視頻監控系統網絡解決方案年月日目錄TOC\o"1-5"\h\z1綜述5方案概述5設計原那么51.2.1靠得住性51.2.2先進性51.2.3有效性61.2.4合理性61.2.5可治理性61.2.6平安性61.2.7可擴展性61.2.8標準、開放72網絡計劃7.2.1產品的選擇72.2網絡方案的整體設計72.2.1分層的結構設計82.2.2建議設計9VLAN及IP地址計劃182.3.1劃分VLAN的方式18路由協議及路由策略計劃21組播的實現21網絡平安243網絡治理2.5功能實現2.64.1大體功能實現264.2擴展功能實現27培訓2.8質量保證和售后效勞281綜述1.1方案概述本視頻方案是基于以太網絡的視頻監控解決方案，可實現圖像實時觀看、遠程操縱、海量存儲、遠程傳輸、分級治理和諸多增值業務的散布式視頻監控網絡解決方案。該方案具有開放的體系架構、穩固的系統性能、豐碩的業務體驗、電信級運營保護的特點。可為治理層提供一種直觀的、交互的、可運營、可治理、可擴展的視頻監控治理平臺。具有性價比高、性能穩固等諸多優勢，是部署視頻監控網的最正確選擇。1.2設計原那么本方案遵循以下原那么：1.2.1靠得住性作為基礎設施，系統的靠得住性是網絡建設的首選因素。在網絡設備及結構等方面均應達到國際和國家相應的標準指標和要求，并知足客戶的需要。1.2.2先進性采納先進而成熟的網絡技術產品，適應大量的數據和多媒體信息傳輸、處置、互換的需要，應有必然的擴充與進展空間，使整個網絡系統具有較強的生命力。1.2.3有效性運算機網絡建設強調網絡系統與網絡應用并重，先進有效具有較強的可操作性；易于治理保護、便與擴充進展。1.2.4合理性網絡建設必需考慮技術與經濟上的合理性，應具有較高的性能價錢比。必需考慮網絡系統在全壽命期內的全數建設維持費用的合理及可經受性。1.2.5可治理性網絡設計能夠知足統一、集中治理的需求，使得利用最少的人力就能夠夠保證網絡的日常保護。治理人員應該能夠通過單一網管平臺監測和操縱所有的網絡設備及端口。網絡設備應盡可能集中寄存，以知足治理及外界條件的要求。1.2.6平安性所有設備的選型和操作系統、應用軟件系統的選擇應該知足避免設備損壞、數據和其他資源的丟失和破壞，避免對網絡的非授權利用。1.2.7可擴展性在考慮網絡的先進性和有效性的同時，也要考慮網絡的可擴展性，便于以后網絡的升級。1.2.8標準、開放整個網絡系統全數采納或符合有關國際標準，使網絡具有良好的開放性和兼容性。所選網絡設備支持符合國際標準和業界統一標準的相關接口，能夠與各級及各基層單位網絡、ISP的網絡和其它相關系統實現靠得住的互聯；網絡協議選擇普遍應用的標準協議，同時支持園區網內部的多種網絡應用協議。2網絡計劃2.1產品的選擇目前提供千兆位路由互換機的廠家有很多，每家產品都各有所長，但作為基礎網絡建設系統，可否提供全方位的解決方案，完善的產品效勞和較高的性能是咱們考慮問題的重點。同時，不僅能夠提供路由器、互換機等數通產品，防火墻、IDS、端點接入等平安產品，而且也能夠提供效勞器、存儲產品、視頻會議系統，如此即能夠知足此刻的基礎網絡建設，也能夠知足基礎網絡建設的二期建設及實現多種應用。2.2網絡方案的整體設計為了實現內部相關部門的數據共享、互聯互通，如何實現平安靠得住，高速穩固的運行對整個系統來講超級關鍵。因此，咱們在設計整個網絡系統時要綜合考慮多種因素，包括以后的進展速度、信息存儲災備的模式、平安理念、業務應用類型等，同時為了保證網絡的穩固，核心設備應當適度超前，知足以后5年的信息增加需求。系統拓撲圖如下摟入變換機按入交換機接入交換機集左換機「聚交換機檢必家換機接入愛拽機接入交換機按人交撫機數字丘秤收發黔網第系統矮入交換機側f-系統報可竦統胖碼濰借■理呪務器摟入變換機按入交換機接入交換機集左換機「聚交換機檢必家換機接入愛拽機接入交換機按人交撫機數字丘秤收發黔網第系統矮入交換機側f-系統報可竦統胖碼濰借■理呪務器骨即糸統監腔客門端直衆夷系統2.2.1分層的結構設計在局域網的網絡設計中，咱們采取分層的結構設計，采納如此的結構組件的網絡具有良好的擴展性、可治理性、易保護性，新的子網和技術能更易的集成到系統中，而不破壞已存在的網絡。各層與上一層之間都有冗余連接，實現備份鏈路和清楚的層級邊界。2.2.2建議設計建議設計網絡架構圖一網絡設備接入層設備10/100/1000M互換機，至少有兩個端口支持千兆網絡，做級聯時利用。支持組播協議igmpsnooping，igmpv1/v2，多vlan劃分和vlan下組播。核心層設備1000M三層互換機，支持組播協igmpsnooping，igmpv1/v2,pim-sm，pim-dm，多vlan劃分和vlan下組播。網絡接口以太網接口：相關于一般的模擬監控，低本錢，抗干擾。以太網接口之間用雙絞線連接，雙絞線的傳輸距離為100米。光纖接口：抗干擾，傳輸距離遠。各層與上一層的級聯鏈路利用光纖傳輸，互換機配置光模塊或利用光纖收發器。前端攝像機與配電機房的距離大于100米的，利用光纖傳輸，攝像機與接入層互換機之間利用一對光纖收發器進行光電轉換。冗余鏈路：網絡分層為接入層，核心層，每臺設備與上一層級聯時，都級聯至少兩臺上層設備，幸免某一鏈路或某臺設備故障時，傳輸中斷，圖像丟失。網絡流量組播：實時監控組播數據流。單播：存儲數據流，信令操縱，TCP傳輸。碼流：高清視頻碼流6M/bps。網絡設計建議利用監控專網構建監控專網優勢對網絡平安要求較低，便于爾后開展其它IP業務，無需額外的QoS支持。網絡排錯組播表查看線路排查建議設計二網絡架構按入交換機接丸交除機搖入交換機核心交換機按入交換機接丸交除機搖入交換機核心交換機孩心交換機圖二網絡設備接入層設備10/100/1000M互換機，至少有兩個端口支持千兆網絡，做級聯時利用。支持組播協議igmpsnooping,igmpv1/v2，多vlan劃分和vlan下組播。核心層設備1000M三層互換機，支持組播協igmpsnooping，igmpv1/v2,pim-sm,pim-dm，多vlan劃分和vlan下組播。網絡接口以太網接口：相關于一般的模擬監控，低本錢，抗干擾。以太網接口之間用雙絞線連接，雙絞線的傳輸距離為100米。光纖接口：抗干擾，傳輸距離遠。各層與上一層的級聯鏈路利用光纖傳輸，互換機配置光模塊或利用光纖收發器。前端攝像機與配電機房的距離大于100米的，利用光纖傳輸，攝像機與接入層互換機之間利用一對光纖收發器進行光電轉換。冗余鏈路：網絡分層為接入層，核心層，每臺設備與上一層級聯時，都級聯至少兩臺上層設備，每臺設備與某臺設備級聯時，都利用兩條光纖鏈路連接，能夠實現冗余和負載均衡，幸免某一鏈路或某臺設備故障時，傳輸中斷，圖像丟失。還能夠減輕一條鏈路的壓力，增加傳輸速度。靠得住性增加，本錢較計劃一高。網絡流量組播：實時監控組播數據流。單播：存儲數據流，信令操縱，TCP傳輸。碼流：高清視頻碼流6M/bps。網絡設計建議利用監控專網構建監控專網優勢對網絡平安要求較低，便于爾后開展其它IP業務，無需額外的QoS支持。網絡排錯組播表查看線路排查建議設計三網絡架構聚交換機『聚交換機接入交換機檢業鑾換機按入交拱機按入交換機數字光纖收發器圖三聚交換機『聚交換機接入交換機檢業鑾換機按入交拱機按入交換機數字光纖收發器圖三網絡設備接入層設備10/100/1000M互換機，至少有兩個端口支持千兆網絡，做級聯時利用。支持組播協議igmpsnooping，igmpv1/v2，多vlan劃分和vlan下組播。匯聚層設備100/1000M互換機，至少有兩個端口支持千兆網絡，做級聯時利用。支持組播協議igmpsnooping，igmpv1/v2，多vlan劃分和vlan下組播。核心層設備1000M三層互換機，支持組播協igmpsnooping，igmpv1/v2,pim-sm，pim-dm，多vlan劃分和vlan下組播。網絡接口以太網接口：相關于一般的模擬監控，低本錢，抗干擾。以太網接口之間用雙絞線連接，雙絞線的傳輸距離為100米。光纖接口：抗干擾，傳輸距離遠。各層與上一層的級聯鏈路利用光纖傳輸，互換機配置光模塊或利用光纖收發器。前端攝像機與配電機房的距離大于100米的，利用光纖傳輸，攝像機與接入層互換機之間利用一對光纖收發器進行光電轉換。冗余鏈路：網絡分層為接入層，匯聚層，核心層，每臺設備與上一層級聯時，都級聯至少兩臺上層設備，幸免某一鏈路或某臺設備故障時，傳輸中斷，圖像丟失。網絡流量組播：實時監控組播數據流。單播：存儲數據流，信令操縱，TCP傳輸。碼流：高清視頻碼流6M/bps。網絡設計建議利用監控專網構建監控專網優勢對網絡平安要求較低，便于爾后開展其它IP業務，無需額外的QoS支持。網絡排錯組播表查看線路排查建議設計四網絡架構聚左換機匯聚兗換機接入交換樁按入疋■換機接入交換機網絡架構聚左換機匯聚兗換機接入交換樁按入疋■換機接入交換機數字光纖收發器圖四網絡設備接入層設備10/100/1000M互換機，至少有兩個端口支持千兆網絡，做級聯時利用。支持組播協議igmpsnooping，igmpv1/v2，多vlan劃分和vlan下組播。匯聚層設備100/1000M互換機，至少有兩個端口支持千兆網絡，做級聯時利用。支持組播協議igmpsnooping，igmpv1/v2，多vlan劃分和vlan下組播。核心層設備1000M三層互換機，支持組播協igmpsnooping，igmpv1/v2,pim-sm，pim-dm，多vlan劃分和vlan下組播。網絡接口以太網接口：相關于一般的模擬監控，低本錢，抗干擾。以太網接口之間用雙絞線連接，雙絞線的傳輸距離為100米。光纖接口：抗干擾，傳輸距離遠。各層與上一層的級聯鏈路利用光纖傳輸，互換機配置光模塊或利用光纖收發器。前端攝像機與配電機房的距離大于100米的，利用光纖傳輸，攝像機與接入層互換機之間利用一對光纖收發器進行光電轉換。冗余鏈路：網絡分層為接入層，匯聚層，核心層，每臺設備與上一層級聯時，都級聯至少兩臺上層設備，每臺設備與某臺設備級聯時，都利用兩條光纖鏈路連接，能夠實現冗余和負載均衡，幸免某一鏈路或某臺設備故障時，傳輸中斷，圖像丟失。還能夠減輕一條鏈路的壓力，增加傳輸速度。靠得住性增加，本錢較計劃三高。網絡流量組播：實時監控組播數據流。單播：存儲數據流，信令操縱，TCP傳輸。碼流：高清視頻碼流6M/bps。網絡設計建議利用監控專網構建監控專網優勢對網絡平安要求較低，便于爾后開展其它IP業務，無需額外的QoS支持。網絡排錯組播表查看線路排查2.3VLAN及［P地址計劃2.3.1劃分VLAN的方式VLAN是成立在各類互換技術基礎之上的。所謂互換實質上只是物理網絡上的一個操縱點，它由軟件進行治理，因此許諾用戶利用軟件功能靈活地配置資源，治理網絡。利用互換設備中的虛網功能，沒必要改變網絡的物理基礎，即可從頭配置網絡。互換機必需要求支持靈活的VLAN劃分。將端口分派給VLAN的方式有兩種，別離是靜態的和動態的。靜態VLAN:形成靜態VLAN進程是將端口強制性地分派給VLAN的進程。確信哪些端口屬于哪些特定的VLAN，然后將VLAN靜態映射到端口。這是將端口映射到VLAN的一種最通用的方式。動態VLAN:依照主機的MAC地址劃分VLAN,建議利用公司的802.1X實現動態VLAN功能。2.3.2VLAN計劃依照前端攝像機的區域位置將劃分幾個vlan,分組治理，如此能夠有效的幸免廣播風暴，同時方便治理：（1）第一，必需實現不同網段網絡之間的相互割離。咱們建議利用VLAN技術，同時在核心互換機上配合利用訪問操縱列表實現不同區域之間的隔離。（2）從廣播操縱角度動身，為了保障網絡的高可用和高性能，咱們建議在進行具體VLAN計劃時，同一個廣播域內（一個VLAN）的攝像機不要超過50臺，咱們通過二層隔離，三層互換的方式來解決。（3）關于后端效勞器建議單獨設置在一個VLAN中。（4）若是不同vlan之間需要實現互訪，那么只需要在核心互換機上放開訪問操縱列表就能夠夠了。（5）關于高級操縱員，需要能夠訪問各個vlan的資源，關于此類用戶，咱們只需在核心互換機上，不對其設置任何訪問操縱列表就能夠夠了。總之，任何訪問操縱要求，均能夠通過訪問操縱列表的方式實現。而且訪問操縱列表能夠在用戶認證的時候從認證效勞器下發，從而實現靈活的訪問操縱。為幸免混亂及犯錯，應付網絡中的VlanlD統一計劃，禁止顯現網中的ID相同而又不在同一個Vlan中的情形。另外，由于802.1Q協議支持最多4096個VlanID劃分VlanID能夠為以后治理帶來專門大的方便，比如一看VlanID即知是哪一區域的攝像機。建議VlanID采納如下分派原那么：〈1〉、Vlanl保留利用〈2〉、為方便治理，建議按地理區域劃分一段持續的VlanID。〈3〉、VLANID的分派依照每一個區域占用一個VLANID的方式，該VLANID必需保證全網統一計劃，不許諾重復。2.3.3IP地址計劃IP地址的合理計劃是網絡設計中的重要一環，大型運算機網絡必需對IP地址進行統一計劃并取得實施。IP地址計劃的好壞，阻礙到網絡路由協議算法的效率，阻礙到網絡的性能，阻礙到網絡的擴展，阻礙到網絡的治理，也必將直接阻礙到網絡應用的進一步進展。IP地址的合理分派是保證網絡順利運行和網絡資源有效利用的關鍵。充分考慮到地址空間的合理利用，保證明現最正確的網絡內地址分派及業務流量的均勻散布。IP地址的分派和網絡組織、路由策略和網絡治理等都有緊密的關系，具體的IP地址分派將通常在工程實施時統一計劃實施，那個地址要緊描述IP地址分派的原那么。要緊的原那么描述為：IP地址分派要盡可能給每一個區域分派持續的IP地址空間；在每一個區域網中，相同的業務和功能盡可能分派持續的IP地址空間，有利于路由聚合和平安操縱；IP地址的計劃與劃分應該考慮到個區域的進展，能夠知足以后進展的需要；即要知足本期工程對IP地址的需求，同時要充分考慮以后業務進展，預留相應的地址段；地址分派是由業務驅動，依照業務量的大小分派各地的地址段;IP地址的分派能夠采納VLSM（變長掩碼）技術，保證IP地址的利用效率；IP地址計劃應該是網絡整體計劃的一部份，即IP地址計劃要和網絡層次計劃、路由協議計劃、流量計劃等結合起來考慮。IP地址的計劃應盡可能和網絡層次相對應，應該是自頂向下的一種計劃。2.4路由協議及路由策略計劃由于是視頻監控專網，因此咱們采納治理距離較短的靜態路由，不需要動態路由的收斂時刻，路由和轉發更快，延遲更小。2.5組播的實現當信息（包括數據、語音和視頻）傳送的目的地是網絡中的少數用戶時，能夠采納多種傳送方式。能夠采納單播（Unicast）的方式，即為每一個用戶單獨成立一條數據傳送通路；或采納廣播（Broadcast）的方式，把信息傳送給網絡中的所有效戶，不管他們是不是需要，都會接收到廣播來的信息。例如，在一個網絡上有200個用戶需要接收相同的信息時，傳統的解決方案是用單播方式把這一信息別離發送200次，以便確保需要數據的用戶能夠取得所需的數據；或采納廣播的方式，在整個網絡范圍內傳送數據，需要這些數據的用戶可直接在網絡上獲取。這兩種方式都浪費了大量寶貴的帶寬資源，而且廣播方式也無益于信息的平安和保密。IP組播技術的顯現及時解決了那個問題。組播源僅發送一次信息，組播路由協議為組播數據包成立樹型路由，被傳遞的信息在盡可能遠的分叉路口才開始復制和分發，因此，信息能夠被準確高效地傳送到每一個需要它的用戶。組播的優勢要緊在于：提高效率：降低網絡流量，減輕效勞器和CPU負荷；優化性能：減少冗余流量；散布式應用：使多點應用成為可能。系列三層互換機均支持IGMPV1/V2組播協議，知足（RFC111二、2236）標準，除此之外還支持PIM-SM、PIM-DM三層組播協議。互換機支持硬件的IGMPSNOOPING，即組播報文通過ASIC進行判定，若是是IGMP報文才需要送到CPU處置，如此就幸免了所有的組播數據都送到CPU。另外，還能夠通過ACL的方式對IGMP報文進行操縱，如限速、鑒權等。邊緣設備能夠利用HGMP協議，實現組播和可控組播功能。互換機支持散布式彈性組播路由協議和散布式IGMP-snooping，散布式彈性組播路由除以上單播路由協議的優勢外，還從協議本身動身，從全然上解決了組播數據占用fabric內部帶寬的問題。成功開發的散布式IGMP-snooping協議和高效的組播轉發表保證了每臺設備間只有一份組播數據報文傳送，大大節約了設備間的帶寬，提高了設備轉發性能。完全解決了跑組播業務就網絡性能降低的難題，給用戶帶來了高靠得住性、高性能的組播業務。1．高靠得住性的三層組播轉發表由IRF技術的散布式設備治理提供的全局配置同步和全局統一的三層接口是給高靠得住性的組播路由提供了基礎。盡管每一個unit上的組播路由協議的狀態都相同，所生成的組播路由表也相同，但并非是每一個unit獨立保護各自的組播轉發表，而是其中的一臺unit統一下發組播轉發表，保證了fabric內所有三層組播轉發表相同。當fabric內統一下發組播轉發表的unit顯現故障或離開fabric系統時，fabric內剩余的unit會選擇一臺unit統一下發組播轉發表。由于散布式彈性組播路由協議已經保證了各個協議的狀態相同，組播路由表相同，因此從頭下發的組播轉發表也相同，保證了組播路由無縫切換，數據不中斷，實現了高靠得住性。2．高效的組播轉發表高靠得住性的三層組播轉發表跟散布式IGMP-snooping有機的結合，產生了互換機上引導組播數據轉發的二三層結合的組播轉發表該組播轉發表只保護本unit上的用戶出端口和fabric內其它unit上出端口所在的unit號，并非關切其它unit上具體的端口號。這種高效組播轉發表指導組播數據轉發時，使組播數據跨越最少的unit,尋覓最短的途徑，且unit間傳遞最少報文來轉發，實現了散布式三層數據轉發。2.6網絡平安本網絡是視頻監控專用網絡,因此較其它個業務混用網絡平安,可是也有諸多方面需要考慮,設置設備平安的方式如下：平安接入和配置方式訪問方式保證網絡設備安全的方法備注Console控制接口的訪問設置密碼和超時限制建議超時限制設成5分鐘進入特權exec和設備配置級別的命令行配置Radius來記錄logon/logout時間和操作活動；配置至少一個本地賬戶作應急之

用telnet訪問采用ACL限制，指定從特定的IP地址來進行telnet訪問；配置Radius安全紀錄方案；設置超時限制SSH訪問激活SSH訪問，從而允許操作員從網絡的外部環境進行設備安全登陸WEB管理訪問取消Web管理功能SNMP訪問常規的SNMP訪問是用ACL限制從特定的IP地址來進行SNMP訪問；記錄非授權的SNMP訪問并禁止非授權的SNMP企圖和攻擊為增加安全，建議更改缺省的SNMPCommunity子串設置不同賬號通過設置不同的賬號的訪問權限，提高安全性網絡治理本網絡是一個典型的局域網的結構，如何治理如此大范圍，多設備的網絡，且最大限度地減輕治理人員的工作量，是保證以后網絡正常運行的關鍵之一。隨著網絡技術的進展，網絡的治理面臨著愈來愈高的要求。網絡的治理從以網絡設備為中心，轉變為以治理智能網絡，治理關鍵業務流量為中心。因此網絡治理必需能夠：快速，簡練配置網絡設備；實時監視網絡設備，網絡連接和網絡流量；監視并預測網絡轉變和網絡錯誤；標識最終端口分派，驗證邏輯連接；輔助診斷網絡錯誤和失效。因此網絡治理是網絡建設的重要內容，是保證網絡正常運行的前提。網絡治理不但需要先進、有效的技術支持手腕，對大中型網絡而言，更需要合理、有效的組織體系和規章制度。網絡治理是網絡可用性的關鍵組成。界定并實現網絡治理是網管設計的要緊內容。功能實現4.1大體功能實現多前端接入，既能夠兼容傳統的模擬監控攝像頭，也能夠采納最新的內置編碼器的網絡監控攝像頭，也具有配置移動監控攝像頭的能力。網絡化監控，將分散、獨立的圖像搜集點進行聯網，實現跨區域的統一監控、統一存儲、統一治理、資源共享的大范圍公眾網監控。實時監控，支持實時攝像頭內容觀看，而且支持實時內