Найти в Дзене
АМИКОМ | Системы безопасности
352 подписчика

Сетевая часть CCTV: VLAN, QoS и удалённый доступ без дыр

25
5 мин
Зачем это нужно IP-видеонаблюдение часто делит инфраструктуру с офисной сетью. Без сегментации и приоритезации растёт риск потерь кадров, задержек при воспроизведении и уязвимостей. Корректный дизайн VLAN, настройка QoS и безопасный удалённый доступ обеспечивают стабильный поток, предсказуемый архив и защищают контур CCTV. Рекомендуем минимум три логических сегмента: Правила межсегментного доступа: Дополнительная L2-защита: Отключить L2-межвлановый hairpin, включить DHCP-snooping, IP-source-guard, порт-security на портах. DHCP-snooping критически важен, так как он защищает от ложных DHCP-серверов и позволяет привязывать IP-адреса к MAC-адресам, что предотвращает IP-конфликты и подмену адресов. Адресация: L2-защита и устойчивость: Камеры генерируют устойчивый трафик. QoS нужен на аплинках, WAN и Wi-Fi-мостах. Классы и DSCP-метки (рекомендация): Очереди: Быстрый расчёт полосы: Предпочтительные варианты: Практика: Логирование и время: Кейс 1. Дом на 64 камеры, общий канал провайдера 100
Оглавление

Зачем это нужно

IP-видеонаблюдение часто делит инфраструктуру с офисной сетью. Без сегментации и приоритезации растёт риск потерь кадров, задержек при воспроизведении и уязвимостей. Корректный дизайн VLAN, настройка QoS и безопасный удалённый доступ обеспечивают стабильный поток, предсказуемый архив и защищают контур CCTV.

Базовая схема

  • Камеры - в отдельном технологическом сегменте.
  • PoE-коммутаторы - на ИБП и в стойках ближе к камерам.
  • NVR/VMS - в отдельной подсети с ограниченным доступом.
  • Управление - через jump-host или админский VLAN.
  • Внешний доступ - только через VPN или защищённый брокер доступа.

VLAN: быстрый каркас

Рекомендуем минимум три логических сегмента:

  • VLAN 10 Cameras - все IP-камеры.
  • VLAN 20 Video - NVR/VMS, storage, прокси.
  • VLAN 30 Mgmt - управление оборудованием, jump-host, NTP, syslog.

Правила межсегментного доступа:

  • Cameras → Video: разрешить RTSP/HTTP(S)/ONVIF к NVR/VMS.
  • Video → Cameras: разрешить управление и события.
  • Mgmt ↔ Cameras/Video: разрешить только админ-протоколы из jump-host.
  • Cameras ↛ Office/Internet: запретить прямой выход в интернет.

Дополнительная L2-защита: Отключить L2-межвлановый hairpin, включить DHCP-snooping, IP-source-guard, порт-security на портах. DHCP-snooping критически важен, так как он защищает от ложных DHCP-серверов и позволяет привязывать IP-адреса к MAC-адресам, что предотвращает IP-конфликты и подмену адресов.

Адресация:

  • Статические IP для камер или DHCP-reservations.
  • Единый план: например, 10.10.10.0/24 Cameras, 10.10.20.0/24 Video, 10.10.30.0/24 Mgmt.
  • Зарезервировать диапазон для временных камер и тестовых стендов.

L2-защита и устойчивость:

  • STP с BPDU-guard и loop-guard на доступе.
  • Storm-control на broadcast/multicast/unicast.
  • LACP для аплинков, если есть агрегация.
  • IGMP-snooping и querier - только если реально используете multicast-просмотр.

QoS: приоритет видео и управление полосой

Камеры генерируют устойчивый трафик. QoS нужен на аплинках, WAN и Wi-Fi-мостах.

Классы и DSCP-метки (рекомендация):

  • Видео основной поток - AF41 (DSCP 34) или AF31 для ограниченных каналов.
  • Управление и события - CS2/AF21.
  • Голос/двустороннее аудио (если есть) - EF (46).
  • Архивная выгрузка/обновления - Best Effort или низкий приоритет.

Очереди:

  • EF - приоритетная очередь с лимитом.
  • AFxx - гарантированная полоса с полировкой.
  • BE - остаточный трафик.

Быстрый расчёт полосы:

  • 8 камер по 2 Мбит/с = 16 Мбит/с полезной нагрузки.
  • С учётом накладных +20 % ≈ 19.2 Мбит/с.
  • Резерв по headroom 30 % → округлите до 25 Мбит/с на аплинке.
  • Для удалённого просмотра закладывайте отдельный лимит, чтобы не «съедать» запись.

Удалённый доступ без дыр

Предпочтительные варианты:

  • Site-to-site VPN - для диспетчерских и филиалов.
  • Client VPN для инженеров - WireGuard/IPsec/L2TP с MFA.
  • Облачный брокер доступа или обратный прокси с TLS и ACL.

Практика:

  • Отключить UPnP и автопроброс портов.
  • Не публиковать NVR и камеры напрямую в интернет.
  • Если используете облачный P2P-доступ производителя - включить сложные пароли, MFA и журнал входов по регламенту.
  • Ограничить доступ по странам/подсетям в межсетевом экране.

Логирование и время:

  • Единый NTP для всех устройств.
  • Syslog на центральный коллектор, события безопасности - в отдельный канал.

Безопасность контура

  • Уникальные пароли и роли: админ, оператор, просмотр.
  • Отключение неиспользуемых сервисов и портов.
  • SNMPv3 и шифрованные протоколы управления.
  • Регламент обновления прошивок и резервной конфигурации.
  • ACL на маршрутизаторе: запрет любого «east-west» трафика между камерами.

Пуско-наладка: чек-лист

  • Создать VLAN 10/20/30, прописать IP-план и DHCP-reservations.
  • Включить DHCP-snooping, ARP-inspection, порт-security, BPDU-guard.
  • Настроить NTP, syslog, время на всех устройствах.
  • Настроить QoS-классы и DSCP-карты на аплинках и WAN.
  • Применить ACL между VLAN, проверить, что камеры не выходят в интернет.
  • Включить IGMP-snooping только при реальной необходимости.
  • Протестировать запись и воспроизведение при пиковой нагрузке.
  • Проверить удалённый доступ: VPN, роли, MFA, журнал.
  • Смоделировать отказ: обрыв uplink, недоступность NVR, падение одного коммутатора.
  • Задокументировать схему, IP-план, пароли, контакты ответственных.

Мини-кейсы

Кейс 1. Дом на 64 камеры, общий канал провайдера 100 Мбит/с

  • Разделили CCTV в отдельный VLAN и шейпинг на 60 Мбит/с для видео, 10 Мбит/с для удалённого просмотра, остальное - офис.
  • Итог: стабильная запись 24/7 и отсутствие лагов у офисных пользователей.

Кейс 2. Склады с Wi-Fi-мостом

  • QoS: EF для аудио, AF41 для видео, BE для файлов. Резерв 35 % на радиоканале.
  • Итог: видео без разрывов, рации и SIP-трансляции проходят первыми.

Кейс 3. «Дыры» в архиве из-за конфликтов IP

  • Ввелись DHCP-reservations, IP-source-guard, запрет L3-выхода для камер.
  • Итог: конфликты исчезли, дозапись через ANR восстанавливает пропуски.

Пример базовой спецификации сети под 8 камер

  • PoE-коммутатор 8-16 портов с запасом по PoE-бюджету и ИБП.
  • Маршрутизатор с поддержкой VLAN, QoS, VPN, ACL.
  • NVR 16-20 каналов, HDD 10 ТБ, S+265. Примечание: S+265 — это фирменный формат Tiandy, который значительно оптимизирует пропускную способность и хранение, обеспечивая высокую эффективность.
  • Кабельная система, грозозащита, маркировка портов и трасс.
  • Документация: IP-план, схема VLAN, правила ACL и QoS.

Частые ошибки

  • Общая плоская сеть для камер и офисных ПК.
  • Публичные пробросы портов на NVR.
  • Отсутствие NTP и разных часовых поясов - проблемы с поиском архива.
  • Включённый IGMP без надобности - шторма и потеря кадров.
  • Нет headroom на аплинках - запись «сыпется» при пиках.

Выводы

  • VLAN изолируют камеры, NVR и управление, уменьшая риски и упрощая поддержку.
  • QoS обеспечивает приоритет видео и аудио, особенно на узких местах - аплинках и WAN.
  • Удалённый доступ только через VPN или брокер - без прямых публикаций устройств в интернет.
  • Регламенты времени, логирования и обновлений повышают надёжность расследований и снижают стоимость владения.

Где купить оборудование Tiandy

Оборудование Tiandy всегда доступно в компании «Амиком». Заполните форму на сайте или позвоните нам - подберём конфигурацию под ваш объект, рассчитаем архив и PoE, подготовим коммерческое предложение со специальными ценами и сроками поставки.

Гаджеты и электроника
5,73 млн интересуются