近年來,隨著平安校園建設的深入展開,視頻監控系統在教育行業得到了越來越廣泛的部署,其應用延伸到學校的教學、管理、安全防范等各個環節之中,對校園的安全、管理起到了很好的防范與推動作用。如今數字計算技術和以IP技術為核心的網絡技術的快速發展,推動了監控系統由原先封閉的模擬系統向開放和標準的數字化、IP化系統發展。這里的IP已經擴展為基于IP網絡的傳輸、通信、存儲以及管理為核心的IT技術。本文基于業務需求、流量模型的角度,探討數字視頻監控系統在校園網的承載與部署。
一、校園網的業務需求與流量模型
一個典型的校園網絡可以分為:校園主干網絡、圖書館子網、教學子網、辦公子網、宿舍及后勤子網等。
1.校園主干網絡
校園主干網絡是整個校園網絡的傳輸干線,負責學校各個辦公樓和院系局域網之間的數據傳輸、信息發布、資源共享,并負責Internet的對外出口。該子網的流量模型屬于高密度、大流量的FULLMESH通信結構,需要無阻塞、高穩定的核心網絡構建。
2.圖書館子網
圖書館是校園網內的數據集中地,常常和該校園的數據中心統一部署,滿足海量高密度的數字圖書存儲系統、大并發量的數字圖書檢索與VOD點播系統、學校間圖書共享資源以及圖書管理辦公系統。該子網的流量模型屬于高密度、大流量的對稱通信結構,需要無阻塞、高穩定的核心網絡構建和VPN網關。
3.教學子網
教學子網的目標是利用網絡實現多媒體教學,如交互式多媒體課堂、教師培訓VOD點播等。該子網的流量模型在于大量用戶(指超過60個流)點播下的視頻信號的傳送(如VOD視頻點播)。該子網的流量模型主要屬于高并發、大流量的輸出結構。
4.辦公子網
辦公子網主要面向校園的各級領導及各職能部門,實現在線辦公自動化系統,同時需要滿足子網間的數據共享與辦公需求。該子網的流量模型屬于小流量的FULLMESH通信結構。
5.宿舍區及后勤子網
宿舍區子網即在學生宿舍內部連網,用以直接瀏覽校園發布的信息及查閱一些電子文檔資料,或者通過校園網瀏覽Internet網;后勤子網覆蓋范圍大,主要用途有食堂IC卡計費系統等。該子網的流量模型屬于高密度、大流量的FULLMESH通信結構。
二、視頻監控系統的業務需求與流量模型
1.覆蓋范圍需求
近年來部署在校園的數字監控系統需要對校園做全方位的視頻監控與信息采集,其需要覆蓋到以下范圍:
(1)對學校教學樓、實驗樓、計算機樓、體育館、圖書館、停車場、學生宿舍樓、行政樓等建筑的出入口和重點防火、防盜部位進行監控;
(2)對學生經常性集中的場所如食堂、運動場所、廣場安裝攝像機進行監控;
(3)對學校主干道、各大門口和家屬區各樓出口進行監控;
(4)對校區大門、宿舍樓、綜合樓、主要路口進行監控;
(5)接入紅外、門禁、語音、報警器等通用安防技術。
2.控制中心需求
監控中心、教務處、保衛處通過校園內廣泛部署的攝像頭巡視校園安保工作和教學管理工作:
(1)電視墻上大尺寸中央顯示器視墻中中央顯示器進行單畫面/多畫面的自動、手動、報警切換顯示,其它監視器進行多畫面分割顯示;
(2)通過專用鍵盤進行控制,在電視墻上可以監看、控制前端全部任意攝像機畫面以及操作前端監控主機;
(3)通過電視墻或者PC電腦直接回放錄像資料,接收前端報警信號等;
(4)各區域保衛室對區域所在的攝像點進行任意的調看和控制。
3.實況控制流量模型
如圖1所示,監控前端向WEB客戶端或者解碼器發送單播或者組播的實況音視頻數據流,或者經過MS轉發發送單播的音視頻數據流。音視頻數據流是UDP/TCP可選,流量模型是單向的,數據生產者是監控前端,消費者是客戶端、解碼器。
4.存儲流量模型
如圖1所示,監控前端向存儲資源直接寫入基于TCP的存儲數據流。流量模型是單向的,數據生產者是監控前端,消費者是存儲資源。
5.錄像回放流量模型
如圖1所示,DM從存儲資源讀取到相應的存儲資源后,將回放的錄像數據以VOD的形式發送給WEB客戶端。從存儲資源到DM是基于TCP的,從DM到PC是UDP/TCP可選的。流量模型是單向的,數據生產者是存儲資源,消費者是客戶端。
三、視頻監控系統的校園部署
1.部署方式
在已有校園網的擴建項目中,可以采用融合部署方式,利用原有校園網絡補充建設監控專網,通過其他網絡配置手段和QoS技術保證兩個業務系統的業務體驗。宇視科技提供多種室內室外的單路、多路編碼器適應不同的視頻匯聚需求,其中用于戶外監控的編碼器均提供內嵌的EPON接口卡和雙SFP子卡,可構建EPON星型或樹型網絡和RRPP環網。星形接入方式是樓宇園區等監控場合PDS綜合布線系統采用的組網方式,并通過POE技術利用綜合布線系統可以進行集中供電,簡化布線,進一步降低系統的布線成本和TCO整體成本。
EPON能提供上下行對稱的1Gbps的帶寬,通過各種分光器組建樹形網絡、總線型網絡,方便園區監控的各種部署模型,減少了線路和外部設備的故障率,提高了系統的可靠性。
RRPP光環網保護技術能夠實現50毫秒內的鏈路保護,既解決了環網保護問題,又有效節約光纖和核心接入設備的網絡占用。
2.組播設計
組播技術能夠有效地解決單點發送多點接收的問題,從而實現網絡中點到多點的高效數據傳送,能夠大量節約網絡帶寬、降低網絡負載。為避免無規劃、部署不當的組播可能引起的組播泛濫,通過PIM-SM組播路由、IGMP組管理、IGMP
Snooping偵聽、組播源做合法性過濾、監控前端端口隔離等技術實現可控組播網絡。基于校園網部署的可控組播建議:
一是在三層交換機上啟用PIM-SIM,根據已有的單播路由建立自己的組播分發網絡。
二是在監控客戶端接入的網關接口下能使三層組播協議IGMP,客戶端接入的二層交換機啟用IGMPfast-leave,讓只有感興趣的人接受到感興趣的組播報文。
三是在監控前端接入的三層網關上對組播源做合法性過濾,讓非法視頻流或組播數據無法接入網絡。
四是在監控前端接入的二層交換機通過端口隔離,把各監控組播組數據控制在上下行的端口內,不泛濫。
3.QoS設計
音視頻業務對于網絡的帶寬延時有較高的要求,特別是高清視頻業務的普及,承載能力差的網絡將帶來圖像卡頓、花屏等很差的音視頻體驗。對于上述視頻監控系統與校園網融合部署的情況,大流量的視頻監控業務可能對原有校園網的辦公業務和教學業務產生流量沖擊,在帶寬受限的部分鏈路和廣域網出口更容易因下行鏈路帶寬不足而引起的端口緩存溢出而丟包。為提高監控業務的業務體驗,可以對校園網絡路徑上的路由器、交換機做QoS設計。
(1)QoS策略制定:在充分了解校園對廣域網業務規劃的前提下,確定網絡中的帶寬瓶頸節點,制定適合的QoS方案是達成校園對業務流量和質量保證目標的關鍵。在某些時候為了滿足校園的整體QoS要求,也需要對網絡設計作出適當的改進。
(2)業務識別:業務識別的原則是越早越好,以減輕網絡設備業務識別負擔。最好媒體終端自行標記業務,一般建議在學校園區網進行業務識別,廣域網只需進行優先級映射并進行隊列調度即可。
(3)流量監管:對網絡瓶頸點上游入端口進行流量限速,防止非優先級業務沖擊導致的網絡設備性能下降。
(4)擁塞避免:根據隊列內業務分類和權重進行擁塞時的丟包處理。
(5)隊列調度:根據業務種類和各自帶寬需求進行出口帶寬評估,確定業務帶寬比例和優先級差別。
四、網絡安全問題
網絡的技術是全開放的,使得網絡所面臨的攻擊來自多方面,關鍵視頻資源與教學、辦公網數據具有很強的私密保護性。校園網絡是整個視頻監控業務系統的承載基礎,承載網的安全部署很大程度上決定了業務系統的安全等級。部署安全網絡常常需要從功能分區與區域安全策略、地理位置與邏輯拓撲、2-7層網絡協議安全策略等角度去設計。一般的做法主要有:
1.網絡隔離
宿舍接入子網與廣域網接入由于區域廣泛、人員混雜,不受限于物理安全防范措施,存在較大的安全隱患。校園網以信息涉密程度針對不同的網絡空間劃分為不同的安全域,不同的安全域制訂對應的安全策略。教學辦公子網與宿舍接入子網、廣域網之間需要使用網閘或者防火墻做網絡隔離,端到端通信嚴格受控,僅允許指定的設備接入、與指定的設備通信,從而大大降低安全隱患的影響范圍和風險。入侵檢測與邊界防護網關提供網絡邊界雙向數據流的監控信息,通過防火墻網絡隔離、端口掃描與攻擊的檢測防范、病毒防御、流量監控,減少用戶網絡數據感染病毒、業務被黑客破壞、重要信息被竊取等等安全事件,減少安全威脅在網絡之間的傳播。網絡隔離出口個數需要嚴格受控,分布式部署的網絡需要在各自的子網內匯總,從統一的出口接入敏感數據子網。
2.遠程安全接入
遠程安全接入方案集成防火墻、安全網關、安全管理平臺功能,通過安全傳輸、安全過濾、用戶認證等方式,實現廣域網上部署的社會資源和移動用戶安全接入視頻監控專網。
3.行為監管
對用戶行為進行管理、控制和審計,采用應用控制網關ACG、防火墻、安全管理平臺組成,通過行為識別、行為控制、行為審計三個方面,實現對用戶上網行為的監管,并且通過不斷升級的特征庫,可以及時的識別各種新的應用。
4.終端準入控制
訪問控制是網絡安全防范和保護的主要策略,主要任務是保證網絡資源不被非法使用和訪問,是保證網絡安全最重要的核心策略之一。基于802.1x協議,通過MAC、IP、用戶名等多種身份認證方式確認終端的接入合法性;并通過與操作系統和殺毒軟件的配合聯動,檢查終端的安全漏洞、終端殺毒軟件的安裝和病毒庫更新情況。
結語
安防行業的迅速發展推動了平安校園建設在各地的推廣應用,其中視頻監控是校園安全防范管理必不可少的部分,對于整個學校園區的監控部署工作,宇視科技結合校園網和監控系統的流量模型,提供端到端全數字智能IP監控的平安校園解決方案,使得整個方案系統規劃簡單、部署簡單、擴展簡單、維護簡單、架構先進,為校園的安全防范管理帶來了完善的解決辦法。
京公網安備 11010502049343號