La configuración de VLAN para CCTV es muy importante para proteger las cámaras IP contra el acceso no autorizado y también para separar el sistema de cámaras de seguridad de otras computadoras y dispositivos que están conectados a la red IP.
Si tiene switches de red de capa 2 como Cisco, Netgear, HP, Dell, Dlink y otros, se pueden configurar fácilmente para su sistema CCTV.

En este artículo, discutiré la importancia de las VLAN para CCTV, cómo funciona la tecnología y cómo configurarla correctamente para sus proyectos de CCTV.
Comencemos aprendiendo los fundamentos de la VLAN, comprendamos cómo se usa en los switches de red y aprendamos a configurar la VLAN para las cámaras de seguridad.
Qué son las VLANs
La VLAN es una tecnología utilizada para segmentar redes mediante la creación de grupos de broadcast virtuales en un switch.
VLAN significa Virtual Local Area Network y se utiliza con frecuencia en switches de red para crear grupos virtuales que permitan el control del tráfico de transmisión y también para aumentar el nivel de acceso de seguridad evitando así el acceso no autorizado.
En un switch es posible crear VLAN y asociarlas a puertos específicos. Dispositivos como computadoras y cámaras IP que están conectadas al mismo grupo de puertos podrán comunicarse en la red.
Segregación de tráfico VLAN
En un escenario con computadoras y cámaras de CCTV conectadas al mismo switch es posible crear VLAN para separar el broadcast.
El siguiente diagrama muestra un ejemplo de un switch de red que tiene cámaras IP y computadoras conectadas a sus puertos. Observe que las VLANs se crean y representan por diferentes nombres, rango de direcciones IP y colores.
En el entorno de IT, los administradores de red suelen nombrar las VLANs utilizando números y colores. En la imagen de arriba puede ver la VLAN 10 y la VLAN 20 usando el color azul y el verde respectivamente para representar diferentes grupos.
Seguridad de VLAN
La VLAN puede aumentar la seguridad en la red asignando puertos de conmutación específicos a grupos. Vea la siguiente imagen donde está conectada la computadora portátil de un hombre al puerto 1 en la VLAN azul y se comunica con la PC2 en el puerto 3.
Un intruso saca la cámara IP de su cable en el puerto 4 para conectar su computadora portátil y hackear la red. Se conecta a la VLAN verde para tratar de hackear la cámara de seguridad, pero no puede tener acceso al resto de la red.
El mismo principio se aplica al trabajador de la empresa, no puede tener acceso a la cámara de seguridad porque está conectado a una VLAN diferente.
Cómo funcionan los TAG de VLAN
Para poder controlar el tráfico, un switch usa un TAG que es solo una manera de marcar los frames que entran o salen de cada puerto,
Los frames que entran en el puerto del switch 1 o 3 están etiquetados como parte de la VLAN 10, y los frames que entran en el puerto 2 o 4 están etiquetados como parte de la VLAN 20.
El TAG puede ser diferente dependiendo de la marca del switch, sin embargo, existe un TAG estándar universal llamado 802.1Q que es utilizado por la mayoría de los fabricantes de switches.
Mire la imagen abajo. Cuando los frames vienen de la cámara IP al switch, se etiquetan de acuerdo con cada una de las VLANs. Esas etiquetas se eliminan antes de abandonar el switch.
Vea abajo los campos que hay en las etiquetas (TAGs) de acuerdo con el estándar universal 802.1Q.
ORIGEN: Origen del paquete
DESTINO: Destino del paquete
TIPO & TAMAÑO: Tipo y tamaño
DATOS: Los datos contenidos en el paquete
FRAME ACK: Verificación de frame
Vea la ilustración del TAG que está asociado con el frame
Comunicación entre switches
Al conectar dos switches, es necesario utilizar un puerto especial llamado "trunk" o "tagged port" que permitirá que pase el tráfico de todas las VLAN. Entonces los frames con los TAGS 802.1Q pasarán por este puerto del switch y va a llegar al puerto del próximo switch.
Algunos fabricantes tienen una nomenclatura de puertos VLAN levemente diferente. En la documentación de switches de Cisco, el término "Trunk Port" se usa para esos puertos especiales. Otros fabricantes, como Netgear, HP y Dell, utilizan el término "Tagged Port", pero en cualquier caso, todos utilizan etiquetas (TAGs) 802.1Q.

Ahora las cámaras de seguridad IP y las computadoras pueden enviar tráfico desde el primero al segundo switch y aún así mantener la transmisión y la seguridad bajo control.
El primer switch puede etiquetar los frames que provienen de la cámara de seguridad y moverlos a través del trunk (tagged port) al segundo switch.
Tipo de switches para uso de VLANs
Para la configuración de VLAN es necesario utilizar switches gestionables de capa 2.
Cada fabricante tiene una forma diferente de crear y gestionar VLAN mediante el uso de CLI (interfaz de línea de comando) o la Interfaz Web. Pero, en cualquier caso, la configuración es bastante similar y es muy fácil crear y configurar VLAN.
Ejemplo de configuración de VLAN para CCTV
Echemos un vistazo a un sistema de cámara CCTV con 4 computadoras que usan la VLAN 10 y 3 cámara mas un NVR que usan la VLAN 20
En este pequeño proyecto de CCTV, la VLAN separa el tráfico de brodacast de la red corporativa del tráfico de broadcast de la red que tiene las cámaras IP. Ver el diagrama abajo:
En esta configuración de VLAN para CCTV, los usuarios de computadoras no podrán tener acceso a las cámaras IP o NVR. Entonces su sistema de seguridad está protegido.
Como crear VLAN en un switch Cisco
Como un ejemplo rápido, veamos una configuración de VLAN en un switch Cisco de 8 puertos. El modelo es Catalyst 2960 PD que se configurará con la CLI:
Adaptador de USB a serial
El cable serial es uno especial que se usa para los switches Cisco y el adaptador USB a serial es un TrendNet TU-S9. Puede encontrarlos en tiendas como Amazon.
El puerto de la consola en el lado izquierdo del switch se utilizará para conectar un cable serial de una computadora portátil. Se usará una CLI para crear y configurar las VLAN

Laptop con cable y un adaptador serial
Un software para comandos CLI
Después de que se haya realizado la conexión del adaptador de interfaz USB a serial, debe configurar el software que se utilizará para el comando CLI. Usaré uno gratis llamado putty. Puede descargarlo en https://www.putty.org
Configuración del puerto serial de Windows
La configuración del software es bastante simple, solo necesita verificar qué puerto de comunicación está usando Windows para el adaptador USB. Simplemente abra el administrador de dispositivos de Windows para verificar el puerto COM y LPT. Ver la imagen abajo:

Configuración del puerto serial de windows
Configuración de putty
La configuración del puerto serial de putty debe coincidir con los datos en Windows, para este caso son COM5, Velocidad 9600, Bits de datos 8, Bits de parada 1 y Paridad Ninguna.

Configuración serial (Haga clic para ampliar)

Configuración serial (Haga clic para ampliar)
Si la configuración es correcta después de hacer clic en "Open", verá la CLI abajo esperando para que envie los comandos.

CLI Putty
Crear VLAN usando la CLI
Crear VLAN usando una CLI es muy simple. En nuestro ejemplo, configuraré un switch Cisco Catalyst 2960 de 8 puertos. Vea los pasos

1. Crear la VLAN 10
Abra la CLI y ejecute una secuencia de comandos simples para entrar en el modo de configuración, cree la VLAN 10 y asígnele el nombre de "computers".
Switch#
Switch#conf t
Switch(config)#vlan 10
Switch(config-vlan)#name computers
2. Asigne los puertos a la VLAN 10
Después de crear la VLAN, es hora de asignar los puertos. Entre en el modo de configuración (conf t) seleccione el rango de puertos de 1 a 4 y asígnelos a la VLAN 10.
Switch#
Switch#config t
Switch(config)#interface range fa0/1 - 4
Switch(config-if-range)#switchport access vlan 10
3. Crear la VLAN 20
Ejecute la misma secuencia de comandos simples. Ingrese al modo de configuración, cree la VLAN 20 y asígnele el nombre de "cameras".
Switch#
Switch#conf t
Switch(config)#vlan 20
Switch(config-vlan)#name cameras
4. Asigne los puertos a la VLAN 20
Se crea la VLAN, ahora solo asegúrese de que el switch esté en modo de configuración (conf t) seleccione el rango de puertos de 5 a 8 y asígnelo a la VLAN 20.
Switch#
Switch#config t
Switch(config)#interface range fa0/5 - 8
Switch(config-if-range)#switchport access vlan 20
5. Verificar si las VLAN fueron creadas correctamente
Ahora es el momento de verificar si las VLAN se crearon y se asignaron los puertos. Simplemente salga del modo de configuración y use el siguiente comando:
Switch#(config)#exit
Switch#show vlan
Vea la imagen a continuación con el resultado. Es posible ver que las VLAN 1o y 20 se crearon con sus nombres correctos y se asignaron los puertos del switch.

6. Guarde la configuración
No te olvides de guardar la configuración que acabas de hacer. Vea el siguiente comando
Switch#copy running-config startup-config
Crear VLAN en un switch Netgear
La mayoría de los switches, como Netgear Prosafe Smart, permiten configurar VLAN mediante una interfaz web, por lo que el proceso es bastante simple y rápido.
Volviendo al ejemplo anterior, creemos la VLAN 10 y la VLAN 20 para computadoras y cámaras de seguridad respectivamente.
Usar la interfaz del navegador para crear VLAN
Crear las VLAN para sus cámaras de CCTV es muy simple, solo necesita conectar un cable UTP desde la computadora portátil a uno de los puertos del switch, abrir un navegador web y seguir los pasos:
1. Inicie sesión usando sus credenciales
Consulte el manual de su switch para averiguar cuál es la dirección IP y la contraseña de inicio de sesión predeterminadas, o use la que acaba de crear para su proyecto de cámara de CCTV.

2. Abre la Pestaña para configurar la VLAN
Abra la Pestaña para hacer los cambios y haga clic en "VLAN" y tenga en cuenta que algunas VLAN ya están creadas, por lo tanto, no use el mismo ID de VLAN para su proyecto.

3. Crea la VLAN para computadoras
En la pestaña de configuración simplemente cree la ID 10 y déle un nombre a la VLAN, en nuestro caso, que será "Computers"

5. Configure los puertos sin TAGs
Los puertos que están conectados a las cámaras IP y computadoras se llaman puertos untagged, lo que significa que esos dispositivos no están llevando frames etiquetados a los puertos, por lo que es necesario abrir la pestaña de Membership y marcar los puertos con una "U".
En nuestro ejemplo, los puertos del 1 al 4 deben tener la "U". Vea la imagen abajo:

6. Repita el proceso para la VLAN 20
Cree la VLAN, nómbrela y configure los puertos sin etiquetar de 5 a 8


Proyecto de CCTV más grande con VLAN
Para proyectos de CCTV más grandes, es solo cuestión de escalar la red, crear VLAN y configurar los puertos trunk (o tagged ports) entre los switches.
Simplemente cree las VLAN en ambos switches, use un cable UTP para conectarlas y configure esos puertos como puertos trunk o etiquetados. Ver el diagrama
En este ejemplo, las computadoras azules no pueden transmitir ni tener acceso a las cámaras IP ni a los NVRs, por lo que la red de vigilancia está a salvo de hackers o virus.
Configurar un enlace Cisco Switch
Si está utilizando switches Cisco en ambos extremos de la red, simplemente conecte los cables al puerto, digamos el puerto 10, por ejemplo, asegúrese de que el switch esté utilizando el estándar 802.1Q que discutimos anteriormente y convierta el puerto en un puerto trunk.
La configuración es simple, solo ingrese al puerto que desea usar como trunk y escriba los comandos a continuación:
Switch#config t
Switch#interface fa0/10
Switch(config)#switchport trunk encapsulation dot1q
Switch(config-if-range)#switchport mode trunk
Tagged ports on Netgear Switch
Mientras los switches estén conectados y las VLAN se creen en ambos lados de la red, solo necesita configurar los tagged ports.
Vaya a la pestaña de VLAN Membership y marque el puerto que desea conectar al siguiente switch con una "T" que significa Tagged (etiquetado). En nuestro ejemplo es el puerto 10.

Repita el proceso para la VLAN 20 marcando el mismo puerto

Conclusión
La VLAN se puede usar para asegurar y mejorar un sistema de CCTV, solo se trata de la instalación y configuración del switch. No importa la marca del switch, siempre y cuando tenga un dispositivo de capa 2 manejable, puede crear las VLANs.
Si necesita utilizar una configuración más avanzada, como dar acceso a más de una computadora a diferentes VLANS, es necesario usar un enrutador o un switch de capa 3 para el enrutamiento Inter-vlan. Pero este es un tema para otro artículo.
Por favor, comparta el contenido haciendo clic en los botones:
Para aprender más sobre cámaras de seguridad
Si desea convertirse en un instalador o diseñador de CCTV profesional, eche un vistazo al material disponible en el blog. Simplemente haga clic en los enlaces a continuación:
Por favor comparte esta información con tus amigos ...
Claudemir Martins es un ex ingeniero de Samsung con más de 17 años de experiencia en la industria de la vigilancia. Ha estado viajando por 17 países diferentes para enseñar a las personas a diseñar e instalar sistemas de CCTV.
Hola buenos dias te saludo desde Perú, tengo una duda si mi NVR dice en un detalle, LAN send:4800kbps ese trafico se propaga por toda la red en multicast?, eso podria saturar mi red o creando broadcast innesesario ?
No, el DVR envia el video de un dispositivo a otro (servidor –> Cliente) por Unicast.
Hay algunos dispositivos que permite el uso de multicast pero hay que prender esa opción.
Si no lo hay esta opción o no hay prendido, no va a generar trafego de multicast.
Pregunta el trafico de voz es untagged o taged
Tu lo tagea si quieres.