Já precisou fazer algum projeto de CFTV IP para um cliente que quer instalar câmeras IPs em um ambiente corporativo onde já existe uma rede? Se esse é seu caso você pode utilizar o conceito de VLAN para separar o tráfego de ambas as aplicações, é algo simples e prático.
Ao final desse artigo você terá adquirido conhecimento sobre VLANs e como fazer a configuração em um switch Cisco e Netgear.
A configuração de VLAN para CFTV é muito importante para proteger as câmeras IP contra acesso não autorizado e também para separar o sistema de câmera de segurança de outros computadores e dispositivos conectados à rede IP.
Se você tiver switches de rede da camada 2 como Cisco, Netgear, HP, Dell, Dlink e outros, eles podem ser facilmente configurados para serem usados em seu sistema de CFTV.
Neste artigo, discutirei a importância das VLANs para CFTV, como a tecnologia funciona e como configurá-la corretamente no switch.
VLAN significa Virtual Local Area Network e é freqüentemente usada em switches de rede para criar grupos virtuais para permitir o controle de tráfego de broadcast e também para aumentar o nível de acesso de segurança, evitando assim o acesso não autorizado.
Em um switch, é possível criar VLANs e associá-las a portas específicas. Dispositivos como computadores e câmeras IP conectados ao mesmo grupo de portas poderão se comunicar na rede.
Segregação de tráfego de VLAN
Em um cenário com computadores e câmeras de CFTV conectados ao mesmo switch, é possível criar VLANs para separar o tráfego de broadcast para evitar que diminua a performance geral da rede.
O diagrama abaixo mostra um exemplo de um switch de rede que possui câmeras de CFTV IP e computadores conectados às suas portas. Observe que as VLANs são criadas e representadas por nomes , faixa de endereços IP diferentes e cores representativas.
No ambiente de TI, os administradores de rede costumam nomear VLANs usando números e cores. Na imagem acima você pode ver VLAN 10 e VLAN 20 usando as cores azul e verde, respectivamente, para representar diferentes grupos.
Segurança na VLAN
A VLAN pode aumentar a segurança na rede, atribuindo portas de switch específicas a grupos. Veja a imagem abaixo, onde o laptop de um homem está conectado à porta 1 na VLAN Azul e se comunica com o PC2 na porta 3.
Um intruso remove a câmera IP do seu cabo na porta 4 para conectar seu laptop e hackear a rede. Ele se conecta à VLAN verde para tentar hackear a câmera IP, mas ele não pode ter acesso ao resto da rede.
O mesmo princípio se aplica ao trabalhador da empresa, ele não pode ter acesso à câmera de segurança porque está conectado a uma VLAN diferente, dessa forma ele não tem acesso às câmeras de segurança.
Como funciona as TAGs das VLANs
Para poder controlar o tráfego na rede, um switch usa um TAG, que é apenas uma maneira de marcar os frames que entram ou saem de cada um das portas e dessa forma saber a que VLAN pertencem.
Os frames que entram na porta 1 ou 3 do switch são marcados como parte da VLAN 10 e os frames que entram na porta 2 ou 4 são marcados como parte da VLAN 20.
As TAGs podem ser diferentes dependendo da marca do switch, no entanto, existe um padrão universal de TAG chamado 802.1Q que é usado pela maioria dos fabricantes de switches.
Veja a foto abaixo. Quando os frames vêm da câmera IP para o switch, eles são marcados. Essas tags são removidas antes de sair do switch.
Veja abaixo os campos de acordo com o padrão universal 802.1Q.
SOURCE: Origem do pacote
DESTINATION: Destino do pacote
TYPE & LEN: Tipo e tamanho
DATA: Os dados do pacote
FRAME CHECK: Verificação de frame
Veja a ilustração da TAG associada ao frame
Comunicação entre switches
Ao conectar dois switches, é necessário usar uma porta especial chamada "Trunk Port" ou "Tagged Port", que permitirá a passagem do tráfego de todas as VLANs. Portanto, os frames com as tags 802.1Q passarão por essa porta.
Alguns fabricantes têm uma pequena diferença na nomenclatura das portas de VLAN. Na documentação dos switches Cisco, o termo "Trunk Port" é usado para essas portas especiais. Outros fabricantes, como Netgear, HP e Dell, usam o termo "Tagged Port", mas, em qualquer caso, todos usam TAGs 802.1Q.
As câmeras de segurança IP e os computadores podem enviar tráfego do primeiro para o segundo switch e ainda manter a transmissão e a segurança da rede sob controle.
O primeiro switch pode marcar os frames que vêm da câmera de segurança e movê-los através da porta trunk (tagged ports) para o segundo switch que irá reconhecer essas marcações (TAGs).
Tipo de switches que permitem uso de VLAN
Para a configuração de VLAN é necessário usar os switches gerenciáveis da camada 2 (também conhecidos como layer 2).
Cada fabricante tem uma maneira diferente de criar e gerenciar VLANs usando CLI (interface de linha de comando) ou Interface Web. Mas em qualquer caso, a configuração é bem parecida e é muito fácil criar e configurar VLANs.
Exemplo de configuração de VLAN para CFTV
Vamos dar uma olhada em um sistema de câmera de CFTV com 4 desktops que estão conectadas à VLAN 10 e 3 câmeras IPs e 1 NVR que estão conectadas à VLAN 20.
Neste pequeno projeto de CFTV, a VLAN separa o tráfego da rede de transmissão corporativa do tráfego da rede de transmissão da câmera IP. Veja o diagrama.
Nesta configuração de VLAN para CFTV, os usuários de desktop não poderão ter acesso às câmeras IP ou ao NVR. Então o seu sistema de segurança está melhor protegido contra tentativa de invasão.
Como um exemplo rápido, vamos ver uma configuração de VLAN em um switch Cisco de 8 portas. O modelo é o Catalyst 2960 PD que será configurado usando o CLI (Interface de linha de comando):
Adaptador de cabo USB para serial
O cabo serial é um cabo especial usado para os switches Cisco e o adaptador USB para serial é um TrendNet TU-S9. Você pode encontrá-los em lojas como a Amazon do Brasil.
A porta do console no lado esquerdo do switch será usada para conectar um cabo serial de um laptop. Uma CLI (Interface de linha de comando) será usada para criar e configurar as VLANs
Um software para comandos via CLI
Após a conexão do adaptador de interface USB para Serial, você precisa configurar o software que será usado para o comando da CLI. Vou usar um software grátis chamado putty. Você pode baixá-lo em https://www.putty.org
Configuração da porta serial do Windows
A configuração do software é bastante simples, você só precisa verificar qual porta o Windows está usando para o adaptador USB, basta abrir o Gerenciador de Dispositivos do Windows para verificar a porta COM & LPT. Veja a foto abaixo.
Configuração do Putty
A configuração da porta serial do Putty deve corresponder aos dados no Windows, para este caso eles são COM5, Velocidade 9600, Bits de dados 8, Bits de parada 1 e Paridade Nenhum.
Se a configuração estiver correta após clicar em "open" você verá o CLI
Criar VLAN usando a CLI
Criar VLANs usando uma CLI é muito simples. Em nosso exemplo, configurarei um switch Cisco Catalyst 2960 de 8 portas. Veja os passos
1. Criar a VLAN 10
Abra a CLI e execute uma sequência de comandos simples, crie a VLAN 10 e atribua a ela o nome "computers".
Switch#
Switch#conf t
Switch(config)#vlan 10
Switch(config-vlan)#name computers
2. Assigne as portas para a VLAN 10
Depois de criar a VLAN é hora de assignar as portas. Entre no modo de configuração (conf t), selecione o intervalo de portas de 1 a 4 e assigne-as à VLAN 10.
Switch#
Switch#config t
Switch(config)#interface range fa0/1 - 4
Switch(config-if-range)#switchport access vlan 10
3. Crie a VLAN 20
Execute a mesma sequência de comandos simples. Basta entrar no modo de configuração, criar a VLAN 20 e fornecer o nome "cameras".
Switch#
Switch#conf t
Switch(config)#vlan 20
Switch(config-vlan)#name cameras
4. Assigne as portas à VLAN 20
Depois que a VLAN foi criada, certifique-se de que o switch esteja no modo de configuração (conf t), selecione o intervalo de portas de 5 a 8 e assigne-as à VLAN 20.
Switch#
Switch#config t
Switch(config)#interface range fa0/5 - 8
Switch(config-if-range)#switchport access vlan 20
5. Verifique se as VLANs foram criadas corretamente
Agora é hora de verificar se as VLANs foram criadas e as portas foram atribuídas. Saia do modo de configuração e use o comando abaixo:
Switch#(config)#exit
Switch#show vlan
Veja a imagem abaixo. É possível ver que a VLAN 1o e 20 foram criadas com seus nomes corretos e as portas foram atribuídas.
6. Salve a configuração
Não esqueça de salvar a configuração que acabou de fazer. Veja o comando abaixo
Switch#copy running-config startup-config
Criando VLANs em um switch da Netgear
A maioria dos switches, como o Netgear Prosafe Smart, permite configurar VLANs usando uma interface da Web, portanto, o processo é bastante simples e rápido.
De volta ao exemplo anterior, vamos criar a VLAN 10 e a VLAN 20 para computadores e câmeras de segurança, respectivamente.
Usando a interface do navegador para criar VLANs
Criar as VLANs para suas câmeras de CFTV é muito simples, basta conectar um cabo UTP do laptop a uma das portas do switch, abrir um navegador web e seguir os passos abaixo:
1. Login usando suas credenciais
Verifique o manual do seu switch para descobrir qual é o endereço IP padrão e a senha de login ou use o que você acabou de criar para o seu projeto de câmera de CFTV.
2. Abra a aba para configurar a VLAN
Abra a aba "Switching"e clique em "VLAN" e observe que algumas VLANs já estão criadas, portanto, não use o mesmo ID de VLAN.
3. Crie a VLAN computers
Na guia de configuração basta criar o ID 10 e dar um nome à VLAN, no nosso caso que será "Computers"
5. Definir as "Untagged ports"
As portas conectadas a câmeras IP e computadores são chamadas de portas não marcadas (untagged), o que significa que esses dispositivos não estão trazendo frames marcados para as portas, portanto, é necessário abrir a aba de "Membership" e marcar as portas com um "U"
Em nosso exemplo, as portas de 1 a 4 devem ter o "U". Veja a imagem
6. Repita o processo para a VLAN 20
Crie a VLAN, nomeie-a e configure as portas "untagged" de 5 a 8
VLANs para grandes projetos de CFTV
Para projetos de CFTV maiores, é apenas uma questão de escalonar a rede, criar VLANs e configurar as portas de tronco (ou portas marcadas) entre os switches.
Basta criar as VLANs em ambos os switches, usar um cabo UTP para conectá-los e configurá-los como portas de tronco ou marcadas.
Neste exemplo, as portas que pertencem às VLAN azul não podem transmitir ou ter acesso às câmeras IP ou NVRs, portanto, a rede de vigilância está protegida contra hackers ou vírus.
Configuração de trunk em um switch da Cisco
Se você estiver usando switches da Cisco em ambas as extremidades da rede, basta conectar os cabos à porta, a porta 10 por exemplo, verificar se o switch está usando o padrão 802.1Q que discutimos anteriormente e converter a porta em uma porta tronco (trunk).
A configuração é simples, basta acessar a porta que você deseja usar como tronco e digitar os comandos abaixo:
Switch#config t
Switch#interface fa0/10
Switch(config)#switchport trunk encapsulation dot1q
Switch(config-if-range)#switchport mode trunk
Configurando "tags" no switch Netgear
Desde que os switches estejam conectados e as VLANs criadas nos dois lados da rede, você só precisará configurar as portas "tagged".
Vá para a aba "VLAN Membership" e marque a porta que você deseja conectar ao próximo switch com um "T" que significa "Tagged". No nosso exemplo essa porta é a número 10.
Repita o processo para a VLAN 20 com a porta "tagged"
Conclusão
VLAN pode ser usada para proteger e melhorar um sistema de CFTV, é apenas uma questão de instalação e configuração de switch. Não importa a marca do switch, contanto que você tenha um dispositivo de camada 2 gerenciável, você pode criar as VLANs
Se você precisar usar uma configuração mais avançada, como dar acesso a mais de um computador para diferentes VLANs, é necessário usar um roteador ou um switch de camada 3 para o roteamento entre VLANs. Mas este é um tópico para outro artigo.
Por favor clique nos botões abaixo e compartilhe esse artigo