VLAN для систем видеонаблюдения

  • Дек, 28, 2025
VLAN для систем видеонаблюдения: как изолировать камеры и записывающее оборудование

Оглавление

Представьте офисное здание, где камеры видеонаблюдения установлены в каждом кабинете, коридоре и на входе. Если все камеры подключены к общей корпоративной сети, злоумышленник, получивший доступ к одной камере, может переместиться на рабочие станции сотрудников, серверы или системы управления зданием. VLAN для видеонаблюдения — это отдельный служебный лифт, доступный только для камер и серверов записи. Он работает параллельно с пассажирскими лифтами (корпоративной сетью), но никогда не пересекается с ними.

Зачем сегментировать системы видеонаблюдения

Системы видеонаблюдения — одни из самых уязвимых компонентов сети. Камеры часто работают на устаревшем ПО, имеют стандартные пароли и редко обновляются. Без сегментации они становятся «черным ходом» в корпоративную сеть.

Три ключевые причины для выделения камер в отдельный VLAN:

  1. Безопасность
    Большинство атак на системы видеонаблюдения начинаются с эксплуатации уязвимостей в веб-интерфейсе камеры. Изоляция предотвращает латеральное перемещение злоумышленника?Латеральное перемещение — перемещение атакующего внутри сети после получения первоначального доступа, с целью компрометации других систем. в корпоративную сеть.
  2. Производительность
    Видеопотоки с 20+ камер могут полностью загрузить сегмент сети. Отдельный VLAN с контролем качества обслуживания (QoS) гарантирует, что запись видео не прервётся из-за офисного трафика.
  3. Упрощение управления
    Отдельная сегментация позволяет:
    • Применять централизованные политики обновления прошивок
    • Настраивать автоматическое резервное копирование архивов
    • Ограничивать доступ к камерам только авторизованным пользователям

Важно: полная изоляция (без какого-либо доступа из корпоративной сети) часто непрактична. Необходим баланс между безопасностью и функциональностью.

Типовые схемы VLAN для камер и NVR

Схема 1. Полная изоляция (максимальная безопасность)

  • Все камеры и NVR/DVR в одном VLAN
  • Нет доступа из корпоративной сети
  • Управление только через консольный порт или выделенный порт управления
Когда применять: критически важные объекты (банк, ЦОД), где безопасность важнее удобства.

Схема 2. Контролируемый доступ (оптимальный баланс)

  • Камеры и NVR в отдельном VLAN
  • Доступ к веб-интерфейсу NVR только с рабочих станций безопасности
  • Запрет прямого доступа к камерам извне
Когда применять: большинство коммерческих объектов, офисов, торговых точек.

Схема 3. Иерархическая сегментация (крупные системы)

  • VLAN 300: камеры общего наблюдения (входы, коридоры)
  • VLAN 310: камеры критических зон (кассы, серверные)
  • VLAN 320: NVR и серверы хранения
  • Меж-VLAN маршрутизация с жёсткими ACL между сегментами
Когда применять: объекты с 50+ камерами, распределённые системы.

Настройка на MikroTik RouterOS v6/v7

Сценарий: VLAN 300 для камер и NVR на CRS326-24G-2S+

# Шаг 1. Создание bridge с VLAN filtering
/interface bridge
add name=bridge-cameras vlan-filtering=yes

# Шаг 2. Добавление физических интерфейсов в bridge
/interface bridge port
add bridge=bridge-cameras interface=ether1
add bridge=bridge-cameras interface=ether2
add bridge=bridge-cameras interface=ether3
# ... добавить все порты, куда подключены камеры
# Шаг 3. Создание VLAN интерфейса
/interface vlan
add interface=bridge-cameras name=vlan300-cameras vlan-id=300

# Шаг 4. Назначение IP-адреса для управления
/ip address
add address=192.168.30.1/24 interface=vlan300-cameras
# Шаг 5. Настройка VLAN на портах
# Порты 1–16: камеры (нетегированный трафик)
# Порт 17: NVR (нетегированный трафик)
# Порт 18: аплинк к корпоративной сети (тегированный)
/interface bridge vlan
add bridge=bridge-cameras vlan-ids=300 untagged=ether1,ether2,ether3,ether4,ether5,ether6,ether7,ether8,ether9,ether10,ether11,ether12,ether13,ether14,ether15,ether16,ether17 tagged=ether18,bridge-cameras
# Шаг 6. Настройка firewall для безопасности
/ip firewall filter
# Разрешаем доступ к NVR только с рабочих станций безопасности
add chain=forward src-address=192.168.10.50/32 dst-address=192.168.30.10 protocol=tcp dst-port=80,443,554 action=accept comment="Access to NVR from security PC"
# Запрещаем прямой доступ к камерам из корпоративной сети
add chain=forward src-address=192.168.10.0/24 dst-address=192.168.30.0/24 protocol=tcp dst-port=80,443 action=drop comment="Block direct access to cameras"
# Разрешаем RTSP от NVR к камерам
add chain=forward src-address=192.168.30.10 dst-address=192.168.30.0/24 protocol=tcp dst-port=554 action=accept comment="NVR to cameras RTSP"
# Запрет всем остальным
add chain=forward action=drop comment="Default deny all"

Конфигурация на коммутаторах Eltex (MES2300/3500)

(config)# vlan 300
(config-vlan)# name cameras
(config-vlan)# exit

# Настройка портов для камер (access mode)
(config)# interface range gigabitethernet 1/0/1-16
(config-if-range)# switchport mode access
(config-if-range)# switchport access vlan 300
(config-if-range)# spanning-tree portfast
(config-if-range)# exit
# Настройка порта для NVR
(config)# interface gigabitethernet 1/0/17
(config-if)# switchport mode access
(config-if)# switchport access vlan 300
(config-if)# spanning-tree portfast
(config-if)# exit

# Настройка аплинка (trunk mode)
(config)# interface gigabitethernet 1/0/18
(config-if)# switchport mode trunk
(config-if)# switchport trunk allowed vlan 300
(config-if)# exit
# Настройка ACL для безопасности
(config)# ip access-list extended CAMERA_SECURITY
(config-ext-nacl)# permit tcp host 192.168.10.50 host 192.168.30.10 eq www
(config-ext-nacl)# permit tcp host 192.168.10.50 host 192.168.30.10 eq 443
(config-ext-nacl)# permit tcp host 192.168.10.50 host 192.168.30.10 eq 554
(config-ext-nacl)# deny tcp 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255 eq www
(config-ext-nacl)# deny tcp 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255 eq 443
(config-ext-nacl)# permit ip any any
(config-ext-nacl)# exit

(config)# interface vlan 300
(config-if)# ip address 192.168.30.1 255.255.255.0
(config-if)# ip access-group CAMERA_SECURITY in
(config-if)# exit

Реализация на Cisco Catalyst

Switch> enable
Switch# configure terminal

! Создание VLAN
Switch(config)# vlan 300
Switch(config-vlan)# name CAMERAS
Switch(config-vlan)# exit

! Настройка портов для камер
Switch(config)# interface range gigabitethernet1/0/1-16
Switch(config-if-range)# switchport mode access
Switch(config-if-range)# switchport access vlan 300
Switch(config-if-range)# spanning-tree portfast
Switch(config-if-range)# exit
! Настройка порта для NVR
Switch(config)# interface gigabitethernet1/0/17
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan 300
Switch(config-if)# spanning-tree portfast
Switch(config-if)# exit

! Настройка аплинка
Switch(config)# interface gigabitethernet1/0/18
Switch(config-if)# switchport mode trunk
Switch(config-if)# switchport trunk allowed vlan 300
Switch(config-if)# exit
! Настройка ACL
Switch(config)# ip access-list extended CAMERA_ACL
Switch(config-ext-nacl)# permit tcp host 192.168.10.50 host 192.168.30.10 eq www
Switch(config-ext-nacl)# permit tcp host 192.168.10.50 host 192.168.30.10 eq 443
Switch(config-ext-nacl)# permit tcp host 192.168.10.50 host 192.168.30.10 eq 554
Switch(config-ext-nacl)# deny tcp 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255 eq www
Switch(config-ext-nacl)# deny tcp 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255 eq 443
Switch(config-ext-nacl)# permit ip any any
Switch(config-ext-nacl)# exit

! Применение ACL на SVI
Switch(config)# interface vlan 300
Switch(config-if)# ip address 192.168.30.1 255.255.255.0
Switch(config-if)# ip access-group CAMERA_ACL in
Switch(config-if)# exit

Настройка доступа к камерам: как дать право на просмотр без риска для безопасности

Даже в изолированном VLAN требуется предоставить ограниченный доступ к видеоархивам и настройкам камер. Вот проверенные схемы:

Схема 1. Доступ через NVR (рекомендуется)

  • Все пользователи работают только с NVR
  • Прямой доступ к камерам запрещён ACL
  • NVR имеет два сетевых интерфейса или подсети:
    • 192.168.30.10/24 — для связи с камерами
    • 192.168.10.100/24 — для доступа пользователей

Схема 2. Отдельная VLAN для клиентов просмотра

/ip firewall filter
# Доступ к NVR только через веб-интерфейс и RTSP
add chain=forward src-address=192.168.40.0/24 dst-address=192.168.30.10 protocol=tcp dst-port=443,554 action=accept comment="Viewer VLAN to NVR"
# Запрет настроек камер из VLAN просмотра
add chain=forward src-address=192.168.40.0/24 dst-address=192.168.30.0/24 protocol=tcp dst-port=80,443 action=drop comment="Block camera config from viewer VLAN"

Схема 3. Временный доступ через jump-сервер

  • Отдельный сервер в демилитаризованной зоне (DMZ)
  • Доступ к серверу по расписанию и по требованию
  • Все сессии логируются и записываются
  • Автоматическое отключение доступа после окончания сессии

Проверка изоляции и диагностика проблем

Проверка 1. Тест недоступности камер из корпоративной сети

# С рабочей станции в корпоративной сети (192.168.10.50)
ping 192.168.30.21
telnet 192.168.30.21 80

Оба теста должны завершиться неудачей. Если telnet подключается — настройки безопасности нарушены.

Проверка 2. Анализ правил firewall

/ip firewall filter print stats

Обратите внимание на счётчики пакетов в правилах с действием drop. Высокий счётчик может указывать на попытки несанкционированного доступа.

Проверка 3. Мониторинг трафика

/tool sniffer quick interface=ether18 protocol=tcp port=80,443,554

Проверьте, нет ли трафика между корпоративной сетью и камерами, минуя NVR.

Типовые ошибки при настройке VLAN для видеонаблюдения

ОшибкаПоследствияРешение
Отсутствие ACL между VLAN Прямой доступ к камерам с любых рабочих станций Настройте firewall на маршрутизаторе или многоуровневом коммутаторе
Неправильная настройка native VLAN на транках Камеры попадают в корпоративную сеть Явно задайте native VLAN на всех транках: /interface bridge port set ether18 pvid=999
Отсутствие QoS для видеопотоков Архивы обрываются при высокой загрузке сети Настройте приоритезацию RTSP: /queue type add name=rtsp-priority kind=pcq pcq-classifier=dst-address pcq-dst-address-mask=32
Использование одинаковых подсетей для разных VLAN Нарушение изоляции на L2 уровне Используйте уникальные подсети для каждого VLAN: камеры — 192.168.30.0/24, корпоративная сеть — 192.168.10.0/24
Открытый доступ к веб-интерфейсу NVR Взлом через уязвимости веб-сервера Ограничьте доступ по IP: /ip service set www address=192.168.10.50/32
При сегментации систем видеонаблюдения главный принцип — «запрещено всё, что явно не разрешено». Даже если это временно усложнит работу операторов, в долгосрочной перспективе это предотвратит серьёзные инциденты безопасности.

Данная статья носит исключительно информационный и методический характер. Она не является официальным руководством пользователя, технической документацией или рекомендацией производителя. Все описанные процедуры основаны на практическом опыте и могут потребовать адаптации под конкретную конфигурацию оборудования, версию программного обеспечения или условия эксплуатации. Автор и издатель не несут ответственности за последствия применения приведённых инструкций.