13
Routing separates LAN im Kunden-LAN
Ich bin Errichter für IP-Videoüberwachung und hatte bisher immer nur Projekte, bei dem die IT des Auftraggebers das Netzwerk administriert bzw. bereitgestellt hat.
Aktuell habe ich ein Projekt in einem Kraftwerk bei dem ich Videoüberwachung inkl. Netzwerktechnik liefern und konfigurieren soll. Ist sicher nichts Großes, jedoch komme ich bei der Planung/Auswahl der benötigten Hardware an meine Grenzen.
Die Kameras und der Server sollen laut Kunden in einem eigens gelieferten LAN betrieben werden.
Anforderungen an das LAN:
- DHCP Dienst
- 12 Kameras werden via LWL angebunden (also Switch mit SFP)
- Die restlichen Kameras werden via PoE versorgt (also PoE Switch)
Das ist erstmal alles gar kein Problem, schwierig ist für mich nur die Vorstellung wie ich mein gebautes LAN dann in das Kundenetzwerk übergebe. Der Kunde wird mir sicher ein Uplink mit einem VLAN zur Verfügung stellen über den er mein Netz anbindet.
Brauche ich dafür dann aber mehr als nur die Switche ? Kann ich DHCP über einen Switch realisieren ?
Wie sieht der Netzaufbau aus: Router - Switches oder brauche ich keinen extra Router.
Perspektivisch soll der Kunde "mein" Video-LAN dann auch über sein Netz ins WWW routen, damit sich die Systeme Updates ziehen können.
Am liebsten würde ich auf Produkte von Ubiquiti zurückgreifen, weil ich damit schon ein wenig Erfahrungen habe. Jedoch habe ich auch aus anderen Ecken gehört, dass die Technik wohl auch fehleranfällig ist.
Habt ihr einen Tipp für mich wie ich das Netzwerk aufbauen muss und vielleicht sogar einen Vorschlag welche Geräte dafür prädestiniert wären.
Danke vorab
Aktuell habe ich ein Projekt in einem Kraftwerk bei dem ich Videoüberwachung inkl. Netzwerktechnik liefern und konfigurieren soll. Ist sicher nichts Großes, jedoch komme ich bei der Planung/Auswahl der benötigten Hardware an meine Grenzen.
Die Kameras und der Server sollen laut Kunden in einem eigens gelieferten LAN betrieben werden.
Anforderungen an das LAN:
- DHCP Dienst
- 12 Kameras werden via LWL angebunden (also Switch mit SFP)
- Die restlichen Kameras werden via PoE versorgt (also PoE Switch)
Das ist erstmal alles gar kein Problem, schwierig ist für mich nur die Vorstellung wie ich mein gebautes LAN dann in das Kundenetzwerk übergebe. Der Kunde wird mir sicher ein Uplink mit einem VLAN zur Verfügung stellen über den er mein Netz anbindet.
Brauche ich dafür dann aber mehr als nur die Switche ? Kann ich DHCP über einen Switch realisieren ?
Wie sieht der Netzaufbau aus: Router - Switches oder brauche ich keinen extra Router.
Perspektivisch soll der Kunde "mein" Video-LAN dann auch über sein Netz ins WWW routen, damit sich die Systeme Updates ziehen können.
Am liebsten würde ich auf Produkte von Ubiquiti zurückgreifen, weil ich damit schon ein wenig Erfahrungen habe. Jedoch habe ich auch aus anderen Ecken gehört, dass die Technik wohl auch fehleranfällig ist.
Habt ihr einen Tipp für mich wie ich das Netzwerk aufbauen muss und vielleicht sogar einen Vorschlag welche Geräte dafür prädestiniert wären.
Danke vorab
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 13660474831
Url: https://administrator.de/contentid/13660474831
Ausgedruckt am: 25.11.2024 um 09:11 Uhr
13 Kommentare
Neuester Kommentar
Der Kunde wird mir sicher ein Uplink mit einem VLAN zur Verfügung stellen über den er mein Netz anbindet.
Davon ist auszugehen. Kann aber auch ein Port auf seiner Firewall, Router oder L3 Switch sein, da gibt es viele Möglichkeiten. Die ToDos sind aber immer dieselben.Brauche ich dafür dann aber mehr als nur die Switche ?
Das kommt darauf an....Wenn du ein einfaches Layer 2 IP Netz hast das von der Adressierung nicht mit den IP Netzen deines Kunden kollidiert (stimmt man ja VORHER ab!) dann eher nicht.
Das reicht dann wenn der Kunde dein IP Netz auf eins seiner vorhandenen Firewall, Router oder L3 Switch Komponenten anschliesst und fertig. Das wird er als Energieversorger dir auch strikt vorgeben.
Kann ich DHCP über einen Switch realisieren ?
In so einem Netz wie bei deinem Kunden existiert mit Sicherheit ein bestehender, zentraler DHCP Server. Auf den L3 Routing Komponenten (Firewall, L3 Switch etc.) die die lokalen IP Netze des Kunden routen konfigurierst du dann einfach ein DHCP Relay für dein Netzwerk. Das stellt sicher das deren lokaler DHCP Server auch dein Netz mit vom Kunden gewollten DHCP IPs bedient. Das ist simpler Standard in solchen Designs mit segmentierten IP Netzen, VLANs etc.Wie sieht der Netzaufbau aus:
Da hilft dir sicher ein hiesiges Routing Grundlagentutorial?! Lesen und verstehen... 
Was die HW anbetrifft gibt dir ein Kraftwerksbetreiber sowas immer strikt vor. Es ist auch bei einem Energieversorger ganz sicher nicht davon auszugehen das die fremde Billigsthardware wie UBQT usw. mit (Chinesen) Cloud oder Controller Zwang usw. dort betreiben oder betreiben wollen.
Das wäre für Energieversorger die kritische Infrastruktur betreiben höchst ungewöhnlich. Ganz besonders im Bereich der Security und Video Überwachung wo es nochmal besonders auf Infrastruktur Redundanz und Zuverlässigkeit ankommt in diesem Umfeld.
1
Hi,
die Frage wäre auch, was für einen Recorder nutzt du? Teilweise werden die Cams direkt an den Recorder per LAN angebunden, der hat dann sein eigenes Netz. Der Recorder selbst hat dann einen separaten Port den man für das Kunden-LAN nutzen könnte.
Wir haben z.B. Dahua Kameras und Recorder, da geht das. Du brauchst nur eine IP im Kunden-LAN und hast Recorderseitig ein eigenes Netz. Die Kameras werden über den Recorder gesteuert und eingestellt.´
Denke dass Hikvision oder andere große Hersteller so etwas auch haben.
Gruß
die Frage wäre auch, was für einen Recorder nutzt du? Teilweise werden die Cams direkt an den Recorder per LAN angebunden, der hat dann sein eigenes Netz. Der Recorder selbst hat dann einen separaten Port den man für das Kunden-LAN nutzen könnte.
Wir haben z.B. Dahua Kameras und Recorder, da geht das. Du brauchst nur eine IP im Kunden-LAN und hast Recorderseitig ein eigenes Netz. Die Kameras werden über den Recorder gesteuert und eingestellt.´
Denke dass Hikvision oder andere große Hersteller so etwas auch haben.
Gruß
Es kann sein, dass dort erhöhte Anforderungen an z. b. Sicherheit und Monitoring gibt.
Ich würde ohne schriftliche Klarstellung diesbezüglich den Auftrag nicht beginnen!
Die Unifi Geräte sind grundsätzlich in Ordnung und sehr oft auch bei Stadtwerken usw zu finden. Das Problem was ich sehe ist, dass man per Default die in-Band-Port nicht abstellen kann und es keine Out of Band Ports gibt, um das Thema konzeptionell zu lösen. Daher würde ich ich diesen Anspekt und das SDN Konzept Unifis mit seinen Eckdaten dem Kunden offen benennen und um Anweisung bitten.
Bezüglich Zugang zum Internet muss der Kunde ja eine fertige Infrastruktur mit Konzept usw haben. Da solltest Du dir ebenfalls eine Anweisung holen.
Ansonsten nciht vergessen ist ab Mai der Sektor verschärft und wird sehr schnell weitere Verschärfungen erfahren. https://www.activemind.de/magazin/it-sicherheitsgesetz-kritis/
Du läufst also Gefahr, dass das Projekt keinen ROI hat, weil es in ein paar Monaten rausfliegt.
Ich würde ohne schriftliche Klarstellung diesbezüglich den Auftrag nicht beginnen!
Die Unifi Geräte sind grundsätzlich in Ordnung und sehr oft auch bei Stadtwerken usw zu finden. Das Problem was ich sehe ist, dass man per Default die in-Band-Port nicht abstellen kann und es keine Out of Band Ports gibt, um das Thema konzeptionell zu lösen. Daher würde ich ich diesen Anspekt und das SDN Konzept Unifis mit seinen Eckdaten dem Kunden offen benennen und um Anweisung bitten.
Bezüglich Zugang zum Internet muss der Kunde ja eine fertige Infrastruktur mit Konzept usw haben. Da solltest Du dir ebenfalls eine Anweisung holen.
Ansonsten nciht vergessen ist ab Mai der Sektor verschärft und wird sehr schnell weitere Verschärfungen erfahren. https://www.activemind.de/magazin/it-sicherheitsgesetz-kritis/
Du läufst also Gefahr, dass das Projekt keinen ROI hat, weil es in ein paar Monaten rausfliegt.
Hikvison ist in dem Bereich offenkundig unzulässig.
Wenn ich das richtig vom AG verstanden habe, geht es eher darum, dass keine Lücken in die KRITIS kommen. Deshalb soll das Netz ja quasi autark geplant werden. Demzufolge entfällt da die Möglichkeit eines DHCP Relay. Aber irgendwie muss er mir ja auch als Dienstleister einen VPN Wartungszugang bereitstellen. Daher würde das Netz dann wohl eher an der Firewall terminieren müssen und DHCP müsste ich selbst machen.
Ich setze kein Rekorder ein, es kommen axis Produkte mit gekabelten Dell Server und WS zum Einsatz.
Zu was ratet ihr mir ? HP / Mikrotik oder doch Cisco ? Ich bräuchte aber eben auch etwas was ich einfacher via gui administrieren kann als via console.
Ich setze kein Rekorder ein, es kommen axis Produkte mit gekabelten Dell Server und WS zum Einsatz.
Zu was ratet ihr mir ? HP / Mikrotik oder doch Cisco ? Ich bräuchte aber eben auch etwas was ich einfacher via gui administrieren kann als via console.
Demzufolge entfällt da die Möglichkeit eines DHCP Relay.
Daraus folgt dann auch das es keinerlei Zugang aus dem Kundennetz geben kann, auch kein VPN (zumindestens nicht über Kundenkomponenten) und der Thread damit dann ziemlich obsolet ist! 
Ja, obsolet unter den Aspekt Routing im Kundennetz, aber nicht unter dem Aspekt wie konfektioniere ich die Hardware richtig 
Na ja...mal ehrlich, dafür muss man keinen Thread in einem Adminstrator Forum öffnen...
Wenn du beim Kunden punkten willst als Profi nimmst du einfache Cisco CBS220er. Die haben auch ein GUI für Klicki Bunti Knechte und machen Eindruck.
- Switch kaufen
- Komponenten ranklemmen
- Fertisch
Wenn du beim Kunden punkten willst als Profi nimmst du einfache Cisco CBS220er. Die haben auch ein GUI für Klicki Bunti Knechte und machen Eindruck.
Ehrlich gesagt - warum nimmst du nen Auftrag an den du nicht wirklich erfüllen kannst?
Würdest du zB. bei mir mit irgendwelchem Ubiquiti ankommen würde ich dich direkt rauswerfen - nicht weil ich die Geräte nicht mag sondern weil bei uns zB. Cisco läuft. Entsprechend wäre DAS schon die erste Vorgabe damit es in die "Landschaft" passt.
Dann müsstest du dir mal vom Kunden ne Vorgabe geben lassen - was du genau konfigurieren sollst. Denn dein Netzwerk muss ja _irgendwie_ ins Kundennetz reinpassen. Sonst könntest du ja einfach für 10 Kamaras sagen ich nehm nen 10.0.0.0/8 netzwerk, fertig... Das es dann ggf. einige Routing-Probleme geben könnte liegt wohl auf der Hand...
Und keine Sorge, leider ist es nicht ungewöhnlich das Projekte so "übern Tisch geworfen werden" - und ich würde jetzt nicht sagen das es unbedingt eine gute Idee ist das dann anzunehmen da die eine Tendenz haben das du die nächsten 200 Jahre da bastelst weil ja also DIE Einstellung hätte ja klar sein müssen... Oder das du jetzt viel Kram kaufst und der da gar nicht zulässig ist aus den div. Gründen... (stell dir vor du kommst mit Unifi in nem Kraftwerk an - und richtest alles schön über die Cloud ein... Das Buch "Blackout" könnte dein bester Freund werden ;) )
Würdest du zB. bei mir mit irgendwelchem Ubiquiti ankommen würde ich dich direkt rauswerfen - nicht weil ich die Geräte nicht mag sondern weil bei uns zB. Cisco läuft. Entsprechend wäre DAS schon die erste Vorgabe damit es in die "Landschaft" passt.
Dann müsstest du dir mal vom Kunden ne Vorgabe geben lassen - was du genau konfigurieren sollst. Denn dein Netzwerk muss ja _irgendwie_ ins Kundennetz reinpassen. Sonst könntest du ja einfach für 10 Kamaras sagen ich nehm nen 10.0.0.0/8 netzwerk, fertig... Das es dann ggf. einige Routing-Probleme geben könnte liegt wohl auf der Hand...
Und keine Sorge, leider ist es nicht ungewöhnlich das Projekte so "übern Tisch geworfen werden" - und ich würde jetzt nicht sagen das es unbedingt eine gute Idee ist das dann anzunehmen da die eine Tendenz haben das du die nächsten 200 Jahre da bastelst weil ja also DIE Einstellung hätte ja klar sein müssen... Oder das du jetzt viel Kram kaufst und der da gar nicht zulässig ist aus den div. Gründen... (stell dir vor du kommst mit Unifi in nem Kraftwerk an - und richtest alles schön über die Cloud ein... Das Buch "Blackout" könnte dein bester Freund werden ;) )
1Zitat von @Volt-Tec:
Wenn ich das richtig vom AG verstanden habe, geht es eher darum, dass keine Lücken in die KRITIS kommen. Deshalb soll das Netz ja quasi autark geplant werden. Demzufolge entfällt da die Möglichkeit eines DHCP Relay. Aber irgendwie muss er mir ja auch als Dienstleister einen VPN Wartungszugang bereitstellen. Daher würde das Netz dann wohl eher an der Firewall terminieren müssen und DHCP müsste ich selbst machen.
Ich setze kein Rekorder ein, es kommen axis Produkte mit gekabelten Dell Server und WS zum Einsatz.
Zu was ratet ihr mir ? HP / Mikrotik oder doch Cisco ? Ich bräuchte aber eben auch etwas was ich einfacher via gui administrieren kann als via console.
Wenn ich das richtig vom AG verstanden habe, geht es eher darum, dass keine Lücken in die KRITIS kommen. Deshalb soll das Netz ja quasi autark geplant werden. Demzufolge entfällt da die Möglichkeit eines DHCP Relay. Aber irgendwie muss er mir ja auch als Dienstleister einen VPN Wartungszugang bereitstellen. Daher würde das Netz dann wohl eher an der Firewall terminieren müssen und DHCP müsste ich selbst machen.
Ich setze kein Rekorder ein, es kommen axis Produkte mit gekabelten Dell Server und WS zum Einsatz.
Zu was ratet ihr mir ? HP / Mikrotik oder doch Cisco ? Ich bräuchte aber eben auch etwas was ich einfacher via gui administrieren kann als via console.
Ein LTE-5G-Router ist in solchen Umgebungen oft als WAN Gateway, auch für einkommendes VPN vorzufinden.
Natürlich kann man das auch über die feste Leitung machen. Geht alles. Dazu musst Du aber mit dem Kunden explizit kommunizieren.
Ich würde entweder dumme Switches nehmen oder Bessere mit Out of Band Port und halbwegs brauchbaren Softwarekonzept.
Uplink, wenn Gewünscht in die Zuständigkeit des Kunden übergeben oder Mobilfunk-Router implementieren.
Und nicht vergessen, das viele Chinesen sich wohl auf Embargolisten wieder finden werden, wenn es politisch so weiter geht. Obwohl das auch technisch eine gute Sache wäre.
https://www.nzz.ch/wirtschaft/die-amerikanische-angst-vor-den-ueberwachu ...
Habe auch oft ähnliche Projekte, allerdings ohne Kritis - Anforderung. Nehme für die Kameras meist Layer2 PoE - Smart-Switche. Dann sieht man wenigstens ein bisschen was, was die Ports angeht. Wenn möglich vergebe ich immer feste IPs, dann benötigt man auch keinen DHCP-Server. Der Videoserver hat dann mindestens 2 Netzwerkschnittstelen, eine für die Kameraseite, die andere für das Kundennetz. Vorgaben für das Kundennetz kommen fast immer von der IT.
Gruß Thomas
Gruß Thomas
2
Hallo,
Nein, muß er nicht. In so einer Umgebung gibt es kein Internet und somit kein VPN nach draußen. Ich habe schon öfter Einsätze in einem AKW durchgeführt und dort gab es nur einen (1!) PC, der Internetzugang hatte, und das auch nicht direkt, sondern über eine gesicherte Terminalserver-Verbindung. Das heißt, man konnte auf den PC auch nichts herunterladen usw. Eine Verbindung zum weiteren LAN im Kraftwerk gab es nicht. Alles war physisch getrennt.
Für jede Änderung, Updates, etc. mußten wir immer hinfahren, weil jeglicher Zugriff von außen nicht erlaubt war.
My 2c,
ipzipzap
Zitat von @Volt-Tec:
Aber irgendwie muss er mir ja auch als Dienstleister einen VPN Wartungszugang bereitstellen.
Aber irgendwie muss er mir ja auch als Dienstleister einen VPN Wartungszugang bereitstellen.
Nein, muß er nicht. In so einer Umgebung gibt es kein Internet und somit kein VPN nach draußen. Ich habe schon öfter Einsätze in einem AKW durchgeführt und dort gab es nur einen (1!) PC, der Internetzugang hatte, und das auch nicht direkt, sondern über eine gesicherte Terminalserver-Verbindung. Das heißt, man konnte auf den PC auch nichts herunterladen usw. Eine Verbindung zum weiteren LAN im Kraftwerk gab es nicht. Alles war physisch getrennt.
Für jede Änderung, Updates, etc. mußten wir immer hinfahren, weil jeglicher Zugriff von außen nicht erlaubt war.
My 2c,
ipzipzap
1
Vielen Dank für eure Antworten, da waren teils sehr viel wertvolle Gedanken für mich dabei.
