Wir wollen in der Firma jetzt rund 20 Netzwerkkameras in Betrieb nehmen. Kann mir dafür jemand die wichtigsten Einstellungen mitteilen bzw. worauf unbediengt zu achten ist?
o) neue Hikvision Kameras
o) go1984 Software ggf. ivms4200
o) Kameras auf mehreren Switches (HP Aruba mit PoE)
o) eigener Windows Server wär vorhanden
o) Auflösung 1920x1080 mit 1FPS
o) Motiondetection
Die Kameras sind im Netzwerk absolut nachrangig.
Macht QoS Sinn?
VLAN?
Oder wär es am besten dass die Kameras auf eine interne Speicherkarte schreiben und nur bei Bedarf abgerufen werden und somit das Netzwerk entlastet wird!?
Meine Befürchtung ist dass die Kameras zu viel traffic verursachen und dadurch das Netzwerk verlangsamt.
Heißt das, dass hier jemand mit einem Projekt beauftragt wurde, der sowas noch nie gemacht hat?
Oh je.
Zuerst sind natürlich die rechtlichen Voraussetzungen zu schaffen. Entsprechende Hinweise und Datenschutzerklärungen sind dort aufzuhängen, wo Betriebsfremde in den Bereich der Überwachung hereingehen können.
Dann muss man natürlich auf Netzwerkstabilität und Netzwerkhygiene achten.
So ein Kamerasystem gehört natürlich nicht in das Firmennetzwerk, in dem alle Betriebsprozesse und -daten laufen.
Es ist mindestens logisch abzugrenzen. Auf Grund des Datenverkehrs, der ja nun mal extrem von gewählter Auflösung und Bildrate abhängig ist, kann ein separates, physikalisches Netzwerk nötig sein. Offenbar gibt es mehrere Switches in mehreren Netzwerkschränken. Wenn diese nicht nur über eine Einzelanbindung mit der Zentrale verbunden sind, würde ich da schon separate „Uplinks“ für das Kamerasystem nutzen. Aber wie gesagt, vielleicht zuerst mal bei den gewählten Einstellungen den tatsächlichen Bedarf anschauen.
Bitte beachte Grundsätzliches:
Du hast da Geräte mit einer Software, die grundsätzlich in der Lage ist, Daten zu „Mama“ über das Internet zu schicken. Hikvision bietet ja ein Portal an, über dessen Homepage man sich seine Kameras anschauen kann.
Dieser Software kann man nun grenzenlos trauen, dann pack die Geräte ins Firmennetz - viel Glück.
Oder man kann denken, dass dies eine potentielle Angriffstelle darstellt, ob durch böswilligen oder durch fehlerhaften Code - das ist egal.
Bei mir laufen Kameras und Festplattenrekorder in einer DMZ. Ich habe da „deny all“ und erlaube nur die dokumentierten Ports für den Fernzugriff durch mich.
Danke für deine Antwort. Es war mir schon bewusst dass dies etwas komplexer ist, dachte aber vielleicht gehts doch irgendwie…
Da wir keinen Netzwerktechniker haben und wir selber nur die Basics wissen, wird es wohl am besten sein ich hol mir eine Firma die sich auf Kameras spezialisert hat.
Ja wir haben mehrere Switches in mehreren Schränken. Und es wird wahrscheinlich auch laufend erweitert. Jetzt muss ich nur noch die Geschäftsführung davon überzeugen. Netzwerkauslastung und Sicherheit sind schon mal gute Argumente.
Ich lade mal @Flowerwoman ein, die kann dir deutlich mehr dazu sagen. Zudem auch mit gehörigem Fachwissen. Ich bin selbst erlernter Netzwerk-Halbmann. Das ist man, wenn man deutlich mehr als ein Laie weiß, was zugleich aber weniger als 1% dessen ist, was Fachleute können.
Hmm, wenn Ihr 20 Kameras verteilen wollt und das Areal somit allein Flächentechnisch größer ist und kein Administrator Inhouse ist … Puh, da würd ich zuerst eine neue Stelle ausschreiben wollen., aber egal.
Die Einstellungen wird Dir so keiner sagen können, denn dazu sollte man das Netzwerk und die darin verwendeten Dienste kennen. Dazu gehören AUCh so Stichworte wie Firewall, VLAN, Switchmanagement, und wie schon angesprochen Rechtliches, DMZ, etc. Also Ja, das ist schon eeetwas komplexer
Aus Erfahrung der beiden oberen Sätze mit den einzusetzenden Hardwarekomponennten würde ich eh darüber nachdenken ob man an der Netzwerkinfrastruktur im gesammten noch einiges ändert, da man so wie das klingt „Netzwerkswitche über mehrere Schränke…“ sicherlich noch weas optimieren kann und wenn die GL eh Geld in die hand nehmen muß und sich durch die Optimierung Geld sparen läßt würe das eben eine entsprechede Maßnahme. Die Daten der Kameras auf der kamera selbst auf der SD Karte speichern halte ich eher für suboptimal (was ist wenn irgendjemand die karte rauszieht oder ein Diebstahl erst nach Wochen entdeckt wird und die Daten bis dahin wieder überschrieben sind … sprich Daten zentral auf Server ablegen, dessen Daten regelmässig auf einem externen Medium (Band, Platte, Cloud) gesichert werden sodas man immer die Daten einsehen kann. Ebenso ist natürlich Zugangstechnisch sicher zu stellen, das nicht Hinz&Kunz auf dei Daten zugreifen und im schlimmsten Fall wild löschen können. Ich würde das jemanden lassen machen, der sich damit auskennt. Viel Glück.
Hallo und danke für deine schnelle Antwort!
Wir sind zu zweit in der IT, haben aber beide wenig Ahnung wenns ums Netzwerk geht. VLAN geht noch, aber beim Thema DMZ scheitern wir schon. Wir haben eine externe Firma dafür, mal fragen wie weit sich die mit Kameras und Netzwerkmanagement auskennen.
Ein Jpeg mit 2MP liegt im Bereich <500kB, eher drunter. Bei 20 Kameras 1fps macht das eine maximale zusätzliche Netzwerklast von 0,08GBit/s. Das sollte jedes halbwegs moderne LAN aushalten, ohne dass es zu spürbaren Einbußen kommt. Und auch diese Zahl ist nur Ergebnis einer Milchmädchenrechnung, weil das Netz ja sternförmig ist und die genannte maximale Last nur dann gilt, wenn das alles auch über die gleichen Adern gehen, also im besten Fall nur auf dem letzten Patchkabel zum Server anliegen.
Es sei denn, dass das Netzwerk jetzt schon lahmt aber dann habt ihr eh ganz andere Probleme.
Was geht wäre, die Kameras alle zusammen auf einen eigenen exklusiven Switch zu patchen und den exklusiv mit einem eigenen Netzwerkport am Server zu verbinden. Damit hältst du die Last komplett aus deinem internen Netzwerk raus. Das würde aber bedeuten, dass auch genügend freie Leitungen liegen, um von überall eine Punkt-zu-Punkt-Verbindung zu einer zentralen Stelle zu machen.
Die Frage Sicherheit hat 2 Ebenen. Die eine Ebene ist, dass die Kameras eventuell mit dem Anbieter kommunizieren und Bilder dorthin streamen, was eventuell unerwünscht ist.
Die zweite Ebene ist, dass die Kameras eventuell von außen zugänglich sind. Wenn jemand fummelt kommt er/sie eventuell an ein Netzwerkkabel und könnte sich so Zugang zum internen Netzwerk verschaffen. Hier helfen VLANs oder DMZs oder eben ein vollständig eigenes Netzwerk.
Aber auch elektrisch kann man mit einem freiliegenden Netzwerkkabel Schaden anrichten. Ein kräftiger Spannungsimpuls und dein Switch und ggf. weitere damit verbundene Geräte gibts nicht mehr.
Das geht natürlich auch, allerdings müssen die Kameras dann an erreichbaren Stellen verfügbar sein und auch hier hast du wieder das Problem mit dem Zugriffsschutz. Es nutzt dir nichts, wenn die Kamera einen Einbruch aufzeichnet aber dann die Speicherkarte von der Diebin mitgenommen wird.
Das muss man Risiko und Nutzen gut nebeneinanderstellen.
Geht es auch. Bloß liegen die Schwierigkeiten nicht da, wo du sie vermutet hättest.
Das ist per se kein Problem. Dir muss halt klar sein, dass du damit deinen Stern verzweigst. Das kann zu Lasten der Netzwerkperformance gehen, muss es aber nicht. Stichworte hier wären trunking oder 10GBASE-T uplink-Ports.
Organisches Wachstum ist nichts Ungewöhnliches. Aber ihr solltet das trotzdem nicht einfach mit fliegender Verdrahtung zusammenstecken. Da gehört vorher ein vernünftiges Konzept dazu und dann eine high-level aber laufend aktuelle Dokumentation her.
danke für das Lob.
Nee. Ihr braucht keine Firma, die sich auf Kameras spezialisiert hat. Ihr braucht selbst das Know-How was die Basics in Sachen Netzwerk abdeckt. Dazu gehört alles, was das OSI Modell so zu bieten hat, also auch die Kabel an sich. Dazu gibt es einschlägige Normen, die insbesondere dann einzuhalten sind, wenn das Netzwerk erweitert wird.
Naja, ich denke, das geht auch ohne Vollzeitstelle.
Den Bedarf erkenne ich erstmal noch nicht anhand der knappen Erklärung oben. Sowas ist häufig bauseitig bedingt, etwa weil zwischen Etagen nur eine begrenzte Zahl an Leitungen verfügbar ist. Aber genau kann man das nur sagen, wenn man die tatsächliche Netzwerkstruktur und die Anforderungen hinsichtlich sonstigem Traffic im Netzwerk kennt.
Denn es macht schon einen deutlichen Unterschied, ob die Workstations einfache Büroarbeiten machen, die alle paar Minuten mal ein Worddokument speichern oder ob über das Netzwerk mit hoher Datenrate kontinuierlich Messwerte von irgendwelchen Maschinen transportiert werden müssen.
Im ersten Fall ist es kein Problem, wenn das Netzwerk mal eine Auslastungsspitze hat. Im zweiten Fall kann der gleiche Fall katastrophale Auswirkungen haben.
Ich gehe von Fall 1 aus, denn wenn das Netzwerk kritisch für die Produktion wäre, hätten das in der GL höhere Priorität und da wäre dann auch Fachpersonal verantwortlich.
Morgen kommt ein externer Techniker zu uns ins Haus, ich werde das Thema auch mit ihm besprechen.
Eventuell machen wir es so, dass wir einen eigenen Windows-Server, auf dem go1984 installiert ist, verwenden. Die Kameras werde ich in ein VLAN geben, aber nicht mit einen eigenen physischen Switch trennen. Der Server hat eine zweite Netzwerkkarte für das eigene VLAN Netz. So könnte ich die Kameras und das „Haupt-Netz“ von einander trennen (Sicherheit), und die Auslastung reduzieren. Im Stammthaus haben wir rund 100 Clients mit normaler Office-Anwendung, ua. einen Exchange-Server und eine ERP-Software (Mesonic WinLine).
Zwei weitere Standorte sind mit DarkFibre angebunden (1000/1000). Von diesen Standorten werde ich die Kameras auch einbinden. Insgesamt wären das dann so um die 30-40 Kameras. Für die Verbindung in die Zentrale habe ich nur 1 Fasernpaar, kann hier also kein VLAN machen. Aber dass sollte bei 1000/1000 nicht zwingend erforderlich sein.
Wenn ich die Kameras in ein VLAN gebe, macht dann QoS noch Sinn?
Das wäre nach der Milchmädchenrechnung dann ~ 15% Auslastung deiner Glasfaser. Dann würde ich lieber an jedem Standort einen kleinen Server hinstellen, der die Daten wegspeichert. Das kann ja auch nur was kleines Virtuelles sein ohne viel Bums. Aber eben so, dass die Daten nicht laufend übers WAN gestreamt werden.
Die 30-40 Kameras sind nicht pro Standort, sondern insgesamt. Pro Standort habe ich etwa 10 Kameras. Dann brauch ich doch keinen eigenen Server!?
Wenn ich nur 1 Fasernpaar habe, und das auf Port 52 hängt, kann ich dann auf Port 52 mehrere VLANs machen?
QoS… macht das noch Sinn wenn die Kameras im VLAN hängen? Mit QoS kann man doch den Traffic priorisieren, und das bräuchte ich ja nicht wenn die Kameras in eigenen VLAN sind.
Sorry für die vielleicht dummen fragen, aber ich kenn mich mit Netzwerktechnik nicht aus…
Folgende Einstellungen habe ich auf der Kamera:
Auflösung: 1280x720p
Bitrate Type: Variabel
Videoqualität: ++++
Bildrate: 1fps
Max. Bitrate: 6144Kbps
Max. mittlere Bitrate: 3072Kbps
Videocodierung: H.264
H.264+: Ein
Wenn das wirklich eine Darkfiber mit 1Gbit/ s ist, dann würde ich mich eher fragen, ob ich nicht ein paar Euro in neue Transceiver und Switches investiere anstelle Server zu doppeln…
Ist wirklich Darkfiber, könnten auch mit 10G fahren. Den nötigen HP Aruba Switch habe ich dafür. Aber angeblich gibts dafür (noch) keine passenden Transceiver für die Distanz von mehreren Kilometer.
Warum nicht? Wie gesagt, 15% deiner Bandbreite gehen sonst nur auf die Kameras drauf. Das würde ich mir streng überlegen.
klar.
Du willst QoS im LAN machen und nicht nur im WAN? Das ist für den lokalen Switch mit 10 Kameras völlig unnötig.
Die helfen aber nicht. Das sind die absoluten Maximalwerte. Dort kommen im Mittel maximal 3MBit/s zusammen. Aber das ist viel zu hoch bei 1 Bild/s.
Eine Firma mit 3 Standorten und 100 Mitarbeitern / Standort ist jawohl georedundant aufgestellt. Also läuft da ja hoffentlich schon irgendwo ein bisschen Blech pro Standort. Und da würde ich einfach jeweils noch ne kleine virtuelle Instanz hochziehen.
Das ist mit Sicherheit erheblich (!) billiger als „ein paar neue Transceiver“. Und es bildet eine dauerhafte Entlastung der Fasern. Aber das ist dann am Ende wohl doch eher eine philosophische Frage.
Wenn es aber wirklich nur am Hauptstandort Server gibt - was ich mir in Zeiten von „alles in die Cloud“ am Ende auch irgendwie vorstellen kann - dann muss man halt für ein paar Kamerabilder seine WAN-Links schneller machen, so sinnlos ich das finde.
Den Begriff kenne ich als Bezeichnung für eine ungenutzte Faser. Das kann nicht gemeint sein.
Wenn du ein Faserpaar hast und keine aktiven Komponenten dazwischen sind, auf die du ggf. keinen Zugriff oder Einfluss hast, geht VLAN natürlich. Das ist ja gerade der Witz an virtuellen Netzen.
Auf dieser Verbindung - sei es Glasfaser, Funk oder Kupfer - sorgt ein vorgeschalteter Switch, dass Pakete vom Netz 1 „grün“ angemalt werden, vom Netz 2 werden rosa, vom Netz 3 hellblau.
Am Ende sitzt wieder ein VLAN fähiger Switch, der dann die Pakete nach Farben sortiert und an die passenden Schnittstellen weitergibt. Da die nachgeschalteten Geräte mit der Farbinformation nichts anfangen können, wird die Farbe vorher abgewaschen.
Während der gemeinsamen Übertragung über ein Medium dient die Markierung (Tag) dazu, dass die Pakete später wieder passend sortiert werden. Hätte man mehrere Verbindungen, würde man die Markierung gar nicht benötigen.
Ich hatte deine Angabe mit 1fps und 2MP nicht richtig bemerkt. Wie bereits vorgerechnet, ist das eine sehr niedrige Netzwerklast.
Was soll priorisiert werden? Wenn die Verbindung schon sehr voll ist, könnte eine garantierete Datenrate für die Video-Pakete sinnvoll sein. Das gilt unabhängig davon, ob man auf der Verbindung getaggte VLAN Pakete überträgt. Allerdings lassen sich einschlägige Regeln, die sich auf VLANs beziehen, schnell und leicht schreiben.
Doch. Das bedeutet in diesem Fall, dass die Fasern exklusiv Punkt-zu-Punkt von einem Standort zum anderen liegen. Also ist das keine Faser zu irgendeinem MPLS-Backbone oder sowas, sondern wirklich direkt. Das ist tatsächlich das Schnellste und vermutlich Teuerste, was man so bekommen kann.
Aber das passt in Summe alles überhaupt nicht damit zusammen, dass die IT-Leute dort so wenig vom Netzwerken wissen. Welche Firma betreibt so ein Netzwerk ohne inhouse Fachleute?
Aber auch das könnte ich mir in Zeiten von „alles in die Cloud“ dann doch wieder vorstellen. Weil man mit „alles in der Cloud“ überhaupt keine IT-Fachleute mehr braucht. Und das bisschen Patchen, das macht halt irgendwer. Und solange auf dem Rest Hardware HP und Cisco draufsteht ist ja auch alles knorke.
Unsere Firma betreibt so ein Netzwerk ^^
Grundsätzlich sind alle Standorte per MPLS untereinander verbunden. Nur zwei Standorte sind per Darkfibre, weil es dort die Möglichkeit dafür gibt. Es ist günstiger als MPLS und enorm schneller.
Ich werde das alles morgen mal mit dem externen Techniker besprechen.
Vielleicht hilft das weiter.
In der Zentrale stehen sämtliche Server. Im Housing, was unnötig ist, steht nur eine Firewall.
Am Standort 4 steht ein eigener Server für die Kameras.
Sowas https://www.fs.com/de/products/74674.html kann 40 km, ob der „Generic“ mit dem Aruba-Switch zusammenspielt, oder ob man einen deutlich teureren „maßgeschneiderten“ nimmt … kann man klären oder ausprobieren.
Wenn man nur bis 10 km braucht, dann gibt es die Transceiver noch etwas günstiger. Kompatibilität muss man klären…
Oder - wenn man weiter ansteigenden Datenverkehr erwartet, dann nimmt man welche, mit denen man CWDM kann, die kann man „erstmal so“ benutzen und wenn 10Gbit/s nicht mehr ausnutzen, dann kauft man einen Mux/Demux und kann auf anderen Farben nochmal jeweils 10GBit/s auf dem gleichen Faserpaar fahren.
Das ist dann aber keine Darkfibre. Darkfibre ist tatsächlich nur eine direkte Faser und um die Technik an den Enden muss man sich selber kümmern. Ob man da 100MBit/s oder 180 GBit/s drüber macht ist dem, an den man bezahlt ziemlich schnuppe.
Aber so langsam kommen wir ab
(sorry, wenn die Links einseitig zu einem Hersteller gehen; ich habe dort allerdings gute Erfahrungen gemacht und die Preise sind eher angenehm. Bin nicht verwandt oder verschwippschwägert … )