中继模式和桥接模式的区别

当无线路由器信号覆盖范围有限或者穿过两堵墙信号变得极弱,可以通过无线桥接或中继模式连接两个无线路由器进行网络扩展,增强无线信号。中继模式和桥接模式都是用于扩展网络覆盖范围。

一、桥接概述
桥接,是指依据OSI网络模型的链路层的地址,对网络数据包进行转发的过程。当路由器配置了桥接选项后,会处理所有接口上的所有的数据帧,并实时调查每个主机的位置。若在某个接口上收入一个帧,就会在一个桥接内置入一个条目,列出发送数据的主机和接收到数据帧的接口MAC地址,这样路由表就被不断地在通信中完善起来。透明桥接使路由器对主机来讲是透明的,其作用就相当于一个局域网交换机。若是同一个LAN内的两个主机通信,数据帧就不会被发送到其它的接口,因为在桥接表里,数据帧都来自相同的接口;若是收到一个帧,而其中的MAC地址不在自己的桥接表里,就会将这个帧扩散到所有的接口,桥接还会扩散所有的广播包,占用网络的有效带宽,造成网络的堵塞。我们知道,Cisco IOS支持多种类型的桥接,比如:透明桥接、封装桥接、源路由桥接、源路由透明桥接、源路由转换桥接。

二、中继概述
中继就是一边是接受信号,一边又发射自己的无线信号。wifi中继是无线路由器的一种无线中继模式,是无线路由在网络连接中起到中继的作用,能实现信号的中继和放大, 从而延伸无线网络的覆盖范围。在这种模式下无线路由器以无线网卡客户身份接入主AP,然后再以新增虚拟界面(Virtual Interfaces)来为客户端提供无线接入。该模式的最大意义在于可以解决无线信号受到距离或者障碍物的影响不能传输到更远的问题。这种模式下无线路由器仍然提供DHCP及NAT功能,即所有的内部LAN口以及无线客户接入组成的是一个单独的局域网网段。

无线中继器是连接无线路由器和用户设备的一个中间设备,接收到无线路由器的信号后,转发给用户手中的设备,让用户的设备接收到稳定又强劲的无线信号。使用者需要无线路由器信号覆盖的较边缘位置的插座上部署上无线中继器,然后简单设置一下,就可以让无线中继器将无线网络扩展到需要覆盖的房间。通常,无线中继器会部署在无线路由器信号覆盖的边缘位置,接收原路由信号再向外扩展。

在信号强度提升的同时,中继后的无线网络在速率上会有一定的下降,一般会减少一半的无线传输速率,就会让WiFi体验打折扣。
当需要多台设备进行中继时,无线中继器器只能桥接上一台无线中继器器,并不能够中继主路由,从而使得无线速率会层层减半。

三、桥接和中继模式有什么区别

网桥和中继器两者都用于扩展网络覆盖范围,但他们在网络中扮演着非常不同的角色。中继器只是中继 Wi-Fi 信号,有助于扩展给定无线网络的范围。而桥接使用无线信号将两个现有网络连接到一个更大的网络中。中继模式是利用无线路由器之间的无线连接,将无线信号从一个中继点传送到下一个中继点,增强信号,形成新的无线覆盖区域,达到扩展无线网络的目的。其实只要有两个支持中继功能的无线路由器,就可以扩大网络覆盖范围。

中继和桥接功能对于无线用户的实际使用来说基本相同,只是设备不同,并不是所有的无线路由器都能桥接,无线路由桥接就是将无线路由器用作中继器。桥接不是无线路由器的主要功能。使用中继模式时,网络 SSID 号相同,而在桥接模式下,网络 SSID 号不同。

同时,两者的区别在于后面链接的设备IP地址的分配。中继是自己分配的,桥接是由更高级别的路由分配的。中继是主动的,后面连接的设备,不管上级的路由,都是被动的,必须得到上级的许可。无线中继可以理解为从其他设备接收信号的设备,在您自己的中心重新启动。它主要用于信号较弱的地区,用于无线信号的扩展和放大。

无线网桥连接通常是只有点对点或点对多点信号的无线数据传输。一般,它用于两个不同位置的小型局域网之间的链接。用于远程网络点对点或点对点数据通信,以保证桥接的稳定性。当设备开启桥接功能时,会关闭普通网卡的干预功能。也就是说,只能点对点通信,无法无线连接无线设备。无线中继器旨在转播无线信号。当中继器接收到无线信号时,它会重新传输已发送的数据,而不会以任何方式更改该数据。这种重新传输有助于用户避免衰减的影响,衰减是无线信号在空中传播时退化的过程。使用中继器网络意味着信号只需要通过短跳传输,即使它们是为远离原始接入点的客户而准备的。

 

mesh和ap组网的说明和区别

ap是一种组网方案,而mesh组网是一个能够进行无线互联的网状网络结构

1、什么是ap组网
Mesh和ap中的ap是一个可以帮助企业接入网络的点,可以将有线网络转换为无限网络。ap与传统的网络接线方式有非常明显的不同,ap可以将所有使用这个网线的客户都集中在一起,这样就可以集中接到以太网当中,从而真正实现无线网络全面覆盖。AP对无线网的重要性不言而喻,可以保证网络的信号和网络的安全,特别是不同的设备之间的距离也会在一定程度上影响信号的强弱,所以ap可以在一定程度上保护网络信号。

2、什么是Mesh组网
Mesh是一种比较受欢迎的漫游模式,在Mesh网络系统中,通过无线的方式将各个节点相互联系起来,而且在节点之间相互连接的时候还不会受到过多的限制,所以每一个节点都有多个连接共同形成一个统一的体系,也进一步保证了网络的稳定性。

3、二者如何选择
AP的优势在于比较小巧美观,性能也比较高,它不可忽视的就是中继作用,这里说的中继就是指:AP的存在可以将两个无线点间的无线信号放大,此时远端的客户端所接受到的无线信号就会更强。对比起ap,无线Mesh组网存在的优势在于可以根据情况选择其他的线路进行数据转播,相比起来更加灵活,当任何一个节点故障时都不影响网络的访问,拥有更高的可靠性可以确保WiFi网络高速流畅。二者各有所长,我们还是要根据实际的使用情况来进行选择。

 

录像机的取流机制及造成资源不足的解决方法

NVR取流机制:

当NVR连接前端IPC时,默认会取2路视频流,即主码流+子码流,主码流的分辨率和码流比子码流大,是高清的视频流,子码流是辅流,清晰度和分辨率相对较小。

注:一般来说,多画面(≥9画面)的时候,设备主要以子码流在解码,理论上如果子码流参数不是很大,不会出现资源不足或解码性能不足的提示。

1、录像机取“主码流”解码资源不足:

【原因】一般是因为该通道接入的网络摄像机分辨率,已超过了该录像机支持的最大分辨率,录像机没有足够的资源进行解码。

【排查方法】降低对应通道画面的主码流“分辨率和码流上限”即可。

设置路径如下:

NVR3.0操作界面:

进入主菜单—录像配置—编码参数—录像参数,选择对应通道后,适当降低主码流的分辨率和码流上限保存,再进行预览即可。
适当降低主码流的分辨率和码流上限

NVR4.0lite操作界面(先点击左下角,进入专家模式):

进入配置—录像管理—录像参数—主码流,选择对应通道后,适当降低主码流的分辨率和码流上限保存,再进行预览即可。

NVR4.0操作界面:

进入通道管理—编码参数—录像参数—主码流,选择对应通道后,适当降低主码流的分辨率和码流上限保存,再进行预览即可。

 

2、录像机取“子码流”解码时,提示资源不足or解码性能不足

【排查方法】

方法1:重启IPC,NVR将重新连接并获取子码流信息。

方法2:可降低对应通道画面的子码流“分辨率和码流上限”即可,建议将子码流的码率上限建议降低至512kbps或者256kbps, 分辨率建议设置为352*288。

设置路径如下:

NVR3.0操作界面:进入主菜单—录像配置—编码参数—子码流参数,选择对应通道后,适当降低子码流的分辨率和码流上限保存,再进行预览即可。

NVR4.0lite操作界面:(先点击左下角,进入专家模式):进入配置—录像管理—录像参数—子码流参数,选择对应通道后,适当降低子码流的分辨率和码流上限保存,再进行预览即可。

NVR4.0操作界面:进入通道管理—编码参数—录像参数—子码参数,选择对应通道后,适当降低子码流的分辨率和码流上限保存,再进行预览即可。

注:

NVR4.0 lite 录像机V4.30.060 版本9画面预览资源不足:建议将录像机版本更新至最新版本。

2、摄像机分辨率无法修改?(分辨率为1600×1200?视频编码为H.265)此类情况建议将摄像机升级最新固件再添加测试

海康威视录像机添加摄像机后,小画面显示,大画面不显示的解决方法

1、检查摄像头的编码方式,修改编码方式尝试
NVR3.0操作界面:进入主菜单—录像配置—编码参数-视频编码,将H.265改成H.264后保存测试

NVR4.0lite操作界面:进入配置-录像机管理-录像参数-视频编码,将H.265改成H.264后保存测试

NVR4.0操作界面:通道管理-编码参数-录像参数-视频编码,将H.265改成H.264后保存测试

注:也可以通过同一个局域网内的电脑网页访问摄像机,点击配置–音视频–编码方式,即可查看当前的编码方式,建议可将H.265改成H.264后保存测试。

2、确认摄像头主码流分辨率是否超出录像机支持最大支持分辨率?可降低分辨率测试

情况一、预览画面的时候,提示“资源不足/解码性能不足”

情况二、回放录像的时候,提示“资源不足/解码性能不足”

 

3、可点击预览界面下方的参数信息,确认大画面预览的时候是否获取到摄像机的码流信息?

海康威视录像机添加摄像机后,大画面显示,小画面不显示的解决方法

【原因】主要是因为设备的子码流可能没有取到,没有取到子码流,设备就会主码流解码导致达到设备性能上限。

【排查方法】

方法1:重启IPC,NVR将重新连接并获取子码流信息。

方法2:可降低对应通道画面的子码流“分辨率和码流上限”即可,建议将子码流的码率上限建议降低至512kbps或者256kbps, 分辨率建议设置为352*288。

设置路径如下:
NVR3.0操作界面:进入主菜单—录像配置—编码参数—子码流参数,选择对应通道后,适当降低子码流的分辨率和码流上限保存,再进行预览即可。

NVR4.0lite操作界面:(先点击左下角,进入专家模式):进入配置—录像管理—录像参数—子码流参数,选择对应通道后,适当降低子码流的分辨率和码流上限保存,再进行预览即可。

NVR4.0操作界面:进入通道管理—编码参数—录像参数—子码参数,选择对应通道后,适当降低子码流的分辨率和码流上限保存,再进行预览即可。

 

VLAN Tag的使用

概述
为了使设备能够识别不同VLAN的报文,IEEE 802.1Q标准对Ethernet帧格式进行了修改,在源MAC地址字段和协议类型字段之间加入4字节的802.1Q Tag(又称VLAN Tag,简称Tag)。帧格式如图1-1所示。在Tag中有一个VID(VLAN ID)字段,用于表示帧所在的VLAN。并非所有设备都能识别携带Tag的802.1Q帧,因此在VLAN网络中以太网帧有Tagged和Untagged两种形式,分别表示携带和不携带802.1Q Tag。

● Type:2字节,0x8100代表802.1Q帧;不支持802.1Q的设备收到此类帧时将其丢弃。
● PRI:3bit,表示二层优先级;取值范围为0~7,对应QoS的CoS优先级,值越大优先级越高。
● CFI:1bit,用于区分以太网帧、FDDI帧和令牌环网帧;0表示以太网帧。
● VID:12bit,表示VLAN ID,即报文所属VLAN;VLAN ID的有效取值范围为1~4094,0和4095是预留值,不能使用。

1、VLAN Tag的处理原则
支持VLAN的交换设备根据接口类型和链路类型,对收发的以太网数据帧进行添加或剥除VLAN Tag的处理。下面先介绍接口类型和链路类型,以便了解VLAN Tag的处理机制。

接口类型
接口可分为二层接口和三层接口,只有二层接口可以加入VLAN。锐捷网络支持4种二层接口类型:Access、Trunk、Hybrid以及Uplink。四种接口类型具备不同的接口连接对象以及数据帧处理方式,以满足不同的组网环境需求。通过配置一个接口的二层接口类型,可确定此接口许可通过的VLAN,此接口转发报文是否携带Tag。

Access
一个Access口可以属于且仅属于一个VLAN,只许可此VLAN的帧通过,此VLAN称为Access VLAN
Access VLAN同时具有Native VLAN和许可VLAN的属性
Access口发出的帧都不携带Tag,若Access口收到对端设备发送的Untagged帧,则判断该帧属于Access VLAN,并在内部强制加上Access VLAN ID

Trunk
一个Trunk口可以有一个Native VLAN和若干个许可VLAN,Trunk口转发Native VLAN的帧不携带Tag,转发许可VLAN的帧携带Tag
注意,连接链路两端的Trunk口必须配置相同的Native VLAN

Uplink
一个Uplink口可以有一个Native VLAN和若干个许可VLAN,Uplink口发出的帧都携带Tag

Hybrid
一个Hybrid口可以有一个Native VLAN和若干个许可VLAN,许可VLAN分为Tagged VLAN和Untagged VLAN,Hybrid口转发Tagged VLAN的帧携带Tag,转发Untagged VLAN的帧不携带Tag,因为Hybrid口转发Native VLAN的帧不能携带Tag,所以Native VLAN只能属于Untagged VLAN列表

链路类型
VLAN链路包括接入链路和干道链路两种。
● 接入链路是连接用户终端和交换设备接口之间的链路。虽然有的终端可以识别携带VLAN Tag的帧,但是通常情况下,终端硬件不能识别携带VLAN Tag的帧。因此一般情况下,在接入链路上传输Untagged帧,以便兼容不同终端。
● 干道链路可以承载多个不同VLAN的数据,必须保证数据帧在干道链路传输时干道链路两端的设备能够识别数据帧的所属VLAN。根据接口类型的不同,可以传输Untagged帧或Tagged帧。比如Trunk口之间用Untagged帧传输Native VLAN的帧,用Tagged帧传输Native VLAN以外的许可VLAN的帧。干道链路两端的Trunk口需要确保其Native VLAN配置相同。
Access口只能连接接入链路。Hybrid口既能连接接入链路,也能连接干道链路。Trunk口和Uplink口只能连接干道链路。

2、VLAN Tag的处理机制
支持VLAN的交换设备,报文在设备内部转发过程中都是带VLAN Tag的。在发送给交换芯片处理之前,或者交换芯片发送给接口时会根据接口的设置添加或去掉VLAN Tag。

 收帧机制
接口收到Untagged帧时,认为帧属于本接口的Native VLAN,若Native VLAN属于许可VLAN则允许报文进入,并标识为Native VLAN的帧;若Native VLAN不属于许可VLAN则丢弃报文。
接口收到Tagged帧时,如果接口许可Tag标识的VLAN报文通过则接收,不许可则丢弃。

 发帧机制
报文在交换设备内部已完成了转发,只需要根据许可VLAN的类型(Untagged VLAN或Tagged VLAN),决定发帧时是否携带Tag。

3、举例
作为VLAN通信的技术要点之一,VLAN Tag的添加和剥除涉及了较复杂的处理原则与机制,下面以一个VLAN的典型应用场景简述各层设备对VLAN Tag的实际处理行为。

终端设备
工作在应用层的终端设备,如大部分的PC,不支持在报文中添加VLAN Tag,例如上图中处于不同VLAN下的Host 2、Host 13设备,向上级的交换设备Device A发送的都是Untagged数据帧。

交换设备
(1)下联口
交换设备Device A将下联终端设备的接口(即上图中的G0/2-12、G0/13-24口)设置为Access口,并分别加入VLAN10、VLAN20,一个Access口可以属于且仅属于一个VLAN,只许可此VLAN的帧通过,此VLAN称为Access VLAN。交换设备接收下联终端设备的Untagged数据帧,发送往下联终端设备的数据帧也是剥除了VLAN Tag的Untagged数据帧。
(2)上联口
将交换设备Device A与其上联交换设备Device D的连接口(即上图中Device A的G0/1口和Device D的G0/2口)都设置为Trunk口,并设置许可VLAN都为VLAN10、VLAN20。Device B、C与其上联接口的配置与Device A类似。
终端设备Host 13与其他同处于VLAN 20下的设备通信时,首先向上级的交换设备Device A发送Untagged数据帧,Device A往报文中添加其所属的VLAN 20的Tag,而后发往许可VLAN匹配的接口G0/1口。Device D的G0/2口在接收到该Tagged数据帧后,继续发往许可VLAN匹配的接口(如Device D的G0/3口、G0/4口),到达交换设备Device B、Device C后,剥除VLAN Tag发送给其下联终端设备。

3、总结
支持VLAN的交换设备通过对VLAN Tag的识别,判断要进行通信的设备是否处于同一VLAN内,让物理位置不同的设备可以处于同一个逻辑网段内进行通信。从另一方面来看,支持VLAN的交换设备通过对VLAN Tag的识别,也可以将同一VLAN下的数据帧限制在该逻辑网段内进行传播,避免对其他网段造成干扰。

DHCP Snooping功能说明

什么是DHCP Snooping
DHCP Snooping也叫DHCP窥探,是一种常应用在二层接入设备的DHCP安全协议,它通过监听DHCP报文来拦截局域网中不合法的DHCP流量,从而防止DHCP攻击,提升网络安全。部署了DHCP Snooping的设备能够实现以下动作:
● 过滤不受信端口的DHCP应答报文;
● 构建和维护DHCP Snooping绑定表,其中包含用户获取到的IP信息以及用户MAC地址、VID、PORT和租约时间等信息;
● 通过与ARP检测功能或ARP Check功能配合使用,可以进一步实现控制用户合法使用IP地址的目的。

DHCP Snooping如何工作
DHCP工作原理
在介绍DHCP Snooping如何工作之前,先简要说明DHCP的工作机制。
DHCP是一个被广泛应用的、为局域网内主机动态分配IP地址等重要信息的协议。一次DHCP协议交互可以简单概括为如下4个步骤:
(1) DHCP客户端通过广播DHCP Discover报文来向局域网内的DHCP服务器请求服务。
(2) DHCP服务器根据自身配置的IP地址池、相应的子网掩码和网关等信息,通过DHCP Offer报文应答客户端。
(3) 若接受DHCP Offer报文中的配置,DHCP客户端则广播DHCP Request报文以通告DHCP服务器和局域网内其他主机其生效的IP地址。
(4) 最后,服务器将会应答DHCP ACK报文给客户端进行最终确认。
如图2-1中,通过DHCP协议交互,客户端从DHCP地址池中租用了IP地址10.0.0.11/24,并得知局域网内网关地址为10.0.0.1。那么,客户端后续的IP数据将发往网关10.0.0.1实现与广域网的通信。

DHCP Snooping防止服务欺骗攻击
由于DHCP Discover/Request是广播报文,假如局域网中加入了攻击者,那么它便可以获取到网络内每一台主机的DHCP请求信息。通过修改IP地址或者网关等信息伪造DHCP Offer/ACK报文应答主机,来达到使用户无法上网或者窃取用户信息的目的,这种攻击方式被称为DHCP服务欺骗攻击。如图2-2,攻击者为了截获局域网内用户的流量,将自己本地的IP地址10.0.0.2作为虚假网关地址,非法应答客户端的DHCP请求。后续,客户端的IP数据包将会发往虚假网关,造成信息泄露。如果攻击者在截获流量的同时对真实网关和客户端之间的数据进行转发,那么网络内受到攻击的主机将感受不到断网等网络异常,隐蔽性极强。

在设备上开启DHCP Snooping功能,把连接可信服务器的端口设置为Trust口,其余皆为Untrust口,DHCP Snooping能够有效的防止上文所述的DHCP服务欺骗攻击。如图2-3,在Device A上开启DHCP Snooping功能,只有服务器的DHCP Offer/ACK报文能够通过Trust口送达客户端,攻击者设备由于连接在Untrust口上,其发送的非法DHCP Offer/ACK报文将不允许通过,从而保证客户端能够获得正确的网络配置,避免了信息泄露。

 

 DHCP Snooping防止伪造报文攻击
除了仿冒DHCP服务器,攻击者还能仿冒DHCP客户端对DHCP服务器发起攻击。如图2-4,攻击者通过非法截获DHCP客户端在局域网内广播的DHCP Discover报文获取其MAC地址,从而仿冒MAC伪造不同的DHCP客户端向DHCP服务器大量发送非法请求报文,使得DHCP服务器的IP地址池被消耗,甚至抢夺网络内合法客户端的IP地址。一旦服务器的IP地址池被非法请求耗空,网络内的其他合法主机将由于无法通过DHCP获得IP地址而断网。这种攻击方式被称为伪造DHCP报文攻击,也是一种典型的DoS攻击。

除了过滤Untrust口的非法DHCP应答报文,DHCP Snooping通过进一步维护DHCP绑定表项来防止伪造报文攻击。DHCP绑定表项通过窥探合法DHCP报文来对客户端的MAC地址、IP地址租期、接口号和VLAN信息等建立起关联并且维护,从而对后续DHCP客户端请求报文进行过滤。如图2-5,在Device A上部署DHCP Snooping功能并将与客户端主机相连的接口设置为Untrust口。那么,所有通过Untrust口的DHCP请求报文将会首先进行DHCP绑定表项匹配。由于攻击者伪造的报文与Device A上维护的绑定表无法匹配,伪造报文将会被丢弃,从而有效阻止了这类攻击。

DHCP Snooping作为DHCP安全特性,除了能通过对Untrust口非法DHCP流量的拦截以及绑定表的维护来防止DHCP服务欺骗攻击和伪造DHCP报文攻击外,还能通过与ARP协议联动防止ARP入侵。由于DHCP协议应用广泛,为提升网络安全性能,在用户接入层部署支持DHCP Snooping特性的设备是十分必要的。

海康威视POE录像机添加海康单IP多通道摄像机的操作方法

注:常见单IP多通道摄像机:鹰眼,全景摄像机
NVR4.0lite录像机操作界面

如果使用POE录像机,那么需要将摄像机接入到LAN口,然后在通道管理—通道配置—IP通道界面,点击编辑图标,将“添加方式”改成“手动”添加,除输入摄像机的IP,用户名,密码之外,还需选择设备通道号。

以单IP两通道摄像机为例,需要在通道管理界面,手动添加两个摄像头(IP地址一样)。

1、点击编辑图标,进入编辑P通道。

2、将“添加方式”改成“手动”添加,输入摄像机IP地址,摄像机用户名及密码,点击“确定”即可 。

注意:添加第一个通道的时候,设备通道号选择1;添加第二个通道的时候设备通道号选择对应通道号将摄像机通道区别开。

3、选择第二个通道进入编辑IP通道,除输入摄像机的IP,摄像机的用户名及密码之外,还需选择设备通道号为2。

4、添加完成之后,界面上会显示两个IP地址一样的摄像头。

 

 

海康威视非POE录像机添加海康单IP多通道摄像机的操作方法

注:常见单IP多通道摄像机:鹰眼,全景摄像机

NVR4.0lite录像机操作界面
1、进入“配置—通道管理—通道配置—IP通道”界面,在“已添加设备列表”栏:点击“添加”,输入摄像机IP地址(或者列表选中需添加的摄像机)、协议(海康摄像机默认海康协议)、管理端口(海康摄像机默认8000)、用户名(默认admin)、摄像机密码,点击“添加”。

3、点击“添加”后会出现设备通道号配置界面,勾选需要添加的通道,点击“确定”即可。
如果未使用自定义添加方式,则默认添加多通道摄像机的第一个通道(如果要显示多通道的话,可以把摄像机删除,重新自定义添加)。

NVR4.0lite录像机操作界面:

1、进入“配置—通道管理—通道配置—IPC通道”界面:点击“自定义添加”,输入摄像机IP地址(或者列表选中需添加的摄像机)、协议(海康摄像机默认海康协议)、管理端口(海康摄像机默认8000)、用户名(默认admin)、摄像机密码,点击“添加”。

2、点击“添加”后会出现设备通道号配置界面,勾选需要添加的通道,点击“确定”即可。

如果未使用自定义添加方式,则默认添加多通道摄像机的第一个通道(如果要显示多通道的话,可以把摄像机删除,重新自定义添加)。

退出移动版
ICP备案号:晋ICP备18007549号-1
站长微信:15534641008