Todos os cursos > Profissionalizantes > Eletrônica ::

Segmentação de rede para CFTV: VLAN, sub-redes e isolamento do tráfego de câmeras

Capítulo 15

Tempo estimado de leitura: 8 minutos

Por que segmentar a rede do CFTV

Segmentar a rede do CFTV significa separar o tráfego das câmeras do restante da rede (usuários, impressoras, servidores, Wi‑Fi), reduzindo riscos e melhorando a estabilidade. Na prática, você cria “fronteiras” para que: (1) um problema em um setor não derrube o outro (tempestade de broadcast, loops, dispositivos mal configurados), (2) o acesso às câmeras fique restrito ao que é necessário (menor superfície de ataque), (3) o tráfego de vídeo não concorra com aplicações críticas.

As duas ferramentas mais comuns para isso são: VLAN (separação lógica na camada 2) e sub-redes (separação na camada 3, com roteamento controlado). Em muitos projetos, usa-se as duas juntas: uma VLAN exclusiva para CFTV com uma sub-rede própria.

Conceitos essenciais (sem complicar)

VLAN: separação lógica dentro do switch

VLAN (Virtual LAN) cria redes “independentes” dentro do mesmo conjunto de switches. Dispositivos em VLANs diferentes não se enxergam diretamente na camada 2. Para um dispositivo de uma VLAN falar com outra VLAN, é necessário roteamento (um gateway/roteador/firewall fazendo inter-VLAN).

Porta Access vs Trunk

Access: a porta pertence a uma VLAN. É o padrão para conectar dispositivos finais (câmera, NVR, PC). O dispositivo nem precisa “saber” o que é VLAN.
Trunk: a porta carrega múltiplas VLANs ao mesmo tempo, usando marcação 802.1Q. É usada para interligar switches, ou ligar um switch a um roteador/firewall que fará roteamento entre VLANs.

Sub-redes distintas: controle via gateway

Quando você coloca as câmeras em uma sub-rede diferente (ex.: 192.168.50.0/24) e os usuários em outra (ex.: 192.168.10.0/24), a comunicação entre elas passa pelo gateway (roteador/firewall). Isso permite aplicar regras: liberar apenas o necessário (ex.: usuários acessam o NVR; câmeras só falam com o NVR; bloquear câmera indo para a internet).

Isolamento do tráfego de câmeras

Isolar não é apenas “colocar em outra faixa de IP”. O isolamento efetivo acontece quando: (1) as câmeras estão em VLAN própria, (2) existe um gateway controlado (firewall/roteador) entre VLANs, e (3) há regras explícitas do que pode atravessar.

Continue em nosso aplicativo e ...

Ouça o áudio com a tela desligada
Ganhe Certificado após a conclusão
+ de 5000 cursos para você explorar!

ou continue lendo abaixo...

Baixar o aplicativo

Regras básicas de comunicação (modelo mental)

Em um cenário bem controlado, pense no fluxo assim:

Câmeras → NVR: permitido (o NVR precisa receber vídeo das câmeras).
Usuários/Operação → NVR: permitido (para visualizar, exportar, administrar).
Usuários/Operação → Câmeras: normalmente bloqueado (reduz risco; o usuário acessa o sistema via NVR/VMS, não diretamente a câmera).
Câmeras → Internet: normalmente bloqueado (salvo necessidade muito específica e controlada, como NTP interno/servidor de horário local, ou atualização via proxy/servidor gerenciado).
Acesso remoto: preferencialmente termina em um gateway controlado (VPN/firewall) e chega ao NVR/VMS, não às câmeras.

Topologias típicas de segmentação

1) Rede dedicada para CFTV (física separada)

Você usa switches e cabeamento dedicados para câmeras e NVR, sem conexão com a rede corporativa (ou com conexão mínima e controlada). É simples e robusto, comum em instalações menores ou quando se quer isolamento máximo.

Prós: isolamento forte, menos dependência da rede corporativa.
Contras: mais custo (infra duplicada), acesso remoto/integrações exigem ponto de interconexão controlado.

2) VLAN de CFTV dentro da rede corporativa (separação lógica)

Você mantém a infraestrutura (switches) compartilhada, mas cria uma VLAN exclusiva para câmeras e outra para NVR/gestão, com roteamento e regras no firewall/roteador. É o modelo mais comum em ambientes corporativos.

Prós: aproveita infraestrutura, escalável, controle centralizado.
Contras: exige configuração correta de VLAN/trunks e políticas; erro de configuração pode “misturar” redes.

3) NVR com duas interfaces (dual NIC): uma para câmeras, outra para usuários

O NVR possui duas portas de rede: uma conectada à rede das câmeras (VLAN/sub-rede de CFTV) e outra conectada à rede de usuários (VLAN/sub-rede corporativa). Assim, o NVR vira o “ponto de encontro” entre os dois mundos, reduzindo a necessidade de usuários acessarem câmeras diretamente.

Prós: simplifica o modelo “usuário → NVR” e “câmera → NVR”.
Contras: requer cuidado para não transformar o NVR em roteador involuntário; idealmente, o NVR não deve rotear tráfego entre interfaces (ou isso deve ser rigidamente controlado).

Passo a passo prático: criando uma segmentação com VLAN + sub-rede

A seguir, um roteiro genérico (independente de marca), para você aplicar em um switch gerenciável e em um firewall/roteador que faça inter-VLAN.

Passo 1) Defina as VLANs e sub-redes

Exemplo de desenho simples:

VLAN 10 (Usuários): 192.168.10.0/24
VLAN 50 (CFTV/Câmeras): 192.168.50.0/24
VLAN 60 (NVR/Serviços de CFTV): 192.168.60.0/24

Separar NVR em VLAN própria (60) ajuda a aplicar regras mais claras: câmeras só falam com VLAN 60; usuários só falam com VLAN 60; e ninguém fala direto com as câmeras.

Passo 2) Configure as portas Access no switch

Portas onde entram câmeras: Access na VLAN 50.
Porta onde entra o NVR (se NVR tiver uma NIC dedicada para câmeras): Access na VLAN 50.
Porta onde entra o NVR (rede de usuários/gestão): Access na VLAN 60 (ou VLAN 10, dependendo do desenho).
Portas de PCs/estações: Access na VLAN 10.

Passo 3) Configure o Trunk até o gateway (roteador/firewall)

Escolha a porta do switch que liga no firewall/roteador e configure como Trunk, permitindo as VLANs necessárias (10, 50, 60). No gateway, crie as interfaces VLAN correspondentes (SVIs/subinterfaces) e defina os IPs de gateway de cada rede, por exemplo:

Gateway VLAN 10: 192.168.10.1
Gateway VLAN 50: 192.168.50.1
Gateway VLAN 60: 192.168.60.1

Passo 4) Endereçamento: câmeras com gateway ou sem gateway?

Decisão prática:

Se você quer isolamento máximo: configure as câmeras sem gateway (gateway em branco) e garanta que elas só alcancem o NVR na mesma sub-rede/VLAN. Isso impede que a câmera saia da rede local, mas pode limitar recursos que dependem de roteamento.
Se você precisa de serviços roteados (ex.: NTP interno, servidor central, gerenciamento): configure gateway (192.168.50.1) e controle tudo por regras no firewall. É o modelo mais flexível, porém exige política bem feita.

Passo 5) Crie regras de firewall (política mínima)

O objetivo é permitir apenas o necessário. Um exemplo conceitual (não é sintaxe de fabricante):

OBJETOS (exemplo conceitual)  CAMERAS_NET = 192.168.50.0/24  NVR_IP      = 192.168.60.10  USERS_NET   = 192.168.10.0/24  NTP_IP      = 192.168.60.20 (opcional, servidor de horário interno)POLÍTICA (ordem importa)  1) Permitir CAMERAS_NET  -> NVR_IP      (portas de mídia/serviços do CFTV conforme necessário)  2) Permitir USERS_NET   -> NVR_IP      (HTTPS/cliente/VMS conforme necessário)  3) Bloquear USERS_NET   -> CAMERAS_NET (qualquer)  4) Bloquear CAMERAS_NET -> USERS_NET   (qualquer)  5) (Opcional) Permitir CAMERAS_NET -> NTP_IP (UDP/123)  6) Bloquear CAMERAS_NET -> Internet (qualquer)  7) Permitir NVR_IP -> Internet apenas se necessário (ex.: atualização/serviço remoto), preferir regras restritas

Observações práticas: (1) se o NVR estiver na mesma VLAN das câmeras (VLAN 50), as regras entre câmera e NVR não passam pelo firewall; nesse caso, o isolamento depende mais do desenho físico/lógico e do bloqueio de acesso de usuários às câmeras. (2) se você usa um VMS/servidor, trate-o como “NVR_IP” (destino permitido) e mantenha o resto bloqueado.

Passo 6) Acesso remoto via gateway controlado

Em vez de expor câmeras, concentre o acesso remoto no gateway (firewall/roteador) e no NVR/VMS:

Usuário remoto entra por VPN no gateway e acessa o NVR/VMS na VLAN 60.
Evite permitir conexões remotas diretas para a VLAN 50 (câmeras).
Se precisar publicar algo, publique o NVR/VMS e restrinja por origem, autenticação forte e regras mínimas.

Exemplos de diagramas conceituais (para visualizar)

VLAN em rede corporativa (com firewall fazendo inter-VLAN)

[Câmeras] --(Access VLAN 50)-- [Switch] --(Trunk 10/50/60)-- [Firewall/Gateway] -- [Rede Usuários VLAN 10]                                                  |                                                  +-- [VLAN 60: NVR/VMS]

NVR com duas interfaces

[Câmeras VLAN 50] -- [Switch/PoE] -- NIC1 (NVR)  (sem roteamento)  NIC2 (NVR) -- [Rede Usuários VLAN 10 ou VLAN 60] -- [Gateway/VPN]

Checklist rápido de implementação (o que mais dá errado)

Porta de câmera configurada como trunk por engano (vaza VLANs).
Trunk sem “allowed VLANs” restrito (passa VLAN desnecessária).
Gateway liberando “any-any” entre VLANs (segmentação vira só estética).
NVR com duas NICs roteando tráfego entre redes (ponte involuntária).
Câmeras com gateway apontando para a internet/roteador sem bloqueios (câmera sai para fora).

Agora responda o exercício sobre o conteúdo:

Em um projeto de segmentação de rede para CFTV, qual combinação descreve melhor um isolamento efetivo do tráfego das câmeras?

Você acertou! Parabéns, agora siga para a próxima página

Você errou! Tente novamente.

Isolamento real exige separação lógica (VLAN), passagem controlada por um gateway entre VLANs e políticas que liberem somente os fluxos necessários, reduzindo riscos e competição de tráfego.