VLAN помощь / инструкции

VLAN помощь / инструкции, UniFi Network

wjn

Guest

19.09.2017 20:25:00

Очевидно, я читал темы в сообществе и поддержку про VLAN. По моему мнению, я настраиваю всё правильно, но, возможно, упускаю что-то очевидное?

Я создал VLAN'ы:

На одном свитче создал кастомную «сеть» с LAN как native и VLAN-CAM с тегом. Это автоматически скопировалось на остальные свитчи:

На исходном порту (вебкамера, свитч US-8) я установил VLAN-CAM как сеть:

На целевом порту другого свитча (US-24-250W) я назначил кастомную сеть, где VLAN-CAM помечен тегом:

Все остальные порты, включая uplink/downlink, по умолчанию стоят на «All»:

Как только я устанавливаю на исходном порту сеть «VLAN-CAM», связь пропадает. Если вернуть порт обратно на «All» или «LAN», связь с вебкамерой восстанавливается. Похоже, что трафик не тегируется?

Контроллер версии 5.5.20 (последняя стабильная), все свитчи на прошивке 3.8.14.6780, USG на 4.3.6.5012144. Кастомных правил фаервола нет, кроме WAN IN (который не должен касаться VLAN).

Читал ещё одну тему с похожими проблемами, но решения не было, кроме того, что у кого-то всё заработало само собой:
VLAN tagged/untagged

С чего лучше начать поиск решения?

wjn

Guest

05.10.2017 13:29:00

Да, в нем несколько портов Ethernet, как написал @depasseg, эти порты должны быть подключены к разным подсетям/сетям, чтобы NVR мог маршрутизировать трафик к локальной сети или камерам. Решение от UBNT — создавать дополнительные корпоративные сети и устанавливать между ними правила файрвола — в итоге дает больше возможностей.

Jacovn Guest	#3 05.10.2017 12:49:00 Возможно, у вашего NAS есть несколько Ethernet-портов? Если да, можно подключить один порт к VLAN камеры, а другой — к обычному VLAN.

wjn

Guest

05.10.2017 10:38:00

Спасибо, особенно за часть про то, как NVR должен знать, к каким камерам подключаться. Я пробовал и тестировал VLAN только на одном коммутаторе, просто чтобы понять, получится ли у меня заставить это работать. Как уже сказал, когда я менял сеть порта по умолчанию на определённый VLAN, устанавливалось соединение между двумя устройствами (для теста — камера и мой ноутбук), при этом никакая другая сеть не могла к ним подключиться. Согласно документации, это неразмеченный VLAN — и он сработал. Однако с размеченным VLAN я никак не смог добиться результата на том же коммутаторе, какие бы настройки ни пробовал (сетевая карта ноутбука поддерживает VLAN и может быть настроена на определённый номер VLAN). В любом случае, поскольку NVR находится на NAS, и этот NAS должен быть доступен из разных сетей, решение с разными сетями и назначением ID VLAN кажется правильным. А разные сети заставляют меня перенумеровать всё (разные подсети и диапазоны IP). Для камер я создам правило фаервола на LAN IN, разрешая только установленный и связанный трафик (потому что NVR будет подключаться к камерам).

depasseg

Guest

04.10.2017 20:22:00

В вашей схеме к какой VLAN вы хотите подключить NVR? VLAN — это всего лишь коммутатор (хотя и более продвинутый, но по сути лишь это). Это просто граница домена широковещательной рассылки на уровне 2. Технически, менять IP-адреса не обязательно, при условии, что вы не хотите, чтобы сеть камер соединялась с чем-то ещё, кроме самой себя. Представьте себе коммутатор, к которому подключены ваши камеры и NVR, и больше ничего. Можно назначить любые номера, потому что доступа к другим сетям нет. Если это то, что вам нужно, просто установите native VLAN для этих портов как VLAN для сети камер.

Если же вы хотите, чтобы NVR был доступен из вашей основной сети, тогда нужно добавить дополнительный сетевой адаптер к NVR (физический или виртуальный субинтерфейс), чтобы он мог работать в обеих сетях. При этом две сети должны иметь разные IP-подсети, чтобы NVR понимал, к какому интерфейсу обращаться для связи с камерами, а к какому — для доступа к остальной вашей сети и интернету.

Наконец, если хотите, можно создать вторую корпоративную сеть (не только VLAN) для камер и использовать правила файрвола USG для изоляции VLAN камер от основной сети. Включать DHCP не обязательно, но эта вторая сеть должна иметь другой диапазон IP-адресов.

Всё зависит от вас.

wjn Guest	#6 04.10.2017 18:18:00 @depasseg Простая схема сети: Очевидно, что к сети подключены принтеры и другие устройства (настольные компьютеры и ноутбуки). Диапазон адресов — 192.168.0.1/24, с исключениями для сети и серверного диапазона, а также камер, у которых все статические IP, заданные непосредственно на устройствах. Для принтеров сделаны резервирования IP, остальные получают адреса через DHCP. С помощью VLAN я хотел отделить трафик с камер от остального. Поскольку у камеры и NVR статические IP, я хотел создать VLAN XX, чтобы маршрутизировать этот трафик. DNS и DHCP для этих устройств не нужны (из-за статических IP). Согласно тому, как должны работать VLAN и как это описано в статье поддержки Introduction to Virtual LANs (VLANs) and Tagging, это должно быть возможно с помощью тэгирования VLAN и прочего. Как написано в одном из постов выше, по информации из UBNT Support (helpdesk), в Unifi нужно создать корпоративную сеть и назначить ей VLAN-ID, так сейчас реализуются VLAN. Просто VLAN-Only не сработает. Что касается перенумерации: теперь мне приходится разбивать физическую сеть на несколько IP-сетей, чтобы использовать VLAN-ID в Unifi. Создавать несколько IP-сетей я не хотел, потому что при таком количестве устройств это абсолютно не нужно и только усложняет сеть из-за нужных правил маршрутизации.

Читают тему (гостей: 1)