadku będzie to zwykły laptop został podłączony do portu 13. Do portu 27 został podłączony drugi switch.
 
Switch 2: Podłączenie jest bardzo podobne co w pierwszym switchu 2 kamery na porcie 2 i 4, oraz urządzenie biurowe w porcie 13, a połączenie z pierwszym switchem zostało zrealizowane w porcie 27.
 

 
Najłatwiej zrealizować nasze cele poprzez stworzenie 3 sieci Vlan. Na potrzeby materiału przydzielmy im odpowiednie Id oraz nazwy.
 

 
W celu przejrzystego działania nadajmy im proste adresy ip , tak aby administratorzy mogli łatwo je zapamiętać. Dla sieci 1 ustawmy adresy 192.168.1.xxx z maską 24 bitową, dla sieci 2 adres będzie wyglądał następująco 192.168.100.xxx z maską 24 bitową, a dla sieci 3 192.168.200.xxx . Dla zwykłego rozmiaru firmy adresy te w zupełności wystarczą, ponieważ dla każdej sieci mamy wolnych 254 adresów, co pozwala nam skonfigurować 254 pracowników biurowych oraz 254 urządzeń monitoringu.
W innym przypadku możemy zmienić długość maski.
 
Ważnym elementem jest nadanie stałych adresów ip dla urządzeń administrujących i monitoringu, ponieważ dobrze by było żeby adresy ip naszych kamer nie zmieniały się po to byśmy mogli z łatwością uzyskać dostęp do konkretnych kamer, urządzeniom biurowym ustawmy dynamiczny adres, który będzie obsługiwany przez protokół DHCP.
 
Dla naszego routera ustawmy adres 192.168.1.1, dla pierwszego przełącznika 192.168.1.11, a dla drugiego 192.168.1.12 .
 
Dla rejestratora ustawmy adres 192.168.100.40 dla kolejnych 4 kamer 192.168.100.11 192.168.100.12 192.168.100.13 192.168.100.14 taka ilość urządzeń pozwoli na kompletną instalacje monitoringu.

Najłatwiej znaleźć wszystkie urządzenia pod tymi adresami :

Po zalogowaniu do panelu routera przechodzimy do zakładki LAN, a następnie do zakładki VLAN. Należy dokonać konfiguracji ustawień według poniższego zrzutu.

 

 

Ustawienie 3 Vlanów na porcie pierwszym pozwoli na łatwe zarządzanie siecią z portu 1 routera, a ustawienie 3 Vlanów na porcie 5 pozwoli na przesłanie wszystkich ramek do odpowiednich urządzeń podłączonych do przełączników.


Następnie przechodzimy do zakładki LAN – general setup w celu konfiguracji adresów naszych Lanów.


 

 

Przechodzimy w zakładkę details
 
I konfigurujemy ustawienia według poniższego zrzutu

 
W przypadku gdy chcemy ustawić inne adresy ip dla naszych vlanów musimy jedynie zmienić start ip address i Gateway ip address. Tak samo robimy z Lanem 3
 

 
Na tym kończymy naszą konfigurację routera.

Przechodzimy teraz do ustawień naszych przełączników. Przejdźmy do przełącznika 1 czyli pod adres 192.168.1.11


Do panelu logujemy się następującymi danymi
login: admin
hasło: 1234
 

 

Po zalogowaniu do panelu przechodzimy do zakładki Advanced Applications, a następnie do zakładki VLAN.
 

 

Teraz przechodzimy do zakładki VLAN Configuration w prawym górnym rogu i wybieramy static VLAN setup.


Krótkie wyjaśnienie występujących pojęć


Tagowanie (ang. "tagging") i trunking to dwa kluczowe pojęcia związane z VLAN-ami i zarządzaniem ruchem w sieciach komputerowych. Oto ich krótka charakteryzacja:

Tagowanie (Tagging):

Tagowanie odnosi się do procesu dodawania znaczników (tagów) do ramek sieciowych na warstwie 2 modelu OSI (warstwa łącza danych). Znaczniki te zawierają informacje o przynależności ramki do konkretnej VLAN. Dzięki nim urządzenia w sieci są w stanie odróżniać i przetwarzać ruch z różnych VLAN-ów. Tagowanie jest stosowane w technologiach VLAN, takich jak IEEE 802.1Q, aby umożliwić przełącznikom sieciowym rozróżnianie ramek z różnych VLAN-ów na jednym fizycznym łączu.

Trunking:
Trunking jest techniką, która umożliwia przesyłanie ramek z wielu różnych VLAN-ów przez to samo fizyczne łącze między przełącznikami (na ogół nazywane trunkiem).
Umożliwia to efektywne wykorzystanie łączy i pozwala na skonfigurowanie jednego łącza do przesyłania ramek z wielu VLAN-ów. Popularne protokoły trunkingowe, takie jak IEEE 802.1Q (standard VLAN), dodają znaczniki do ramek, aby oznaczyć, do którego VLAN-u należą.

Podsumowując, tagowanie jest procesem oznaczania ramek, aby je przyporządkować do konkretnego VLAN-u, podczas gdy trunking umożliwia przesyłanie ramek z wielu VLAN-ów przez jedno fizyczne łącze między przełącznikami, zachowując przy tym izolację między nimi. Te techniki są kluczowe dla efektywnego zarządzania sieciami VLAN i zapewnienia poprawnej komunikacji w sieciach z segmentacją na różne grupy urządzeń.
       
 

 

 
W naszej sieci w każdym z przełączników zostawione zostało po 12 portów do każdego VLANu, oraz 4 porty do przesyłania otagowanych ramek. Pozwolą one na przesłanie zarówno ramek z tagiem od Vlanu 1, 10 oraz 20.

Tak samo robimy z vlanem 20

 

 
 

Należy jednak zwrócić uwagę, że w odróżnieniu do Vlanu 10 w Vlanie wszystkie porty które były fixed  staną się forbidden z wyłączeniem czterech ostatnich portów, które służą do komunikacji.

Kolejnym krokiem jest ustawienie portów na tym przełączniku, przechodzimy więc do zakładki VLAN, a następnie do zakładki VLAN Port Setup
 

 

W tej zakładce musimy ustawić, które porty należą do których Vlanów. Robimy to według schematu:
 

 

W ostatnich 4 portach ustawiamy VLAN trunking, który pozwoli na przesyłanie ramek otagowanym różnym vid.


Dokładnie tak samo robimy na drugim przełączniku, możemy go znaleźć na adresie który ustawiliśmy początkowo w naszej sieci jest to adres 192.168.1.12.

Po ukończeniu ustawień na drugim przełączniku, nasza sieć powinna działać prawidłowo, jednak, żeby być pewnym dokonajmy kilku testów. Na początku sprawdźmy jakie adresy są przydzielane na poszczególnych portach routera i switcha.

Na 1 porcie routera  otrzymujemy adres 192.168.1.10
 

 

Na porcie switcha 1 należącym do Vlanu 10
 

 

Na porcie switcha 1 należącym do Vlanu 20
 

 

Z tych testów jasno wynika że serwer DHCP działa prawidłowo i generuje odpowiednie adresy ip urządzeń.

Sprawdźmy jeszcze czy możemy wykonać ping do urządzeń z innego Vlanu oraz własnego
Pingi z Vlanu 10

-do vlanu 20
 

 

-do vlanu 10
 

 
- do vlanu 1
 

 
Pingi z Vlanu 20

- do vlanu 10
 

 

-do vlanu 1
 

 

-do vlanu 20
 

 

Testy te ilustrują izolacje poszczególnych Vlanów od siebie.


Konfiguracja projektu sieciowego z wykorzystaniem VLAN jest niezwykle przydatna, szczególnie w przypadku organizacji, które potrzebują podzielić swoją fizyczną sieć lokalną na logiczne, niezależne sieci. VLAN-y pozwalają na segregację ruchu, co zwiększa zarówno bezpieczeństwo, jak i wydajność sieci. W tym artykule zaprezentowano praktyczny przykład konfiguracji VLAN-ów na routerze DrayTek Vigor 2927 i switchu Zyxel GS1920-24HPv2, pozwalając na izolację ruchu między różnymi grupami urządzeń. Dzięki temu czytelnik otrzymuje przewodnik krok po kroku, jak skonfigurować sieć VLAN oraz zrozumienie kluczowych pojęć takich jak tagowanie i trunking. Konfiguracja VLANów pozwoli na lepszą kontrolę dostępu do zasobów sieciowych oraz efektywne zarządzanie ruchem w sieci, co jest niezwykle istotne w dzisiejszych organizacjach.