各位家用的监控还分 VLAN 隔离吗？

如果你担心监控会访问你的私有网络比如 NAS 等，就加 VLAN 隔离，不然没啥影响

不用搞这么多。
普通的路由器自带了访客模式， 可以和自己用的内网隔离开来。

看你的房子的面积，如果你家房子有大几百平甚至更多，摄像头有十几二十个，还是做 VLAN ，否则可以不做。

iot 设备都放一个 vlan ，以毒攻毒，花式养蛊

没必要，明显的负优化，搞了之后你在你手机访问摄像头都得去外面中转一圈再回来

普通人家没有必要，海康算是大品牌安全性应该还是不错的，监控设置强密码，定期升级安全补丁，足够了。

搞那么多都防的都是采集局域网信息的设备吧，比如之前爆出来的勾正服务

没必要，但也可以划一下图安心，没有绝对的安全，只有不断地加强

我也是把 s5720s li 划了很多 VLAN ，当时主要是按 vlan 划分 有线网 /无线网 /监控 /门禁 /，主要还是是起安全隔离作用+访问控制，防止可能的广播风暴。家里的网络是小，主要问题还是是那个萤石平台吧。有网管功能就上，必竟海康的东西还是有萤石平台在上传。那真正要防的就是切断这个 vlan 的外网访问功能，然后用 vpn 进入内网通过 ivms 客户端进行访问。

我查看了一下录相机产生的包，还好。当时有砖家提到划分多 vlan ，可能导致 3 层交换 vlan 之间的性能不佳，老实说我没认真测试过。但这交换机上线上年多了，也就是 1000mbps 的内网，100mbps 的外网，似乎也关心不起这个性能问题。


GigabitEthernet0/0/42 current state : UP
Line protocol current state : UP
Description:
Switch Port, Link-type : access(configured),
PVID : 8, TPID : 8100(Hex), The Maximum Frame Length is 9216
IP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is 2c97-b1d2-5260
Last physical up time : 2022-08-22 17:01:21 UTC+08:00
Last physical down time : 2022-08-22 17:01:14 UTC+08:00
Current system time: 2022-09-13 11:13:54+08:00
Port Mode: COMMON COPPER
Speed : 1000, Loopback: NONE
Duplex: FULL, Negotiation: ENABLE
Mdi : AUTO, Flow-control: DISABLE
Last 300 seconds input rate 520 bits/sec, 0 packets/sec
Last 300 seconds output rate 1032 bits/sec, 0 packets/sec
Input peak rate 6693768 bits/sec, Record time: 2022-08-23 19:26:19
Output peak rate 438584 bits/sec, Record time: 2022-09-12 12:46:31

Input: 407782 packets, 144859343 bytes
Unicast: 396642, Multicast: 175
Broadcast: 10965, Jumbo: 0
Discard: 0, Pause: 0
Frames: 0

Total Error: 0
CRC: 0, Giants: 0
Runts: 0, DropEvents: 0
Alignments: 0, Symbols: 0
Ignoreds: 0

Output: 1639702 packets, 243581607 bytes
Unicast: 163433, Multicast: 1064943
Broadcast: 411326, Jumbo: 0
Discard: 0, Pause: 0

Total Error: 0
Collisions: 0, Late Collisions: 0
Deferreds: 0

Input bandwidth utilization threshold : 80.00%
Output bandwidth utilization threshold: 80.00%
Input bandwidth utilization : 0%
Output bandwidth utilization : 0%

所有摄像头放进一个单独的 vlan, trunk nvr 就可以

@xcodeghost 海康大品牌有保障？我笑了哈哈，我之前说的可任意重置监控得管理员密码就是指的他家的

PoE 的 IP 交换机的话，直接禁止访问外网得了。

我分了，我不相信海康威视。

更简单的，加个路由器把摄像头，硬盘录像机套进去，

@xcodeghost #6 99% 的海康摄像头都是在漏洞状态下工作，如果你们公司的摄像头能链接可以试试 github 的漏洞利用程序（特别是带人脸识别的），99% 能利用成功，因为海康官方不会针对摄像头推送升级，即使你找客服要求拿到升级包，客服也会提醒你，没什么问题不要升级。

我家的摄像头试过，拿到摄像头的 shell 。要求客服提供升级包。客服和我说，不要升级，我说我要修复漏洞，为何不升级？

如果你用过海康的安防平台等产品，你会对这个庞然大物有新的理解。

我因工作需要负责某学校的教育安防平台运维工作，我可以说他刷新了我对安防平台的新认知。门禁控制器需要开启 NFC 刷卡功能，海康客服让我用 4200 链接后修改，我 200 多个门禁点就得链接 200 次，不支持批量修改。

而且只要使用 4200 链接过门禁控制器之后，门禁控制器的上报 IP 会改成 4200 的 IP ，导致安防平台无法获取到门禁状态。

最终还是自己去海康 SDK 找到 Python Demo 利用 SDK 透传 XML 才解决我的需求，找他们厂家工程师只有一句，不能批量设置。

太多太多这种事了，新旧平台迁移，厂家不负责门禁数据互通，找他们要开发文档说没有，要客户自己重新一条从新配置，问他们数据库有没有文档密码等说不清楚，门禁权限几万条，每个人对应不同的门，如果我要客户自己设置，客户估计会杀了我。最终要自己用爬虫把旧平台数据爬下来，再爬回新平台那边去。

新的指纹数据无法匹配旧的指纹数据（海康），旧的停产，迫使用户必须全部替换旧的指纹机器。

批量升级海康的摄像头也是个巨大而艰难的工程，历史遗留下的坑太多，根本填不完。

大品牌≠可靠

参照这几天 B 站某 UP 分析 iOS 微信的用户文件保存逻辑，只要一个视频转发给 N 个人，微信就给你复制 N 份存储，匪夷所思吧，但作为国内 3 大巨头互联网公司，全国用户最多的 IM 软件就是这样的用户文件保存逻辑。

上线就好为主导的思想由上至下贯彻始终，有问题再补呗。

我的做法是利用路由（ mikrotik ）监听摄像头的流量，如果匹配拉流流量特征的就将 IP 和 IP 的属地企业微信推送给我。

为何我不禁掉萤石云？老婆在外面还要用，虽然已接入 homekit ，但没开 icloud+，所以看回放也不方便（为什么不开，没钱）

@neroxps 在 2017 年用过一套海康的指纹门禁，它的配置（多门，多指纹的权限交叉配置）竟然是保存在安装 ivms 4200 的那台电脑上的。 第二台电脑安装该软件接管系统后，已有配置会变没有； 然后大门的指纹做考勤，竟然是一行行的流水，连最基本的统计都没有。

现在它的摄像头为了安全，在接入 nvr 过程有个批量激活的操作要求，激活过程混乱，需要设置密码，总有几个摄像头会搞的激活的人连激活密码是什么都不知道

在海康公众号里面重置 nvr 的密码，我作为卖过监控的会弄，但是使用方从没有一个人能自行重置成功

海康的东西都是拼凑来的，它的大屏、道闸、监控、cvr 、等等这些都是各自为政，连不到一起的。 但不得不说 4200 一个软件配置全部设备走天下

@luoshengdu #17 大华恢复密码更惨，以前是需要激活的人的手机号码。99% 都是安装的师傅帮忙激活的。导致连客户自己都无法找回密码。好像需要打印一份文件盖章扫描给他们还是怎么弄。现在不知道改回来没有。

客户无法通过公众号找回密码其实很多是因为客户懒得研究，有服务就不想动脑。

海康 19 年的时候我老同事搞过一批道闸，最终给业主退货。和我千叮嘱万叮嘱，千万不要用海康的道闸。不过最近看到附近地方挺多海康道闸，估计是换了 OEM 方案了。

@shakoon 为什么要从外面进来，我防火墙配置一下允许家用网络访问监控网络，监控网络不能主动连接家用网络不就行了

@neroxps 原来海康这么烂啊，一直以为很牛逼的呢，家里也有海康的摄像头，得在路由器防火墙多加强一下了。

@neroxps 卧槽 海康这么大公司竟然这么拉

@neroxps 大佬能分享下你这个 MIKROTIK 的配置么？正好需要

@neroxps 大佬能分享下你这个 MIKROTIK 的配置么？

@jikky #23 https://github.com/neroxps/RouterOS-Script/blob/master/Check_nvr_traffic.rsc