资源描述
word观音岩水电站高清数字网络视频监控系统工程技术方案目录第一章概述41.1 行业背景分析41.2 技术背景分析4项目需求分析6第二章系统设计72.1 设计原如此7设计依据9设计目标9设计思想10设计特点102.6 系统解决方案122.6.1 系统总体框架设计122.6.2 监控前端硬件建设152.6.3 传输系统162.6.3.1 网络传输设计162.6.3.2 IP地址规划242.6.3.3 QoS设计242.6.3.4 组播设计262.6.3.5 网络安全设计262.6.4 监控中心建设272.6.4.1 网络视频监控集中管理平台设计272.6.4.2 远程联网集中管理平台的组成模块272.6.4.3 管理平台模块部署解决方案28存储方案设计292.6.4.6 流媒体转发设计31监控客户端控制322.6.4.8 DID液晶电视墙显示系统设计32第三章高清网络视频监控系统323.1 前端多种采集组合323.2 低码流下高清图像传输383.3 强大的网络管理功能393.4 标准平台易于远程接入和其他终端接入393.5 VMP联网集中管理平台393.6 强大的存储能力39第一章 概述1.1 行业背景分析近年来,随着科技的进步和经济的开展带来了整个社会生活水平的提高,人们生活不再仅仅局限于传统的衣、食、住、行,对周围的居住环境与工作环境安全越来越重视,安全技术防作为保护人民生命和财产的重要工具也越来越被广阔消费者所重视。在交通、银行、博物馆、政府机构、物流、商店超市、居民社区、企事业单位、工厂、教育、能源等各个领域已经得到广泛应用。闭路电视监控系统作为安全防系统最根本、最重要的子系统,得到了最为广泛的应用。采用闭路监控为主的多种技术防结合的系统是预防和制止犯罪最为有效的措施、同时也可以通过视频监控系统对各个现场环境的把握,实时了解其现场状态,提升各个环节的运作效率。同时在进展视频监控的同时在各个重点出入口和区域建设报警系统,采用现代通信技术和计算机技术以与软件开发技术完成报警系统和视频监控的有效联动。网络高清视频监控系统由总控中心里的专用监视器、录像存储、管理和转发设备以与布置在的主要部位的高清摄像机、网络球机和会聚交换机等视频网络组成。前端摄像机的实时监控视频信息通过交换机等传输设备传输到监控中心进展二十四小时实时录像,值班人员可对多路视频图像进展实时的任意的监看等。闭路电视监控系统作为一项先进的高科技防手段,特别是系统本身具有直观、实时、记录、回放等特点,在许多领域得到越来越广泛的应用。为了进一步满足观音岩网络监控系统要求,创造一个安全、稳定和高效的旅游环境,根据项目提供的相关资料和项目的实际需求,参照有关国际标准和国家标准,并结合我公司多年项目所积累的经验,现编制出这套技术方案。1.2 技术背景分析随着市场需求的不断变化和网络技术的飞速开展,无论是远程还是本地的型监控系统都需要一套完整的解决方案。无论是传统的模拟方式还是现阶段的DVR、DVS单机解决方案都不能很好的解决型监控系统的问题,如机场监控,大型小区,智能大楼,学校,旅游景点,超市,监狱,还有一些诸如边防,基站监控等远程应用。只有基于目前比拟成熟的网络技术,才能有效的解决工程中长距离布线、系统的扩展等多种需求问题。目前国国外正在兴起一股应用全网络数字监控系统的热潮,尤其是在监狱、机场、交通、高档写字楼等大型市政项目,城市的综合治安管理平台等等,所以网络数字视频管理系统是目前监控系统的开展方向和趋势。众所周知,视频监控系统的开展大致经历了三个阶段。在2000年以前,主要是以模拟设备为主,含摄像机和磁带录像机的全模拟电视监控系统,称为第一代模拟监控系统;2000年以后到现在,随着计算机处理能力的提高和视频技术的开展,人们利用计算机的高速数据处理能力进展视频的采集和压缩处理,利用显示器的高分辨率实现图像的多画面显示,从而大大提高了图像质量,由于传输依旧采用传统的模拟视频电缆,所以就叫着第二代半模拟半数字本地视频监控系统。从2004年开始,随着网络带宽的提高和本钱的降低、硬盘容量的加大和中心存储本钱的降低,以与各种实用视频处理技术的出现,视频监控步入了全数字化的网络时代,由于它从摄像机或网络视频服务器下来就直接进入网络,而且依靠强大的平台软件实施管理,所以称为第三代网络视频监控管理系统。第三代视频监控系统以网络为依托,并以数字视频的压缩、传输、存储和播放为核心,以智能实用的图像分析为特色,引发了视频监控行业的技术革命。监控产品正经历着从模拟化向数字化、网络化、智能化的革命。全网络视频监控管理系统除了具有传统闭路电视监视系统的所有功能外,还具有远程视频监看与回放,远程控制、快球预置点调用,网络连接异常检测,前端视频信号检测,DVS主机联动报警,视频录像数据存储等等功能,更有一套完善的后台管理软件平台。令人兴奋的是我公司利用自主研发软硬件的能力,不但能够提供功能强大的单机监控系统和网络摄像机、视频服务器,更能提供一整套基于网络的后台软件管理平台,用中心管理机完成数字矩阵功能,更能完成单纯的DVS,视频服务器和数字矩阵完成不了的功能。1.3.1 概述观音岩水电站为金沙江水电基地中游河段“一库八级水电开发方案的最后一个梯级水电站,位于省华坪县与省市的交界处,上游接鲁地拉水电站,下游距市27公里。根据其场地的核心地位与作业流程与人员进出的特殊性,要求有一套先进、全面、可行、并具有可扩展性的数字监控系统。1.3.2 建设目标观音岩高清网络监控系统设计的目标是建设一套基于网络数字技术的新型视频监控系统。用网络化视频图像记录替代传统模拟式图像分割录像监控,实现集中管理实时监控、实时调度;同时,网络监控功能可通过网络远程实时和非实时回放现场画面,以便于对突发事件的应急处理。视频图像实时监控的同时要求能清晰分辨监控区域出入与作业人员的面部特征;且在服务器保存30天以上生产作业区的高画质数字视频存储。观音岩高清网络监控系统由网络视频监控系统,集中管理监控系统电视墙构成。1.3.4.1 网络视频监控系统网络视频监控系统采用基于IP网络数字技术的实时视频监控、记录、传输,并保存90天以上的高画质数字视频存储。所有前端IP网络数字摄像机与报警信号通过光纤收发器连接到前端的信息机房,在通过光纤连接至监控主机房,必要时可通过英特网从监控主机房连接监控系统局域网。在监控主机房配置存储、转发服务器,配置监控系统局域网核心交换机柜,核心交换机与区域交换机之间达到千兆非理论千兆。选用主流正牌厂家的各级交换机,保证交换机交换能力,在网络视频监控流量较大的情况下,防止流量或交换能力导致的监控画面失真、设备掉线、马赛克画面、响应延迟、帧丢失等。在生产指挥调度室设置液晶拼接单元,对整个场地进展实时监控和调度,并可对所有视频设备进展调度和多功能监控。具体需求如下:水电站外围,人行通道设置星光级功能的红外高清枪机31台,红外高速球机7台,用于定点监控需要重点监视的区域。宿舍部安装了网络高清红外半球24台,宿舍外部安装网络高清红外枪机5台,用于监控宿舍人员进出的情况和宿舍外部小偷的情况。食堂部和外部安装了360度室网络高清半球摄像机2台、网络高清红外枪机4台、红外高速球机1台,用于监控食堂部的安全。领导楼、档案楼、监理楼安装了网络红外枪机13台、红外高速球机4台,用于监控外围的情况。部停车场、部停车场旁的体育场所安装了360度室网络高清半球摄像机2台、红外高速球机2台、网络红外枪机1台,用于监控停车场的进出情况和破坏器材的人员。 营地进出入口、工作接待中心安装了网络红外枪机12台、红外高速2台,用于监控车辆进出情况。第二章 系统设计2.1 设计原如此 高可靠性:系统设计、设备选型、调试、安装等环节都严格执行国家、行业的有关标准与公安部门有关安全技术防的要求,系统主要设备器材都选用国际化、专业化、规模化生产的高品质产品。其工艺水平高,质量保证手段完善,性能稳定,从而为系统的高可靠性打下坚实的根底。采用监控行业最新技术和高品质设备。在考虑技术先进性和开放性的同时,还应从系统结构、技术措施、设备性能、系统管理、厂商技术支持与维修能力方面着手,确保系统运行的可靠性和稳定性。满足724小时、全年365天的全天候长期稳定运行。 先进性:本系统采用先进的、具有前瞻性的视频监控技术,包括星光级200万像素网络高清技术、外置多功能拼接处理器、视频海量存储技术等。设备选型要保证技术领先,性能可靠,操作简便、实用,维护简单,性能价格比最优,并留有扩展余地。设备采用均采用目前领先技术和生产工艺制造。系统设计既采用了先进的设计理念、技术、方法,又结合结构、设备的成熟性,不但能表现现在的技术水平,而且具有开展的潜力。实现整个系统设备的运维管理,以与各类视频综合智能化应用。 经济实用性:在满足安全防级别要求的前提下,在确保系统稳定可靠、性能良好的根底上,在考虑系统的先进性的同时,按需选择系统和设备,做到合理、实用,降低本钱,从而达到极高的性能价格比,降低安全管理的运营本钱。系统建设应始终坚持面向应用、注重实效的原如此,把实用性和经济性结合起来。系统设备器材经过精心搭配,考虑最优的质量性能和价格比,既经济实用,又最大限度降低系统本钱。 系统完整性:该套管理系统是一个较完整的集成化管理系统,系统的设计着重考虑贵单位其它系统的管理综合、互动集成等因素。 操作简单实用:采用高科技手段,进展智能化设计,尽量减少系统操作的复杂性。 开展性:系统应在初步设计时,就考虑未来良好的开展性,以降低未来开展的本钱,使系统具有良好的可持续开展性,为今后系统的扩展提供了足够的空间。 外观效果美观:前端装置安装均考虑安全性、隐蔽性与美观性,根据实用和美观的原如此,前端和后端我公司都选用了外观工艺和性能稳定都比拟好的安防产品。 开放性和标准性:为了满足系统所采用的技术和设备的协同运行能力、系统投资的长期效应以与系统功能不断扩展的需求,必须追求系统的开放性和标准性。高清网络摄像机、高清编解码器、网络设备、存储设备与软件平台等均应采用开放式的产品或架构,满足构建统一的视频管理与应用平台的需要。 安全性和性:系统传输采用专网,充分利用光纤资源,保证视频信息、控制信息网络传输的安全和畅通,也可以采用互联网和VPN进展传输。同时设备接入、传输需采取不同的措施,包括系统安全机制、数据存取的权限控制等。采用加密技术,防止网络非法入侵保护和防止信息非法被窃取。 易管理性和易维护性:前端设备支持远程升级和远程故障排除功能,维护便捷,降低系统运维管理本钱。同时可自动检测系统中任何一台设备的运行状态,并示出详细参数,以辅佐管理人员与时准确地判断和解决问题。采用稳定易用的硬件和软件,完全不需借助任何专用维护工具,既降低了对管理人员进展专业知识的培训费用,又节省了日常频繁地维护费用。观音岩水电站高清网络监控系统遵循相关安防、民用与公安等电气工程与建设安装的相关行业标准和规。 甲方要求安全防工程技术规GB50348-2004智能建筑设计标准GB/T50314-2006工业电视系统工程设计规GBJ 115消防联动控制设备通用技术条件GB 168061997城市住宅建筑综合布线系统工程设计规CECS/119-2000视频安防监控系统工程设计规GB50395-2007视频安防监控数字录像设备GB20815-2006安全防工程程序与要求GA/T75-94安全防系统通用图形符号GA/T74-2000安全防系统验收规如此GA308-2001视频安防系统技术要求GA/T367-2001计算机场地技术要求GB2887-2000 综合布线系统设计规EIA/ITA568A、ISO/IEC11801、CECS72-79根据视频监控系统的特点和应用需求,本方案的目标是建设一个采用高清视频采集、外置多功能拼接处理器、光纤专网图像传输技术、联网控制技术、存储和显示等应用技术,并进展准确监控的视频监控平台。结合当前与今后一定时期图像监控系统与图像应用系统的开展需要,建立高清图像管理平台,为指挥调度、调查取证等多种后台应用提供与时、可靠的监控图像信息,服务实战。为了使我们设计的系统具有极高的可靠性和可持续开展的能力,同时也最大限度地降低系统的建设本钱、运行本钱费用。我们首先确立了以下几个设计的总体思路:1) 前端采用高清百万像素网络摄像机采集视频图像,最大分辨率可达到 1080P1920 10802) 高清图像数据经摄像机网络接口通过六类数据线会聚至千兆交接机,由光纤进展传输至中心管理设备进展统一的切换、控制、显示、编码和存储;3) 切换、控制和输出,采用高性能的视频处理设备,保证切换、控制的实时性;输出的图像为非压缩原始图像,保证了大屏显示的图像质量、清晰度和流畅性;4) 采用双码流模式管理,一个用于网络访问如分控中心桌面调看、中心硬解码显示,另一个用于存储;5) 录像资料统一存储,节省网络资源,录像时间按甲方要求为90天以上;6) 流媒体转发服务器实行集中管理,监测设备的运行状态;对客户端进展、密码、使用权限的集中分配和管理,对客户端登陆监控系统进展验证;7) 中心采用专业液晶大屏显示监控图像;本方案中设计12台46寸液晶屏。网络化实时监控在局域网任何可以接入网络的地方,通过授权,均以实现实时网络视频监控图像浏览;网络化存储系统可以实现本地、远程的录像存储和录像回放;高清晰的视频图像系统所采用的自适应高性能服务器设备,视频最高分辨率可高达1280*1024P(30fps)、双码流、实时性好;系统的兼容性能够和传统的CCTV设备严密结合,云台控制协议,与环境监控系统、门禁系统等互联后,系统可完成复杂的报警联动扩展功能强大的控制和集中管理功能用户集中认证和分布认证相结合,实现多级管理;逻辑目录树和物理目录树统一集中管理;用户和用户组策略管理,优先级自定义;准确到每个摄像机的浏览和PTZ控制权限自定义;系统管理权限自定义:对低优先级用户锁定浏览权限和PTZ控制权限;支持鼠标和3D的CCTV键盘PTZ控制,预置点,扫描线录制和调用在窗口直接控制PTZ方位;高优先级用户对视频图像和云镜的即时锁定;报警的集中应答,联动,转发;负载均衡:负载均衡技术与时、准确的把握节点负载状况,并根据各个节点当前的资源使用状态动态调整负载平衡的任务分布,有效的利用了带宽和服务器资源。录像保护:通过安全认证和水印技术保证录像的真实性,以防录像被修改;系统安全可靠利用网络安全技术使信息更安全、可靠,支持网络VPN 隧道的加密数据传输,使得视频图像在远程监控时更加安全;组网方便系统可以在现有的任何网络中完成各种监控功能,根据网络带宽的变化,视频流可自动调节可扩展具有与其它信息系统集成的开放接口,能够持续平滑升级和扩展,降低对系统的整体投资本钱2.6 系统解决方案在本安全技术防系统中,电视监控系统主要作为建筑物外大围监视区域的主要监视系统。根据木府建筑特点和安全防系统要求,结合目前安防产品的现状,电视监控系统的器材选型考虑为:网络摄像机、交换机、管理平台、控制软件、电视墙等主设备,选用国知名品牌的产品,在系统具有先进性的同时,可保证系统稳定性和系统维护;其它辅件、机柜、光缆、电缆、布线材料等选用国产的一些优质产品,这样即可以保证系统整体质量,又可从实际出发,降低工程本钱。在本系统方案设计中,我公司所推荐的设备为奥尼克斯全系列的产品。2.6.1 系统总体框架设计整个系统由前端视频设备、传输系统、视频管理监控中心、防雷系统组成。前端设备:考虑到现场环境的功能要求不同,要求也不一样,在本方案中我们在主要出入口与主人行道采用高清百万像素网络摄像机、在主要建筑与空地处采用高清百万像素网络枪机与球机;在最高处设置全景高倍高清球机,以达到最终实现监控目的。中心设备:系统设计为可全面方便控全部信号记录的中心系统,并设计为数字联网系统,充分满足现代化安防系统网络化要求。中间传输局部:由6类双绞线传输、集中供电线路与附属管道组成。各路双绞线缆采用一对一方式;前端各路摄像机均采用中心集中供电方式。传输线路的管线均以小型美观的桥架敷设,分支主要采用PVC管敷设,充分保证系统长期运行的稳定性。前设备供电:木府高清监控前端设备通常采用两种供电方式,一种是就近取电,一般可采用就近供电方式,各摄像机终端在就近的公共供电网络(如路灯供电网)取一路220V 市电,市电经加装自动重合闸开关含SPD,引到落地室外防水箱使用,保证了引入局部电源线路的漏电与防雷防护。另一种是集中供电,前端设备统一由中心机房UPS电源提供AC220V电源至前端设备处通过采用电源适配器转换后提供应摄像机所需要的电源供电。防雷接地:在整个监控系统中,由于室摄像机已经在建筑物,相应的就不在会受到雷击的可能,因此我们建议在木府的外围球机上安装防雷设备进展对摄像机保护。前端摄像机选用二合一网络防雷器,网络信号、电源的防雷,让室外监控的稳定运行。前端监控的防雷主要从以下二个方面进展:直击雷防护在直击雷非防护区的每个视频监控点均配置预放电避雷针,安装于监控点立杆顶部。提前预放电避雷针利用雷云电场周围电场强度向针尖发射高压脉冲特性,提前一定的时间引导雷电放电,不至于使局部雷云电荷积累形成过大的雷击强度,降低监控点雷击接闪强度和电子设备雷击电磁脉冲强度,提高了室外监控点的保护裕度。供电设施的雷击电磁脉冲防护电源防雷系统主要是防止雷电波通过电源对前端设备造成危害。为防止高电压经过避雷器对地泄放后的残压或因更大的雷电流在击毁避雷器后继续毁坏后续设备,以与防止线缆遭受二次感应,本系统对前端室外防水箱220V电源进线以与室外防水箱到网络数字摄像机的低压电源线路进展避雷接地。220V电源进线避雷标称放电电流不小于10KA。根据对整个系统的需求进展分析,和我们总体设计思想,系统的结构拓扑图如下:根据系统建设的需求,此次建设不是简单的设备采购,应包括硬件设备采购、安装、系统集成等工程,按建设的性质可分为:监控前端硬件建设1:摄像机安装与图像采集;传输系统1:图像、控制信号传输;2:供电线路、防雷系统;3:IP网络传输;监控中心建设1:存储系统;2:中心平台管理系统;3:显示系统;4:监控客户端控制系统;2.6.2 监控前端硬件建设监控前端采用高清网络摄像机、枪机、球机,根据不同场所环境我们选用不同的网络摄像机。此方案前端视频处理模式是采用高清来架构,同时为了满足监控画面的预览和回放清晰度,高清化网络摄像机采用1080P压缩分辨率进展传输和存储。前端设备布置设计 点位设计要求视频监控系统设计中前端点位的布置是否合理,以与所采用的设备是否恰当都是整个系统的关键所在。因此本次设计中,采用高清网络摄像机进展图像采集监控,再经会聚交换机会聚到中心。接入平台管理、并可进展全面而方便的控制,全部信号同时进入磁盘列集中存储单元进展全面的记录。在进展点位位置确定时,根据监视区域的规划来合理安排摄像机的安装位置,尽量满足重点区域无盲区监视,其他区域兼顾考虑等原如此。具体点位布置描述如下:考虑到现场环境的功能要求不同,要求也不一样,在本方案中我们在主要出入口与主人行道采用高清百万像素网络摄像机、在主要建筑与空地处采用高清百万像素网络枪机与球机;在最高处设置全景高倍高清球机。2.6.3 传输系统中心共有69路网络视频图像,每路视频图像720P高清需要的上传带宽不低于2Mbps,每路视频图像1024P高清需要的上传带宽不低于3Mbps,网络传输系统采用水平子系统会聚后再用光缆传输到监控中心,我公司建议采用全千兆局域网来架构视频传输系统。 2.6.3.1 网络传输设计主干网以中心控制室为中心,设14个主干交换节点,交换机采用千兆交换机。从交换机至摄像机全部采用6类非屏蔽双绞线传输。主网络拓扑示意图: 整体网络拓扑采用大二层的结构,分为核心层和接入层。核心层的核心交换机采用H3C增强型IPv6强三层万兆以太网交换机S550028FEI,S5500具有出色的安全性,可靠性,多业务处理能力。与接入层上的S51209PSI光纤连接。各类摄像机61只室外高清网络枪式摄像机 、7只高速球机、一只半球直接接入到接入交换机上。主网设备清单:序号产品代码项目名称数量1核心交换机LS-5500-28F-EI-ACH3C S5500-28F-EI-以太网交换机主机(24SFP+8GE bo+2Slots)-单交流电源1 SFP-GE-SX-MM850-A光模块-SFP-GE-多模模块-(850nm,0.55km,LC)14 LSKM2150A150W 交流电源模块1 小计核心交换机2接入交换机LS-5120-9P-SI-H3H3C S5120-9P-SI,L2以太网交换机主机,8个10/100/1000BASE-T,1个SFP,支持AC110/220V14 SFP-GE-SX-MM850-A光模块-SFP-GE-多模模块-(850nm,0.55km,LC)14 小计接入交换机产品介绍:核心交换机S550028FEI:H3C S5500-EI系列交换机是H3C公司最新开发的增强型IPv6强三层万兆以太网交换机产品,具备业界盒式交换机最先进的硬件处理能力和最丰富的业务特性。支持最多4个万兆扩展接口,支持IPv4/IPv6硬件双栈与线速转发,使客户能够从容应对即将带来的IPv6时代;除此以外,其出色的安全性,可靠性和多业务支持能力使其成为大型企业网络和园区网的会聚,中小企业网核心、以与城域网边缘设备的第一选择。 高扩展性保护投资随着用户端速度不断提高,用户最终会使集群千兆链路达到饱和,而能够拥有多条集群10GE链路将是我们的未来开展方向。H3C S5500-EI系列交换机支持两个扩展槽位,每个槽位支持最大两端口的10GE扩展模块与两端口的CX4扩展模块,在实现千兆会聚或接入时保存进一步支持10GE的扩展能力,尽力保护用户投资。IPv4到IPv6的演变是以太网开展的大势所趋,网络设备对于IPv6的支持不仅是简单的可用就行,而是需要达到商用的标准,S5500-EI已经通过了国际最权威的IPv6 Ready第二阶段认证,而且通过了信息产业部严格的IPv6入网测试。这个系列产品是基于硬件的IPv4/IPv6双栈平台,支持丰富的IPv4和IPv6三层路由协议、组播协议和策略路由机制,实现IPv4到IPv6的平滑升级。智能弹性架构H3C S5500-EI系列交换机支持IRF2第二代智能弹性架构技术,就是把多台物理设备互相连接起来,使其虚拟为一台逻辑设备,也就是说,用户可以将这多台设备看成一台单一设备进展管理和使用。IRF可以为用户带来以下好处: 简化管理 IRF架构形成之后,可以连接到任何一台设备的任何一个端口就以登录统一的逻辑设备,通过对单台设备的配置达到管理整个智能弹性系统以与系统所有成员设备的效果,而不用物理连接到每台成员设备上分别对它们进展配置和管理。 简化业务 IRF形成的逻辑设备中运行的各种控制协议也是作为单一设备统一运行的,例如路由协议会作为单一设备统一计算,而随着跨设备链路聚合技术的应用,可以替代原有的生成树协议,这样就可以省去了设备间大量协议报文的交互,简化了网络运行,缩短了网络动荡时的收敛时间。 弹性扩展 可以按照用户需现弹性扩展,保证用户投资。并且新增的设备参加或离开IRF架构时可以实现“热插拔,不影响其他设备的正常运行。 高可靠 IRF的高可靠性表现在链路,设备和协议三个方面。成员设备之间物理端口支持聚合功能,IRF系统和上、下层设备之间的物理连接也支持聚合功能,这样通过多链路备份提高了链路的可靠性;IRF系统由多台成员设备组成,一旦Master设备故障,系统会迅速自动选举新的Master,以保证通过系统的业务不中断,从而实现了设备级的1:N备份;IRF系统会有实时的协议热备份功能负责将协议的配置信息备份到其他所有成员设备,从而实现1:N的协议可靠性。 高性能 对于高端交换机来说,性能和端口密度的提升会受到硬件结构的限制。而IRF系统的性能和端口密度是IRF部所有设备性能和端口数量的总和。因此,IRF技术能够轻易的将设备的交换能力、用户端口的密度扩大数倍,从而大幅度提高了设备的性能。完备的安全控制策略H3C S5500-EI系列交换机支持EAD端点准入防御功能,配合后台系统可以将终端防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一个联动的安全体系,通过对网络接入终端的检查、隔离、修复、管理和监控,使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管理为集中策略管理,提升了网络对病毒、蠕虫等新兴安全威胁的整体防御能力。H3C S5500-EI交换机支持集中式MAC地址认证、802.1x认证、PORTAL认证,支持用户、IP、MAC、VLAN、端口等用户标识元素的动态或静态绑定,同时实现用户策略VLAN、QoS、ACL的动态下发;支持配合H3C公司的CAMS系统对在线用户进展实时的管理,与时的诊断和瓦解网络非法行为。H3C S5500-EI系列交换机提供增强的ACL控制逻辑,支持超大容量的入端口和出端口ACL,并且支持基于VLAN的ACL下发,在简化用户配置过程的同时,防止了ACL资源的浪费。另外,S5500-EI系列还将支持单播反向路径查找技术uRPF,原理是当设备的一个接口上收到一个数据包时,会反向查找路径来验证是否存在从该接收接口到包中制定的源地址之间的路由,即验证了其真实性,如果不存在就将数据包删除,这样我们就可以有效杜绝网络中日益泛滥的源地址欺骗。H3C S5500-EI交换机支持端口隔离功能,即便是在同一VLAN,也可以实现端口之间的隔离,从而防止广播风暴和病毒在VLAN地扩散从而影响所有端口。支持MAC地址学习限制和安全MAC地址功能,可以保证只有真正的业务主机才能够接入网络,而其他新接入主机即使连接到交换机上也无法获取地址并连通网络。多重可靠性保护S5500-EI系列交换机还具备设备级和链路级的多重可靠性保护。所有机型都支持冗余电源,其中S5500-28F-EI支持可插拔的冗余电源模块,也就是说我们可以根据实际环境的需要灵活配置交流或直流电源模块,此外整机还支持电源和风扇的故障检测与告警,可以根据温度的变化自动调节风扇的转速,这些设计使我们这款盒式交换机具备了机柜式交换机的高可靠性。除了设备级可靠性以外,还支持丰富的链路可靠性以外,还支持丰富的链路可靠性技术,比如华三通信独创的RRPP快速环网保护机制。当网络上承载多业务、大流量的时候也不影响网络的收敛时间,保证业务的正常开展。丰富的QoS策略H3C S5500-EI系列交换机支持L2Layer 2L4Layer 4包过滤功能,提供基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、TCP/UDP端口号、协议类型、VLAN的流分类。提供灵活的对列调度算法,可以同时基于端口和队列进展设置,支持SPStrict Priority、WRRWeighted Round Robin、SP+WRR三种模式。支持CARmitted Access Rate功能。支持出、入两个方向的端口镜像,用于对指定端口上的报文进展监控,将端口上的数据包复制到监控端口,以进展网络检测和故障排除。出色的管理性H3C S5500-EI系列交换机支持SNMPv1/v2/v3Simple Network Management Protocol,可支持Open View等通用网管平台以与iMC智能管理中心。支持CLI命令行,Web网管,TELNET,HGMP,使设备管理更方便,并且支持SSH2.0等加密方式,使得管理更加安全。H3C S5500-EI系列交换机支持基于MAC地址划分VLAN,很好的解决了移动办公的智能灵活管理;结合特有的基于全局和VLAN下发ACL策略,在简化用户配置的同时,也大幅节约了硬件资源。该系列交换机还支持sFlow功能,可以对出入方向的报文按比例随机抽样,灵活实现报文采集。接入交换机S51209PSIH3C S5120-SI系列以太网交换机是H3C技术自主开发的全千兆以太网交换机,广泛应用于企业网和园区网的接入层。提供灵活的全千兆以太网端口的接入密度、丰富的业务特性,并支持创新的IRFIntelligent Resilient Framework,智能弹性架构技术,用户可以将多台S5120SI交换机连接形成一个逻辑上的独立实体,从而为用户构建高性能、易管理、易扩展、低本钱的千兆到桌面的解决方案,是千兆接入的理想选择。灵活的千兆接入H3C S5120-SI系列全千兆以太网交换机提供灵活的8/16/24/48个10/100/1000M自适应电口接入;并且支持非复用的SFP插槽,充分考虑用户的带宽升级的实际情况,保护用户投资。智能弹性架构H3C S5120SI系列交换机支持IRF2第二代智能弹性架构技术,就是把多台物理设备互相连接起来,使其虚拟为一台逻辑设备,也就是说,用户可以将这多台设备看成一台单一设备进展管理和使用。IRF可以为用户带来以下好处: 简化管理 IRF架构形成之后,可以连接到任何一台设备的任何一个端口就以登录统一的逻辑设备,通过对单台设备的配置达到管理整个智能弹性系统以与系统所有成员设备的效果,而不用物理连接到每台成员设备上分别对它们进展配置和管理。 简化业务 IRF形成的逻辑设备中运行的各种控制协议也是作为单一设备统一运行的,例如路由协议会作为单一设备统一计算,而随着跨设备链路聚合技术的应用,可以替代原有的生成树协议,这样就可以省去了设备间大量协议报文的交互,简化了网络运行,缩短了网络动荡时的收敛时间。 弹性扩展 可以按照用户需现弹性扩展,保证用户投资。并且新增的设备参加或离开IRF架构时可以实现“热插拔,不影响其他设备的正常运行。 高可靠 IRF的高可靠性表现在链路,设备和协议三个方面。成员设备之间物理端口支持聚合功能,IRF系统和上、下层设备之间的物理连接也支持聚合功能,这样通过多链路备份提高了链路的可靠性;IRF系统由多台成员设备组成,一旦Master设备故障,系统会迅速自动选举新的Master,以保证通过系统的业务不中断,从而实现了设备级的1:N备份;IRF系统会有实时的协议热备份功能负责将协议的配置信息备份到其他所有成员设备,从而实现1:N的协议可靠性。 高性能 对于高端交换机来说,性能和端口密度的提升会受到硬件结构的限制。而IRF系统的性能和端口密度是IRF部所有设备性能和端口数量的总和。因此,IRF技术能够轻易的将设备的交换能力、用户端口的密度扩大数倍,从而大幅度提高了设备的性能。全面的接入安全策略H3C S5120-SI系列交换机支持特有的ARP入侵检测功能,可有效防止黑客或攻击者通过ARP报文实施网络中逐渐盛行的“中间人攻击,对不符合DHCP Snooping动态绑定表或手工配置的静态绑定表的非法ARP欺骗报文直接丢弃。同时支持IP Source Check特性,防止包括MAC欺骗、IP欺骗、MAC/IP欺骗在的非法地址仿冒,以与大量地址仿冒带来的DoS攻击。另外,利用DHCP Snooping的信任端口特性还可以有效杜绝私设DHCP服务器,保证DHCP环境的真实性和一致性。H3C S5120-SI系列交换机支持端口安全特性族可以有效防基于MAC地址的攻击。可以实现基于MAC地址允许/限制流量,或者设定每个端口允许的MAC地址的最大数量,使得某个特定端口上的MAC地址可以由管理员静态配置,或者由交换机动态学习。H3C S5120-SI系列交换机提供802.1X和MAC认证方式对接入的用户进展认证,允许合法用户通过,对于非法用户如此拒绝其上网。同时还支持客户端软件版本检测、Guest VLAN等功能,和iMC配合还可以实现代理检测、双网卡检测等功能。通过这些功能的应用可以对用户的合法性进展充分的检查和控制,最大程度的减少非法用户对网络安全的危害。增强的网络管理和维护的易用性H3C S5120-SI系列交换机支持通过FTP、TFTP实现设备的远程升级,支持SNMP v1/v2/v3,可支持Open View等通用网管平台,以与iMC智能管理中心。支持CLI命令行,Web网管,TELNET,HGMP集群管理,使设备管理更方便。并且支持SSH2.0等加密方式,使得管理更加安全。H3C S5120-SI系列交换机支持VCTVirtual Cable Test电缆检测功能,便于快速定位网络故障点。光纤以太网技术是现在两大主流通信技术的融合和开展,即以太网和光纤网络。它集中了以太网和光纤网络的优点,如以太网应用普遍、价格低廉、组网灵活、管理简单,光纤网络可靠性高、容量大。光以太网的高速率、大容量消除了存在于局域网和广域网之间的带宽瓶颈,成为未来融合话音、数据和视频的单一网络结构。光纤以太网产品可以借助以太网设备采用以太网数据包格式实现WAN通信业务。目前,光纤以太网可以实现10Mbps、100Mbps以与1Gbps等标准以太网速度。根据甲方意见,规划组建以光纤千兆非理论千兆骨干网络采集所有网路视频监控信息,运行监控系统,并与千兆核心网络实现只要IP信息可达时任意节点均可通过授权查看监控信息,需要对网络进展以下几个方面的设计考虑:1)提高网络可靠性:保证网络结构的健壮,稳定应用能力。2)提高接入安全性:通过防火墙或者安全组策略,以与物理和人员的管理措施,保证网络的安全应用。3)提高网络对视频的承载能力。网络视频传输需要一定的带宽容量支撑,主干网络需满足全视频网络的接入与转发,并考虑应用的扩展冗余。主干网络设计采用网络即插即用,以最简单方式实现高可靠主干网络,网络初期规划简单,增加业务简单、快捷。利用多层交换机来实现双线冗余技术,双线冗余由一个主线和一个从线相连而成,主线定时向链路发送协议报文来检测链路的状态,并且根据链路的实际状态来控制从端口的打开和关闭,从而实现故障自愈。双线冗余在单一链路故障时不会影响正常监控业务的进展,确保了整个系统的高可靠安全性,并有以下特色:技术趋势(国际标准/多厂商支持)双线同时传送数据,单车道变成双车道 时延小,不占用线上节点的处理能力 硬件级流量工程,链路带宽充分利用2.6.3.2 IP地址规划IP地址选择安防视频监控网络地址按A/B/C类保存地址段进展单独分配。IP地址分配监控承载网络IP地址规划主要包括交换机等网络设备之间的互联地址、各监控点终端的IP地址、各监控分中心用户终端的IP地址分配,具体分配方案遵从已有的分配原如此与方法,在此不做详细阐述。2.6.3.3 QoS设计QoS是一个综合指标,用于衡量使用一个服务满意程度。QoS性能特点是用户可见的,使用用户可理解的语言表示为一组参数,如传输延迟、延迟抖动、安全性、可靠性等。综合上述需求分析,现将监控系统承载网络应用服务等级化如下:主要容QoS分类依据IP优先级、TOS特性服务等级SLA监控音视频流IP地址、IP的TOS、IP包长度IP包长度为64B、TCP和UDP端口如、RTP、cRTP、Realaudio、UDP优先值101关键数据;TOS1011(低延迟、高可靠、低开销)白金服务platinumSIP信令流IP地址、IP的TOS、IP包长度IP包长度为188B、TCP和UDP端口如VDOLive优先值100闪速转发、TOS值1111低延迟、高吞吐量、高可靠、低开销金服务GOLD网络QoS策略部署的每个机制有自己在网络中的特定功能。简单地说,分类可以将通信流划分成不同服务类,进展标识,使其他机制可以提供差异服务质量。利用拥塞管理机制可以确定删除哪个分组,哪个分组优先通过网络。拥塞防止机制是在网络忙时让发送者减慢发送速度而防止拥塞。整型技术根据一组参数据规定通信流,删除不符合要求的通信流,防止下行发生拥塞。信令可以让客户机在网络上请求端对端服务质量。最后,链路效率机制可以最有效地利用带宽,使用压缩技术并把小链路连一个逻辑管道。以下是对监控承载网络的主要所运用QoS技术:编号QoS策略在承载网络应用所应用QoS技术1.分类标识策略在网络边缘设备上CAR/策略路由2.媒体流端到端服务质量保证主要用于网络所承载的语音与视频应用:接入交换机cRTP3.拥塞管理与拥塞防止网络中相对窄处或可能发生“瓶颈地方:与原有网络连接的路由器上RED、WRED、BE、 CBWFQ 、LLQ4.流量整形网络中相对窄处或可能发生“瓶颈地方: :与原有网络连接的路由器上GTS在承载语音、视频多媒体流应用时,采用RTP压缩技术。由于RTP包装UDP与IP头,因此头信息的总量RTP/UDP/IP增加到40字节。由于多媒体流通常是由小分组组成的,因此这个开销很大。由于分组与分组之间的头信息通常变化不大,因此可以想方法压缩这个头信息。RTP头压缩可以将各个链路的40字节头压缩减少到大约5个字节。2.6.3.4 组播设计在监控系统承载网络域,为满足多用户同时访问单个视频源,并节约网络压力,可采用组播组网,在骨干网上的三层路由交换机上启用PIM-SIM,充当本地组播的RPRendevous Point,会聚点。在监控终端接入的VLAN接口下使能三层组播协议IGMP,根据需要启用igmp fast-leave。在接入交换机上,启用IGMP Snooping。2.6.3.5 网络安全设计从体系结构来看,安全体系应该是一个多层次、多方面的结构。通过上面对承载网络平台所面临的安全状况的分析,可将承载网络平台的安全性在总体结构上分为四个层次:网络层安全、应用层安全、系统层安全和管理层安全。网络层安全是指在网络的下三层(物理层、链路层、网络层)采取各种安全措施来保障网络平台的安全;应用层安全是指通过利用各应用系统和数据库自身的安全机制,在应用层保证对网络上所承载的各种网络应用系统的信息访问合法性;系统层安全主要是通过对操作系统的安全设置,防止不法分子利用操作系统的安全漏洞对网络构成安全威胁;管理层安全主要是从网络所涉与的总控中心、分控中心各级网络用户部安全管理和计算机病毒防两方面来保障网络的安全。防火墙是网络系统的核心根底防护措施,它可以对整个网络进展网络区域分割,提供基于IP地址和TCP/IP服务端口等的访问控制;对常见的网络攻击方式,如拒绝服务攻击ping of death, land, syn flooding, ping flooding, tear drop, 、端口扫描port scanning、IP欺骗(ip spoofing)、IP盗用等进展有效防护;并提供NAT地址转换、流量限制、用户认证、IP与MAC绑定等安全增强措施。根据承载网络的网络结构,建议在监控承载网络与现有园区网连接处进展防火墙部署。为了保证网络传输质量,建议监控系统网络与其他网络完全隔离开。2.6.4 监控中心建设 网络视频监控集中管理平台设计由于采用的网络数字摄像机,因此我公司采用适用于大型集中监控的VMP智能网络视频集中管理平台。该平台通过视频监控局域网将分散、独立的图像采集点进展联网会聚,实现各区域的统一监控、集中存储、集中管理、资源共享,通过统一搭建的综合监控业务平台系统,满足贵方高清网络化视频监控的需要。VMP智能网络视频集中联网管理平台采用目前比拟先进的模块化设计,将整个平台通过软件开发分为多个灵活可调的模块进展有机的组合;我公司将根据实际的需求进展模块化组合,建设一个更加稳定、功能更加强大的集中管理平台。2.6.4.2 远程联网集中管理平台的组成模块序号名称型号说明视频前端编码设备1高清网络摄像机高清百万像素摄像机管理服务中心端2用户&目录管理整个联网集中管理平台用户、设备配置,权限优先级管理3管理&控制浏览、PTZ控制、远程参数设定、设备巡检4网络视频集中存储同步集中存储、异步分散备份5流媒体视频转发中心视频转发交换与网络负载均衡6单路解码器解码数字视频信号,复原成模拟D1、720P视频信号上电视墙分控客户端7监控客户端C/S的浏览和PTZ分控8其他视频业务终端2.6.4.3 管理平台模块部署解决方案a) 集中管理控制模块:用于前端网络摄像机远程管理、图像调用、云台控制、高清解码器控制、录像设置、资料查询回放等,是一台综合性操作服务器,比如视频处理、多任务运行等有较高要求;整个系统配置一台这样集中管理服务器,我公司针对高清视频监控所推出的集中管理平台服务器具备强大的处理能力和可靠的稳定性。b) 用户目录验证服务:用于用户信息的集中管理、集中验证、前端设备和后端各个软件模块之间的信息交换等,是整个平台的核心,其稳定性要求相当高,所以针对这类核心的特殊的服务器,我公司设计采用国际知名专业服务器厂商提供的硬件服务器,本台服务器根本的要要求多核心高主频处理器、可扩展双千兆网卡、整体性能稳定。c) 流媒体转发服务:大型网络视频监控还有一个比拟重要的模块就是转发服务器,其他相关业务终端都要从这台服务器获取视频数据,而这台服务器也需要长时间的稳定运行,对网卡和存资源有较大消耗,因此这台服务器我公司根据需要建议配置专业服务器,并提升存为4GB,同时采用双网卡。由于整套系统为69路网络视频传输和转发,因此只需配置一台来转发,减轻服务器的压力。d) 集中存储服务:由于整个系统共有69台摄像机,对于这些摄像机的视频存储我公司建议采用数字集中存储方式,存储服务器从稳定性的角度考虑我公司也建议配置专业服务器,服务器要求具备双网卡负载均衡、2GB以上存资源、多核重要处理器、双冗余服务器电源。 e) 网络数字矩阵:我公司的网络数字矩阵服务器专为高清数字视频信号的浏览切换而配置,具备可同时进展16路D1画面浏览或者8-10路高清720P视频浏览。通过网路数字矩阵服务器的高清显卡输出接口与支持高清分辨率显示的大屏幕液晶电视连接就组成了高清网络数字矩阵平台了,这种显示模式不需要对网络视频信号进展模拟复原,直接显示数字视频信号,减轻了因解码复原成模拟信号后所产生的延时现象,而且整体造价更低,减少了处理环节显示系统更加灵活也更加稳定。两种视频监控常用存储方案的比拟直接存储方式:这里的直接存储方式是指通过架设一台专业的存储服务器,在服务器里面直接安装磁盘来做存储服务器,存储容量将根据服务器上的盘位来配置,根据具体需要可以选择是否做RAID。目前单块硬盘的容量越来越大,单台传统存储方式可以解决一些小规模的网络监控存储系统,其特点是:造价低,适用于各类型网络视频监控存储系统,具备一定的灵活性和扩展性。IP SAN存储技术,顾名思义是在传统IP以太网上架构一个SAN存储网络把服务器与存储设备连接起来的存储技术。IP SAN其实在FC SAN的根底上再进一步,它把SCSI协议完全封装在IP协议之中。简单来说,IP SAN就是把FC SAN中光纤通道解决的问题通过更为成熟的以太网实现了,从逻辑上讲,它是彻底的SAN架构,即为服务器提供数据块级服务。ISCSI是实现IP SAN最重要的技术。在ISCSI出现之前,IP网络与块模式主要是光纤通道是两种完全不兼容的技术。有意思的是,ISCSI是运行在TCP/IP之上的块模式协议,将两者的优势很好地结合起来。这种方式适合于一些对存储数据安全性要求比拟高,数据流量比拟大的一些大型的集中联网项目,如大型楼宇网络视频监控、金融、电力以与平安城市等领域,其整体性价比拟高。本系统存储方案根据需求分析和相关要求,我公司本套解决方案采用存储服务器的存储方式来解决网络视频的存储任务。通过在监控中心机房部署集中存储服务器对整个管理区网络视频数据进展集中存储。总共设计有69台摄像机,要求在全天24小时存储30天计算; 69台其中7台为1024P,存储30天。1024P球机:7路*4Mbps *3600s*24小时/8*30天/1024/1024=7TB100万枪机1024P:69路*2Mbps *3600s*24小时/8*30天/1024/1024=43TB整个系统所有摄像机存储硬盘需要50TB硬盘,然而我公司前端所有视频处理设备都采用的是标准H.264编码标准,虽然设定为恒定码流,但是在遇到有比拟丰富的监控场景监控时,其实际码流会有正向偏移,根据实测,实际的存储容量比理论计算值要偏移6%-10%;因此为了满足需求功能和充分考虑到设计的冗余性,本解决方案的最终存储容量需要:50TB+50TB*10%=55TB需要的存储阵列:55TB/30=2台,所以需要配置2台16盘位。IPSAN存储整体架构示意图如下:2.6.4.6 流媒体转发设计对于高清网络视频监控系统来说,如何解决多路数视频管理、多用户访问、多业务终端承载一直是网络视频面临的难题,我公司针对网络视频监控的特点,结合多年来从事网络视频监控的宝贵经验,成功推出了稳定性极强的高清网络视频流媒体转发服务模块,将这个转发服务模块部署到网络服务性能比拟高的专业服务器上,可提供大型网络视频监控系统的视频数据访问服务,一般4核处理器,双千兆网卡负载均衡,3GB以上存级别的专业服务器的网络吞吐能力在300Mbps左右,理论上可实现峰值150路高清视频转发服务,当然我公司不建议服务器一直满负荷运行,时间一长肯定会造成系统不稳定,因此我公司建议每台转发服务器的同时并发数控制在100路是比拟可靠的解决方法,所以本设计方案建议配置1台转发服务器来进展流量均衡,保证整个系统的访问流畅稳定。在需要进展监控查看的部门,比如保卫室,管理部门以与领导办公室,可以安装一套视频监控客户端,以便对前端的监控图像进展浏览查阅。2.6.4.8 DID液晶电视墙显示系统设计监控中心的显示系统由8台22寸液晶拼接单元、1台55寸液晶屏。第三章 高清网络视频监控系统本章着重对整个系统的各组成局部的特色功能以与整个平台的特色功能进展阐述,通过这些功能的介绍来展示本套系统针对的监控所具备的一些优势。
展开阅读全文