PoEmat o switchach IP
a&s Polska
Poprawne działanie systemu sieciowego jest uzależnione od sprawności każdego z urządzeń w nim pracujących. Jest to szczególnie ważne w systemach zabezpieczeń, w których ciągłość transmisji danych jest sprawą kluczową. Jednym z elementów niezbędnych do prawidłowego funkcjonowania urządzeń brzegowych sieci IP są przełączniki (switche) PoE.
Przełączniki PoE łączą segmenty sieci komputerowej pracujące głównie w drugiej warstwie modelu ISO/OSI (łącza danych). Mówiąc w skrócie – switch łączy ze sobą urządzenia sieciowe (hosty), odbierając i przesyłając dane do konkretnych portów, z którymi hosty są podłączone. Choć brzmi to banalnie, przez długi czas istnienia sieci opartej na stosie protokołów TCP/IP wymiana informacji była realizowana przez koncentratory (tzw. huby), które odebrane dane rozsyłały do wszystkich hostów, niezależnie od tego, czy były adresatem pakietu danych, czy nie. Taka zmasowana kanonada danych wymuszała ograniczenie liczby segmentów sieci do siedmiu (liczba aktywnych urządzeń przekazujących dane). Powyżej tej wartości dochodziło do „paraliżu” w komunikacji ze względu na zbyt dużą ilość informacji przesyłanych między hostami.
Problem ten rozwiązał m.in. pierwszy przełącznik ethernetowy wprowadzony przez firmę Kalpana w 1990 r. Od tamtej pory przeszedł on wiele modyfikacji. Jedną z nich jest pojawienie się przełącznika PoE (Power over Ethernet) opartego na kilku standardach przesyłania energii elektrycznej za pomocą skrętki komputerowej do urządzeń peryferyjnych, będących elementami sieci Ethernet. Wybór odpowiedniego modelu do elektronicznych systemów zabezpieczeń technicznych jest kluczowy. Zatem jakie cechy powinien mieć przełącznik sieciowy PoE? Swoimi radami na ten temat dzielą się doświadczeni menedżerowie produktowi.
Dobór przełączników PoE
Użytkownik ma do wyboru przełączniki o różnej specyfikacji technicznej, w różnych cenach. Jak zauważa Mateusz Terlikowski z Atte: Zły wybór urządzenia, często wynikający z oszczędności lub braku wiedzy, może się szybko zemścić. Brak świadomości o konieczności zastosowania odpowiedniego modelu do konkretnego zadania często przysparza problemów instalatorowi, a później użytkownikowi.
Przełącznik PoE do elektronicznych systemów zabezpieczeń należy dobierać adekwatnie do liczby obsługiwanych urządzeń (np. kamer, czujników), oszacowanych prędkości transferu danych czy budżetu energetycznego PoE. Według Macieja Pietrzaka
z Dahua Technology Poland: W przypadku systemów dozoru wizyjnego specyfikacja przełącznika sieciowego powinna być dobrana adekwatnie do reszty systemu. Bardzo często elementy aktywne infrastruktury sieciowej, np. kamery, pracują w trudnych warunkach środowiskowych, dlatego warto zwrócić uwagę na temperaturę, wilgotność, zakurzenie miejsca pracy urządzenia.
Różnice pomiędzy przełącznikami PoE determinuje również ich przeznaczenie. Istnieją switche przeznaczone do pracy w przestrzeniach wewnętrznych, jak szafy serwerowe czy biura, oraz takie do zastosowań zewnętrznych, pracujące w trudnych warunkach środowiskowych – dodaje Adam Brzezicki z Axis Communications.
Na inny aspekt zwraca uwagę Robert Gawroński z TP-Link: Przede wszystkim sugerujemy dobrze zbadać oczekiwania inwestora dotyczące instalacji, a także ewentualnych możliwych planów rozbudowy, tak by nawet niewielka modernizacja nie oznaczała konieczności ponownej wymiany urządzeń. Warto również uwzględnić, czy przełączniki PoE będą wykorzystywane np. tylko do systemów monitoringu wizyjnego, czy też należy zapewnić ich kompatybilność i połączenie z innymi systemami oraz siecią lokalną.
Z pewnością przy doborze przełącznika trzeba zastanowić się, jaką funkcję ma on pełnić w systemie. W wielu mniejszych instalacjach switch jest bowiem głównym elementem zasilania urządzeń i wymiany danych, stanowiąc jeden punkt awarii wyłączający cały system. Do awarii dochodzi najczęściej wskutek przepięć będących następstwem wyładowań atmosferycznych (głównie w systemach, w których okablowanie jest prowadzone napowietrznie) i uszkodzeń samych zasilaczy przełączników. O ile z przepięciami możemy sobie radzić, stosując dodatkowe zabezpieczenia, o tyle na awarie zasilaczy w głównej mierze wpływ ma ich jakość. Dlatego należy wybierać urządzenia sprawdzonych producentów, których produkty zapewnią poprawne działanie – zauważa Marek Dzioch z firmy PULSAR.
Istotną kwestią jest również odpowiednia kalkulacja budżetu mocy PoE, ponieważ moc pobierana przez wszystkie urządzenia nie może przekroczyć możliwości przełącznika. W tym przypadku rekomenduje się wyliczanie budżetu według tzw. klas.
Rodzaje przełączników PoE
Mnogość oferowanych przełączników PoE wynika z różnych standardów i trybów zasilania PoE czy też protokołów negocjacji, dzięki którym urządzenia odbiorcze otrzymują wymagane zasilanie. Na rynku ciągle można znaleźć dwa typy przełączników PoE mogące zasilić urządzenia końcowe – przełączniki z tzw. pasywnym PoE oraz zgodne ze standardami IEEE 802.3af/at/bt.
Pasywne PoE wymaga, aby zarówno urządzenie zasilające, jak i urządzenie zasilane stosowały to samo napięcie zasilania, np. 12 V, 24 V czy 48 V, co z kolei wymusza dostosowanie urządzeń, a to jest czasochłonne i ogranicza możliwości wyboru. To niejedyny, ale ekonomicznie dość istotny powód, dla którego warto trzymać się standardów, które – jak uważa Robert Gawroński – znacznie ułatwiają instalacje, choć przyznaje, że i sam standard PoE jest zróżnicowany. Urządzenia w standardzie 802.3af mogą dostarczyć do 15,4 W na każdy port w przełączniku, zaś urządzeń w standardzie 802.3at do 30 W. Pojawią się również urządzenia w standardzie 802.3bt z mocą na porcie do 60 W – dodaje.
Korzyścią z tak wielkich mocy jest choćby możliwość zasilenia kamer PTZ czy też oświetlaczy podczerwieni, które dotychczas wymagały zewnętrznego zasilacza.
Natomiast maksymalna odległości transmisji do 100 m dla przewodów miedzianych, wynikająca ze standardu, jest trudna do zaakceptowania dla wielu instalatorów, zwłaszcza pamiętających czasy zamkniętej telewizji dozorowej CCTV, tzw. analogowej. Dlatego, jak podpowiada Maciej Pietrzak, na rynku dostępne są nowatorskie rozwiązania, jak ePoE – umożliwiające transmisję danych oraz zasilanie urządzenia na dystansie do 800 m przez skrętkę komputerową kat. 5 oraz możliwość korzystania z IP over Coax. Co prawda uzyskanie połączenia na takim dystansie wiąże się z kompromisem w postaci prędkości przesyłania, jednak w wielu miejscach takie rozwiązanie stanowi interesującą alternatywę dla połączeń światłowodowych.
Od strony sprzętowej przełączniki sieciowe PoE różnią się przepustowością, liczbą i rodzajem portów oraz maksymalną mocą, jaka może być pobierana z poszczególnego portu PoE. Różnice mogą dotyczyć również samej konstrukcji, użytych elementów i wykonania switcha, które pozwalają na bezpieczną pracę w różnych warunkach – mówi Marek Dzioch. Istotnym elementem jest także oprogramowanie przełącznika i wynikające z niego możliwości. Jeżeli switch musi spełniać zaawansowane funkcje, takie jak np. serwer DHCP, powinniśmy wybierać urządzenie, które oferuje wiele opcji konfiguracji i którym będziemy mogli zarządzać – wskazuje Adam Brzezicki.
W bardziej rozbudowanych instalacjach wyzwaniem, z jakim często borykają się ich instalatorzy czy użytkownicy systemu, jest nieznajomość jego części logicznej spowodowana brakiem dokumentacji lub nieudokumentowanymi zmianami. W takim przypadku sprawdzą się przełączniki sieciowe zarządzalne, zwłaszcza te z funkcją wizualizacji topologii, pokazującą, jakie konkretnie urządzenia, na których portach i w którym miejscu się znajdują – mówi Łukasz Lik z Hikvision Poland. Switche wykorzystywane w elektronicznych systemach zabezpieczeń coraz częściej otrzymują funkcje, które ułatwiają operatorowi systemu zorientowanie się – bez konieczności wzywania specjalisty – co może być przyczyną awarii. Przełącznik powinien mieć funkcję alarmowania na bieżąco o stanie połączeń do urządzeń, jaki ruch odbywa się na danym linku i czy przypadkiem nie mamy wysycenia połączenia, ponieważ ktoś np. uruchomił wiele sesji do jednej kamery. Często jest też tak, że osobno zarządza się systemem security i osobno warstwą IT – tłumaczy Łukasz Lik.
Czasami problemy w warstwie sieciowej są trudne do identyfikacji i ich przyczyny poszukuje się w urządzeniach do niej podłączonych. Pochłania to dużo czasu, gdyż trzeba osobno wchodzić na interfejs switcha, osobno na interfejs systemów security. W przypadku switcha niezarządzalnego nie można sprawdzić, co na nim się dzieje. Łukasz Lik radzi więc: Dlatego projektując system bezpieczeństwa, szukałbym rozwiązań sieciowych, które są w pełni zintegrowane z systemem zabezpieczeń, po to by operator otrzymywał na bieżąco informacje z warstwy IT i systemu bezpieczeństwa. Dzięki temu będzie można szybciej reagować na zdarzenia, także te z sieci. Kolejną istotną dla mnie funkcją jest proste i wygodne zarządzanie. Mam tu na myśli rozwiązania chmurowe. Na porządku dziennym są systemy bezpieczeństwa zarządzane przez chmurę, dlatego dołożyłbym tu także warstwę sieciową, by mieć wszystko w jednym miejscu i zarządzać za pomocą jednego interfejsu dostępnego z każdego miejsca.
Główne obszary zastosowań
Dobrze zaprojektowana i wykonana sieć IP, niezależnie od wielkości systemu, powinna się charakteryzować pewnymi cechami, określającymi jej jakość. Są to: skalowalność, nadmiarowość, wydajność, bezpieczeństwo, łatwość utrzymania i zarządzania. Aby to osiągnąć, można zastosować model od lat proponowany przez specjalistów, m.in. przez Polską Izbę Systemów Alarmowych (PISA). Model ten zakłada wykorzystanie trzech warstw: rdzenia, dystrybucji i dostępu. W ramach elektronicznych systemów zabezpieczeń znajdziemy dwie ostatnie warstwy. Jedna to switche umieszczone w centralnej szafie serwerowej [warstwa dystrybucji – przyp. red.], gdzie schodzą się sygnały ze wszystkich urządzeń. Druga to taka, gdzie switche umieszczone są w niedalekiej odległości od zasilanego urządzenia [warstwa dostępu – przyp. red.], np. na słupie, gdzie zainstalowana jest kamera lub w skrzynce elektrycznej – doradza Adam Brzezicki.
Większe zarządzalne przełączniki stosuje się nie tylko w systemach CCTV IP, ale także w innych urządzeniach, takich jak punkty dostępowe Wi-Fi czy telefony IP, umożliwiając tworzenie znacznie większej sieci. Zastosowane w nich światłowodowe porty uplink 1G lub 10G umożliwiają utworzenie szybkiego połączenia wielu lokalnych punktów dystrybucyjnych (LPD) z głównym punktem (GPD) – tłumaczy Robert Gawroński. Natomiast niewielkie instalacje mogą składać się wyłącznie z połączonych ze sobą przełączników tylko w warstwie dostępowej. Mniejsze kilku-, kilkunastoportowe urządzenia świetnie sprawdzają się w prostych systemach monitoringu wizyjnego w domach czy małych firmach, gdzie ceni się przede wszystkim niezawodność działania oraz prostą konfigurację typu plug&play – dodaje Robert Gawroński.
Cyberbezpieczeństwo
Dbałość o cyberbezpieczeństwo urządzeń w sieci jest dziś priorytetem. Tylko w Polsce eksperci CERT* zarejestrowali 6893 zgłoszenia naruszenia bezpieczeństwa, a liczba przeanalizowanych incydentów wyniosła 207 (dane na koniec marca br.).
Wszystkie nasze urządzenia sieciowe spełniają wysokie standardy obowiązujące w naszej organizacji. Aby zapewnić możliwie jak największy stopień bezpieczeństwa, urządzenia Axis powinny być odpowiednio zabezpieczone, dlatego dla naszych klientów przygotowaliśmy specjalny poradnik „Hardening guide”, który można znaleźć na naszej stronie internetowej – rekomenduje Adam Brzezicki.
Z kolei Marcin Walczuk z BCS podkreśla zalety switchy zarządzalnych, gdy chodzi o bezpieczeństwo sieci, które pozwalają na wprowadzenie ustawień ruchu sieciowego przechodzącego przez urządzenie. Oczywiście podstawą będzie zabezpieczenie dostępu do switcha odpowiednio silnym hasłem, które uchroni przed nieautoryzowanym dostępem.
Na potrzebę wirtualnego wydzielenia sieci wskazuje Robert Gawroński: Zaczynając już od małych i średnich przedsiębiorstw, rekomendujemy używanie przełączników z możliwością zarządzania i konfiguracji podstawowych funkcji zwiększających bezpieczeństwo sieci. Takim absolutnym minimum w tej kwestii jest standard 802.1Q VLAN umożliwiający odseparowanie sieci CCTV od sieci lokalnej, przeznaczonej dla pracowników czy gości, dla których tworzona jest gościnna sieć Wi-Fi. I dodaje: Co ważne, na sieć należy spojrzeć jako na jeden ekosystem, a nie traktować jej jako zbiór oddzielnych elementów. To wpłynie nie tylko na optymalizację w doborze rozwiązań, ale później przełoży się także na prostotę w zarządzaniu i utrzymaniu takiej sieci przez administratora.
Fizyczne rozdzielenie instalacji CCTV IP od infrastruktury IT klienta rekomenduje też Mateusz Terlikowski: Odpowiednie poprowadzenie instalacji oraz jej późniejsza konfiguracja znacząco utrudniają możliwość wpięcia się obcymi urządzeniami do infrastruktury IT klienta. Zabezpieczenia uniemożliwiają próby sabotażu oraz przypadkowe uszkodzenia.
Oczekiwania instalatorów
Instalatorzy poszukują przełączników przede wszystkim niezawodnych, o szerokich możliwościach konfiguracji i prostej obsłudze. PoE ma być ułatwieniem pracy podczas instalacji. Ceniona jest szybkość i prostota uruchomienia systemu. Zaawansowane instalacje wymagają rozbudowanych możliwości konfiguracyjnych. Obie te grupy odbiorców łączy jedno – wymagają stabilnych i niezawodnie działających przełączników sieciowych – mówi Maciej Pietrzak.
Na możliwość podłączenia zasilania rezerwowego wskazuje Marek Dzioch: Instalatorzy i inwestorzy oczekują gwarancji działania przełączników w przypadku awarii głównego źródła zasilania. Dlatego ogromną popularnością cieszą się rozwiązania do podtrzymania zasilania buforowego switchy. Kolejnym elementem, na który coraz częściej zwracają uwagę, jest obecność gniazd SFP ze względu na szybkie upowszechnienie się techniki światłowodowej.
* CERT Polska to pierwszy powstały w Polsce zespół reagowania na incydenty (Computer Emergency Response Team) działający w strukturach NASK (Naukowej i Akademickiej Sieci Komputerowej)