我们的一个远程办公室与一家公司签订了一份安全合同,该公司在我们办公室安装了 IP 安全摄像头和服务器。他们显然对将他们的系统集成到现有网络一无所知,因为他们在没有与我们团队中的任何人交谈的情况下完成了这项工作。
我们的内部网络在 10.6.n.0/24 上运行。他们将设备设置为使用 192.168.1.0/24。它们都接入同一个网络基础设施——同一个广播域。当然,他们所有的设备都可以相互通信,所以安全系统至少在内部是有效的。
如果我们不需要对安全系统进行外部访问或从外部访问,是否存在任何需要与我们的网络进行适当集成的问题?或者我可以安全地让设备保持原样吗?
将两者分开有几个原因:
将两者分开很容易:在所有交换机上创建两个 VLAN,确保所有新设备都在一个 VLAN 中,其余所有设备都在另一个 VLAN 中,并且交换机之间的所有链路都有。(如果你没有任何可以处理 VLAN 的交换机,你必须使用物理上独立的交换机,然后投资一些合适的交换机。)如果你需要两个网络之间的连接,有一个第 3 层交换机、路由器或带接口的防火墙在网络和瞧。
注意:最佳做法是不使用 VLAN 1。您可以选择任何您想要的 VLAN 编号,因此只需选择除 1 以外的任何编号。
额外的好处:一旦你的网络变得更加复杂,你就已经准备好分离网络中的其他东西,因为基础已经存在。
它发生在我身上。我正在努力在一个站点上撤消它。理想情况下,端口应该是 VLAN 分离的,这在交换机级别应该很容易做到,而无需对摄像机设备进行全面重新配置。
我遇到的主要问题是影响几个应用程序的带宽和拥塞,但设置确实按原样工作。
您不需要使用摄像头吗?也许来自内部 PC 客户端?我发现安装这些解决方案的人也往往需要外部访问。这是解决此问题的充分理由。但同样,就我而言,设置足够稳定,我没有急于撤消糟糕的工作......
如果您不对安全设备上运行的软件负责,我会继续隔离网络,除非您 100% 确定他们不需要(即使将来)访问,否则始终存在风险未使用最新固件更新的网络摄像机。不乏漏洞,现在做一些工作意味着这类问题不会那么令人担忧。