《高清数字网络视频监控系统建设项目系统设计方案.doc》由会员分享,可在线阅读,更多相关《高清数字网络视频监控系统建设项目系统设计方案.doc(40页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、高清数字网络视频监控系统建设项目系统设计方案1.1 设计原则 高可靠性:系统设计、设备选型、调试、安装等环节都严格执行国家、行业的有关标准及公安部门有关安全技术防范的要求,系统主要设备器材都选用国际化、专业化、规模化生产的高品质产品。其工艺水平高,质量保证手段完善,性能稳定,从而为系统的高可靠性打下坚实的基础。采用监控行业最新技术和高品质设备。在考虑技术先进性和开放性的同时,还应从系统结构、技术措施、设备性能、系统管理、厂商技术支持及维修能力方面着手,确保系统运行的可靠性和稳定性。满足724小时、全年365天的全天候长期稳定运行。 先进性:本系统采用先进的、具有前瞻性的视频监控技术,包括星光级
2、200万像素网络高清技术、外置多功能拼接处理器、视频海量存储技术等。设备选型要保证技术领先,性能可靠,操作简便、实用,维护简单,性能价格比最优,并留有扩展余地。设备采用均采用目前领先技术和生产工艺制造。系统设计既采用了先进的设计理念、技术、方法,又结合结构、设备的成熟性,不但能体现现在的技术水平,而且具有发展的潜力。实现整个系统设备的运维管理,以及各类视频综合智能化应用。 经济实用性:在满足安全防范级别要求的前提下,在确保系统稳定可靠、性能良好的基础上,在考虑系统的先进性的同时,按需选择系统和设备,做到合理、实用,降低成本,从而达到极高的性能价格比,降低安全管理的运营成本。系统建设应始终坚持面
3、向应用、注重实效的原则,把实用性和经济性结合起来。系统设备器材经过精心搭配,考虑最优的质量性能和价格比,既经济实用,又最大限度降低系统成本。 系统完整性:该套管理系统是一个较完整的集成化管理系统,系统的设计着重考虑贵单位其它系统的管理综合、互动集成等因素。 操作简单实用:采用高科技手段,进行智能化设计,尽量减少系统操作的复杂性。 发展性:系统应在初步设计时,就考虑未来良好的发展性,以降低未来发展的成本,使系统具有良好的可持续发展性,为今后系统的扩展提供了足够的空间。 外观效果美观:前端装置安装均考虑安全性、隐蔽性及美观性,根据实用和美观的原则,前端和后端我公司都选用了外观工艺和性能稳定都比较好
4、的安防产品。 开放性和标准性:为了满足系统所采用的技术和设备的协同运行能力、系统投资的长期效应以及系统功能不断扩展的需求,必须追求系统的开放性和标准性。高清网络摄像机、高清编解码器、网络设备、存储设备及软件平台等均应采用开放式的产品或架构,满足构建统一的视频管理及应用平台的需要。 安全性和保密性:系统传输采用专网,充分利用光纤资源,保证视频信息、控制信息网络传输的安全和畅通,也可以采用互联网和VPN进行传输。同时设备接入、传输需采取不同的措施,包括系统安全机制、数据存取的权限控制等。采用加密技术,防止网络非法入侵保护和避免信息非法被窃取。 易管理性和易维护性:前端设备支持远程升级和远程故障排除
5、功能,维护便捷,降低系统运维管理成本。同时可自动检测系统中任何一台设备的运行状态,并示出详细参数,以辅佐管理人员及时准确地判断和解决问题。采用稳定易用的硬件和软件,完全不需借助任何专用维护工具,既降低了对管理人员进行专业知识的培训费用,又节省了日常频繁地维护费用。1.2设计依据观音岩水电站高清网络监控系统遵循相关安防、民用及公安等电气工程及建设安装的相关行业标准和规范。 甲方要求安全防范工程技术规范GB50348-2004智能建筑设计标准GB/T50314-2006工业电视系统工程设计规范GBJ 115消防联动控制设备通用技术条件GB 168061997城市住宅建筑综合布线系统工程设计规范CE
6、CS/119-2000视频安防监控系统工程设计规范GB50395-2007视频安防监控数字录像设备GB20815-2006安全防范工程程序与要求GA/T75-94安全防范系统通用图形符号GA/T74-2000安全防范系统验收规则GA308-2001视频安防系统技术要求GA/T367-2001计算机场地技术要求GB2887-2000 综合布线系统设计规范EIA/ITA568A、ISO/IEC11801、CECS72-791.3设计目标根据视频监控系统的特点和应用需求,本方案的目标是建设一个采用高清视频采集、外置多功能拼接处理器、光纤专网图像传输技术、联网控制技术、存储和显示等应用技术,并进行精确
7、监控的视频监控平台。结合当前与今后一定时期内图像监控系统与图像应用系统的发展需要,建立高清图像管理平台,为指挥调度、调查取证等多种后台应用提供及时、可靠的监控图像信息,服务实战。1.4设计思想为了使我们设计的系统具有极高的可靠性和可持续发展的能力,同时也最大限度地降低系统的建设成本、运行成本费用。我们首先确立了以下几个设计的总体思路:1) 前端采用高清百万像素网络摄像机采集视频图像,最大分辨率可达到 1080P(1920 1080)2) 高清图像数据经摄像机网络接口通过六类数据线汇聚至千兆交接机,由光纤进行传输至中心管理设备进行统一的切换、控制、显示、编码和存储;3) 切换、控制和输出,采用高
8、性能的视频处理设备,保证切换、控制的实时性;输出的图像为非压缩原始图像,保证了大屏显示的图像质量、清晰度和流畅性;4) 采用双码流模式管理,一个用于网络访问(如分控中心桌面调看、中心硬解码显示),另一个用于存储;5) 录像资料统一存储,节省网络资源,录像时间按甲方要求为90天以上;6) 流媒体转发服务器实行集中管理,监测设备的运行状态;对客户端进行帐户、密码、使用权限的集中分配和管理,对客户端登陆监控系统进行验证;7) 中心采用专业液晶大屏显示监控图像;本方案中设计12台46寸液晶屏。1.5设计特点网络化实时监控在局域网任何可以接入网络的地方,通过授权,均以实现实时网络视频监控图像浏览;网络化
9、存储系统可以实现本地、远程的录像存储和录像回放;高清晰的视频图像系统所采用的自适应高性能服务器设备,视频最高分辨率可高达1280*1024P(30fps)、双码流、实时性好; 系统的兼容性能够和传统的CCTV设备紧密结合,云台控制协议,与环境监控系统、门禁系统等互联后,系统可完成复杂的报警联动(扩展功能)强大的控制和集中管理功能用户集中认证和分布认证相结合,实现多级管理;逻辑目录树和物理目录树统一集中管理;用户和用户组策略管理,优先级自定义;精确到每个摄像机的浏览和PTZ控制权限自定义;系统管理权限自定义:对低优先级用户锁定浏览权限和PTZ控制权限;支持鼠标和3D的CCTV键盘PTZ控制,预置
10、点,扫描线录制和调用在窗口直接控制PTZ方位;高优先级用户对视频图像和云镜的即时锁定;报警的集中应答,联动,转发;负载均衡:负载均衡技术及时、准确的把握节点负载状况,并根据各个节点当前的资源使用状态动态调整负载平衡的任务分布,有效的利用了带宽和服务器资源。录像保护:通过安全认证和水印技术保证录像的真实性,以防录像被修改;系统安全可靠利用网络安全技术使信息更安全、可靠,支持网络VPN 隧道的加密数据传输,使得视频图像在远程监控时更加安全;组网方便系统可以在现有的任何网络中完成各种监控功能,根据网络带宽的变化,视频流可自动调节可扩展具有与其它信息系统集成的开放接口,能够持续平滑升级和扩展,降低对系
11、统的整体投资成本1.6 系统解决方案在本安全技术防范系统中,电视监控系统主要作为建筑物内外大范围监视区域的主要监视系统。根据丽江木府建筑特点和安全防范系统要求,结合目前安防产品的现状,电视监控系统的器材选型考虑为:网络摄像机、交换机、管理平台、控制软件、电视墙等主设备,选用国内知名品牌的产品,在系统具有先进性的同时,可保证系统稳定性和系统维护;其它辅件、机柜、光缆、电缆、布线材料等选用国产的一些优质产品,这样即可以保证系统整体质量,又可从实际出发,降低工程成本。在本系统方案设计中,我公司所推荐的设备为奥尼克斯全系列的产品。1.6.1 系统总体框架设计整个系统由前端视频设备、传输系统、视频管理监
12、控中心、防雷系统组成。前端设备:考虑到现场环境的功能要求不同,要求也不一样,在本方案中我们在主要出入口及主人行道采用高清百万像素网络摄像机、在主要建筑及空地处采用高清百万像素网络枪机及球机;在最高处设置全景高倍高清球机,以达到最终实现监控目的。中心设备:系统设计为可全面方便控全部信号记录的中心系统,并设计为数字联网系统,充分满足现代化安防系统网络化要求。中间传输部分:由6类双绞线传输、集中供电线路及附属管道组成。各路双绞线缆采用一对一方式;前端各路摄像机均采用中心集中供电方式。传输线路的管线均以小型美观的桥架敷设,分支主要采用PVC管敷设,充分保证系统长期运行的稳定性。前设备供电:丽江木府高清
13、监控前端设备通常采用两种供电方式,一种是就近取电,一般可采用就近供电方式,各摄像机终端在就近的公共供电网络(如路灯供电网)取一路220V 市电,市电经加装自动重合闸开关(含SPD),引到落地室外防水箱使用,保证了引入部分电源线路的漏电及防雷防护。另一种是集中供电,前端设备统一由中心机房UPS电源提供AC220V电源至前端设备处通过采用电源适配器转换后提供给摄像机所需要的电源供电。防雷接地:在整个监控系统中,由于室内摄像机已经在建筑物内,相应的就不在会受到雷击的可能,因此我们建议在木府的外围球机上安装防雷设备进行对摄像机保护。前端摄像机选用二合一网络防雷器,网络信号、电源的防雷,让室外监控的稳定
14、运行。前端监控的防雷主要从以下二个方面进行:直击雷防护在直击雷非防护区的每个视频监控点均配置预放电避雷针,安装于监控点立杆顶部。提前预放电避雷针利用雷云电场周围电场强度向针尖发射高压脉冲特性,提前一定的时间引导雷电放电,不至于使局部雷云电荷积累形成过大的雷击强度,降低监控点雷击接闪强度和电子设备雷击电磁脉冲强度,提高了室外监控点的保护裕度。供电设施的雷击电磁脉冲防护电源防雷系统主要是防止雷电波通过电源对前端设备造成危害。为避免高电压经过避雷器对地泄放后的残压或因更大的雷电流在击毁避雷器后继续毁坏后续设备,以及防止线缆遭受二次感应,本系统对前端室外防水箱220V电源进线以及室外防水箱到网络数字摄
15、像机的低压电源线路进行避雷接地。220V电源进线避雷标称放电电流不小于10KA。根据对整个系统的需求进行分析,和我们总体设计思想,系统的结构拓扑图如下:根据系统建设的需求,此次建设不是简单的设备采购,应包括硬件设备采购、安装、系统集成等工程,按建设的性质可分为:监控前端硬件建设1:摄像机安装及图像采集;传输系统1:图像、控制信号传输;2:供电线路、防雷系统;3:IP网络传输;监控中心建设1:存储系统;2:中心平台管理系统;3:显示系统;4:监控客户端控制系统;1.6.2 监控前端硬件建设监控前端采用高清网络摄像机、枪机、球机,根据不同场所环境我们选用不同的网络摄像机。此方案前端视频处理模式是采
16、用高清来架构,同时为了满足监控画面的预览和回放清晰度,高清化网络摄像机采用1080P压缩分辨率进行传输和存储。前端设备布置设计 点位设计要求视频监控系统设计中前端点位的布置是否合理,以及所采用的设备是否恰当都是整个系统的关键所在。因此本次设计中,采用高清网络摄像机进行图像采集监控,再经汇聚交换机汇聚到中心。接入平台管理、并可进行全面而方便的控制,全部信号同时进入磁盘陈列集中存储单元内进行全面的记录。在进行点位位置确定时,根据监视区域的规划来合理安排摄像机的安装位置,尽量满足重点区域无盲区监视,其他区域兼顾考虑等原则。具体点位布置描述如下:考虑到现场环境的功能要求不同,要求也不一样,在本方案中我
17、们在主要出入口及主人行道采用高清百万像素网络摄像机、在主要建筑及空地处采用高清百万像素网络枪机及球机;在最高处设置全景高倍高清球机。1.6.3 传输系统中心共有69路网络视频图像,每路视频图像720P高清需要的上传带宽不低于2Mbps,每路视频图像1024P高清需要的上传带宽不低于3Mbps,网络传输系统采用水平子系统汇聚后再用光缆传输到监控中心,我公司建议采用全千兆局域网来架构视频传输系统。 1.6.3.1 网络传输设计主干网以中心控制室为中心,设14个主干交换节点,交换机采用千兆交换机。从交换机至摄像机全部采用6类非屏蔽双绞线传输。主网络拓扑示意图: 整体网络拓扑采用大二层的结构,分为核心
18、层和接入层。核心层的核心交换机采用H3C增强型IPv6强三层万兆以太网交换机S550028FEI,S5500具有出色的安全性,可靠性,多业务处理能力。与接入层上的S51209PSI光纤连接。各类摄像机(61只室外高清网络枪式摄像机 、7只高速球机、一只半球)直接接入到接入交换机上。 主网设备清单:序号产品代码项目名称数量1核心交换机LS-5500-28F-EI-ACH3C S5500-28F-EI-以太网交换机主机(24SFP+8GE Combo+2Slots)-单交流电源1 SFP-GE-SX-MM850-A光模块-SFP-GE-多模模块-(850nm,0.55km,LC)14 LSKM21
19、50A150W 交流电源模块1 小计核心交换机2接入交换机LS-5120-9P-SI-H3H3C S5120-9P-SI,L2以太网交换机主机,8个10/100/1000BASE-T,1个SFP,支持AC110/220V14 SFP-GE-SX-MM850-A光模块-SFP-GE-多模模块-(850nm,0.55km,LC)14 小计接入交换机产品介绍:核心交换机S550028FEI:H3C S5500-EI系列交换机是H3C公司最新开发的增强型IPv6强三层万兆以太网交换机产品,具备业界盒式交换机最先进的硬件处理能力和最丰富的业务特性。支持最多4个万兆扩展接口,支持IPv4/IPv6硬件双栈
20、及线速转发,使客户能够从容应对即将带来的IPv6时代;除此以外,其出色的安全性,可靠性和多业务支持能力使其成为大型企业网络和园区网的汇聚,中小企业网核心、以及城域网边缘设备的第一选择。 高扩展性保护投资随着用户端速度不断提高,用户最终会使集群千兆链路达到饱和,而能够拥有多条集群10GE链路将是我们的未来发展方向。H3C S5500-EI系列交换机支持两个扩展槽位,每个槽位支持最大两端口的10GE扩展模块及两端口的CX4扩展模块,在实现千兆汇聚或接入时保留进一步支持10GE的扩展能力,尽力保护用户投资。IPv4到IPv6的演变是以太网发展的大势所趋,网络设备对于IPv6的支持不仅是简单的可用就行
21、,而是需要达到商用的标准,S5500-EI已经通过了国际最权威的IPv6 Ready第二阶段认证,而且通过了信息产业部严格的IPv6入网测试。这个系列产品是基于硬件的IPv4/IPv6双栈平台,支持丰富的IPv4和IPv6三层路由协议、组播协议和策略路由机制,实现IPv4到IPv6的平滑升级。智能弹性架构H3C S5500-EI系列交换机支持IRF2(第二代智能弹性架构)技术,就是把多台物理设备互相连接起来,使其虚拟为一台逻辑设备,也就是说,用户可以将这多台设备看成一台单一设备进行管理和使用。IRF可以为用户带来以下好处: 简化管理 IRF架构形成之后,可以连接到任何一台设备的任何一个端口就以
22、登录统一的逻辑设备,通过对单台设备的配置达到管理整个智能弹性系统以及系统内所有成员设备的效果,而不用物理连接到每台成员设备上分别对它们进行配置和管理。 简化业务 IRF形成的逻辑设备中运行的各种控制协议也是作为单一设备统一运行的,例如路由协议会作为单一设备统一计算,而随着跨设备链路聚合技术的应用,可以替代原有的生成树协议,这样就可以省去了设备间大量协议报文的交互,简化了网络运行,缩短了网络动荡时的收敛时间。 弹性扩展 可以按照用户需求实现弹性扩展,保证用户投资。并且新增的设备加入或离开IRF架构时可以实现“热插拔”,不影响其他设备的正常运行。 高可靠 IRF的高可靠性体现在链路,设备和协议三个
23、方面。成员设备之间物理端口支持聚合功能,IRF系统和上、下层设备之间的物理连接也支持聚合功能,这样通过多链路备份提高了链路的可靠性;IRF系统由多台成员设备组成,一旦Master设备故障,系统会迅速自动选举新的Master,以保证通过系统的业务不中断,从而实现了设备级的1:N备份;IRF系统会有实时的协议热备份功能负责将协议的配置信息备份到其他所有成员设备,从而实现1:N的协议可靠性。 高性能 对于高端交换机来说,性能和端口密度的提升会受到硬件结构的限制。而IRF系统的性能和端口密度是IRF内部所有设备性能和端口数量的总和。因此,IRF技术能够轻易的将设备的交换能力、用户端口的密度扩大数倍,从
24、而大幅度提高了设备的性能。完备的安全控制策略H3C S5500-EI系列交换机支持EAD(端点准入防御)功能,配合后台系统可以将终端防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一个联动的安全体系,通过对网络接入终端的检查、隔离、修复、管理和监控,使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管理为集中策略管理,提升了网络对病毒、蠕虫等新兴安全威胁的整体防御能力。H3C S5500-EI交换机支持集中式MAC地址认证、801.1x认证、PORTAL认证,支持用户帐号、IP、MAC、VLAN、端口等用户标识元素的动态或静态绑定,同时实现用户策略(VL
25、AN、QoS、ACL)的动态下发;支持配合H3C公司的CAMS系统对在线用户进行实时的管理,及时的诊断和瓦解网络非法行为。H3C S5500-EI系列交换机提供增强的ACL控制逻辑,支持超大容量的入端口和出端口ACL,并且支持基于VLAN的ACL下发,在简化用户配置过程的同时,避免了ACL资源的浪费。另外,S5500-EI系列还将支持单播反向路径查找技术(uRPF),原理是当设备的一个接口上收到一个数据包时,会反向查找路径来验证是否存在从该接收接口到包中制定的源地址之间的路由,即验证了其真实性,如果不存在就将数据包删除,这样我们就可以有效杜绝网络中日益泛滥的源地址欺骗。H3C S5500-EI
26、交换机支持端口隔离功能,即便是在同一VLAN内,也可以实现端口之间的隔离,从而避免广播风暴和病毒在VLAN内地扩散从而影响所有端口。支持MAC地址学习限制和安全MAC地址功能,可以保证只有真正的业务主机才能够接入网络,而其他新接入主机即使连接到交换机上也无法获取地址并连通网络。多重可靠性保护S5500-EI系列交换机还具备设备级和链路级的多重可靠性保护。所有机型都支持冗余电源,其中S5500-28F-EI支持可插拔的冗余电源模块,也就是说我们可以根据实际环境的需要灵活配置交流或直流电源模块,此外整机还支持电源和风扇的故障检测及告警,可以根据温度的变化自动调节风扇的转速,这些设计使我们这款盒式交
27、换机具备了机柜式交换机的高可靠性。除了设备级可靠性以外,还支持丰富的链路可靠性以外,还支持丰富的链路可靠性技术,比如华三通信独创的RRPP快速环网保护机制。当网络上承载多业务、大流量的时候也不影响网络的收敛时间,保证业务的正常开展。丰富的QoS策略H3C S5500-EI系列交换机支持L2(Layer 2)L4(Layer 4)包过滤功能,提供基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、TCP/UDP端口号、协议类型、VLAN的流分类。提供灵活的对列调度算法,可以同时基于端口和队列进行设置,支持SP(Strict Priority)、WRR(Weighted Round Rob
28、in)、SP+WRR三种模式。支持CAR(Committed Access Rate)功能。支持出、入两个方向的端口镜像,用于对指定端口上的报文进行监控,将端口上的数据包复制到监控端口,以进行网络检测和故障排除。出色的管理性H3C S5500-EI系列交换机支持SNMPv1/v2/v3(Simple Network Management Protocol),可支持Open View等通用网管平台以及iMC智能管理中心。支持CLI命令行,Web网管,TELNET,HGMP,使设备管理更方便,并且支持SSH1.0等加密方式,使得管理更加安全。H3C S5500-EI系列交换机支持基于MAC地址划分
29、VLAN,很好的解决了移动办公的智能灵活管理;结合特有的基于全局和VLAN下发ACL策略,在简化用户配置的同时,也大幅节约了硬件资源。该系列交换机还支持sFlow功能,可以对出入方向的报文按比例随机抽样,灵活实现报文采集。接入交换机S51209PSIH3C S5120-SI系列以太网交换机是H3C技术有限公司自主开发的全千兆以太网交换机,广泛应用于企业网和园区网的接入层。提供灵活的全千兆以太网端口的接入密度、丰富的业务特性,并支持创新的IRF(Intelligent Resilient Framework,智能弹性架构)技术,用户可以将多台S5120SI交换机连接形成一个逻辑上的独立实体,从而
30、为用户构建高性能、易管理、易扩展、低成本的千兆到桌面的解决方案,是千兆接入的理想选择。灵活的千兆接入H3C S5120-SI系列全千兆以太网交换机提供灵活的8/16/24/48个10/100/1000M自适应电口接入;并且支持非复用的SFP插槽,充分考虑用户的带宽升级的实际情况,保护用户投资。智能弹性架构H3C S5120SI系列交换机支持IRF2(第二代智能弹性架构)技术,就是把多台物理设备互相连接起来,使其虚拟为一台逻辑设备,也就是说,用户可以将这多台设备看成一台单一设备进行管理和使用。IRF可以为用户带来以下好处: 简化管理 IRF架构形成之后,可以连接到任何一台设备的任何一个端口就以登
31、录统一的逻辑设备,通过对单台设备的配置达到管理整个智能弹性系统以及系统内所有成员设备的效果,而不用物理连接到每台成员设备上分别对它们进行配置和管理。 简化业务 IRF形成的逻辑设备中运行的各种控制协议也是作为单一设备统一运行的,例如路由协议会作为单一设备统一计算,而随着跨设备链路聚合技术的应用,可以替代原有的生成树协议,这样就可以省去了设备间大量协议报文的交互,简化了网络运行,缩短了网络动荡时的收敛时间。 弹性扩展 可以按照用户需求实现弹性扩展,保证用户投资。并且新增的设备加入或离开IRF架构时可以实现“热插拔”,不影响其他设备的正常运行。 高可靠 IRF的高可靠性体现在链路,设备和协议三个方
32、面。成员设备之间物理端口支持聚合功能,IRF系统和上、下层设备之间的物理连接也支持聚合功能,这样通过多链路备份提高了链路的可靠性;IRF系统由多台成员设备组成,一旦Master设备故障,系统会迅速自动选举新的Master,以保证通过系统的业务不中断,从而实现了设备级的1:N备份;IRF系统会有实时的协议热备份功能负责将协议的配置信息备份到其他所有成员设备,从而实现1:N的协议可靠性。 高性能 对于高端交换机来说,性能和端口密度的提升会受到硬件结构的限制。而IRF系统的性能和端口密度是IRF内部所有设备性能和端口数量的总和。因此,IRF技术能够轻易的将设备的交换能力、用户端口的密度扩大数倍,从而
33、大幅度提高了设备的性能。全面的接入安全策略H3C S5120-SI系列交换机支持特有的ARP入侵检测功能,可有效防止黑客或攻击者通过ARP报文实施网络中逐渐盛行的“中间人”攻击,对不符合DHCP Snooping动态绑定表或手工配置的静态绑定表的非法ARP欺骗报文直接丢弃。同时支持IP Source Check特性,防止包括MAC欺骗、IP欺骗、MAC/IP欺骗在内的非法地址仿冒,以及大量地址仿冒带来的DoS攻击。另外,利用DHCP Snooping的信任端口特性还可以有效杜绝私设DHCP服务器,保证DHCP环境的真实性和一致性。H3C S5120-SI系列交换机支持端口安全特性族可以有效防范
34、基于MAC地址的攻击。可以实现基于MAC地址允许/限制流量,或者设定每个端口允许的MAC地址的最大数量,使得某个特定端口上的MAC地址可以由管理员静态配置,或者由交换机动态学习。H3C S5120-SI系列交换机提供801.1X和MAC认证方式对接入的用户进行认证,允许合法用户通过,对于非法用户则拒绝其上网。同时还支持客户端软件版本检测、Guest VLAN等功能,和iMC配合还可以实现代理检测、双网卡检测等功能。通过这些功能的应用可以对用户的合法性进行充分的检查和控制,最大程度的减少非法用户对网络安全的危害。增强的网络管理和维护的易用性H3C S5120-SI系列交换机支持通过FTP、TFT
35、P实现设备的远程升级,支持SNMP v1/v2/v3,可支持Open View等通用网管平台,以及iMC智能管理中心。支持CLI命令行,Web网管,TELNET,HGMP集群管理,使设备管理更方便。并且支持SSH1.0等加密方式,使得管理更加安全。H3C S5120-SI系列交换机支持VCT(Virtual Cable Test)电缆检测功能,便于快速定位网络故障点。光纤以太网技术是现在两大主流通信技术的融合和发展,即以太网和光纤网络。它集中了以太网和光纤网络的优点,如以太网应用普遍、价格低廉、组网灵活、管理简单,光纤网络可靠性高、容量大。光以太网的高速率、大容量消除了存在于局域网和广域网之间
36、的带宽瓶颈,成为未来融合话音、数据和视频的单一网络结构。光纤以太网产品可以借助以太网设备采用以太网数据包格式实现WAN通信业务。目前,光纤以太网可以实现10Mbps、100Mbps以及1Gbps等标准以太网速度。根据甲方意见,规划组建以光纤千兆(非理论千兆)骨干网络采集所有网路视频监控信息,运行监控系统,并与千兆核心网络实现只要IP信息可达时任意节点均可通过授权查看监控信息,需要对网络进行以下几个方面的设计考虑:1)提高网络可靠性:保证网络结构的健壮,稳定应用能力。2)提高接入安全性:通过防火墙或者安全组策略,以及物理和人员的管理措施,保证网络的安全应用。3)提高网络对视频的承载能力。网络视频
37、传输需要一定的带宽容量支撑,主干网络需满足全视频网络的接入与转发,并考虑应用的扩展冗余。主干网络设计采用网络即插即用,以最简单方式实现高可靠主干网络,网络初期规划简单,增加业务简单、快捷。利用多层交换机来实现双线冗余技术,双线冗余由一个主线和一个从线相连而成,主线定时向链路发送协议报文来检测链路的状态,并且根据链路的实际状态来控制从端口的打开和关闭,从而实现故障自愈。双线冗余在单一链路故障时不会影响正常监控业务的进行,确保了整个系统的高可靠安全性,并有以下特色:技术趋势(国际标准/多厂商支持)双线同时传送数据,单车道变成双车道 时延小,不占用线上节点的处理能力 硬件级流量工程,链路带宽充分利用
38、1.6.3.2 IP地址规划IP地址选择安防视频监控网络地址按A/B/C类保留地址段进行单独分配。IP地址分配监控承载网络IP地址规划主要包括交换机等网络设备之间的互联地址、各监控点终端的IP地址、各监控分中心用户终端的IP地址分配,具体分配方案遵从已有的分配原则与方法,在此不做详细阐述。1.6.3.3 QoS设计QoS是一个综合指标,用于衡量使用一个服务满意程度。QoS性能特点是用户可见的,使用用户可理解的语言表示为一组参数,如传输延迟、延迟抖动、安全性、可靠性等。综合上述需求分析,现将监控系统承载网络应用服务等级化如下:主要内容QoS分类依据IP优先级、TOS特性服务等级(SLA)监控音视
39、频流IP地址、IP的TOS、IP包长度(IP包长度为64B)、TCP和UDP端口(如、RTP、cRTP、Realaudio、UDP)优先值101(关键数据);TOS1011(低延迟、高可靠、低开销)白金服务(platinum)SIP信令流IP地址、IP的TOS、IP包长度(IP包长度为188B)、TCP和UDP端口(如VDOLive)优先值100(闪速转发)、TOS值1111(低延迟、高吞吐量、高可靠、低开销)金服务(GOLD)网络QoS策略部署的每个机制有自己在网络中的特定功能。简单地说,分类可以将通信流划分成不同服务类,进行标识,使其他机制可以提供差别服务质量。利用拥塞管理机制可以确定删除
40、哪个分组,哪个分组优先通过网络。拥塞避免机制是在网络忙时让发送者减慢发送速度而避免拥塞。整型技术根据一组参数据规定通信流,删除不符合要求的通信流,避免下行发生拥塞。信令可以让客户机在网络上请求端对端服务质量。最后,链路效率机制可以最有效地利用带宽,使用压缩技术并把小链路连一个逻辑管道。以下是对监控承载网络的主要所运用QoS技术:编号QoS策略在承载网络应用所应用QoS技术1.分类标识策略在网络边缘设备上CAR/策略路由2.媒体流端到端服务质量保证主要用于网络所承载的语音与视频应用:接入交换机cRTP3.拥塞管理与拥塞避免网络中相对窄处或可能发生“瓶颈”地方:与原有网络连接的路由器上RED、WR
41、ED、BECN、 CBWFQ 、LLQ4.流量整形网络中相对窄处或可能发生“瓶颈”地方: :与原有网络连接的路由器上GTS在承载语音、视频多媒体流应用时,采用RTP压缩技术。由于RTP包装UDP与IP头,因此头信息的总量(RTP/UDP/IP)增加到40字节。由于多媒体流通常是由小分组组成的,因此这个开销很大。由于分组与分组之间的头信息通常变化不大,因此可以想办法压缩这个头信息。RTP头压缩可以将各个链路的40字节头压缩减少到大约5个字节。1.6.3.4 组播设计在监控系统承载网络域内,为满足多用户同时访问单个视频源,并节约网络压力,可采用组播组网,在骨干网上的三层路由交换机上启用PIM-SI
42、M,充当本地组播的RP(Rendevous Point,汇聚点)。在监控终端接入的VLAN接口下使能三层组播协议IGMP,根据需要启用igmp fast-leave。在接入交换机上,启用IGMP Snooping。1.6.3.5 网络安全设计从体系结构来看,安全体系应该是一个多层次、多方面的结构。通过上面对承载网络平台所面临的安全状况的分析,可将承载网络平台的安全性在总体结构上分为四个层次:网络层安全、应用层安全、系统层安全和管理层安全。网络层安全是指在网络的下三层(物理层、链路层、网络层)采取各种安全措施来保障网络平台的安全;应用层安全是指通过利用各应用系统和数据库自身的安全机制,在应用层保
43、证对网络上所承载的各种网络应用系统的信息访问合法性;系统层安全主要是通过对操作系统的安全设置,防止不法分子利用操作系统的安全漏洞对网络构成安全威胁;管理层安全主要是从网络所涉及的总控中心、分控中心各级网络用户内部安全管理和计算机病毒防范两方面来保障网络的安全。防火墙是网络系统的核心基础防护措施,它可以对整个网络进行网络区域分割,提供基于IP地址和TCP/IP服务端口等的访问控制;对常见的网络攻击方式,如拒绝服务攻击(ping of death, land, syn flooding, ping flooding, tear drop, )、端口扫描(port scanning)、IP欺骗(ip
44、 spoofing)、IP盗用等进行有效防护;并提供NAT地址转换、流量限制、用户认证、IP与MAC绑定等安全增强措施。根据承载网络的网络结构,建议在监控承载网络与现有园区网连接处进行防火墙部署。为了保证网络传输质量,建议监控系统网络与其他网络完全隔离开。1.6.4 监控中心建设1.6.4.1 网络视频监控集中管理平台设计由于采用的网络数字摄像机,因此我公司采用适用于大型集中监控的VMP智能网络视频集中管理平台。该平台通过视频监控局域网将分散、独立的图像采集点进行联网汇聚,实现各区域的统一监控、集中存储、集中管理、资源共享,通过统一搭建的综合监控业务平台系统,满足贵方高清网络化视频监控的需要。
45、VMP智能网络视频集中联网管理平台采用目前比较先进的模块化设计,将整个平台通过软件开发分为多个灵活可调的模块进行有机的组合;我公司将根据实际的需求进行模块化组合,建设一个更加稳定、功能更加强大的集中管理平台。1.6.4.2 远程联网集中管理平台的组成模块序号名称型号说明视频前端编码设备1高清网络摄像机高清百万像素摄像机管理服务中心端2用户&目录管理整个联网集中管理平台用户、设备配置,权限优先级管理3管理&控制浏览、PTZ控制、远程参数设定、设备巡检4网络视频集中存储同步集中存储、异步分散备份5流媒体视频转发中心视频转发交换及网络负载均衡6单路解码器解码数字视频信号,还原成模拟D1、720P视频
46、信号上电视墙分控客户端7监控客户端C/S的浏览和PTZ分控8其他视频业务终端1.6.4.3 管理平台模块部署解决方案a) 集中管理控制模块:用于前端网络摄像机远程管理、图像调用、云台控制、高清解码器控制、录像设置、资料查询回放等,是一台综合性操作服务器,比如视频处理、多任务运行等有较高要求;整个系统配置一台这样集中管理服务器,我公司针对高清视频监控所推出的集中管理平台服务器具备强大的处理能力和可靠的稳定性。b) 用户目录验证服务:用于用户信息的集中管理、集中验证、前端设备和后端各个软件模块之间的信息交换等,是整个平台的核心,其稳定性要求相当高,所以针对这类核心的特殊的服务器,我公司设计采用国际
47、知名专业服务器厂商提供的硬件服务器,本台服务器基本的要求是要求多核心高主频处理器、可扩展双千兆网卡、整体性能稳定。c) 流媒体转发服务:大型网络视频监控还有一个比较重要的模块就是转发服务器,其他相关业务终端都要从这台服务器获取视频数据,而这台服务器也需要长时间的稳定运行,对网卡和内存资源有较大消耗,因此这台服务器我公司根据需要建议配置专业服务器,并提升内存为4GB,同时采用双网卡。由于整套系统为69路网络视频传输和转发,因此只需配置一台来转发,减轻服务器的压力。d) 集中存储服务:由于整个系统共有69台摄像机,对于这些摄像机的视频存储我公司建议采用数字集中存储方式,存储服务器从稳定性的角度考虑我公司也建议配置专业服务器,服务器要求具备双网卡负载均衡、2GB以上内存资源、多核重要处理器、双冗余服务器电源。 e) 网络数字矩阵:我公司的网络数字矩阵服务器专为高清数字视频信号的浏览切换而配置,具备可同时进行16路D1画面浏览或者8-10路高清720P视频浏览。通过网路数字矩