资源描述
视频监控系统 网络解 决 方 案 年 月 日 目录 1 综述41.1方案概述41.2设计原则41.2.1可靠性41.2.2先进性41.2.3实用性41.2.4合理性51.2.5 可管理性51.2.6 安全性51.2.7 可扩展性51.2.8 标准、开放52 网络规划62.1 产品的选择62.2 网络方案的总体设计62.2.1 分层的结构设计72.2.2建议设计72.3 VLAN及IP地址规划152.3.1 划分VLAN的方法152.4 路由协议及路由策略规划192.5 组播的实现192.6 网络安全213 网络管理224 功能实现234.1 基本功能实现234.2 扩展功能实现245 培训256 质量保证和售后服务25 1 综述1.1 方案概述本视频方案是基于以太网络的视频监控解决方案,可实现图像实时观看、远程控制、海量存储、远程传输、分级管理和诸多增值业务的分布式视频监控网络解决方案。该方案具备开放的体系架构、稳定的系统性能、丰富的业务体验、电信级运营维护的特点。可为管理层提供一种直观的、交互的、可运营、可管理、可扩展的视频监控管理平台。具备性价比高、性能稳定等诸多优点,是部署视频监控网的最佳选择。1.2 设计原则本方案遵循以下原则:1.2.1 可靠性作为基础设施,系统的可靠性是网络建设的首选因素。在网络设备及结构等方面均应达到国际和国家相应的标准指标和要求,并满足客户的需要。1.2.2 先进性采用先进而成熟的网络技术产品,适应大量的数据和多媒体信息传输、处理、交换的需要,应有一定的扩充与发展空间,使整个网络系统具有较强的生命力。1.2.3 实用性计算机网络建设强调网络系统与网络应用并重,先进实用,具有较强的可操作性;易于管理维护、便与扩充发展。1.2.4 合理性网络建设必须考虑技术与经济上的合理性,应具有较高的性能价格比。必须考虑网络系统在全寿命期内的全部建设维持费用的合理及可承受性。1.2.5 可管理性网络设计能够满足统一、集中管理的需求,使得使用最少的人力就可以保证网络的日常维护。管理人员应该能够通过单一网管平台监测和控制所有的网络设备及端口。网络设备应尽量集中存放,以满足管理及外界条件的要求。1.2.6 安全性所有设备的选型以及操作系统、应用软件系统的选择应该满足防止设备损坏、数据和其他资源的丢失和破坏,防止对网络的非授权使用。1.2.7 可扩展性 在考虑网络的先进性和实用性的同时,也要考虑网络的可扩展性,便于将来网络的升级。1.2.8 标准、开放 整个网络系统全部采用或符合有关国际标准,使网络具有良好的开放性和兼容性。所选网络设备支持符合国际标准和业界统一标准的相关接口,能够与各级及各基层单位网络、ISP的网络以及其它相关系统实现可靠的互联;网络协议选择广泛应用的标准协议,同时支持园区网内部的多种网络应用协议。2 网络规划 2.1 产品的选择 目前提供千兆位路由交换机的厂家有很多,每家产品都各有所长,但作为基础网络建设系统,能否提供全方位的解决方案,完善的产品服务以及较高的性能是我们考虑问题的重点。同时,不仅可以提供路由器、交换机等数通产品,防火墙、IDS、端点接入等安全产品,而且也可以提供服务器、存储产品、视频会议系统,这样即可以满足现在的基础网络建设,也可以满足基础网络建设的二期建设及实现多种应用。2.2 网络方案的总体设计 为了实现内部相关部门的数据共享、互联互通,如何实现安全可靠,高速稳定的运行对整个系统来说非常关键。因此,我们在设计整个网络系统时要综合考虑多种因素,包括未来的发展速度、信息存储灾备的模式、安全理念、业务应用类型等,同时为了保证网络的稳定,核心设备应当适度超前,满足未来5年的信息增长需求。系统拓扑图如下2.2.1 分层的结构设计 在局域网的网络设计中,我们采取分层的结构设计,采用这样的结构组件的网络具有良好的扩展性、可管理性、易维护性,新的子网和技术能更容易的集成到系统中,而不破坏已存在的网络。各层与上一层之间都有冗余连接,实现备份链路和清晰的层级边界。2.2.2建议设计建议设计一网络架构 图一网络设备接入层设备10/100/1000M交换机,至少有两个端口支持千兆网络,做级联时使用。支持组播协议 igmp snooping ,igmp v1/v2,多vlan划分和vlan下组播。核心层设备1000M三层交换机,支持组播协igmp snooping,igmp v1/v2, pim-sm,pim-dm,多vlan划分和vlan下组播。网络接口以太网接口:相对于普通的模拟监控,低成本,抗干扰。以太网接口之间用双绞线连接,双绞线的传输距离为100米。光纤接口:抗干扰,传输距离远。各层与上一层的级联链路使用光纤传输,交换机配置光模块或使用光纤收发器。前端摄像机与配电机房的距离大于100米的,使用光纤传输,摄像机与接入层交换机之间使用一对光纤收发器进行光电转换。冗余链路:网络分层为接入层,核心层,每台设备与上一层级联时,都级联至少两台上层设备,避免某一链路或者某台设备故障时,传输中断,图像丢失。网络流量组播:实时监控组播数据流。单播:存储数据流,信令控制,TCP传输。码流:高清视频码流6M/bps。网络设计建议使用监控专网构建监控专网优势对网络安全要求较低,便于今后开展其它IP业务,无需额外的QoS支持。网络排错组播表查看线路排查建议设计二网络架构 图二网络设备接入层设备10/100/1000M交换机,至少有两个端口支持千兆网络,做级联时使用。支持组播协议 igmp snooping ,igmp v1/v2,多vlan划分和vlan下组播。核心层设备1000M三层交换机,支持组播协igmp snooping,igmp v1/v2, pim-sm,pim-dm,多vlan划分和vlan下组播。网络接口以太网接口:相对于普通的模拟监控,低成本,抗干扰。以太网接口之间用双绞线连接,双绞线的传输距离为100米。光纤接口:抗干扰,传输距离远。各层与上一层的级联链路使用光纤传输,交换机配置光模块或使用光纤收发器。前端摄像机与配电机房的距离大于100米的,使用光纤传输,摄像机与接入层交换机之间使用一对光纤收发器进行光电转换。冗余链路:网络分层为接入层,核心层,每台设备与上一层级联时,都级联至少两台上层设备,每台设备与某台设备级联时,都使用两条光纤链路连接,可以实现冗余和负载均衡,避免某一链路或者某台设备故障时,传输中断,图像丢失。还可以减轻一条链路的压力,增加传输速度。可靠性增加,成本较规划一高。网络流量组播:实时监控组播数据流。单播:存储数据流,信令控制,TCP传输。码流:高清视频码流6M/bps。网络设计建议使用监控专网构建监控专网优势对网络安全要求较低,便于今后开展其它IP业务,无需额外的QoS支持。网络排错组播表查看线路排查建议设计三网络架构 图三网络设备接入层设备10/100/1000M交换机,至少有两个端口支持千兆网络,做级联时使用。支持组播协议 igmp snooping ,igmp v1/v2,多vlan划分和vlan下组播。汇聚层设备100/1000M交换机,至少有两个端口支持千兆网络,做级联时使用。支持组播协议 igmp snooping ,igmp v1/v2,多vlan划分和vlan下组播。核心层设备1000M三层交换机,支持组播协igmp snooping,igmp v1/v2, pim-sm,pim-dm,多vlan划分和vlan下组播。网络接口以太网接口:相对于普通的模拟监控,低成本,抗干扰。以太网接口之间用双绞线连接,双绞线的传输距离为100米。光纤接口:抗干扰,传输距离远。各层与上一层的级联链路使用光纤传输,交换机配置光模块或使用光纤收发器。前端摄像机与配电机房的距离大于100米的,使用光纤传输,摄像机与接入层交换机之间使用一对光纤收发器进行光电转换。冗余链路:网络分层为接入层,汇聚层,核心层,每台设备与上一层级联时,都级联至少两台上层设备,避免某一链路或者某台设备故障时,传输中断,图像丢失。网络流量组播:实时监控组播数据流。单播:存储数据流,信令控制,TCP传输。码流:高清视频码流6M/bps。网络设计建议使用监控专网构建监控专网优势对网络安全要求较低,便于今后开展其它IP业务,无需额外的QoS支持。网络排错组播表查看线路排查建议设计四网络架构 图四网络设备接入层设备10/100/1000M交换机,至少有两个端口支持千兆网络,做级联时使用。支持组播协议 igmp snooping ,igmp v1/v2,多vlan划分和vlan下组播。汇聚层设备100/1000M交换机,至少有两个端口支持千兆网络,做级联时使用。支持组播协议 igmp snooping ,igmp v1/v2,多vlan划分和vlan下组播。核心层设备1000M三层交换机,支持组播协igmp snooping,igmp v1/v2, pim-sm,pim-dm,多vlan划分和vlan下组播。网络接口以太网接口:相对于普通的模拟监控,低成本,抗干扰。以太网接口之间用双绞线连接,双绞线的传输距离为100米。光纤接口:抗干扰,传输距离远。各层与上一层的级联链路使用光纤传输,交换机配置光模块或使用光纤收发器。前端摄像机与配电机房的距离大于100米的,使用光纤传输,摄像机与接入层交换机之间使用一对光纤收发器进行光电转换。冗余链路:网络分层为接入层,汇聚层,核心层,每台设备与上一层级联时,都级联至少两台上层设备,每台设备与某台设备级联时,都使用两条光纤链路连接,可以实现冗余和负载均衡,避免某一链路或者某台设备故障时,传输中断,图像丢失。还可以减轻一条链路的压力,增加传输速度。可靠性增加,成本较规划三高。网络流量组播:实时监控组播数据流。单播:存储数据流,信令控制,TCP传输。码流:高清视频码流6M/bps。网络设计建议使用监控专网构建监控专网优势对网络安全要求较低,便于今后开展其它IP业务,无需额外的QoS支持。网络排错组播表查看线路排查2.3 VLAN及IP地址规划2.3.1 划分VLAN的方法 VLAN是建立在各种交换技术基础之上的。所谓交换实质上只是物理网络上的一个控制点,它由软件进行管理,所以允许用户利用软件功能灵活地配置资源,管理网络。利用交换设备中的虚网功能,不必改变网络的物理基础,即可重新配置网络。交换机必须要求支持灵活的VLAN划分。 将端口分配给VLAN的方式有两种,分别是静态的和动态的。静态VLAN:形成静态VLAN过程是将端口强制性地分配给VLAN的过程。确定哪些端口属于哪些特定的VLAN,然后将VLAN静态映射到端口。这是将端口映射到VLAN的一种最通用的方法。动态VLAN:根据主机的MAC地址划分VLAN,建议使用公司的802.1X实现动态VLAN功能。2.3.2 VLAN规划 根据前端摄像机的区域位置将划分几个vlan,分组管理,这样可以有效的避免广播风暴,同时方便管理:(1)首先,必须实现不同网段网络之间的互相割离。我们建议使用VLAN技术,同时在核心交换机上配合使用访问控制列表实现不同区域之间的隔离。(2)从广播控制角度出发,为了保障网络的高可用和高性能,我们建议在进行具体VLAN规划时,同一个广播域内(一个VLAN)的摄像机不要超过50台,我们通过二层隔离,三层交换的方式来解决。(3)对于后端服务器建议单独设置在一个VLAN中。(4)如果不同vlan之间需要实现互访,则只需要在核心交换机上放开访问控制列表就可以了。(5)对于高级控制员,需要能够访问各个vlan的资源,对于此类用户,我们只需在核心交换机上,不对其设置任何访问控制列表就可以了。总之,任何访问控制要求,均可以通过访问控制列表的方式实现。而且访问控制列表可以在用户认证的时候从认证服务器下发,从而实现灵活的访问控制。为避免混乱及出错,应对网络中的Vlan ID统一规划,禁止出现网中的ID相同而又不在同一个Vlan中的情形。另外,由于802.1Q协议支持至多4096个Vlan ID划分Vlan ID可以为以后管理带来很大的方便,比如一看Vlan ID即知是哪一区域的摄像机。建议Vlan ID采用如下分配原则:、Vlan1保留使用、为方便管理,建议按地理区域划分一段连续的Vlan ID。、VLAN ID的分配按照每个区域占用一个VLAN ID的方式,该VLAN ID必须保证全网统一规划,不允许重复。2.3.3 IP地址规划 IP地址的合理规划是网络设计中的重要一环,大型计算机网络必须对IP地址进行统一规划并得到实施。IP地址规划的好坏,影响到网络路由协议算法的效率,影响到网络的性能,影响到网络的扩展,影响到网络的管理,也必将直接影响到网络应用的进一步发展。IP地址的合理分配是保证网络顺利运行和网络资源有效利用的关键。充分考虑到地址空间的合理使用,保证实现最佳的网络内地址分配及业务流量的均匀分布。IP地址的分配和网络组织、路由策略以及网络管理等都有密切的关系,具体的IP地址分配将通常在工程实施时统一规划实施,这里主要描述IP地址分配的原则。主要的原则描述为:n IP地址分配要尽量给每个区域分配连续的IP地址空间;在每个区域网中,相同的业务和功能尽量分配连续的IP地址空间,有利于路由聚合以及安全控制;n IP地址的规划与划分应该考虑到个区域的发展,能够满足未来发展的需要;即要满足本期工程对IP地址的需求,同时要充分考虑未来业务发展,预留相应的地址段;n 地址分配是由业务驱动,按照业务量的大小分配各地的地址段;n IP地址的分配可以采用VLSM(变长掩码)技术,保证IP地址的利用效率;IP地址规划应该是网络整体规划的一部分,即IP地址规划要和网络层次规划、路由协议规划、流量规划等结合起来考虑。IP地址的规划应尽可能和网络层次相对应,应该是自顶向下的一种规划。2.4 路由协议及路由策略规划 由于是视频监控专网,所以我们采用管理距离较短的静态路由,不需要动态路由的收敛时间,路由和转发更快,延迟更小。2.5 组播的实现 当信息(包括数据、语音和视频)传送的目的地是网络中的少数用户时,可以采用多种传送方式。可以采用单播(Unicast)的方式,即为每个用户单独建立一条数据传送通路;或者采用广播(Broadcast)的方式,把信息传送给网络中的所有用户,不管他们是否需要,都会接收到广播来的信息。例如,在一个网络上有200 个用户需要接收相同的信息时,传统的解决方案是用单播方式把这一信息分别发送200 次,以便确保需要数据的用户能够得到所需的数据;或者采用广播的方式,在整个网络范围内传送数据,需要这些数据的用户可直接在网络上获取。这两种方式都浪费了大量宝贵的带宽资源,而且广播方式也不利于信息的安全和保密。IP 组播技术的出现及时解决了这个问题。组播源仅发送一次信息,组播路由协议为组播数据包建立树型路由,被传递的信息在尽可能远的分叉路口才开始复制和分发,因此,信息能够被准确高效地传送到每个需要它的用户。组播的优势主要在于: 提高效率:降低网络流量,减轻服务器和CPU 负荷; 优化性能:减少冗余流量; 分布式应用:使多点应用成为可能。系列三层交换机均支持IGMP V1/V2组播协议,满足(RFC 1112、2236)标准,除此之外还支持PIM-SM、PIM-DM三层组播协议。交换机支持硬件的IGMP SNOOPING,即组播报文通过ASIC进行判断,如果是IGMP报文才需要送到CPU处理,这样就避免了所有的组播数据都送到CPU。另外,还可以通过ACL的方式对IGMP报文进行控制,如限速、鉴权等。边缘设备可以使用HGMP协议,实现组播和可控组播功能。交换机支持分布式弹性组播路由协议和分布式IGMP-snooping,分布式弹性组播路由除了以上单播路由协议的优点外,还从协议本身出发,从根本上解决了组播数据占用fabric内部带宽的问题。成功开发的分布式IGMP-snooping协议和高效的组播转发表保证了每台设备间只有一份组播数据报文传送,大大节约了设备间的带宽,提高了设备转发性能。彻底解决了跑组播业务就网络性能降低的难题,给用户带来了高可靠性、高性能的组播业务。1高可靠性的三层组播转发表由IRF技术的分布式设备管理提供的全局配置同步和全局统一的三层接口是给高可靠性的组播路由提供了基础。虽然每个unit上的组播路由协议的状态都相同,所生成的组播路由表也相同,但并不是每个unit独立维护各自的组播转发表,而是其中的一台unit统一下发组播转发表,保证了fabric内所有三层组播转发表相同。当fabric内统一下发组播转发表的unit出现故障或离开fabric系统时,fabric内剩余的unit会选择一台unit统一下发组播转发表。由于分布式弹性组播路由协议已经保证了各个协议的状态相同,组播路由表相同,所以重新下发的组播转发表也相同,保证了组播路由无缝切换,数据不中断,实现了高可靠性。2高效的组播转发表高可靠性的三层组播转发表跟分布式IGMP-snooping有机的结合,产生了交换机上引导组播数据转发的二三层结合的组播转发表。该组播转发表只维护本unit上的用户出端口和fabric内其它unit上出端口所在的unit号,并不关心其它unit上具体的端口号。这种高效组播转发表指导组播数据转发时,使组播数据跨越最少的unit,寻找最短的路径,且unit间传递最少报文来转发,实现了分布式三层数据转发。2.6 网络安全本网络是视频监控专用网络,所以较其它个业务混用网络安全,但是也有诸多方面需要考虑,设置设备安全的方法如下:安全接入和配置方法访问方式保证网络设备安全的方法备注Console控制接口的访问设置密码和超时限制建议超时限制设成5分钟进入特权exec和设备配置级别的命令行配置Radius来记录logon/logout时间和操作活动;配置至少一个本地账户作应急之用telnet访问采用ACL限制,指定从特定的IP地址来进行telnet访问;配置Radius安全纪录方案;设置超时限制SSH访问激活SSH访问,从而允许操作员从网络的外部环境进行设备安全登陆WEB管理访问取消Web管理功能SNMP访问常规的SNMP访问是用ACL限制从特定的IP地址来进行SNMP访问;记录非授权的SNMP访问并禁止非授权的SNMP企图和攻击为增加安全,建议更改缺省的SNMP Community子串设置不同账号通过设置不同的账号的访问权限,提高安全性3 网络管理本网络是一个典型的局域网的结构,如何管理如此大范围,多设备的网络,且最大限度地减轻管理人员的工作量,是保证将来网络正常运行的关键之一。随着网络技术的发展,网络的管理面临着愈来愈高的要求。网络的管理从以网络设备为中心,变化为以管理智能网络,管理关键业务流量为中心。因而网络管理必须能够:快速,简洁配置网络设备;实时监视网络设备,网络连接和网络流量;监视并预测网络变化和网络错误;标识最终端口分配,验证逻辑连接;辅助诊断网络错误和失效。因此网络管理是网络建设的重要内容,是保证网络正常运行的前提。网络管理不但需要先进、实用的技术支持手段,对大中型网络而言,更需要合理、有效的组织体系和规章制度。网络管理是网络可用性的关键组成。界定并实现网络管理是网管设计的主要内容。4 功能实现4.1 基本功能实现 多前端接入,既可以兼容传统的模拟监控摄像头,也可以采用最新的内置编码器的网络监控摄像头,也具备配置移动监控摄像头的能力。 网络化监控,将分散、独立的图像采集点进行联网,实现跨区域的统一监控、统一存储、统一管理、资源共享的大范围公众网监控。 实时监控,支持实时摄像头内容观看,并且支持实时内容观看过程中的暂停、快进、快退操作。 支持历史内容会看,支持回看过程中的暂停、快进、快退操作。 支持海量存储,使用自主研发的成熟稳定的海量存储刀片服务器,并支持外扩展存储设备。 分级、分布式存储,统一管理。支持两级、三级或多级架构。最上层为全网的数据中心,满足大范围、分布式、多层次远程部署的需求。 支持告警和告警联动。 支持用户认证、授权管理。 支持用户分级管理。 支持用户分组。4.2 扩展功能实现 摄像头分级控制,支持按照级别组织架构关系对全网摄像头进行分级,上级可以管理和控制下级的摄像头,下级仅能管理控制本级和更下级的摄像头。 摄像头分组,支持对摄像头进行分组,便于管理和群组用户进行订购访问,如按片区等。 智能管理,所有媒体内容的存储、调度、备份、分发等功能完全由系统根据设置自动完成,不需要人工干预。并且系统提供工具,管理员可以选择特定内容的人工管理。5 培训对于实际使用人员,按不同的设计、实际情况定下不同深度及广度的技术培训课程。若时间容许,培训课程可以较为全面深入。6 质量保证和售后服务把好设备选型关。为了确保系统可靠运行,我公司和厂商对网络设备和主机系统及通讯设备等应提供质保期。精心设计系统方案,确保整个系统设计科学、适用,确保系统设计的质量。施工过程中,坚持质量第一、保证系统质量。软件开发、调试过程中,严把质量关,保证软件(系统软件、应用软件)的质量。服务理念1、实现客户满意:树立以客户为中心的工作作风,强化服务意识和服务技能,以优质服务切实保障系统的运行质量,赢得客户满意。 2、追求服务领先:不断完善服务内容,追求服务的专业化、标准化和多元化。注重主动服务和个性化服务,塑造优质服务品牌,实现业界领先。 3、促进持久双赢:关注客户网络的整体效能,抢先一步发现客户价值提升点,不断提升对客户的完整技术支撑和持久服务保障,借助多方位的合作,促进与客户双赢发展。服务方式具体以电话、远程支持、电子邮件、传真、上门服务等方式。紧急恢复服务 紧急恢复是指用户在使用产品时遇到设备出现严重影响系统可用性或者出现系统已经全部瘫痪的紧急情况时,通过电话或传真寻求技术支持和帮助,我们确认用户的服务请求后,将派工程师以最短的时间进行系统恢复。我们本着诚信、优质的品质、专业的质量竭诚为您提供服务。
展开阅读全文