升级家庭网络:多层楼和 VLAN

tag-icon tag-icon networking vlan
升级家庭网络:多层楼和 VLAN

我正在尝试为我的房子设计一个新的网络,它分布在 4 层楼。我一直在思考我的需求,并试图写下来

要求

监控摄像头

  • 安全摄像头不应接入互联网;
  • 安全摄像机必须接入网络录像机(NVR);
  • NVR 应该能够访问远程邮件服务器,以便在发生安全事件时发送电子邮件通知
  • 特殊的安全摄像头需要互联网接入NVR 访问;更新特别的这里的意思是,摄像机允许通过互联网进行双向音频通信,例如与摄像机前的人交谈。
  • 我应该能够访问 NVR(即使只有以太网也可以);

加热系统

  • 恒温器不应接入互联网;
  • 恒温阀不应接入互联网;
  • 家庭应该能够使用供暖系统(wifi);

在家办公

  • 以太网上的 2 台 PC(VLAN 4)
  • 1 台 Wifi 电脑
  • 打印机
  • 网络存储

其他杂项设备

  • 可上网的智能电视;
  • 可接入互联网的游戏系统;

无线网络覆盖

  • 访客访问(完全隔离的网络)
  • 家庭访问(可访问供暖系统和 NAS)

粗糙网络结构

ASCII 网络图

疑问和问题

  • 我正在考虑以下 VLAN:

    1. 相机
    2. 特殊相机
    3. 网络硬盘录像机
    4. 客人
    5. 加热
    6. 办公室
    7. 家庭安全 (用于内部 wifi)
    8. 家庭不安全(游戏系统、电视等)

这种划分合理吗?我不清楚这是否能满足我的所有要求。例如,我是否可以配置网络以便从 VLAN 8 或 7 访问 NVR(VLAN 4)和特殊摄像机(VLAN 3)?

  • VLAN 间路由有多密集?我假设这可以由 Edge Router(由 dd-wrt ​​提供支持)处理。

  • “特殊摄像头”存在潜在的安全风险……对吧?它位于自己的 VLAN 中就够了吗?

  • 我正在考虑使用 CAT6A 连接所有连接,并使用 1Gigabit 以太网连接交换机之间的中继端口。其他电缆类别或中继速度(10Gigabit 以太网?)是否更合适用于连接开关?我最初不打算使用任何 10G 网络设备。NAS 将来可能会改变这一情况。

  • 有没有具体特征我应该在要购买的开关中寻找什么?

  • 我是否需要为每个 VLAN 配备一个 DHCP 服务器来进行动态分配?单个路由器可以处理所有 VLAN 的寻址吗?

请原谅我的问题(和子问题:D)太长了。我希望这不是 OT:列出主题列表看起来很合适这里

感谢您的帮助!

答案1

这是一个真正大的项目,有很多选择。

VLAN 间路由有多密集?我假设这可以由 Edge Router(由 dd-wrt ​​提供支持)处理。

安全摄像机 -> NVR 流量可达每台摄像机 2 - 7 Mbit/s,具体取决于摄像机品牌和录制模式。

更新。它可以击败通用 WRT 路由器。WRT1900ACS 是 2 核 1.6 Ghz CPU。并宣称性能 1900 Mbps

“特殊摄像头”存在潜在的安全风险……对吧?它位于自己的 VLAN 中就够了吗?

依靠什么特别的在里面。

我正在考虑使用 CAT6A 连接所有连接,并使用 1Gigabit 以太网连接交换机之间的中继端口。其他电缆类别或中继速度(10Gigabit 以太网?)是否更合适?

10G 设备成本更高。因此更多的是预算问题。

您计划使用10G设备(NAS,PC......)吗?

当使用隐藏式墙内布线且更换电缆较困难时,最好使用将来需要时可升级链接速度的电缆类型。

我是否需要为每个 VLAN 配备一个 DHCP 服务器来进行动态分配?单个路由器可以处理所有 VLAN 的寻址吗?

是的,具有完全隔离的 VLAN。

但是许多管理型交换机支持某种端口隔离/泄漏。

例如:NVR、路由器和摄像机在同一个VLAN中,但在不同的隔离组中,因此任何摄像机只能与NVR通信,而不能与路由器或其他摄像机通信。

附言:

一个 Wi-Fi AP 可能不足以满足 4 层楼房屋的需求。因此,请为访客 Wi-Fi 和家庭 Wi-Fi 规划 VLAN

当您选择更复杂的配置时,则需要更多资源来实施、维护和排除故障。要明智。从威胁情景

更新2。 为了保证接线质量,请保持UTP 布线安装实践

  • 为避免拉伸,4 对电缆的拉力不应超过 110N (25 lb ƒ)。

  • 安装的弯曲半径不得超过:

    • 对于水平 UTP 电缆,其直径为 4 倍。
    • 对于多对主干 UTP 电缆,其电缆直径为 10 倍。

  • 避免因以下原因造成的电缆应力:

    • 拉动或安装过程中电缆发生扭曲
    • 悬吊电缆线路的张力
    • 紧紧捆扎的电缆扎带或钉书钉
    • 较小的弯曲半径

答案2

VLAN 本质上是隔离的,我建议尽可能保持它们的隔离,即尽量减少/消除任何“VLAN 间”路由。最后,这实际上应该主要解决如何在所有 VLAN 之间共享单个互联网连接的问题。

从物理上讲,所有线路都可以接入单个配线架,便于管理。然后,如果您想简化设备,可以从托管交换机运行 VLAN。

但您不必运行 VLAN,只需运行单独的 LAN 以及每个 LAN 单独的交换机即可。VLAN 将有助于梳理您的设备故障模式,因此您不必单独管理所有其他交换机,但这不是必需的。

从那以后,就取决于你想如何管理事物了。最终,完全隔离是最好的。或者你可以以一种合理的方式将不安全的互联网内容(3、5 和 9)、安全的互联网内容(7、8)和非互联网内容(2、4 和 6)结合起来。无论哪种方式,你都可以将网络带到一个非常可配置的路由器或 Linux 机器上来管理跨网络路由。或者,或者,或者...

有很多方法可以配置这一切,因为 OSI 模型的每一层都有选项。浏览 OSI 分层,确定每一层所需的选项并实施它们。什么实施将取决于你的用例,你的需求,你的預算等等

这确实更像是一个冗长的评论,但评论中没有足够的空间,因此我预计这个问题会因为太宽泛而被关闭。

相关内容