Praxistest - GUI (Teil 2 - ONVIF, VLAN Routing & Security)
Eine weitere sehr interessante Funktion des DrayTek VigorSwitch ist die Funktion ONVIF Surveillance. In diesem Menü lassen sich über die Discovery-Funktion (zu finden im Menü Topology) mit den entsprechenden ONVIF-Zugangsdaten automatisch ONVIF-fähige Kameras im Netzwerk erkennen. Damit diese Funktion ordnungsgemäß arbeitet benötigt der Switch jeweils eine IP aus dem jeweiligen VLAN, dies kann entweder direkt beim Einrichten der Discovery-Einstellungen vorgenommen werden oder getrennt im Menü Vlan Routing.
.png)
Praktisch an der Discovery-Funktion im Reiter Topology: Über ONVIF lässt sich dabei sofort der Device-Name, den Typen, die Hardware und die IP-Adresse auslesen. Etwas schade ist jedoch, dass der Switch offenbar die Erkennung jeweils nur in einem VLAN unterstützt. Ändert man die Discovery-Einstellungen werden die bisher erkannten Geräte entfernt und nur die Geräte angezeigt, die in dem nun ausgewählten Netzbereich liegen.
Sind die Kameras erkannt wurden lässt sich im Reiter Video direkt der Live-Feed der Kamera anzapfen und im Browser darstellen. Sollte also einmal der Gerätename nicht eindeutig sein kann hier schnell und komfortabel geschaut werden um welche Kamera es sich handelt.
.png)
Im Reiter Device Maintenance lassen sich grundlegende Einstellungen der Kameras per ONVIF anpassen. Dazu zählen beispielsweise die Netzwerk-Einstellungen (IP-Adresse, Gateway, DNS) oder die Ports, unter denen die Web-GUI der Geräte erreichbar sein sollen. Die wohl praktische Funktion verbirgt sich jedoch hinter Device Check hier lässt sich eine automatische Überwachung der Geräte einrichten (beispielsweise mittels Ping) - fällt ein Gerät aus probiert der Switch automatisch mittels Power-Cycle das Gerät neu zu starten. Dabei wird der PoE-Port einmal auf den PoE Status "Off" gesetzt und im Anschluss wieder angeschaltet - das angeschlossene Gerät wird demnach einmal hart neu gestartet. Logischer Weise wird diese Power-Cycle Funktion nur im Falle des P2540x unterstützt - der G2540x unterstützt zwar die Erkennung eines Fehlers, kann im Fehlerfall jedoch "nur" eine E-Mail absenden, um so den Administrator zu benachrichtigen.
.png)
Eine weitere Funktion die erneut zeigt das es sich beim VigorSwitch P2540x nicht um einen "normalen" und "dummen" Layer 2 Switch handelt ist die Funktionalität des Vlan Routing. Die Idee hinter diesem Routing ist, dass man für gewisse Kommunikationen zwischen verschiedenen VLAN nicht zwangsläufig den Router belästigen muss, sondern einen Teil des Traffics direkt am Switch von einem VLAN ins andere VLAN senden kann. Nötig dafür ist jedoch, dass der Switch selbst über eine IP aus dem jeweiligen Subnetz verfügt, welches in diesem VLAN zum Einsatz kommt und das an den Endgeräten und auch auf dem Switch die benötigten Routen gesetzt sind. Dies bedeutet, wenn man beispielsweise ein Endgerät in Subnetz A mit IP Adresse 192.168.178.3/25 und ein weiteres Gerät in Subnetz B mit IP Adresse 192.168.178.130/25 hat, benötigt das Switch zum einen eine IP Adresse aus diesem Subnetz A (z.B. 192.168.178.2/25) und eine IP-Adresse aus dem anderen Subnetz B (z.B. 192.168.178.129/25). Weiterhin muss auf Gerät A eine Route für das Subnetz 192.168.178.128/25 mit Gateway 192.168.178.2 gesetzt sein. Versucht man nun von Gerät A einen Ping auf Gerät B abzusetzen nimmt der Switch das Paket und reicht es zum nötigen Ziel weiter. Er übernimmt folglich grundlegende Routing-Funktionen, man übergeht dabei aber bewusster Weise vollständig den Router und potentiell bestehende Firewall-Regeln - der Netzwerkadministrator sollte somit genau überlegen ob und wann er diese Funktion nutzt.
.png)
.png)
.png)
Im Hinblick auf die Security-Funktionalität unterstützt der Switch selbstverständlich eine Port-Freischaltung mittels 802.1X, als AAA-Protokoll im Hintergrund wird dabei RADIUS oder TACACS+ unterstützt. Ist einer der beiden Dienste aktiviert lässt sich für jeden Port des Switches einzeln festlegen ob und wie die Authentifizierung erfolgen soll. Standardmäßig ist die Funktion logischerweise erst einmal deaktiviert. Neben 802.1X lassen sich die Informationen der AAA-Protokolle weiterhin für die Management-User-Verwaltung nutzen - die Administratorkennungen können somit zentral verwaltet werden und müssen nicht auf jedem Switch hinterlegt werden.
Zur Absicherung des Netzwerks lässt sich weiterhin Port Security aktivieren (was oftmals in größeren Unternehmen verpflichtend umgesetzt werden muss) oder auch die Funktion Storm Control aktivieren, die ein Überfluten des Netzwerkes mittels Multicast und Broadcast-Nachrichten verhindern soll indem ein Paketlimit oder ein Bandbreitenlimit für diese definiert wird. Beide Funktionen lassen sich wieder granular für jeden Port einzeln konfigurieren. Der DrayTek Switch erlaubt weiterhin eine DoS-Erkennung, eine Dynamische ARP-Inspektion und das Erkennen von IP-Konflikten.
.png)