O uso de VLAN (Virtual LAN) em projetos de CFTV IP

Por Adriano Oliveira

Projetos de CFTV IP onde a mesma infraestrutura de dados é compartilhada com a de segurança, a utilização de VLANs para separar as redes é uma solução eficiente e de fácil implementação.

Em muitas empresas, é comum o uso de VLANs para separar o tráfego de dados de departamentos diferentes e isso é feito basicamente por três motivos: segurança, desempenho e organização.

O seu cliente pode não querer ter na sua rede de dados o tráfego das câmeras de CFTV – e ele tem razão. Em primeiro lugar porque câmeras de CFTV podem ocupar mais banda do que ele esteja querendo disponibilizar.

O NEGÓCIO DO CLIENTE VEM EM PRIMEIRO LUGAR
Imagine um banco. É claro que as transações dos clientes devem ter prioridade para trafegar na rede de dados e não as imagens das câmeras de CFTV. O mesmo vale, por exemplo, para um hospital, onde os cadastros e os exames dos pacientes devem ser transmitidos de forma rápida e eficiente e a rede de dados deve estar livre para que isso ocorra.

SWITCHES E DOMÍNIO DE BROADCAST
Tecnicamente, todos os dispositivos em um mesmo switch não gerenciável estão fazendo parte de um mesmo “domínio de broadcast”. Esses dispositivos recebem todas as mensagens de broadcast – aquelas que são enviadas para todo mundo na rede. Em uma rede grande, digamos com mais de 300 dispositivos, isso pode gerar um problema de desempenho, porque cada vez que uma mensagem é recebida pelo computador, a CPU para, o que está fazendo para analisar se aquele pacote é para ela ou não. Isso é feito de forma rápida, mas em uma rede com 300 computadores, isso pode acontecer 299 vezes, o que vai causar impacto no desempenho da máquina.

Imagine uma rede com 300 dispositivos, sendo que 100 pertencem ao CFTV, a melhor maneira de minimizar o problema seria separar esses dispositivos em diferentes VLANs.

Um switch aprende os endereços MAC dos dispositivos que estão a ele conectados e encaminha ou filtra os pacotes para as devidas portas quando ele sabe para onde devem ser enviados, mas isso não acontece com mensagens de broadcast que são enviadas para todo os dispositivos.

Para minimizar esse problema, é recomendável o uso de switches gerenciáveis que conseguem criar diferentes “VLANs”, ou melhor dizendo, conseguem dividir um domínio de broadcast em vários.

Dessa forma, é possível criar, por exemplo, uma VLAN apenas para o CFTV, que não vai gerar tráfego desnecessário para o resto da rede e vai dificultar o acesso indevido às imagens para quem não tem autorização para acessá-las.

Voltando ao exemplo de nossa rede com 300 computadores, podemos criar três VLANs onde teríamos apenas 100 dispositivos em cada domínio de broadcast, aumentando a segurança, diminuindo o tráfego e deixando tudo mais organizado.

Um outro aspecto que deve ser levado em consideração é o acesso de uma VLAN para outra, dependendo do projeto de rede, será necessário o uso de um swicth L3 ou de um roteador.

CONCLUSÃO
Dependendo do tamanho do projeto ou da estrutura a ser utilizada em seu projeto de CFTV IP, leve em consideração o uso de switches gerenciáveis, pois dessa forma você poderá com facilidade criar VLANs para tornar seu projeto adequado às necessidades do cliente. Além disso, usando um switch gerenciável, é possível também trabalhar com QoS, SNMP, 802.1X além de outros protocolos para aumentar a segurança e o gerenciamento da rede.

Adriano Oliveira é pós-graduado (MBIS) em Segurança da Informação, graduado em tecnologia com especialização em redes de computador. Atua há 20 anos na área de tecnologia como instrutor, consultor e suporte e há 16 anos na área de segurança eletrônica. Trabalha atualmente na Hikvision do Brasil e mantém o Canal Hardware Magazine.