在大多数小型环境中，由于监控设备需要联网，就会和办公上网设备连接在同一网络，监控和办公网络/上网网络不会进行隔离。这种情况下局域网的手机、电脑等终端设备可以访问到监控设备，如果被非法终端访问监控设备，可能存在监控视频泄露、监控设备配置被修改等风险。下面我们来介绍几种隔离局域网终端设备访问监控设备的方法。

方法1、使用双网口录像机

双网口录像机具有两个以太网口，能够支持多种工作模式，应用非常灵活。其中多址设定模式可以让两个网卡独立工作，连接不同网络，如内外网隔离、连接平台/专网等。

双网口录像机工作在多址设定模式，实现监控网络与办公网络/上网网络隔离、且能够实现远程监控。LAN1连接办公网络、LAN2连接监控网络，这样录像机可以联网实现远程监控，同时办公网络无法访问到摄像机和监控设备。

说明：办公网络可以通过LAN1口的IP地址访问到NVR，但由于NVR是加密的，所以安全性有所保证。

方法2、交换机划分VLAN

采用支持VLAN划分的交换机或路由器划分VLAN，将监控网络与上网网络划分在不同VLAN，不同VLAN之间不能相互访问但都能访问互联网，实现局域网隔离但均能连接互联网。

说明：需要交换机支持802.1Q VLAN划分。

方法3、启用无线隔离

很多店铺、家庭等小型环境的摄像机是通过无线连接到路由器，摄像机和手机是在一个局域网。如果对访客或顾客开放无线密码而又不想让用户访问到监控，最好的办法就是设置访客网络，并关闭访客网络对主人网络的访问权限。这样访客可以上网，但无法访问监控。

说明：连接访客SSID后无法访问主人网络

如果路由器不支持访客网络，就可以设置无线隔离，简单说就是将所有无线终端相互隔离，在同一局域网下也无法相互通信，这样也可以保护监控不被访问。

说明：无线隔离（AP隔离）禁止无线终端相互访问

方法4、增加路由器级联

1. 上述方法都是软件隔离，一般情况下，摄像机都是连接到专用的交换机后接入路由器上网，可以通过级联路由器的方式限制对监控的访问。在主路由器上连接二级路由器，监控摄像机、录像机均接入二级路由器联网。这样前端路由器的手机、电脑就无法访问到二级路由器下的监控设备。

说明：路由器是NAT单向访问设备

2. 主人手机电脑可以直接登录绑定的TP-LINK ID预览控制，或者在二级路由器上设置端口映射，实现局域网添加管理。例如，某小型饭店的监控和上网网络拓扑图如下：

其他安全防护手段

上述几种网络是在监控拓扑、网络设置上进行安全防护，除此之外，还有其他的安全防护手段。例如：

(1) 为监控设备设置安全性较高的密码。

(2) 设置访问白名单（勿轻易设置）。

(3) 修改录像机的IP地址与上网网络不在同一网段。

(4) 修改监控设备的端口。

(5) 三层设备设置访问策略。

建议根据实际情况选择最合适的方法，提升监控网络的安全性。