次の図では、2つのVLANで構成するネットワークを紹介します。それぞれのVLANで、ルーティングとファイアウォールの構成が異なります。ネットワークを分離することで、システムにセキュリティ層を追加することができます。

注意：この推奨を使用する場合、ポータル内のカメラを自動検出する機能がカメラを検出しない可能性があります。その場合は、カメラを手動で追加する必要があります。

メモ

インターネット ：VLAN 1 → インターネットでは、受信トラフィックと送信トラフィックを制限するルールセットが適用されている必要があります。

VLAN 1および2：VLAN 1 ↔ VLAN 2 の通信は、ルーティング可能なトラフィックを制限することもできます。これは、カメラのニーズによって異なりますが、通常はポート80/443と554が必要なポートです。

VLAN 2：VLAN 1にのみアクセス可能で、直接インターネットにアクセスする必要はありません。

次の図では、単一のネットワークを紹介します。

メモ

インターネット ：VLAN 1 → インターネットでは、受信トラフィックと送信トラフィックを制限するルールセットが適用されている必要があります。

デバイスがネットワーク構成を取得できるように、DHCPサーバーを介してIPアドレスを指定することをお勧めします。また、デバイスがインターネットアドレスを解決できるように、DHCP割り当てでDNSサーバーのIPを渡す必要があります。Arculesアプライアンスに特定のIPを設定するには、DHCPレコードを設定するか、デバイスでIPをローカルに手動で設定してください。

セキュリティ上の理由から、Arculesでは、設計によるセキュリティを含むアーキテクチャ慣行に従い、アプライアンスは機能するために必要なポートのみ実行しています。開いているポートであれば、インターネットからアクセスできるようにするための特別なルールやルーティングは必要ありません。ポートの制限には、デバイスで有効になっていないSSHなどの一般的なデバイスアクセスプロトコルも含まれます。

ゲートウェイセキュリティガイドに基づいて行う必要があります（セキュリティガイドドキュメントについては、Arculesサポートにお問い合わせください）。すべての企業がホスト名ベースのファイアウォールルールを実行できるわけではありません。代替方法がいくつかあります。

ポート443を利用して情報を送信し、ICMP pingを使用してサービスが稼働していることを確認するだけでよいです。

ビデオデータは帯域を広く使うアプリケーションで、正しく構成されていないとネットワークに損害をもたらす可能性があります。高帯域幅のアプリケーションを使用する場合は、デバイス間のデータフローを十分に把握し、トラフィックが追加のスイッチを不必要に通過して目的先に到達しないようにすることが重要です。OSIモデルが、そのようなネットワークデバイスが実現できるかの参考になります。デバイスが正しく構成されている場合は、ネットワークの空き容量を効率よく利用できるようになります。

レイヤー3スイッチ

レイヤー3スイッチはトラフィックをルーティングでき、正しく構成すれば、接続されているゲートウェイが異なるネットワークの同じスイッチ上にある場合、デバイスからのアップリンク量を制限できます。

レイヤー2スイッチ

レイヤー2スイッチは、トラフィックをルーティングすることはできませんが、同じネットワーク上にトラフィックを渡すことは可能です。

現時点では、プロキシサーバーや「キャプティブポータル」の使用は推奨もサポートもしていません。これは、最適な表示を提供するためのパケットフローの速度だけでなく、お客様の設定によってはデバイスにより生じる可能性のあるトラフィック量が原因です。

DHCPは、ネットワーク上でIPアドレスを配布するためによく利用される方法です。デバイス自体にアクセスせずに、静的IPを管理できるように予約を設定できます。これは、デバイスのMACアドレスを利用して行われます。

詳細については、ウィキペディア（https://ja.wikipedia.org/wiki/Dynamic_Host_Configuration_Protocol）をご覧ください。

静的IPアドレスは、IPアドレスを手動で設定する概念です。ネットワーク上でDHCPサービスを利用できない場合や、ネットワーク管理者が指定した場合に設定する必要があります。

詳細については、ウィキペディア（https://ja.wikipedia.org）をご覧ください。