可靠的视频监控承载网络设计

文 | 苏佳

　　城域联网监控系统以视频专网为接入、汇聚平台，城域网为核心传输平台，采用标准的接口和标准的协议通过多媒体计算机和相关的软硬件平台，进行系统的监控、控制、记录、显示、处理等方面的工作。系统扩容灵活，基于网络系统的易扩容性，不需要改动系统构架，也不需要对路由进行大规模的建设，仅需增加相应的网络设备提供充足的网络端口，就可以方便地进行系统的升级扩容。

　　分控中心是城域联网方案的基本组成单元，属于经典IP监控系统的单管理域案例。依托视频专网对监控图像进行网络传送，同时整合周界防护、报警、广播对讲等系统，所建设各系统的控制、数据、音频等信号均通过网络平台进行数据的传输，以达到信息共享、远程监控和管理的目的。

　　对于前端有存储和预览需求的场所，可以通过在前端增加存储和分控中心，组建分布部署的分控中心，减少对视频专网汇聚能力要求。分布部署方案使用ECR/ISC作为本地人机分控和本地化存储，可实现本地视频资源的自治，即使分控和主控中心网络中断，也不会影响分控中心的任何业务。

　　多域城域联网方案以单域集中部署和分布部署为基础组成单元，通过城域网作为网络传输平台，增加一个上级统一管理平台构成。放在穿越城域网的每个监控专网出口处，部署流媒体服务器集群。视频专网不可覆盖的区域使用裸光纤租用、SDH通道租用、QinQ、MPLS VPN或者专线VPN等技术接入城域网，具有覆盖范围广、带宽大的特点。

IP视频监控承载网络要求

　　IP视频监控系统作为综合性多媒体应用系统，包含了视频、音频、数据多种数据类型，并同时运行实时音视频编码/传输、音视频存储、历史视频回放以及实施音视频解码/观看等业务，在提供客户更直观的交流及监控手段的同时，也给承载网络带来了巨大压力。

　　我们在考虑整个IP视频监控系统建设的初期，就要去了解IP视频监控的流量特征，明白监控业务对IP承载网的压力所在，并通过合理的网络规划、系统设计来减小网络的负载，让承载网络更好的保障其承载的多媒体业务正常运行。

　　要完成IP视频监控承载网络的设计，还需要考虑以下问题：

监控基础业务流量模型

　　IP视频监控集成了音视频多种业务，不同业务对于承载网络的需求也各不一样，在业务流量的方向、模型以及特征上区别较大。比如对于视频存储而言，数据安全性是第一位的，在数据传输过程中首要保障的是可靠性，而实时视频查看业务，用户的感官体验是首要考虑的，数据传输要优先考虑实时性，低延时的网络对实时视频业务来说是最重要的。

　　IP视频监控中不同业务的数据流向直接影响承载网络的设计，作为多媒体应用，IP视频监控的数据流向直接取决于多媒体数据生产者和数据消费者的部署位置。

　　IP视频监控中的基础业务一般为实时视频查看、视频图像存储、存储视频回放以及语音对讲/广播，其他业务多为基础业务的组合或包装。

承载网络架构设计

　　为适应高码率、大容量、全交换的视频分发需求，视频专网以千兆汇聚、万兆到核心、汇聚层万兆环网为架构，以双链路、双主控、双核心提高网络冗余热备能力，以虚拟化技术提高网络扩展能力和易管理能力，最终提供无阻塞的IP承载网络。

　　城域联网通常采用IP全交换+IP流媒体架构，专网内部署IP全交换，带宽受限的广域网穿越或者无线网络之间部署IP流媒体。依据此原则将视频监控承载网分三级结构：核心层、汇聚层与接入层。

接入层网络设计

　　接入层主要是实现前端系统的高密度接入，前端图像采用以数字视频信号方式采集，再经过IP网络进行传输，作为数字视频系统传输的基础平台，建设的网络系统必须能承载系统在最大化应用时所产生的所有数据流，同时为了保证网络大容量的接入，需要接入层设备支持QoS分类、队列功能，保证接入网络的效能得到最大限度地提升。

　　前端接入类型多样化选择，包括星型接入、EPON接入、RRPP接入、城域网接入等。监控前端密集部署的区域以最常见的星型接入部署为主，施工方便；对于安全和可靠性有高要求的区域以EPON接入部署为主，具有接入安全的特点；园区边界、长距离沿线部署的区域以RRPP接入部署为主，具有传输距离长、网络自愈的特点。

汇聚层网络设计

　　汇聚层作为接入交换机的主节点，主要承载汇聚节点的高可靠性传输链路，作为高速互联的网络主干，实现节点之间的优化分组吞吐量、优化传输性能等，进一步保证网络的安全性与优化性，是视频专网建设的核心。网络设备不仅要支持双引擎，双电源，保证关键部位设备冗余，另外为了最大限度地保证网络可靠性，可配置两台汇聚交换机，每台交换机采用双链路上联至不同核心节点。另外为进一步提升汇聚层设备的可靠性的设计，建议两台以上的每种设备互做备份，应用交换机堆叠技术，将两台汇聚设备虚拟成一台网络设备，实现两台汇聚设备实现统一管理，保证主备设备实现无缝切换，零丢包，加强网络的稳定性和可靠性。

　　以太环网解决方案主要利用RRPP技术基于以太网技术构建高可靠性的环网解决方案。 RRPP技术很好简化了以太环网的计算过程，具有拓扑收敛速度快（低于50ms）和收敛时间与环网上节点数无关的特点，提供快速切换到备份链路的高可靠性；以太环网既为企业用户提供高性价比的可靠性解决方案，也满足运营商对网络可靠性的要求。

核心层网络设计

　　核心层是负责承载视频专网内的数据中心与广域网接入。需要承载视频的实时流、存储流、回放流、分发流等大容量的数据，需要的是一张高可靠、高性能、无阻塞的数据网。以CLOS交换架构的交换机可以做到严格的无阻塞（Non-blocking）、可重构（Re-arrangeable）、可扩展（Scalable），相比传统的CrossBar架构在突发流量处理、拥塞避免、递归扩展上均有巨大的提升。

　　针对高速的包交换系统，以CLOS架构而设计的信元动态路由选路方式能负荷分担地均衡利用所有可达路径，结合信元拆分和重组技术，实现严格的无阻塞交换。通过充分利用所有可用路径形成一个大的数据流通道，通过对整体背板总线和交换网板能力的提升，新一代骨干网络设备在CLOS架构下更是大放异彩，实现了对100GE接口线速能力的支持。

　　采用高端核心路由设备，采用高端核心路由设备，引擎、电源和业务板卡冗余配置，最大限度的降低单点故障的危险，通过与下层双链路互联的方式，保证即使出现了设备的故障或线路损坏的情况下，也能保障图像能够传输。

组播网络设计

　　基于可控组播网络，监控媒体流可以建立组播源到组播接收者的最短路径，并且在最靠近接收者的地方直接被网络复制分发，减少转发服务器的部署数量和视频切换延时。在部分传输质量不稳定的网络、或者组播不可达的网络中，以规避不稳定的部分网络和最靠近视频接收者的两个原则部署流媒体服务器作为补充。可控组播网络可通过下面的技术来分布部署：

　　■ 在三层交换机上启用PIM-SIM，根据已有的单播路由建立自己的组播分发网络。

　　■ 在监控客户端接入的网关接口下使能三层组播协议IGMP，客户端接入的二层交换机启用IGMP fast-leave，让只有感兴趣的人接受到感兴趣的组播报文。

　　■ 在监控前端接入的三层网关上对组播源做合法性过滤，让非法视频流或组播数据无法接入网络。

　　■ 在监控前端接入的二层交换机通过端口隔离，把各监控组播组数据控制在上下行的端口内，不泛滥。

NAT穿越设计

　　公安在进行社会资源整合时，通常在运营商公网上搭建社会资源接入平台，不可能将服务器直接暴露在公网上。通常使用NAT技术构建安全的社会资源整合VPN专网，通过防火墙与广域网隔离，并使用专线的方式接入公安视频专网。接受整合的社会企事业单位，联网的各个场所通常使用ADSL、VDSL、FTTx等方式接入广域网，本地部署NAT实现多台设备、PC同时上网。如果场所内没有其他设备的上网需求，则可以直接使用前端设备PPPoE拨号，无需再做NAT。

　　NAT是一种将私有地址转化为公网地址技术，不仅完美解决了IP地址不足的问题，而且能有效避免来自网络外部的攻击，隐藏并保护网络内部的计算机。但是由于NAT破坏了IP通信的点到点唯一性，其通信模型是规定由私网发起，适用于WEB、EMAIL等请求回应通信模型，对于外围到内网的通信需要在NAT路由器上增加NAT Server端口映射解决。对于流媒体通信的端口协商、地址协商等协议层变化信息，使NAT穿越成为普遍的问题。

　　宇视根据长期在网络、安全和视频领域的经验积累，创新地提出自主知识产权UNP技术。DVR/NVR位于各个场所私网内，与社会资源VPN专网防火墙和路由器建立UNP连接。无需在公网部署服务器，无需在私网内部署多余的服务器，即可将公网或者其他私网内的监控组件与本私网内的服务器使用UNP连接起来，完成公网到私网、私网到公网、私网到公网再到私网等任意方向的NAT穿越。

　　无论监控的各个组件VM、DM、MS、监控前端、解码器、WEB客户端位于NAT网络内的内网、外网、或者连续两个私网，都可以通过UNP技术解决NAT穿越技术。服务器、终端、WEB客户端、域间互通不再因为NAT而束手无策，让一切NAT穿越变得简单设计、简单部署、安全、稳定。

结束语

　　宇视科技多年来在网络与安全领域的精耕细作，创新性地将网络的各种技术融合到监控业务系统，电口/SFP星型组网、POE、EPON、RRPP、UNP、NAT穿越等等各种丰富的网络接入方式，涵盖了客户各种网络使用现状和业务接入需求，组播、安全等特性的支持方便用户搭建可靠、高效的网络。另外，统一网管、拓扑显示、资产管理等特性方便用户的设备管理和维护。