Hướng dẫn cấu hình mạng LAN ảo (VLAN) cho hệ thống camera quan sát

VLAN là gì

Cấu hình mạng LAN ảo (VLAN) trên Switch cho camera quan sát là rất quan trọng để bảo vệ camera IP chống lại sự truy cập trái phép và cũng để tách hệ thống camera an ninh khỏi các máy tính và thiết bị khác được kết nối với mạng IP.

Nếu bạn có các thiết bị chuyển mạch mạng lớp 2 (Switch) của hãng Cisco, Netgear, HP, Dell, Dlink …. chúng có thể dễ dàng cấu hình để sử dụng trên hệ thống camera quan sát của bạn.

VLAN cho CCTV

Trong bài viết này, tôi sẽ thảo luận về tầm quan trọng của VLAN đối với CCTV, cách thức hoạt động của công nghệ và cách cấu hình VLAN cho các dự án CCTV .  

Hãy bắt đầu bằng cách tìm hiểu các nguyên tắc cơ bản về VLAN , hiểu cách nó được sử dụng trên các thiết bị chuyển mạch mạng và tìm hiểu cách thiết lập VLAN cho camera an ninh.

Mạng LAN ảo (VLAN) là gì?

VLAN là cụm từ viết tắt của virtual local area network hay còn được gọi là mạng LAN ảo. VLAN là một kỹ thuật cho phép tạo lập các mạng LAN độc lập một cách logic trên cùng một kiến trúc hạ tầng vật lý nhằm cho phép kiểm soát lưu lượng đường truyền internet và cũng để tăng mức độ truy cập bảo mật do đó tránh được truy cập trái phép.

Chuyển nhóm và VLAN

Trên Switch chuyên dụng của hãng Cisco, Netgear, HP, Dell, Dlink ….  có thể tạo VLAN và liên kết chúng với các cổng Switch cụ thể. Các thiết bị như máy tính và camera IP được kết nối với cùng một nhóm cổng sẽ có thể giao tiếp với nhau trong mạng nội bộ. 

Tách biệt lưu lượng traffic VLAN

Trong một kịch bản với máy tính và camera CCTV được kết nối với cùng một Switch, có thể tạo VLAN để tách lưu lượng traffic

Sơ đồ dưới đây cho thấy một ví dụ về một Switch mạng có camera IP CCTV và máy tính được kết nối với các cổng của nó. Lưu ý rằng các VLAN được tạo và biểu diễn bằng các tên, dải địa chỉ IP và màu sắc khác nhau.

Sơ đồ VLAN 01

Trong hệ thống mạng CNTT của Doanh nghiệp, trường học, khách sạn….Chuyên viên quản trị mạng (Administrator) đặt tên cho các VLAN bằng cách sử dụng số thứ tự và màu sắc để ký hiệu. Trong hình trên, bạn có thể thấy VLAN 10 và VLAN 20 sử dụng màu xanh lam và xanh lục tương ứng để đại diện cho các nhóm khác nhau.

Bảo mật VLAN

VLAN có thể tăng tính bảo mật trong mạng bằng cách gán các cổng chuyển mạch cụ thể cho các nhóm. Xem hình bên dưới nơi máy tính xách tay của một người đàn ông được kết nối với cổng 1 trên VLAN màu xanh da trời và giao tiếp với PC2 trên cổng 3. 

Kẻ xâm nhập tháo camera IP khỏi cáp trên cổng 4 để kết nối máy tính xách tay của anh ta và hack mạng. Anh ta kết nối với VLAN xanh lá cây  để cố gắng hack camera an ninh nhưng anh ta không thể có quyền truy cập vào phần còn lại của mạng.

Bảo mật VLAN

Nguyên tắc tương tự áp dụng để phân quyền cho PC của nhân viên trong công ty, anh ta không thể truy cập vào camera an ninh vì nó được kết nối với một VLAN khác.

Cách hoạt động của VLAN Tagging (thẻ chứa số thứ tự của VLAN)

Để có thể kiểm soát lưu lượng, Switch sử dụng TAG (thẻ chứa số thứ tự của VLAN hay VLAN ID) chỉ là một cách để đánh dấu các khung đi vào hoặc rời khỏi mỗi cổng, 

Các khung đi vào cổng chuyển đổi 1 hoặc 3 được gắn thẻ là một phần của VLAN 10 và các khung đi vào cổng 2 hoặc 4  được gắn thẻ là một phần của VLAN 20 .

TAG có thể khác nhau tùy thuộc vào thương hiệu của thiết bị chuyển mạch (Switch), tuy nhiên có một tiêu chuẩn TAG phổ biến được gọi là 802.1Q được hầu hết các nhà sản xuất sử dụng.

Xem hình bên dưới. Khi các khung hình xuất phát từ camera IP đến Switch, chúng được gắn thẻ, Các thẻ đó sẽ bị xóa trước khi rời khỏi Switch.

Cách hoạt động của TAG VLAN

Xem bên dưới các trường thẻ theo tiêu chuẩn chung 802.1Q. 

SOURCE: Nguồn của gói dữ liệu
DESTINATION: Đích đến của gói dữ liệu
TYPE & LEN: Type and size
DATA: Dữ liệu có trong gói
FRAME CHECK: Kiểm tra khung

Xem hình minh họa về TAG được liên kết với khung

802.1 TAG VLAN

Giao tiếp giữa các Switch

Khi kết nối hai thiết bị chuyển mạch, cần phải sử dụng HUB sẽ cho phép lưu lượng của tất cả các VLAN đi qua. Vì vậy, các khung có TAG 802.1Q sẽ đi qua cổng này.

Một số nhà sản xuất có ký hiệu cổng VLAN hơi khác biệt. Trong tài liệu chuyển mạch của Cisco, thuật ngữ ” Hub port ” được sử dụng cho các cổng đặc biệt đó. Các nhà sản xuất khác như Netgear, HP và Dell sử dụng thuật ngữ ” Tagged Port ” nhưng trong mọi trường hợp, tất cả họ đều sử dụng  802.1Q TAG.

Cổng Vlan Trunk

Giờ đây, các camera an ninh IP và máy tính có thể gửi lưu lượng truy cập từ Switch thứ nhất sang Switch thứ hai mà vẫn kiểm soát được quá trình truyền traffic và bảo mật.

Switch đầu tiên có thể gắn thẻ các khung hình đến từ camera an ninh và di chuyển chúng qua trung kế (các cổng được gắn thẻ) đến Switch thứ hai.

Loại chuyển mạch cho cấu hình VLAN

Đối với cấu hình VLAN là cần thiết để sử dụng thiết bị chuyển mạch lớp 2 có thể quản lý .

Mỗi nhà sản xuất có một cách khác nhau để tạo và quản lý  VLAN bằng cách sử dụng CLI (giao diện dòng lệnh) hoặc Giao diện Web . Nhưng trong mọi trường hợp, việc thiết lập khá giống nhau và rất dễ dàng để tạo và cấu hình các VLAN.

Ví dụ về cấu hình VLAN cho camera quan sát

Chúng ta hãy xem xét một hệ thống camera CCTV với 4 máy tính để bàn sử dụng VLAN 10 và 3 camera IP và 1 NVR sử dụng VLAN 20.

Trong dự án CCTV nhỏ này, VLAN tách lưu lượng mạng phát sóng của công ty khỏi lưu lượng mạng phát sóng camera IP. Xem sơ đồ.

Mạng CCTV với VLAN

Trên cấu hình CCTV VLAN này, người dùng máy tính để bàn sẽ không thể truy cập vào các camera IP hoặc NVR. Vì vậy, hệ thống an ninh của bạn được bảo vệ. 

Vì vậy, bạn có thể thấy cấu hình VLAN cho camera quan sát là rất quan trọng để giữ cho hệ thống của bạn an toàn khỏi tin tặc và những kẻ xâm nhập.

Tạo VLAN trên Switch Cisco

Ví dụ nhanh, chúng ta hãy xem cấu hình VLAN trên switch Cisco 8 cổng. Mã thiết bị là Catalyst 2960 PD sẽ được định cấu hình bằng CLI:

  • VLAN 10: Cổng 1 đến 4 để kết nối máy tính
  • VLAN 20: Cổng 5 đến 8 để kết nối các camera IP
Cisco Catalyst 2960 PD

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *