近年來(lái)，隨著平安校園建設(shè)的深入展開(kāi)，視頻監(jiān)控系統(tǒng)在教育行業(yè)得到了越來(lái)越廣泛的部署，其應(yīng)用延伸到學(xué)校的教學(xué)、管理、安全防范等各個(gè)環(huán)節(jié)之中，對(duì)校園的安全、管理起到了很好的防范與推動(dòng)作用。如今數(shù)字計(jì)算技術(shù)和以IP技術(shù)為核心的網(wǎng)絡(luò)技術(shù)的快速發(fā)展，推動(dòng)了監(jiān)控系統(tǒng)由原先封閉的模擬系統(tǒng)向開(kāi)放和標(biāo)準(zhǔn)的數(shù)字化、IP化系統(tǒng)發(fā)展。這里的IP已經(jīng)擴(kuò)展為基于IP網(wǎng)絡(luò)的傳輸、通信、存儲(chǔ)以及管理為核心的IT技術(shù)。本文基于業(yè)務(wù)需求、流量模型的角度，探討數(shù)字視頻監(jiān)控系統(tǒng)在校園網(wǎng)的承載與部署。

一、校園網(wǎng)的業(yè)務(wù)需求與流量模型

一個(gè)典型的校園網(wǎng)絡(luò)可以分為：校園主干網(wǎng)絡(luò)、圖書(shū)館子網(wǎng)、教學(xué)子網(wǎng)、辦公子網(wǎng)、宿舍及后勤子網(wǎng)等。

1.校園主干網(wǎng)絡(luò)

校園主干網(wǎng)絡(luò)是整個(gè)校園網(wǎng)絡(luò)的傳輸干線，負(fù)責(zé)學(xué)校各個(gè)辦公樓和院系局域網(wǎng)之間的數(shù)據(jù)傳輸、信息發(fā)布、資源共享，并負(fù)責(zé)Internet的對(duì)外出口。該子網(wǎng)的流量模型屬于高密度、大流量的FULLMESH通信結(jié)構(gòu)，需要無(wú)阻塞、高穩(wěn)定的核心網(wǎng)絡(luò)構(gòu)建。

2.圖書(shū)館子網(wǎng)

圖書(shū)館是校園網(wǎng)內(nèi)的數(shù)據(jù)集中地，常常和該校園的數(shù)據(jù)中心統(tǒng)一部署，滿足海量高密度的數(shù)字圖書(shū)存儲(chǔ)系統(tǒng)、大并發(fā)量的數(shù)字圖書(shū)檢索與VOD點(diǎn)播系統(tǒng)、學(xué)校間圖書(shū)共享資源以及圖書(shū)管理辦公系統(tǒng)。該子網(wǎng)的流量模型屬于高密度、大流量的對(duì)稱通信結(jié)構(gòu)，需要無(wú)阻塞、高穩(wěn)定的核心網(wǎng)絡(luò)構(gòu)建和VPN網(wǎng)關(guān)。

3.教學(xué)子網(wǎng)

教學(xué)子網(wǎng)的目標(biāo)是利用網(wǎng)絡(luò)實(shí)現(xiàn)多媒體教學(xué)，如交互式多媒體課堂、教師培訓(xùn)VOD點(diǎn)播等。該子網(wǎng)的流量模型在于大量用戶（指超過(guò)60個(gè)流）點(diǎn)播下的視頻信號(hào)的傳送（如VOD視頻點(diǎn)播）。該子網(wǎng)的流量模型主要屬于高并發(fā)、大流量的輸出結(jié)構(gòu)。

4.辦公子網(wǎng)

辦公子網(wǎng)主要面向校園的各級(jí)領(lǐng)導(dǎo)及各職能部門，實(shí)現(xiàn)在線辦公自動(dòng)化系統(tǒng)，同時(shí)需要滿足子網(wǎng)間的數(shù)據(jù)共享與辦公需求。該子網(wǎng)的流量模型屬于小流量的FULLMESH通信結(jié)構(gòu)。

5.宿舍區(qū)及后勤子網(wǎng)

宿舍區(qū)子網(wǎng)即在學(xué)生宿舍內(nèi)部連網(wǎng)，用以直接瀏覽校園發(fā)布的信息及查閱一些電子文檔資料，或者通過(guò)校園網(wǎng)瀏覽Internet網(wǎng)；后勤子網(wǎng)覆蓋范圍大，主要用途有食堂IC卡計(jì)費(fèi)系統(tǒng)等。該子網(wǎng)的流量模型屬于高密度、大流量的FULLMESH通信結(jié)構(gòu)。

二、視頻監(jiān)控系統(tǒng)的業(yè)務(wù)需求與流量模型

1.覆蓋范圍需求

近年來(lái)部署在校園的數(shù)字監(jiān)控系統(tǒng)需要對(duì)校園做全方位的視頻監(jiān)控與信息采集，其需要覆蓋到以下范圍：

（1）對(duì)學(xué)校教學(xué)樓、實(shí)驗(yàn)樓、計(jì)算機(jī)樓、體育館、圖書(shū)館、停車場(chǎng)、學(xué)生宿舍樓、行政樓等建筑的出入口和重點(diǎn)防火、防盜部位進(jìn)行監(jiān)控；

（2）對(duì)學(xué)生經(jīng)常性集中的場(chǎng)所如食堂、運(yùn)動(dòng)場(chǎng)所、廣場(chǎng)安裝攝像機(jī)進(jìn)行監(jiān)控；

（3）對(duì)學(xué)校主干道、各大門口和家屬區(qū)各樓出口進(jìn)行監(jiān)控；

（4）對(duì)校區(qū)大門、宿舍樓、綜合樓、主要路口進(jìn)行監(jiān)控；

（5）接入紅外、門禁、語(yǔ)音、報(bào)警器等通用安防技術(shù)。

2.控制中心需求

監(jiān)控中心、教務(wù)處、保衛(wèi)處通過(guò)校園內(nèi)廣泛部署的攝像頭巡視校園安保工作和教學(xué)管理工作：

（1）電視墻上大尺寸中央顯示器視墻中中央顯示器進(jìn)行單畫(huà)面/多畫(huà)面的自動(dòng)、手動(dòng)、報(bào)警切換顯示，其它監(jiān)視器進(jìn)行多畫(huà)面分割顯示；

（2）通過(guò)專用鍵盤進(jìn)行控制，在電視墻上可以監(jiān)看、控制前端全部任意攝像機(jī)畫(huà)面以及操作前端監(jiān)控主機(jī)；

（3）通過(guò)電視墻或者PC電腦直接回放錄像資料，接收前端報(bào)警信號(hào)等；

（4）各區(qū)域保衛(wèi)室對(duì)區(qū)域所在的攝像點(diǎn)進(jìn)行任意的調(diào)看和控制。

3.實(shí)況控制流量模型

如圖1所示，監(jiān)控前端向WEB客戶端或者解碼器發(fā)送單播或者組播的實(shí)況音視頻數(shù)據(jù)流，或者經(jīng)過(guò)MS轉(zhuǎn)發(fā)發(fā)送單播的音視頻數(shù)據(jù)流。音視頻數(shù)據(jù)流是UDP/TCP可選，流量模型是單向的，數(shù)據(jù)生產(chǎn)者是監(jiān)控前端，消費(fèi)者是客戶端、解碼器。

4.存儲(chǔ)流量模型

如圖1所示，監(jiān)控前端向存儲(chǔ)資源直接寫入基于TCP的存儲(chǔ)數(shù)據(jù)流。流量模型是單向的，數(shù)據(jù)生產(chǎn)者是監(jiān)控前端，消費(fèi)者是存儲(chǔ)資源。

　　圖一：監(jiān)控系統(tǒng)業(yè)務(wù)流量圖

5.錄像回放流量模型

如圖1所示，DM從存儲(chǔ)資源讀取到相應(yīng)的存儲(chǔ)資源后，將回放的錄像數(shù)據(jù)以VOD的形式發(fā)送給WEB客戶端。從存儲(chǔ)資源到DM是基于TCP的，從DM到PC是UDP/TCP可選的。流量模型是單向的，數(shù)據(jù)生產(chǎn)者是存儲(chǔ)資源，消費(fèi)者是客戶端。

三、視頻監(jiān)控系統(tǒng)的校園部署

1.部署方式

在已有校園網(wǎng)的擴(kuò)建項(xiàng)目中，可以采用融合部署方式，利用原有校園網(wǎng)絡(luò)補(bǔ)充建設(shè)監(jiān)控專網(wǎng)，通過(guò)其他網(wǎng)絡(luò)配置手段和QoS技術(shù)保證兩個(gè)業(yè)務(wù)系統(tǒng)的業(yè)務(wù)體驗(yàn)。宇視科技提供多種室內(nèi)室外的單路、多路編碼器適應(yīng)不同的視頻匯聚需求，其中用于戶外監(jiān)控的編碼器均提供內(nèi)嵌的EPON接口卡和雙SFP子卡，可構(gòu)建EPON星型或樹(shù)型網(wǎng)絡(luò)和RRPP環(huán)網(wǎng)。星形接入方式是樓宇園區(qū)等監(jiān)控場(chǎng)合PDS綜合布線系統(tǒng)采用的組網(wǎng)方式，并通過(guò)POE技術(shù)利用綜合布線系統(tǒng)可以進(jìn)行集中供電，簡(jiǎn)化布線，進(jìn)一步降低系統(tǒng)的布線成本和TCO整體成本。

　　圖二：視頻監(jiān)控系統(tǒng)的校園分布部署

EPON能提供上下行對(duì)稱的1Gbps的帶寬，通過(guò)各種分光器組建樹(shù)形網(wǎng)絡(luò)、總線型網(wǎng)絡(luò)，方便園區(qū)監(jiān)控的各種部署模型，減少了線路和外部設(shè)備的故障率，提高了系統(tǒng)的可靠性。

RRPP光環(huán)網(wǎng)保護(hù)技術(shù)能夠?qū)崿F(xiàn)50毫秒內(nèi)的鏈路保護(hù)，既解決了環(huán)網(wǎng)保護(hù)問(wèn)題，又有效節(jié)約光纖和核心接入設(shè)備的網(wǎng)絡(luò)占用。

2.組播設(shè)計(jì)

組播技術(shù)能夠有效地解決單點(diǎn)發(fā)送多點(diǎn)接收的問(wèn)題，從而實(shí)現(xiàn)網(wǎng)絡(luò)中點(diǎn)到多點(diǎn)的高效數(shù)據(jù)傳送，能夠大量節(jié)約網(wǎng)絡(luò)帶寬、降低網(wǎng)絡(luò)負(fù)載。為避免無(wú)規(guī)劃、部署不當(dāng)?shù)慕M播可能引起的組播泛濫，通過(guò)PIM-SM組播路由、IGMP組管理、IGMP

Snooping偵聽(tīng)、組播源做合法性過(guò)濾、監(jiān)控前端端口隔離等技術(shù)實(shí)現(xiàn)可控組播網(wǎng)絡(luò)?；谛@網(wǎng)部署的可控組播建議：

一是在三層交換機(jī)上啟用PIM-SIM，根據(jù)已有的單播路由建立自己的組播分發(fā)網(wǎng)絡(luò)。

二是在監(jiān)控客戶端接入的網(wǎng)關(guān)接口下能使三層組播協(xié)議IGMP，客戶端接入的二層交換機(jī)啟用IGMPfast-leave，讓只有感興趣的人接受到感興趣的組播報(bào)文。

三是在監(jiān)控前端接入的三層網(wǎng)關(guān)上對(duì)組播源做合法性過(guò)濾，讓非法視頻流或組播數(shù)據(jù)無(wú)法接入網(wǎng)絡(luò)。

四是在監(jiān)控前端接入的二層交換機(jī)通過(guò)端口隔離，把各監(jiān)控組播組數(shù)據(jù)控制在上下行的端口內(nèi)，不泛濫。

3.QoS設(shè)計(jì)

音視頻業(yè)務(wù)對(duì)于網(wǎng)絡(luò)的帶寬延時(shí)有較高的要求，特別是高清視頻業(yè)務(wù)的普及，承載能力差的網(wǎng)絡(luò)將帶來(lái)圖像卡頓、花屏等很差的音視頻體驗(yàn)。對(duì)于上述視頻監(jiān)控系統(tǒng)與校園網(wǎng)融合部署的情況，大流量的視頻監(jiān)控業(yè)務(wù)可能對(duì)原有校園網(wǎng)的辦公業(yè)務(wù)和教學(xué)業(yè)務(wù)產(chǎn)生流量沖擊，在帶寬受限的部分鏈路和廣域網(wǎng)出口更容易因下行鏈路帶寬不足而引起的端口緩存溢出而丟包。為提高監(jiān)控業(yè)務(wù)的業(yè)務(wù)體驗(yàn)，可以對(duì)校園網(wǎng)絡(luò)路徑上的路由器、交換機(jī)做QoS設(shè)計(jì)。

（1）QoS策略制定：在充分了解校園對(duì)廣域網(wǎng)業(yè)務(wù)規(guī)劃的前提下，確定網(wǎng)絡(luò)中的帶寬瓶頸節(jié)點(diǎn)，制定適合的QoS方案是達(dá)成校園對(duì)業(yè)務(wù)流量和質(zhì)量保證目標(biāo)的關(guān)鍵。在某些時(shí)候?yàn)榱藵M足校園的整體QoS要求，也需要對(duì)網(wǎng)絡(luò)設(shè)計(jì)作出適當(dāng)?shù)母倪M(jìn)。

（2）業(yè)務(wù)識(shí)別：業(yè)務(wù)識(shí)別的原則是越早越好，以減輕網(wǎng)絡(luò)設(shè)備業(yè)務(wù)識(shí)別負(fù)擔(dān)。最好媒體終端自行標(biāo)記業(yè)務(wù)，一般建議在學(xué)校園區(qū)網(wǎng)進(jìn)行業(yè)務(wù)識(shí)別，廣域網(wǎng)只需進(jìn)行優(yōu)先級(jí)映射并進(jìn)行隊(duì)列調(diào)度即可。

（3）流量監(jiān)管：對(duì)網(wǎng)絡(luò)瓶頸點(diǎn)上游入端口進(jìn)行流量限速，防止非優(yōu)先級(jí)業(yè)務(wù)沖擊導(dǎo)致的網(wǎng)絡(luò)設(shè)備性能下降。

（4）擁塞避免：根據(jù)隊(duì)列內(nèi)業(yè)務(wù)分類和權(quán)重進(jìn)行擁塞時(shí)的丟包處理。

（5）隊(duì)列調(diào)度：根據(jù)業(yè)務(wù)種類和各自帶寬需求進(jìn)行出口帶寬評(píng)估，確定業(yè)務(wù)帶寬比例和優(yōu)先級(jí)差別。

四、網(wǎng)絡(luò)安全問(wèn)題

網(wǎng)絡(luò)的技術(shù)是全開(kāi)放的，使得網(wǎng)絡(luò)所面臨的攻擊來(lái)自多方面，關(guān)鍵視頻資源與教學(xué)、辦公網(wǎng)數(shù)據(jù)具有很強(qiáng)的私密保護(hù)性。校園網(wǎng)絡(luò)是整個(gè)視頻監(jiān)控業(yè)務(wù)系統(tǒng)的承載基礎(chǔ)，承載網(wǎng)的安全部署很大程度上決定了業(yè)務(wù)系統(tǒng)的安全等級(jí)。部署安全網(wǎng)絡(luò)常常需要從功能分區(qū)與區(qū)域安全策略、地理位置與邏輯拓?fù)洹?-7層網(wǎng)絡(luò)協(xié)議安全策略等角度去設(shè)計(jì)。一般的做法主要有：

1.網(wǎng)絡(luò)隔離

宿舍接入子網(wǎng)與廣域網(wǎng)接入由于區(qū)域廣泛、人員混雜，不受限于物理安全防范措施，存在較大的安全隱患。校園網(wǎng)以信息涉密程度針對(duì)不同的網(wǎng)絡(luò)空間劃分為不同的安全域，不同的安全域制訂對(duì)應(yīng)的安全策略。教學(xué)辦公子網(wǎng)與宿舍接入子網(wǎng)、廣域網(wǎng)之間需要使用網(wǎng)閘或者防火墻做網(wǎng)絡(luò)隔離，端到端通信嚴(yán)格受控，僅允許指定的設(shè)備接入、與指定的設(shè)備通信，從而大大降低安全隱患的影響范圍和風(fēng)險(xiǎn)。入侵檢測(cè)與邊界防護(hù)網(wǎng)關(guān)提供網(wǎng)絡(luò)邊界雙向數(shù)據(jù)流的監(jiān)控信息，通過(guò)防火墻網(wǎng)絡(luò)隔離、端口掃描與攻擊的檢測(cè)防范、病毒防御、流量監(jiān)控，減少用戶網(wǎng)絡(luò)數(shù)據(jù)感染病毒、業(yè)務(wù)被黑客破壞、重要信息被竊取等等安全事件，減少安全威脅在網(wǎng)絡(luò)之間的傳播。網(wǎng)絡(luò)隔離出口個(gè)數(shù)需要嚴(yán)格受控，分布式部署的網(wǎng)絡(luò)需要在各自的子網(wǎng)內(nèi)匯總，從統(tǒng)一的出口接入敏感數(shù)據(jù)子網(wǎng)。

2.遠(yuǎn)程安全接入

遠(yuǎn)程安全接入方案集成防火墻、安全網(wǎng)關(guān)、安全管理平臺(tái)功能，通過(guò)安全傳輸、安全過(guò)濾、用戶認(rèn)證等方式，實(shí)現(xiàn)廣域網(wǎng)上部署的社會(huì)資源和移動(dòng)用戶安全接入視頻監(jiān)控專網(wǎng)。

3.行為監(jiān)管

對(duì)用戶行為進(jìn)行管理、控制和審計(jì)，采用應(yīng)用控制網(wǎng)關(guān)ACG、防火墻、安全管理平臺(tái)組成，通過(guò)行為識(shí)別、行為控制、行為審計(jì)三個(gè)方面，實(shí)現(xiàn)對(duì)用戶上網(wǎng)行為的監(jiān)管，并且通過(guò)不斷升級(jí)的特征庫(kù)，可以及時(shí)的識(shí)別各種新的應(yīng)用。

4.終端準(zhǔn)入控制

訪問(wèn)控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略，主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問(wèn)，是保證網(wǎng)絡(luò)安全最重要的核心策略之一。基于802.1x協(xié)議，通過(guò)MAC、IP、用戶名等多種身份認(rèn)證方式確認(rèn)終端的接入合法性；并通過(guò)與操作系統(tǒng)和殺毒軟件的配合聯(lián)動(dòng)，檢查終端的安全漏洞、終端殺毒軟件的安裝和病毒庫(kù)更新情況。

結(jié)語(yǔ)

安防行業(yè)的迅速發(fā)展推動(dòng)了平安校園建設(shè)在各地的推廣應(yīng)用，其中視頻監(jiān)控是校園安全防范管理必不可少的部分，對(duì)于整個(gè)學(xué)校園區(qū)的監(jiān)控部署工作，宇視科技結(jié)合校園網(wǎng)和監(jiān)控系統(tǒng)的流量模型，提供端到端全數(shù)字智能IP監(jiān)控的平安校園解決方案，使得整個(gè)方案系統(tǒng)規(guī)劃簡(jiǎn)單、部署簡(jiǎn)單、擴(kuò)展簡(jiǎn)單、維護(hù)簡(jiǎn)單、架構(gòu)先進(jìn)，為校園的安全防范管理帶來(lái)了完善的解決辦法。