Que es VLAN y como usarla en CCTV IP (con ejemplo práctico)

La configuración de VLAN para CCTV es muy importante para proteger las cámaras IP contra el acceso no autorizado y también para separar el sistema de cámaras de seguridad de otras computadoras y dispositivos que están conectados a la red IP.

Si tiene switches de red de capa 2 como Cisco, Netgear, HP, Dell, Dlink y otros, se pueden configurar fácilmente para su sistema CCTV.

VLAN para CCTV

En este artículo, discutiré la importancia de las VLAN para CCTV, cómo funciona la tecnología y cómo configurarla correctamente para sus proyectos de CCTV.

Comencemos aprendiendo los fundamentos de la VLAN, comprendamos cómo se usa en los switches de red y aprendamos a configurar la VLAN para las cámaras de seguridad.

Qué son las VLANs

La VLAN es una tecnología utilizada para segmentar redes mediante la creación de grupos de broadcast virtuales en un switch.

VLAN significa Virtual Local Area Network y se utiliza con frecuencia en switches de red para crear grupos virtuales que permitan el control del tráfico de transmisión y también para aumentar el nivel de acceso de seguridad evitando así el acceso no autorizado.

VLAN y Grupos

En un switch es posible crear VLAN y asociarlas a puertos específicos. Dispositivos como computadoras y cámaras IP que están conectadas al mismo grupo de puertos podrán comunicarse en la red.

Segregación de tráfico VLAN

En un escenario con computadoras y cámaras de CCTV conectadas al mismo switch es posible crear VLAN para separar el broadcast.

El siguiente diagrama muestra un ejemplo de un switch de red que tiene cámaras IP y computadoras conectadas a sus puertos. Observe que las VLANs se crean y representan por diferentes nombres, rango de direcciones IP y colores.

VLAN Diagram 01

En el entorno de IT, los administradores de red suelen nombrar las VLANs utilizando números y colores. En la imagen de arriba puede ver la VLAN 10 y la VLAN 20 usando el color azul y el verde respectivamente para representar diferentes grupos.

Seguridad de VLAN

La VLAN puede aumentar la seguridad en la red asignando puertos de conmutación específicos a grupos. Vea la siguiente imagen donde está conectada la computadora portátil de un hombre al puerto 1 en la VLAN azul y se comunica con la PC2 en el puerto 3.

Un intruso saca la cámara IP de su cable en el puerto 4 para conectar su computadora portátil y hackear la red. Se conecta a la VLAN verde para tratar de hackear la cámara de seguridad, pero no puede tener acceso al resto de la red.

VLAN Security

El mismo principio se aplica al trabajador de la empresa, no puede tener acceso a la cámara de seguridad porque está conectado a una VLAN diferente.

Cómo funcionan los TAG de VLAN

Para poder controlar el tráfico, un switch usa un TAG que es solo una manera de marcar los frames que entran o salen de cada puerto,

Los frames que entran en el puerto del switch 1 o 3 están etiquetados como parte de la VLAN 10, y los frames que entran en el puerto 2 o 4 están etiquetados como parte de la VLAN 20.

El TAG puede ser diferente dependiendo de la marca del switch, sin embargo, existe un TAG estándar universal llamado 802.1Q que es utilizado por la mayoría de los fabricantes de switches.

Mire la imagen abajo. Cuando los frames vienen de la cámara IP al switch, se etiquetan de acuerdo con cada una de las VLANs. Esas etiquetas se eliminan antes de abandonar el switch.

Switch y VLANs

Vea abajo los campos que hay en las etiquetas (TAGs) de acuerdo con el estándar universal 802.1Q.

ORIGEN: Origen del paquete
DESTINO: Destino del paquete
TIPO & TAMAÑO: Tipo y tamaño
DATOS: Los datos contenidos en el paquete
FRAME ACK: Verificación de ​frame

Vea la ilustración del TAG que está asociado con el ​frame

802.1 VLAN TAGs

Comunicación entre switches

Al conectar dos switches, es necesario utilizar un puerto especial llamado "trunk" o "tagged port" que permitirá que pase el tráfico de todas las VLAN. Entonces los frames con los TAGS 802.1Q pasarán por este puerto del switch y va a llegar al puerto del próximo switch.

Algunos fabricantes tienen una nomenclatura de puertos VLAN levemente diferente. En la documentación de switches de Cisco, el término "Trunk Port" se usa para esos puertos especiales. Otros fabricantes, como Netgear, HP y Dell, utilizan el término "Tagged Port", pero en cualquier caso, todos utilizan etiquetas (TAGs) 802.1Q.

Vlan Trunk ports

Ahora las cámaras de seguridad IP y las computadoras pueden enviar tráfico desde el primero al segundo switch y aún así mantener la transmisión y la seguridad bajo control.

El primer switch puede etiquetar los frames que provienen de la cámara de seguridad y moverlos a través del trunk (tagged port) al segundo switch.

Tipo de switches para uso de VLANs

Para la configuración de VLAN es necesario utilizar switches gestionables de capa 2.

Cada fabricante tiene una forma diferente de crear y gestionar VLAN mediante el uso de CLI (interfaz de línea de comando) o la Interfaz Web. Pero, en cualquier caso, la configuración es bastante similar y es muy fácil crear y configurar VLAN.

Ejemplo de configuración de VLAN para CCTV

Echemos un vistazo a un sistema de cámara CCTV con 4 computadoras que usan la VLAN 10 y 3 cámara mas un NVR que usan la VLAN 20

En este pequeño proyecto de CCTV, la VLAN separa el tráfico de brodacast de la red corporativa del tráfico de broadcast de la red que tiene las cámaras IP. Ver el diagrama abajo:

Diagrama de Red con VLANs

En esta configuración de VLAN para CCTV, los usuarios de computadoras no podrán tener acceso a las cámaras IP o NVR. Entonces su sistema de seguridad está protegido.

Como crear VLAN en un switch Cisco

Como un ejemplo rápido, veamos una configuración de VLAN en un switch Cisco de 8 puertos. El modelo es Catalyst 2960 PD que se configurará con la CLI:

  • VLAN 10: Puertos 1 a 4 para conectar las computadoras
  • VLAN 20: Puertos 5 a 8 para conectar las cámaras IPs

Adaptador de USB a serial

El cable serial es uno especial que se usa para los switches Cisco y el adaptador USB a serial es un TrendNet TU-S9. Puede encontrarlos en tiendas como Amazon.

Adaptador USB para serial

Trendnet Adaptador USB para serial

Cable serial de cisco

Cable de Cisco

El puerto de la consola en el lado izquierdo del switch se utilizará para conectar un cable serial de una computadora portátil. Se usará una CLI para crear y configurar las VLAN

Cisco Catalyst 2960 USB to serial adaptador

Laptop con cable  y un adaptador serial

Un software para comandos CLI

Después de que se haya realizado la conexión del adaptador de interfaz USB a serial, debe configurar el software que se utilizará para el comando CLI. Usaré uno gratis llamado putty. Puede descargarlo en https://www.putty.org

Configuración del puerto serial de Windows

La configuración del software es bastante simple, solo necesita verificar qué puerto de comunicación está usando Windows para el adaptador USB. Simplemente abra el administrador de dispositivos de Windows para verificar el puerto COM y LPT. Ver la imagen​ abajo:

Windows serial port configuration

Configuración del puerto serial de windows

Configuración de putty

La configuración del puerto serial de putty debe coincidir con los datos en Windows, para este caso son COM5, Velocidad 9600, Bits de datos 8, Bits de parada 1 y Paridad Ninguna.

Putty serial configuration

Configuración serial (Haga clic para ampliar)

Putty serial connection

Configuración serial (Haga clic para ampliar)

Si la configuración es correcta después de hacer clic en "Open", verá la CLI abajo esperando para que envie los comandos.

Putty CLI

CLI Putty 

Crear VLAN usando la CLI

Crear VLAN usando una CLI es muy simple. En nuestro ejemplo, configuraré un switch Cisco Catalyst 2960 de 8 puertos. Vea los pasos

Cisco CLI

1. Crear la VLAN 10

Abra la CLI y ejecute una secuencia de comandos simples para entrar en el modo de configuración, cree la VLAN 10 y asígnele el nombre de "computers".

Switch#
Switch#conf t
Switch(config)#vlan 10
Switch(config-vlan)#name computers

2. Asigne los puertos a la VLAN 10

Después de crear la VLAN, es hora de asignar los puertos. Entre en el modo de configuración (conf t) seleccione el rango de puertos de 1 a 4 y asígnelos a la VLAN 10.

Switch#
Switch#config t
Switch(config)#interface range fa0/1 - 4
Switch(config-if-range)#switchport access vlan 10

3. Crear la VLAN 20

Ejecute la misma secuencia de comandos simples. Ingrese al modo de configuración, cree la VLAN 20 y asígnele el nombre de "cameras".

Switch#
Switch#conf t
Switch(config)#vlan 20
Switch(config-vlan)#name cameras

4. Asigne los puertos a la VLAN 20

Se crea la VLAN, ahora solo asegúrese de que el switch esté en modo de configuración (conf t) seleccione el rango de puertos de 5 a 8 y asígnelo a la VLAN 20.

Switch#
Switch#config t
Switch(config)#interface range fa0/5 - 8
Switch(config-if-range)#switchport access vlan 20

5. Verificar si las VLAN fueron creadas correctamente

Ahora es el momento de verificar si las VLAN se crearon y se asignaron los puertos. Simplemente salga del modo de configuración y use el siguiente comando:

Switch#(config)#exit
Switch#show vlan

Vea la imagen a continuación con el resultado. Es posible ver que las VLAN 1o y 20 se crearon con sus nombres correctos y se asignaron los puertos del switch.

VLAN for computers and IP Cameras

6. Guarde la configuración

No te olvides de guardar la configuración que acabas de hacer. Vea el siguiente comando

Switch#copy running-config startup-config

Crear VLAN en un switch Netgear

La mayoría de los switches, como Netgear Prosafe Smart, permiten configurar VLAN mediante una interfaz web, por lo que el proceso es bastante simple y rápido.

Volviendo al ejemplo anterior, creemos la VLAN 10 y la VLAN 20 para computadoras y cámaras de seguridad respectivamente.

  • VLAN 10: Puertos 1 a 4 para conectar las computadoras
  • VLAN 20: Puertos 5 a 8 para conectar las cámaras IPs

Usar la interfaz del navegador para crear VLAN

Crear las VLAN para sus cámaras de CCTV es muy simple, solo necesita conectar un cable UTP desde la computadora portátil a uno de los puertos del switch, abrir un navegador web y seguir los pasos​:

1. Inicie sesión usando sus credenciales

Consulte el manual de su switch para averiguar cuál es la dirección IP y la contraseña de inicio de sesión predeterminadas, o use la que acaba de crear para su proyecto de cámara de CCTV.

Netgear Switch Login interface

2. Abre la Pestaña para configurar la VLAN

Abra la Pestaña para hacer los cambios y haga clic en "VLAN" y tenga en cuenta que algunas VLAN ya están creadas, por lo tanto, no use el mismo ID de VLAN para su proyecto.

Netgear VLAN Configuration

3. Crea la VLAN para computadoras

En la pestaña de configuración simplemente cree la ID 10 y déle un nombre a la VLAN, en nuestro caso, que será "Computers"

Creating a VLAN for computers

5. Configure los puertos sin TAGs

Los puertos que están conectados a las cámaras IP y computadoras se llaman puertos untagged, lo que significa que esos dispositivos no están llevando frames etiquetados a los puertos, por lo que es necesario abrir la pestaña de Membership y marcar los puertos con una "U".

En nuestro ejemplo, los puertos del 1 al 4 deben tener la "U". Vea la imagen abajo:

NetGear VLAN 10 configuration

6. Repita el proceso para la VLAN 20

Cree la VLAN, nómbrela y configure los puertos sin etiquetar de 5 a 8

VLAN configuration for IP cameras
NetGear VLAN 20 configuration

Proyecto de CCTV más grande con VLAN

Para proyectos de CCTV más grandes, es solo cuestión de escalar la red, crear VLAN y configurar los puertos trunk (o tagged ports) entre los switches.

Simplemente cree las VLAN en ambos switches, use un cable UTP para conectarlas y configure esos puertos como puertos trunk o etiquetados. Ver el diagrama

Diagrama de VLANs

En este ejemplo, las computadoras azules no pueden transmitir ni tener acceso a las cámaras IP ni a los NVRs, por lo que la red de vigilancia está a salvo de hackers o virus.

Configurar un enlace Cisco Switch

Si está utilizando switches Cisco en ambos extremos de la red, simplemente conecte los cables al puerto, digamos el puerto 10, por ejemplo, asegúrese de que el switch esté utilizando el estándar 802.1Q que discutimos anteriormente y convierta el puerto en un ​puerto trunk.

La configuración es simple, solo ingrese al puerto que desea usar como trunk y escriba los comandos a continuación:

Switch#config t
Switch#interface fa0/10
Switch(config)#switchport trunk encapsulation dot1q
Switch(config-if-range)#switchport mode trunk

Tagged ports on Netgear Switch

Mientras los switches estén conectados y las VLAN se creen en ambos lados de la red, solo necesita configurar los tagged ports.

Vaya a la pestaña de VLAN Membership y marque el puerto que desea conectar al siguiente switch con una "T" que significa Tagged (etiquetado). En nuestro ejemplo es el puerto 10.

Netgear Trunking VLAN 10 configuration

Repita el proceso para la VLAN 20 marcando el mismo puerto

Netgear Trunking VLAN 20 configuration

Conclusión

La VLAN se puede usar para asegurar y mejorar un sistema de CCTV, solo se trata de la instalación y configuración del switch. No importa la marca del switch, siempre y cuando tenga un dispositivo de capa 2 manejable, puede crear las VLANs.

Si necesita utilizar una configuración más avanzada, como dar acceso a más de una computadora a diferentes VLANS, es necesario usar un enrutador o un switch de capa 3 para el enrutamiento Inter-vlan. Pero este es un tema para otro artículo.

Por favor, comparta el contenido haciendo clic en los botones:

Para aprender más sobre cámaras de seguridad

Si desea convertirse en un instalador o diseñador de CCTV profesional, eche un vistazo al material disponible en el blog. Simplemente haga clic en los enlaces a continuación:

Por favor comparte esta información con tus amigos ...

Etiquetas: , ,

Comments

    • Lenin
    • 2 agosto, 2019
    Responder

    Hola buenos dias te saludo desde Perú, tengo una duda si mi NVR dice en un detalle, LAN send:4800kbps ese trafico se propaga por toda la red en multicast?, eso podria saturar mi red o creando broadcast innesesario ?

    1. Responder

      No, el DVR envia el video de un dispositivo a otro (servidor –> Cliente) por Unicast.
      Hay algunos dispositivos que permite el uso de multicast pero hay que prender esa opción.
      Si no lo hay esta opción o no hay prendido, no va a generar trafego de multicast.

    • Edu ba
    • 1 diciembre, 2019
    Responder

    Pregunta el trafico de voz es untagged o taged

    1. Responder

      Tu lo tagea si quieres.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *