[netwerkadvies gevraagd]: IP camera verkeer scheiden

Medetweakers,

we gaan een bestaand netwerk aanpassen en uitbreiden met o.a. IP camera's op een NVR.
De bedoeling is dat het verkeerd gegenereerd door de camera's naar NVR geen invloed heeft qua belasting op het gewone netwerkverkeer tussen PC's/server/printers.
De beelden moeten echter wel te bekijken zijn vanop de PC's.

Schema:



edit:link naar afbeelding want werkt blijkbaar niet:
https://www.dropbox.com/s/4d2urmq76tq0lu6/netwerkschema.JPG

Om dat te bereiken had ik het idee van een aparte switch te nemen voor de PC's, server, printers en een andere switch (POE) voor de camera's en NVR.

Ik zou dan beide switches verbinden met een draytek vigor 2926. Een kabel op LAN1 (met VLAN1 en subnet 192.168.10.x) naar de switch voor het normale verkeer en een kabel op LAN2 (met VLAN2 en subnet 192.168.20.x) naar de POE switch voor het camera verkeer.

Om dan de beelden te bekijken vanop de PC's zou ik de optie "inter-LAN routing" aanzetten tussen LAN1 en LAN2.

Lijkt dit goed te zijn voor het beoogde doel of zijn er zaken die ik eventueel over het hoofd zie?


Verder komen er een aantal IP-telefoons bij die in het netwerk van de PC's zou komen.

We hebben de keuze (van de leverancier) om deze in een VLAN te steken of niet maar hier heb ik helaas geen ervaring mee om de switches te configureren. Al zitten opzoeken van tagged/untagged maar ik heb helaas het licht nog niet gezien hierover...

* Is het veiliger van dit wel via VLAN te laten doen?
* gebeurt dit dan op de draytek of in de switch? Zij plaatsen wel een kleine POE switch bij maar hoe die configuratie is weet ik niet...

Alvast bedankt voor de feedback!

[Voor 3% gewijzigd door Simke op 08-10-2018 14:09]

Equator schreef op maandag 8 oktober 2018 @ 14:43:
[...]

Dat houdt in dat alle PC's op LAN1 alle camera's op LAN2 kunnen benaderen. En andersom.
Routing is belangrijk voor de werking*, maar je wil daar vooral een firewall regel op zetten. Vanaf welke PC sta je wel toe om te kijken, en geen verkeer geïnitieerd vanuit het camera LAN mag naar LAN1. Ook de toegang naar Internet blokkeren, tenzij echt nodig.

*) Daarmee bedoel ik dat als de firewall het toestaat, het pakket nog steeds gerouteerd moet worden naar het andere segment.

Dus: de inter-LAN routing is noodzakelijk (wat ik dacht), verkeer kan verder beperkt worden door de firewall rules. Op zich zijn er maar 3 PC's en die moeten elk de beelden kunnen bekijken/opvragen.
Verkeer van camera's naar internet is idd te beperken.

shure-fan schreef op maandag 8 oktober 2018 @ 14:46:
Of een nvr zoeken die een ingebouwde poe switch heeft en daar alle camera’s op inprikken,
Heb je geen last meer van een “apart” netwerk, via de nvr kun je dan de beelden bekijken

Correct maar daar hebben we geen keuze in, toestel is er al en is zonder POE.

u_nix_we_all schreef op maandag 8 oktober 2018 @ 14:57:
Je zou een NVR met 2 netwerk interfaces moeten hebben. 1 interface sluit je aan op de (POE)switch waar de camera's aan hangen (en dit netwerk hoeft geen verkeer van/naar buiten te doen). De 2e interface hang je in het netwerk waar de clients inzitten.
Zo heeft iedereen toegang en blijft je verkeer gescheiden.

De NVR heeft inderdaad wel 2 netwerk interfaces, zou eens moeten kijken wat de mogelijkheden daar van zijn, aan die manier had ik nog niet gedacht

Frogmen schreef op dinsdag 9 oktober 2018 @ 09:54:
Als je dat wil kan je een hoop geld besparen door geen IP camera's te nemen. Gewoon een NVR met digitale camera's eraan die over coax connecten. Je gebruikt toch al aparte kabels voor de camera's. Voordeel de camera's zijn een stuk goedkoper en het hele systeem robuster. De NVR wordt gewoon via UTP aan je netwerk gehangen.

Dat is inderdaad ook een mogelijkheid met een hybride systeem maar alle kabels en POE switch zijn al voorzien.

GlowMouse schreef op woensdag 10 oktober 2018 @ 16:59:
[...]

Zolang je switches gebruikt van een normaal merk is er qua belasting geen enkel probleem zelfs als je alles op dezelfde switch aansluit. Afzonderen heeft met name voordelen voor de ellende die IoT met zich meebrengt.

De switches zijn HPE OfficeConnect 1920s L3 switches, een 48 poorts, 24 poorts POE+ voor de camera's en een kleine 8 poorts.

[...]

VLANs instellen op de switches is een mooie oplossing als er ook camera's op de linkerswitch (in het plaatje) zouden zitten. Met de aansluitingen zoals in het plaatje hoeven de switches echter geen VLAN te ondersteunen en kun je alles via de Vigor regelen. De oplossing die je noemt met (port-based) VLANs en met een firewall tussen de VLANs volstaat.
Je bent qua snelheid gelimiteerd tot wat de Draytek kan routen. Dat is 500 Mbps. Als je camerabeelden bekijkt vanaf het LAN, en dat kost bijvoorbeeld 50 Mbps, dan blijft er nog maar 450 Mbps capaciteit over voor internet. Een firewall kan die capaciteit verder beperken.

Die keuze van al dan niet VLAN's te gebruiken is voor de IP telefoons. We hebben de keuze van de leverancier.
Is het veiliger/beter om de IP-telefoons in een VLAN te steken? Naar ik lees is het dan gemakkelijker om QOS in te stellen voor een VLAN.
Maar hoe dit dan geconfigureerd wordt ben ik nog niet uit... Iemand nuttige info over?