V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
sp670
V2EX  ›  宽带症候群

各位家用的监控还分 VLAN 隔离吗?

  •  
  •   sp670 · 264 天前 · 3009 次点击
    这是一个创建于 264 天前的主题,其中的信息可能已经有所发展或是发生改变。
    我家就 4 个 POE 头,和全家所有网络一起接在同一台 POE 管理交换机上,录像机是海康的也接在这个交换机上
    想着就 4 个头,也没啥离谱的广播风暴,就跟大内网一起共用没有划 VLAN 。
    想问下坛里的网络大佬,是否有划分 VLAN 的必要呢?
    24 条回复    2022-09-22 11:01:41 +08:00
    villivateur
        1
    villivateur  
       263 天前
    如果你担心监控会访问你的私有网络比如 NAS 等,就加 VLAN 隔离,不然没啥影响
    paradoxs
        2
    paradoxs  
       263 天前
    不用搞这么多。
    普通的路由器自带了访客模式, 可以和自己用的内网隔离开来。
    cqu1980
        3
    cqu1980  
       263 天前
    看你的房子的面积,如果你家房子有大几百平甚至更多,摄像头有十几二十个,还是做 VLAN ,否则可以不做。
    Tink
        4
    Tink  
       263 天前
    iot 设备都放一个 vlan ,以毒攻毒,花式养蛊
    shakoon
        5
    shakoon  
       263 天前
    没必要,明显的负优化,搞了之后你在你手机访问摄像头都得去外面中转一圈再回来
    xcodeghost
        6
    xcodeghost  
       263 天前
    普通人家没有必要,海康算是大品牌安全性应该还是不错的,监控设置强密码,定期升级安全补丁,足够了。
    napsterwu
        7
    napsterwu  
       263 天前 via iPhone
    搞那么多都防的都是采集局域网信息的设备吧,比如之前爆出来的勾正服务
    JoeoooLAI
        8
    JoeoooLAI  
       263 天前
    没必要,但也可以划一下图安心,没有绝对的安全,只有不断地加强
    datocp
        9
    datocp  
       263 天前
    我也是把 s5720s li 划了很多 VLAN ,当时主要是按 vlan 划分 有线网 /无线网 /监控 /门禁 /,主要还是是起安全隔离作用+访问控制,防止可能的广播风暴。家里的网络是小,主要问题还是是那个萤石平台吧。有网管功能就上,必竟海康的东西还是有萤石平台在上传。那真正要防的就是切断这个 vlan 的外网访问功能,然后用 vpn 进入内网通过 ivms 客户端进行访问。

    我查看了一下录相机产生的包,还好。当时有砖家提到划分多 vlan ,可能导致 3 层交换 vlan 之间的性能不佳,老实说我没认真测试过。但这交换机上线上年多了,也就是 1000mbps 的内网,100mbps 的外网,似乎也关心不起这个性能问题。


    GigabitEthernet0/0/42 current state : UP
    Line protocol current state : UP
    Description:
    Switch Port, Link-type : access(configured),
    PVID : 8, TPID : 8100(Hex), The Maximum Frame Length is 9216
    IP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is 2c97-b1d2-5260
    Last physical up time : 2022-08-22 17:01:21 UTC+08:00
    Last physical down time : 2022-08-22 17:01:14 UTC+08:00
    Current system time: 2022-09-13 11:13:54+08:00
    Port Mode: COMMON COPPER
    Speed : 1000, Loopback: NONE
    Duplex: FULL, Negotiation: ENABLE
    Mdi : AUTO, Flow-control: DISABLE
    Last 300 seconds input rate 520 bits/sec, 0 packets/sec
    Last 300 seconds output rate 1032 bits/sec, 0 packets/sec
    Input peak rate 6693768 bits/sec, Record time: 2022-08-23 19:26:19
    Output peak rate 438584 bits/sec, Record time: 2022-09-12 12:46:31

    Input: 407782 packets, 144859343 bytes
    Unicast: 396642, Multicast: 175
    Broadcast: 10965, Jumbo: 0
    Discard: 0, Pause: 0
    Frames: 0

    Total Error: 0
    CRC: 0, Giants: 0
    Runts: 0, DropEvents: 0
    Alignments: 0, Symbols: 0
    Ignoreds: 0

    Output: 1639702 packets, 243581607 bytes
    Unicast: 163433, Multicast: 1064943
    Broadcast: 411326, Jumbo: 0
    Discard: 0, Pause: 0

    Total Error: 0
    Collisions: 0, Late Collisions: 0
    Deferreds: 0

    Input bandwidth utilization threshold : 80.00%
    Output bandwidth utilization threshold: 80.00%
    Input bandwidth utilization : 0%
    Output bandwidth utilization : 0%
    ptrxeu
        10
    ptrxeu  
       263 天前
    所有摄像头放进一个单独的 vlan, trunk nvr 就可以
    Chaconne
        11
    Chaconne  
       263 天前 via iPhone   ❤️ 1
    @xcodeghost 海康大品牌有保障?我笑了哈哈,我之前说的可任意重置监控得管理员密码就是指的他家的
    dangyuluo
        12
    dangyuluo  
       263 天前
    PoE 的 IP 交换机的话,直接禁止访问外网得了。
    Kowloon
        13
    Kowloon  
       263 天前 via iPhone
    我分了,我不相信海康威视。
    Orzpls
        14
    Orzpls  
       262 天前 via Android
    更简单的,加个路由器把摄像头,硬盘录像机套进去,
    neroxps
        15
    neroxps  
       262 天前   ❤️ 4
    @xcodeghost #6 99% 的海康摄像头都是在漏洞状态下工作,如果你们公司的摄像头能链接可以试试 github 的漏洞利用程序(特别是带人脸识别的),99% 能利用成功,因为海康官方不会针对摄像头推送升级,即使你找客服要求拿到升级包,客服也会提醒你,没什么问题不要升级。

    我家的摄像头试过,拿到摄像头的 shell 。要求客服提供升级包。客服和我说,不要升级,我说我要修复漏洞,为何不升级?

    如果你用过海康的安防平台等产品,你会对这个庞然大物有新的理解。

    我因工作需要负责某学校的教育安防平台运维工作,我可以说他刷新了我对安防平台的新认知。门禁控制器需要开启 NFC 刷卡功能,海康客服让我用 4200 链接后修改,我 200 多个门禁点就得链接 200 次,不支持批量修改。

    而且只要使用 4200 链接过门禁控制器之后,门禁控制器的上报 IP 会改成 4200 的 IP ,导致安防平台无法获取到门禁状态。

    最终还是自己去海康 SDK 找到 Python Demo 利用 SDK 透传 XML 才解决我的需求,找他们厂家工程师只有一句,不能批量设置。

    太多太多这种事了,新旧平台迁移,厂家不负责门禁数据互通,找他们要开发文档说没有,要客户自己重新一条从新配置,问他们数据库有没有文档密码等说不清楚,门禁权限几万条,每个人对应不同的门,如果我要客户自己设置,客户估计会杀了我。最终要自己用爬虫把旧平台数据爬下来,再爬回新平台那边去。

    新的指纹数据无法匹配旧的指纹数据(海康),旧的停产,迫使用户必须全部替换旧的指纹机器。

    批量升级海康的摄像头也是个巨大而艰难的工程,历史遗留下的坑太多,根本填不完。

    大品牌≠可靠

    参照这几天 B 站某 UP 分析 iOS 微信的用户文件保存逻辑,只要一个视频转发给 N 个人,微信就给你复制 N 份存储,匪夷所思吧,但作为国内 3 大巨头互联网公司,全国用户最多的 IM 软件就是这样的用户文件保存逻辑。

    上线就好为主导的思想由上至下贯彻始终,有问题再补呗。
    neroxps
        16
    neroxps  
       262 天前
    我的做法是利用路由( mikrotik )监听摄像头的流量,如果匹配拉流流量特征的就将 IP 和 IP 的属地企业微信推送给我。

    为何我不禁掉萤石云?老婆在外面还要用,虽然已接入 homekit ,但没开 icloud+,所以看回放也不方便(为什么不开,没钱····)
    luoshengdu
        17
    luoshengdu  
       262 天前
    @neroxps 在 2017 年用过一套海康的指纹门禁,它的配置(多门,多指纹的权限交叉配置)竟然是保存在安装 ivms 4200 的那台电脑上的。 第二台电脑安装该软件接管系统后,已有配置会变没有; 然后大门的指纹做考勤,竟然是一行行的流水,连最基本的统计都没有。

    现在它的摄像头为了安全,在接入 nvr 过程有个批量激活的操作要求,激活过程混乱,需要设置密码,总有几个摄像头会搞的激活的人连激活密码是什么都不知道

    在海康公众号里面重置 nvr 的密码,我作为卖过监控的会弄,但是使用方从没有一个人能自行重置成功

    海康的东西都是拼凑来的,它的大屏、道闸、监控、cvr 、等等这些都是各自为政,连不到一起的。 但不得不说 4200 一个软件配置全部设备走天下
    neroxps
        18
    neroxps  
       262 天前
    @luoshengdu #17 大华恢复密码更惨,以前是需要激活的人的手机号码。99% 都是安装的师傅帮忙激活的。导致连客户自己都无法找回密码。好像需要打印一份文件盖章扫描给他们还是怎么弄。现在不知道改回来没有。

    客户无法通过公众号找回密码其实很多是因为客户懒得研究,有服务就不想动脑。

    海康 19 年的时候我老同事搞过一批道闸,最终给业主退货。和我千叮嘱万叮嘱,千万不要用海康的道闸。不过最近看到附近地方挺多海康道闸,估计是换了 OEM 方案了。
    littlewing
        19
    littlewing  
       262 天前
    @shakoon 为什么要从外面进来,我防火墙配置一下允许家用网络访问监控网络,监控网络不能主动连接家用网络不就行了
    xcodeghost
        20
    xcodeghost  
       262 天前
    @neroxps 原来海康这么烂啊,一直以为很牛逼的呢,家里也有海康的摄像头,得在路由器防火墙多加强一下了。
    SgtPepper
        21
    SgtPepper  
       261 天前
    @neroxps 卧槽 海康这么大公司竟然这么拉
    jikky
        22
    jikky  
       254 天前
    @neroxps 大佬能分享下你这个 MIKROTIK 的配置么?正好需要
    jikky
        23
    jikky  
       254 天前
    @neroxps 大佬能分享下你这个 MIKROTIK 的配置么?
    关于   ·   帮助文档   ·   博客   ·   nftychat   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   1910 人在线   最高记录 5634   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 45ms · UTC 01:13 · PVG 09:13 · LAX 18:13 · JFK 21:13
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.