Atualizando a rede doméstica: vários andares e VLANs

0

Estou tentando projetar uma nova rede para minha casa, que está espalhada por quatro andares. Eu estive pensando sobre minhas necessidades e tentei escrever

Requisitos

Câmaras de segurança

  • câmeras de segurança não devem ter acesso à internet;
  • câmeras de segurança devem acessar o gravador de vídeo em rede (NVR);
  • o NVR deve poder acessar um servidor de e-mail remoto para enviar notificações por e-mail em caso de incidentes de segurança
  • uma câmera de segurança especial exigirá acesso à Internet e acesso ao NVR; Atualizar : especial aqui significa que a câmera permite a comunicação de áudio bidirecional pela Internet, por exemplo, conversando com a pessoa na frente da câmera.
  • eu deveria ser capaz de acessar o NVR (mesmo ethernet só é bom);

Sistema de aquecimento

  • o termostato não deve ter acesso à internet;
  • as válvulas termostáticas não devem ter acesso à internet;
  • a família deve poder acessar o sistema de aquecimento (wifi);

Escritório local

  • 2 computadores na ethernet (VLAN 4)
  • 1 PC em Wifi
  • impressora
  • NAS

Outros dispositivos diversos

  • Smart TVs com acesso à internet;
  • Sistemas de jogos com acesso à internet;

Cobertura de rede Wi-Fi

  • Acesso de convidado (rede totalmente isolada)
  • Acesso da família (pode acessar sistema de aquecimento e NAS)

Estrutura de rede aproximada

Dúvidasedúvidas

  • EstoupensandonasseguintesVLANs:

  • câmeras
  • câmera especial
  • NVR
  • Convidado
  • aquecimento
  • escritório
  • seguro para a família (para wifi interno)
  • família não segura (sistemas gamign, tv, etc.)

Este colapso é razoável? Não está claro se isso satisfaria todos os meus requisitos. Por exemplo, eu seria capaz de configurar a rede para que eu possa acessar o NVR (VLAN 4) e a câmera especial (VLAN 3) da VLAN 8 ou 7?

  • Qual a intensidade do roteamento entre VLANs? Eu estou supondo que isso pode ser tratado pelo Edge Router (alimentado por dd-wrt).

  • A "câmera especial" é um risco potencial à segurança ... certo? É o suficiente para estar em sua própria VLAN?

  • Estou pensando em usar o CAT6A para todas as minhas conexões e 1Gigabit Ethernet para as portas de entroncamento entre os switches. Uma outra categoria de cabo ou velocidade de entroncamento (10Gigabit Ethernet?) Seria mais apropriada para conectar os switches ? Não estou planejando inicialmente usar qualquer dispositivo de rede 10G. Isso pode mudar no futuro para o NAS.

  • Existe algum recurso específico que eu deveria procurar no switch que vou comprar?

  • Preciso de um servidor DHCP para cada VLAN por ter uma atribuição dinâmica? Um único roteador pode manipular o endereçamento de todas as VLANs?

Perdoe-me pela duração da pergunta (e subquestões: D). Espero que isso não seja OT: parece apropriado fornecer a lista de tópicos aqui .

Obrigado pela sua ajuda!

    
por Dexter 20.02.2018 / 20:50

2 respostas

1

É um projeto realmente grande com muitas opções.

How intensive is inter-VLAN routing? I'm assuming this can be handled by the Edge Router (powered by dd-wrt).

câmera de segurança - > O tráfego NVR pode atingir de 2 a 7 Mbit / s por câmera, dependendo da marca da câmera e dos modos de gravação.

UPD. Ele pode se ajoelhar no roteador genérico do WRT. WRT1900ACS é 2 núcleos de CPU de 1,6 Ghz. E declarar desempenho 1900 Mbps

The "special camera" is a potential security risk... right? Is it enough for it to be in its own VLAN?

Depende do que é especial .

I'm considering using CAT6A for all my connections and 1Gigabit Ethernet for the trunking ports between the switches. Would another cable category or trunking speed (10Gigabit Ethernet?) be more appropriate?

O custo de 10 G é mais caro. Então, é mais uma questão de orçamento.

Você planeja usar dispositivos 10G (NAS, PC ...)?

Quando a fiação escondida na parede é usada e a substituição do cabo é difícil. É uma boa ideia usar a classe de cabo que permite a atualização da velocidade de conexão no futuro, quando necessário.

Do I need a DHCP server for each VLAN for having dynamic assignment? Can a single router handle the addressing for all the VLANs?

Com VLANs totalmente isoladas, sim.

Mas muitos switches gerenciados suportam algum tipo de isolamento / vazamento de portas.

Por exemplo: NVR, roteador e câmeras em uma VLAN, mas em grupos de isolamento diferentes, então qualquer câmera pode se comunicar apenas com o NVR, mas não com o roteador ou outras câmeras.

PS.

Um AP Wi-Fi pode não ser suficiente para uma casa de 4 andares. Portanto, planeje as VLANs para Wi-Fi de convidado e Wi-Fi da família

Quando você escolhe uma configuração mais complexa, mais recursos são necessários para implementar, manter e solucionar problemas. Seja sábio. Olhe do ponto de vista dos cenários de ameaças .

UPD2. Para manter a qualidade da fiação, mantenha estas PRÁTICAS DE INSTALAÇÃO DE CABLAGEM UTP

  • To avoid stretching, pulling tension should not exceed 110N (25 lb ƒ ) for 4-pair cables.

  • Installed bend radii shall not exceed:

    • 4 times the cable diameter for horizontal UTP cables.
    • 10 times the cable diameter for multi-pair backbone UTP cables.
  • Avoid cable stress, as caused by:

    • cable twist during pulling or installation
    • tension in suspended cable runs
    • tightly cinched cable ties or staples
    • tight bend radii
    
por 21.02.2018 / 00:39
0

VLANs são inerentemente separadas e eu recomendaria mantê-las o mais segregadas possível, isto é, minimizar / eliminar qualquer roteamento "inter VLAN". No final, isso deve deixar você resolvendo principalmente como compartilhar uma única conexão com a Internet em todas as VLANs.

Fisicamente, todos os seus fios podem entrar em um único patch panel para facilitar o gerenciamento. Em seguida, você pode executar VLANs em um switch gerenciado, se quiser simplificar seu equipamento.

Mas você não precisa executar VLANs, você pode simplesmente executar LANs separadas também com switches separados por LAN. As VLANs ajudariam muito na combinação dos modos de falha do seu equipamento para que você não precise gerenciar todos os outros switches separadamente, mas isso não é necessário.

A partir daí, depende apenas de como você deseja gerenciar as coisas. A segregação completa e definitiva é a melhor. Ou você pode combinar o material inseguro da internet (3,5 e 9), o material seguro da Internet (7,8) e o material não-internet (2,4 e 6) de uma maneira que faça sentido. De qualquer forma, você pode trazer as redes para um roteador ou linux box muito configurável para gerenciar o roteamento de rede cruzada. Ou, ou, ou ...

Existe uma infinidade de maneiras de configurar tudo isso porque você tem opções em cada camada do modelo OSI. Percorra as camadas do OSI e escolha as opções desejadas em cada camada e implemente-as. O que VOCÊ implementa dependerá do SEU caso de uso, SEU necessidades, SEU orçamento, etc.

Este é mais um comentário longo, mas não tem espaço suficiente em um comentário e, como tal, eu esperaria que essa pergunta fosse fechada por ser muito ampla.

    
por 20.02.2018 / 22:07