我正在尝试为我的房子设计一个新的网络,它分布在 4 层楼。我一直在思考我的需求,并试图写下来
要求
监控摄像头
- 安全摄像头不应接入互联网;
- 安全摄像机必须接入网络录像机(NVR);
- NVR 应该能够访问远程邮件服务器,以便在发生安全事件时发送电子邮件通知
- 特殊的安全摄像头需要互联网接入和NVR 访问;更新:特别的这里的意思是,摄像机允许通过互联网进行双向音频通信,例如与摄像机前的人交谈。
- 我应该能够访问 NVR(即使只有以太网也可以);
加热系统
- 恒温器不应接入互联网;
- 恒温阀不应接入互联网;
- 家庭应该能够使用供暖系统(wifi);
在家办公
- 以太网上的 2 台 PC(VLAN 4)
- 1 台 Wifi 电脑
- 打印机
- 网络存储
其他杂项设备
- 可上网的智能电视;
- 可接入互联网的游戏系统;
无线网络覆盖
- 访客访问(完全隔离的网络)
- 家庭访问(可访问供暖系统和 NAS)
粗糙网络结构
疑问和问题
我正在考虑以下 VLAN:
- 相机
- 特殊相机
- 网络硬盘录像机
- 客人
- 加热
- 办公室
- 家庭安全 (用于内部 wifi)
- 家庭不安全(游戏系统、电视等)
这种划分合理吗?我不清楚这是否能满足我的所有要求。例如,我是否可以配置网络以便从 VLAN 8 或 7 访问 NVR(VLAN 4)和特殊摄像机(VLAN 3)?
VLAN 间路由有多密集?我假设这可以由 Edge Router(由 dd-wrt 提供支持)处理。
“特殊摄像头”存在潜在的安全风险……对吧?它位于自己的 VLAN 中就够了吗?
我正在考虑使用 CAT6A 连接所有连接,并使用 1Gigabit 以太网连接交换机之间的中继端口。其他电缆类别或中继速度(10Gigabit 以太网?)是否更合适用于连接开关?我最初不打算使用任何 10G 网络设备。NAS 将来可能会改变这一情况。
有没有具体特征我应该在要购买的开关中寻找什么?
我是否需要为每个 VLAN 配备一个 DHCP 服务器来进行动态分配?单个路由器可以处理所有 VLAN 的寻址吗?
请原谅我的问题(和子问题:D)太长了。我希望这不是 OT:列出主题列表看起来很合适这里。
感谢您的帮助!
答案1
这是一个真正大的项目,有很多选择。
VLAN 间路由有多密集?我假设这可以由 Edge Router(由 dd-wrt 提供支持)处理。
安全摄像机 -> NVR 流量可达每台摄像机 2 - 7 Mbit/s,具体取决于摄像机品牌和录制模式。
更新。它可以击败通用 WRT 路由器。WRT1900ACS 是 2 核 1.6 Ghz CPU。并宣称性能 1900 Mbps
“特殊摄像头”存在潜在的安全风险……对吧?它位于自己的 VLAN 中就够了吗?
依靠什么特别的在里面。
我正在考虑使用 CAT6A 连接所有连接,并使用 1Gigabit 以太网连接交换机之间的中继端口。其他电缆类别或中继速度(10Gigabit 以太网?)是否更合适?
10G 设备成本更高。因此更多的是预算问题。
您计划使用10G设备(NAS,PC......)吗?
当使用隐藏式墙内布线且更换电缆较困难时,最好使用将来需要时可升级链接速度的电缆类型。
我是否需要为每个 VLAN 配备一个 DHCP 服务器来进行动态分配?单个路由器可以处理所有 VLAN 的寻址吗?
是的,具有完全隔离的 VLAN。
但是许多管理型交换机支持某种端口隔离/泄漏。
例如:NVR、路由器和摄像机在同一个VLAN中,但在不同的隔离组中,因此任何摄像机只能与NVR通信,而不能与路由器或其他摄像机通信。
附言:
一个 Wi-Fi AP 可能不足以满足 4 层楼房屋的需求。因此,请为访客 Wi-Fi 和家庭 Wi-Fi 规划 VLAN
当您选择更复杂的配置时,则需要更多资源来实施、维护和排除故障。要明智。从威胁情景。
更新2。 为了保证接线质量,请保持UTP 布线安装实践
为避免拉伸,4 对电缆的拉力不应超过 110N (25 lb ƒ)。
安装的弯曲半径不得超过:
- 对于水平 UTP 电缆,其直径为 4 倍。
- 对于多对主干 UTP 电缆,其电缆直径为 10 倍。
避免因以下原因造成的电缆应力:
- 拉动或安装过程中电缆发生扭曲
- 悬吊电缆线路的张力
- 紧紧捆扎的电缆扎带或钉书钉
- 较小的弯曲半径
答案2
VLAN 本质上是隔离的,我建议尽可能保持它们的隔离,即尽量减少/消除任何“VLAN 间”路由。最后,这实际上应该主要解决如何在所有 VLAN 之间共享单个互联网连接的问题。
从物理上讲,所有线路都可以接入单个配线架,便于管理。然后,如果您想简化设备,可以从托管交换机运行 VLAN。
但您不必运行 VLAN,只需运行单独的 LAN 以及每个 LAN 单独的交换机即可。VLAN 将有助于梳理您的设备故障模式,因此您不必单独管理所有其他交换机,但这不是必需的。
从那以后,就取决于你想如何管理事物了。最终,完全隔离是最好的。或者你可以以一种合理的方式将不安全的互联网内容(3、5 和 9)、安全的互联网内容(7、8)和非互联网内容(2、4 和 6)结合起来。无论哪种方式,你都可以将网络带到一个非常可配置的路由器或 Linux 机器上来管理跨网络路由。或者,或者,或者...
有很多方法可以配置这一切,因为 OSI 模型的每一层都有选项。浏览 OSI 分层,确定每一层所需的选项并实施它们。什么你实施将取决于你的用例,你的需求,你的預算等等
这确实更像是一个冗长的评论,但评论中没有足够的空间,因此我预计这个问题会因为太宽泛而被关闭。