Как настроить доступ между двумя подсетями, используя один стек коммутаторов? 

Добрый день!

У меня есть система видеонаблюдения (СВН) с отечественным программным обеспечением SecurOS, установленная на сервере без доступа к интернету, а основная сеть предприятия и сеть видеонаблюдения находятся в разных подсетях. Все подключения организованы через один стек коммутаторов QTECH-3310, где VLAN-и распределены по разным подсетям. Я правильно понимаю, что такая архитектура соответствует принципам безопасности?

Сейчас возникла задача предоставить доступ к видеонаблюдению с 1-2 компьютеров основной сети (например, PC-1 с IP 10.*.*.*) к видеокамерам в другой VLAN (например, 172.16.99.*). На PC-1 установлена сетевая карта Realtek GBe Gaming Family Controller, которая поддерживает VLAN. С помощью утилиты Realtek Ethernet Diagnostic Utility на ПК был задан второй IP из подсети видеонаблюдения (172.16.99.*). 

Подскажите, пожалуйста, в какой режим работы необходимо перевести порт коммутатора, к которому подключен PC-1, чтобы сохранить работоспособность основной сети и обеспечить доступ к видеонаблюдению? 

Также, возможно, существуют альтернативные способы предоставить доступ к камерам, которые не создадут уязвимости в безопасности (физически прокладывать еще один кабель и устанавливать дополнительные сетевые устройства не предлагаю).
  • 22 апреля 2025 г. 10:45
Ответы на вопрос 2 
Для организации доступа между двумя подсетями (VLAN) на коммутаторах, таких как QTECH-3310, прежде всего необходимо правильно настроить коммутатор для работы с VLAN. Чтобы достичь этого, следуйте следующим шагам:

1. **Определите VLAN-ы**:
    - Убедитесь, что у вас есть отдельные VLAN для основной сети и сети видеонаблюдения. Например, пусть основная сеть будет в VLAN 10, а сеть видеонаблюдения в VLAN 20.

2. **Настройка портов коммутатора**:
    - Порт коммутатора, к которому подключен PC-1, должен быть настроен в режиме **Trunk**. Это позволит передавать трафик нескольких VLAN по одному порту. 
    - Обеспечьте, чтобы коммутатор знал, какие VLAN активны и какие нужно транслировать через этот порт.

3. **Настройка VLAN на порту**:
    - Вам нужно будет настроить порт, чтобы он принимал трафик как от основной сети, так и от сети видеонаблюдения. Убедитесь, что порт принимает VLAN 10 (основная сеть) и VLAN 20 (СВН).
    - На практике это можно сделать, применив команды в интерфейсе управления коммутатором (может быть через CLI или web-интерфейс).

4. **Настройка IP на PC-1**:
    - PC-1 может оставаться с IP-адресом 10.*.*.*, но для работы с сетью видеонаблюдения вам нужно настроить виртуальный интерфейс.
    - Стоит оставить основной IP (например, 10.*.*.*) в качестве основного, а вторую сетевую настройку с IP 172.16.99.* настроить как дополнительный интерфейс.

5. **Настройка маршрутизации (если необходимо)**:
    - Если у вас нет маршрутизатора между VLAN, добавить маршрутизацию напрямую не получится. Для этого потребуется Layer 3 устройство (например, маршрутизатор или L3-ключ), чтобы предоставить маршрутизацию между VLAN.
    - Если ваш стек коммутаторов поддерживает маршрутизацию между VLAN, вы можете использовать маршрутизатор на уровне 3 для обеспечения доступа между двумя подсетями.

6. **Безопасность**:
    - Важно следить за безопасностью, чтобы камеры и видеонаблюдение не становились доступными для нежелательных пользователей. Убедитесь, что вы используете механизмы аутентификации и шифрования (если поддерживается) в программном обеспечении SecurOS. 
    - Сохраняйте актуальные настройки безопасности и обновляйте прошивки вашего оборудования.

### Альтернативные способы
- **Используйте VPN**: Если PC-1 находится в основной сети и имеет доступ к VPN, вы можете настроить VPN соединение для доступа к видеонаблюдению, без необходимости прямого связывания сетей.
- **Настройка прокси-сервера**: Если возможно, настройте прокси-сервер, который обеспечит доступ к камерам, не открывая напрямую доступ между двумя VLAN.

Таким образом, с правильно настроенными VLAN и маршрутизацией, а также учетом всех мер безопасности, вы сможете обеспечить доступ к системе видеонаблюдения без излишнего беспокойства о безопасности ваших сетей.
Ну по человечески это настраивается на маршрутизаторе. Разрешить с определенных ип рабочих машин доступ в сеть видеонаблюдения.
Похожие вопросы
    Показать ещё