视频专网,应用平台看很多摄像头 如何做到呢?🤔
1 是禁止连互联网,搜索看可以在三层交换机 acl 禁止外联路由,但是,比如玩笔记本电脑,有线连视频专网,无线连互联网,你怎么能禁止
2 是非法接入。交换机对摄像头划分了 vlan ,但是,用户终端电脑 ip 很乱,可以通过 ip mac 绑定来接入吗?🤔
那摄像头 ipmac 是不是也要绑定,太好性能了,不然我电脑配一个摄像头的 ip 不就绕过了?
1 是禁止连互联网,搜索看可以在三层交换机 acl 禁止外联路由,但是,比如玩笔记本电脑,有线连视频专网,无线连互联网,你怎么能禁止
2 是非法接入。交换机对摄像头划分了 vlan ,但是,用户终端电脑 ip 很乱,可以通过 ip mac 绑定来接入吗?🤔
那摄像头 ipmac 是不是也要绑定,太好性能了,不然我电脑配一个摄像头的 ip 不就绕过了?
 |
1
pu798OO 21 天前
根据你描述的,应该是要按流量的协议来配置访问控制列表,阻断对应的视频的流量。如果是监控摄像头那种,那更好辩直接配 VLAN ,监控摄像头大厂一般都会有配备专门的监控交换机方便管理。
|
 |
2
thereone 21 天前
视频专网一般不会允许访问互联网,如果是要单独让互联网上的用户访问通过网闸或者防火墙进行隔离,通过中间设备上到视频平台在由平台进行代理转发。不会放开能直接访问的。
1 、针对互联网和视频专网在同一台电脑上面可以做终端管控,内网认证之后才能进行访问视频专网,检查到终端连接互联网后直接不允许通过认证,你就必须断开互联网了。 2 、非法接入,做专网内非法接入动态扫描由专用设备来做,一旦非法接入进去由专用设备进行平台上报,记录 mac 地址和接入端口就知道是哪个位置非法接入的。管控方法很多的只看愿不愿意做这个。 |
 |
3
Autonomous 21 天前
IP 和 MAC 地址绑定,划分 VLAN ,防火墙对视频专网阻止 Internet_OUT ,各端口 MAC 地址限制,阻止流氓 DHCP 服务器,基本上就搞定了家用网络
如果是企业网络就专业点上 RADIUS 认证和域控 |
 |
4
hhxsky OP @thereone 1 是这个意思吗?
网络接入层强化(非常有效):IEEE 802.1X 认证:在视频专网的接入交换机上部署 802.1X 认证。这样,只有通过身份验证、符合安全策略(如未连接其他网络)的设备才能接入视频专网 |
 |
5
luoyide2010 21 天前
看你描述,感觉你是这方面小白,有些地方理解不对,导致出发点是有问题的
1.acl 设置成视频专网网段只能访问自己网段就可以了,其他网段设备能不能上网没关系的(前提 vlan 设置好) 2.不同 vlan 是隔离的,你普通电脑 IP 设置成摄像头 IP 也访问不了 现实中用户只能访问视频平台,摄像头只能被视频平台访问,主要做好视频平台的安全就可以了 |
|
6
thereone 21 天前
@hhxsky 是类似 802.1x 的不过更强,具体看山石网科的东西吧介绍的很全面。一整套内网管控的东西。具体看产品与服务吧有很多的东西可以做的。
https://www.hillstonenet.com.cn/product_service/network-infrastructure-security/clouddis/ 还有访问视频专网不是你能直接接入视频专网交换机,而是内网路由互访如果需要还要做管控的。 |
 |
7
ericww 21 天前
所有接入交换机做认证,摄像头大概率不支持 802.1x ,只能用 MAB 吧。
|
|
8
hhxsky OP @luoyide2010 谢谢 确实是小白,你这样说我就理解了为什么下面有的电脑设置成摄像头 ip 段,能正常通过平台客户端预览摄像头,但是却不能直接登录摄像头 ip ,
|
 |
9
lucifer9 21 天前
技术手段是有限的,上行政手段吧
|
 |
10
avrillavigne 21 天前 via Android
实际情况是 录像机有两个网口,一个做管理口(与摄像头不同网断),一个做业务(跟摄像头通信)。
一般情况,摄像头专门接入在一台 poe 交换机,交换机分配 IP 给摄像头。 录像机的业务口接入到 poe 交换机。 只要别的终端不接入到 poe 交换机,就不能访问到摄像头。 |
 |
11
shum02 21 天前
视频监控摄像头划 vlan 不允许访问外网,监控 NVR 稍微好一点的都带有双网口,另一个网口接入外网就好了。
|
 |
12
objectgiga 21 天前
12 都是使用 802.1x 认证,但是配合第三方的准入设备+客户端,主流 NAC 都能做防双网,配个认证了就只允许单网卡就行。但是这个坑我不建议接,交给专业厂商做吧
|
 |
13
feaul 21 天前
针对 1 问题,监控网本质上只有交换机没有路由器,也就无法访问互联网,你要是一个电脑网口接监控,无线连接互联网,这个没法禁止,可以结合问题 2 阻止未授权的设备接入,但是这样也只有你的电脑联网。
针对 2 问题,非法接入的问题,交换机可以开启禁止学习 arp 信息,只能手动学习 arp ,就是 ip 和 mac 地址手动绑定了,才能接入到监控网内,不然就和楼上说的一样上网络管控设备。管控设备建议选 802.1x 的端口级管控。 |
 |
14
aero99 21 天前
某些专业设备会判断网络是否连接了互联网,有则报警或文字闪烁提示,极端会中断服务
|
 |
15
ddoyou 21 天前 via Android
这是网络准入产品的核心能力,哪能随便告诉你🤫
|
 |
16
zmcity 15 天前
一般是 vlan+堡垒机,堡垒机的远程访问通过防火墙暴露一个端口。其他的访问直接干掉。
|
 |
17
LOVOQ 6 天前
直接 iptables 仅允许工作 ipinbound
|
Select Language