1、.观音岩水电站高清数字网络视频监控系统工程技术方案目录.第一章 概述 .41.1 行业背景分析 .41.2 技术背景分析 .41.3 项目需求分析 6第二章 系统设计 .72.1 设计原则 .72.2 设计依据 92.3 设计目标 92.4 设计思想 102.5 设计特点 102.6 系统解决方案 .122.6.1 系统总体框架设计 .122.6.2 监控前端硬件建设 .152.6.3 传输系统 .162.6.3.1 网络传输设计 .162.6.3.2 IP 地址规划 242.6.3.3 QoS 设计 242.6.3.4 组播设计 .262.6.3.5 网络安全设计 .262.6.4 监控中心
2、建设 .272.6.4.1 网络视频监控集中管理平台设计 .272.6.4.2 远程联网集中管理平台的组成模块 .272.6.4.3 管理平台模块部署解决方案 .282.6.4.4 存储方案设计 292.6.4.6 流媒体转发设计 .312.6.4.7 监控客户端控制 322.6.4.8 DID 液晶电视墙显示系统设计 32第三章 高清网络视频监控系统 .323.1 前端多种采集组合 .323.2 低码流下高清图像传输 .383.3 强大的网络管理功能 .393.4 标准平台易于远程接入和其他终端接入 .393.5 VMP 联网集中管理平台 393.6 强大的存储能力 .39.第一章 概述1.
3、1 行业背景分析近年来,随着科技的进步和经济的发展带来了整个社会生活水平的提高,人们生活不再仅仅局限于传统的衣、食、住、行,对周围的居住环境及工作环境安全越来越重视,安全技术防范作为保护人民生命和财产的重要工具也越来越被广大消费者所重视。在交通、银行、博物馆、政府机构、物流、商店(超市) 、居民社区、企事业单位、工厂、教育、能源等各个领域已经得到广泛应用。闭路电视监控系统作为安全防范系统最基本、最重要的子系统,得到了最为广泛的应用。采用闭路监控为主的多种技术防范结合的系统是预防和制止犯罪最为有效的措施、同时也可以通过视频监控系统对各个现场环境的把握,实时了解其现场状态,提升各个环节的运作效率。
4、同时在进行视频监控的同时在各个重点出入口和区域建设报警系统,采用现代通信技术和计算机技术以及软件开发技术完成报警系统和视频监控的有效联动。网络高清视频监控系统由总控中心里的专用监视器、录像存储、管理和转发设备以及布置在的主要部位的高清摄像机、网络球机和汇聚交换机等视频网络组成。前端摄像机的实时监控视频信息通过交换机等传输设备传输到监控中心进行二十四小时实时录像,值班人员可对多路视频图像进行实时的任意的监看等。闭路电视监控系统作为一项先进的高科技防范手段,特别是系统本身具有直观、实时、记录、回放等特点,在许多领域得到越来越广泛的应用。为了进一步满足观音岩网络监控系统要求,创造一个安全、稳定和高效
5、的旅游环境,根据项目提供的相关资料和项目的实际需求,参照有关国际标准和国家标准,并结合我公司多年项目所积累的经验,现编制出这套技术方案。1.2 技术背景分析随着市场需求的不断变化和网络技术的飞速发展,无论是远程还是本地的中大型监控系统都需要一套完整的解决方案。无论是传统的模拟方式还是现阶段的 DVR、DVS 单机解决方案都不能很好的解决中大型监控系统的问题,如机.场监控,大型小区,智能大楼,学校,旅游景点,超市,监狱,还有一些诸如边防,基站监控等远程应用。只有基于目前比较成熟的网络技术,才能有效的解决工程中长距离布线、系统的扩展等多种需求问题。目前国内国外正在兴起一股应用全网络数字监控系统的热
6、潮,尤其是在监狱、机场、交通、高档写字楼等大型市政项目,城市的综合治安管理平台等等,所以网络数字视频管理系统是目前监控系统的发展方向和趋势。众所周知,视频监控系统的发展大致经历了三个阶段。在 2000 年以前,主要是以模拟设备为主,含摄像机和磁带录像机的全模拟电视监控系统,称为第一代模拟监控系统;2000 年以后到现在,随着计算机处理能力的提高和视频技术的发展,人们利用计算机的高速数据处理能力进行视频的采集和压缩处理,利用显示器的高分辨率实现图像的多画面显示,从而大大提高了图像质量,由于传输依旧采用传统的模拟视频电缆,所以就叫着第二代半模拟半数字本地视频监控系统。从 2004 年开始,随着网络
7、带宽的提高和成本的降低、硬盘容量的加大和中心存储成本的降低,以及各种实用视频处理技术的出现,视频监控步入了全数字化的网络时代,由于它从摄像机或网络视频服务器下来就直接进入网络,而且依靠强大的平台软件实施管理,所以称为第三代网络视频监控管理系统。第三代视频监控系统以网络为依托,并以数字视频的压缩、传输、存储和播放为核心,以智能实用的图像分析为特色,引发了视频监控行业的技术革命。监控产品正经历着从模拟化向数字化、网络化、智能化的革命。全网络视频监控管理系统除了具有传统闭路电视监视系统的所有功能外,还具有远程视频监看与回放,远程控制、快球预置点调用,网络连接异常检测,前端视频信号检测,DVS 主机联
8、动报警,视频录像数据存储等等功能,更有一套完善的后台管理软件平台。令人兴奋的是我公司利用自主研发软硬件的能力,不但能够提供功能强大的单机监控系统和网络摄像机、视频服务器,更能提供一整套基于网络的后台软件管理平台,用中心管理机完成数字矩阵功能,更能完成单纯的 DVS,视频服务器和数字矩阵完成不了的功能。1.3 项目需求分析1.3.1 概述观音岩水电站为金沙江水电基地中游河段“一库八级”水电开发方案的最.后一个梯级水电站,位于云南省华坪县与四川省攀枝花市的交界处,上游接鲁地拉水电站,下游距攀枝花市 27 公里。根据其场地的核心地位及作业流程及人员进出的特殊性,要求有一套先进、全面、可行、并具有可扩
9、展性的数字监控系统。1.3.2 建设目标观音岩高清网络监控系统设计的目标是建设一套基于网络数字技术的新型视频监控系统。用网络化视频图像记录替代传统模拟式图像分割录像监控,实现集中管理实时监控、实时调度;同时,网络监控功能可通过网络远程实时和非实时回放现场画面,以便于对突发事件的应急处理。视频图像实时监控的同时要求能清晰分辨监控区域内出入及作业人员的面部特征;且在服务器内保留30 天以上生产作业区的高画质数字视频存储。1.3.3 业务需求观音岩高清网络监控系统由网络视频监控系统,集中管理监控系统(电视墙)构成。1.3.4 需求描述1.3.4.1 网络视频监控系统网络视频监控系统采用基于 IP 网
10、络数字技术的实时视频监控、记录、传输,并保留 90 天以上的高画质数字视频存储。所有前端 IP 网络数字摄像机及报警信号通过光纤收发器连接到前端的信息机房,在通过光纤连接至监控主机房,必要时可通过英特网从监控主机房连接监控系统局域网。在监控主机房配置存储、转发服务器,配置监控系统局域网核心交换机柜,核心交换机与区域交换机之间达到千兆(非理论千兆) 。选用主流正牌厂家的各级交换机,保证交换机交换能力,在网络视频监控流量较大的情况下,避免流量或交换能力导致的监控画面失真、设备掉线、马赛克画面、响应延迟、帧丢失等。在生产指挥调度室设置液晶拼接单元,对整个场地进行实时监控和调度,并可对所有视频设备进行
11、调度和多功能监控。具体需求如下:水电站外围,人行通道设置星光级功能的红外高清枪机 31 台,红外高速球机 7 台,用于定点监控需要重点监视的区域。.宿舍内部安装了网络高清红外半球 24 台,宿舍外部安装网络高清红外枪机 5 台,用于监控宿舍人员进出的情况和宿舍外部小偷的情况。食堂内部和外部安装了 360 度室内网络高清半球摄像机 2 台、网络高清红外枪机 4 台、红外高速球机 1 台,用于监控食堂内部的安全。领导楼、档案楼、监理楼安装了网络红外枪机 13 台、红外高速球机 4 台,用于监控外围的情况。内部停车场、内部停车场旁的体育场所安装了 360 度室内网络高清半球摄像机 2 台、红外高速球
12、机 2 台、网络红外枪机 1 台,用于监控停车场的进出情况和破坏器材的人员。营地进出入口、工作接待中心安装了网络红外枪机 12 台、红外高速 2台,用于监控车辆进出情况。第二章 系统设计2.1 设计原则 高可靠性:系统设计、设备选型、调试、安装等环节都严格执行国家、行业的有关标准及公安部门有关安全技术防范的要求,系统主要设备器材都选用国际化、专业化、规模化生产的高品质产品。其工艺水平高,质量保证手段完善,性能稳定,从而为系统的高可靠性打下坚实的基础。采用监控行业最新技术和高品质设备。在考虑技术先进性和开放性的同时,还应从系统结构、技术措施、设备性能、系统管理、厂商技术支持及维修能力方面着手,确
13、保系统运行的可靠性和稳定性。满足 724 小时、全年 365 天的全天候长期稳定运行。 先进性:本系统采用先进的、具有前瞻性的视频监控技术,包括星光级200 万像素网络高清技术、外置多功能拼接处理器、视频海量存储技术等。设备选型要保证技术领先,性能可靠,操作简便、实用,维护简单,性能价格比最优,并留有扩展余地。设备采用均采用目前领先技术和生产工艺制造。系统设计既采用了先进的设计理念、技术、方法,又结合结构、设备的成熟性,不但能体现现在的技术水平,而且具有发展的潜力。实现整个系统设备的运维管理,以及各类视频综合智能化应用。. 经济实用性:在满足安全防范级别要求的前提下,在确保系统稳定可靠、性能良
14、好的基础上,在考虑系统的先进性的同时,按需选择系统和设备,做到合理、实用,降低成本,从而达到极高的性能价格比,降低安全管理的运营成本。系统建设应始终坚持面向应用、注重实效的原则,把实用性和经济性结合起来。系统设备器材经过精心搭配,考虑最优的质量性能和价格比,既经济实用,又最大限度降低系统成本。 系统完整性:该套管理系统是一个较完整的集成化管理系统,系统的设计着重考虑贵单位其它系统的管理综合、互动集成等因素。 操作简单实用:采用高科技手段,进行智能化设计,尽量减少系统操作的复杂性。 发展性:系统应在初步设计时,就考虑未来良好的发展性,以降低未来发展的成本,使系统具有良好的可持续发展性,为今后系统
15、的扩展提供了足够的空间。 外观效果美观:前端装置安装均考虑安全性、隐蔽性及美观性,根据实用和美观的原则,前端和后端我公司都选用了外观工艺和性能稳定都比较好的安防产品。 开放性和标准性:为了满足系统所采用的技术和设备的协同运行能力、系统投资的长期效应以及系统功能不断扩展的需求,必须追求系统的开放性和标准性。高清网络摄像机、高清编解码器、网络设备、存储设备及软件平台等均应采用开放式的产品或架构,满足构建统一的视频管理及应用平台的需要。 安全性和保密性:系统传输采用专网,充分利用光纤资源,保证视频信息、控制信息网络传输的安全和畅通,也可以采用互联网和 VPN 进行传输。同时设备接入、传输需采取不同的
16、措施,包括系统安全机制、数据存取的权限控制等。采用加密技术,防止网络非法入侵保护和避免信息非法被窃取。 易管理性和易维护性:前端设备支持远程升级和远程故障排除功能,维护便捷,降低系统运维管理成本。同时可自动检测系统中任何一台设备的运行状态,并示出详细参数,以辅佐管理人员及时准确地判断和解决问题。采用稳定易用的硬件和软件,完全不需借助任何专用维护工具,既降低了.对管理人员进行专业知识的培训费用,又节省了日常频繁地维护费用。2.2 设计依据观音岩水电站高清网络监控系统遵循相关安防、民用及公安等电气工程及建设安装的相关行业标准和规范。甲方要求安全防范工程技术规范 GB50348-2004智能建筑设计
17、标准GB/T50314-2006工业电视系统工程设计规范GBJ 115消防联动控制设备通用技术条件GB 168061997城市住宅建筑综合布线系统工程设计规范CECS/119-2000视频安防监控系统工程设计规范 GB50395-2007视频安防监控数字录像设备 GB20815-2006安全防范工程程序与要求 GA/T75-94安全防范系统通用图形符号 GA/T74-2000安全防范系统验收规则 GA308-2001视频安防系统技术要求 GA/T367-2001计算机场地技术要求GB2887-2000 综合布线系统设计规范EIA/ITA568A、ISO/IEC11801、CECS72-792.
18、3 设计目标根据视频监控系统的特点和应用需求,本方案的目标是建设一个采用高清视频采集、外置多功能拼接处理器、光纤专网图像传输技术、联网控制技术、存储和显示等应用技术,并进行精确监控的视频监控平台。结合当前与今后一定时期内图像监控系统与图像应用系统的发展需要,建立高清图像管理平台,为指挥调度、调查取证等多种后台应用提供及时、可靠的监控图像信息,服务实战。.2.4 设计思想为了使我们设计的系统具有极高的可靠性和可持续发展的能力,同时也最大限度地降低系统的建设成本、运行成本费用。我们首先确立了以下几个设计的总体思路:1) 前端采用高清百万像素网络摄像机采集视频图像,最大分辨率可达到1080P(192
19、0 1080)2) 高清图像数据经摄像机网络接口通过六类数据线汇聚至千兆交接机,由光纤进行传输至中心管理设备进行统一的切换、控制、显示、编码和存储;3) 切换、控制和输出,采用高性能的视频处理设备,保证切换、控制的实时性;输出的图像为非压缩原始图像,保证了大屏显示的图像质量、清晰度和流畅性;4) 采用双码流模式管理,一个用于网络访问(如分控中心桌面调看、中心硬解码显示) ,另一个用于存储;5) 录像资料统一存储,节省网络资源,录像时间按甲方要求为 90 天以上;6) 流媒体转发服务器实行集中管理,监测设备的运行状态;对客户端进行帐户、密码、使用权限的集中分配和管理,对客户端登陆监控系统进行验证
20、;7) 中心采用专业液晶大屏显示监控图像;本方案中设计 12 台 46 寸液晶屏。2.5 设计特点网 络 化 实 时 监 控在局域网任何可以接入网络的地方,通过授权,均以实现实时网络视频监控图像浏览;网络化存储系统可以实现本地、远程的录像存储和录像回放;高清晰的视频图像系统所采用的自适应高性能服务器设备,视频最高分辨率可高达.1280*1024P(30fps)、双码流、实时性好; 系统的兼容性能够和传统的 CCTV 设备紧密结合,云台控制协议,与环境监控系统、门禁系统等互联后,系统可完成复杂的报警联动(扩展功能)强大的控制和集中管理功能用户集中认证和分布认证相结合,实现多级管理;逻辑目录树和物
21、理目录树统一集中管理;用户和用户组策略管理,优先级自定义;精确到每个摄像机的浏览和 PTZ 控制权限自定义;系统管理权限自定义:对低优先级用户锁定浏览权限和 PTZ 控制权限;支持鼠标和 3D 的 CCTV 键盘 PTZ 控制,预置点,扫描线录制和调用在窗口直接控制 PTZ 方位;高优先级用户对视频图像和云镜的即时锁定;报警的集中应答,联动,转发;负载均衡:负载均衡技术及时、准确的把握节点负载状况,并根据各个节点当前的资源使用状态动态调整负载平衡的任务分布,有效的利用了带宽和服务器资源。录像保护:通过安全认证和水印技术保证录像的真实性,以防录像被修改;系统安全可靠利用网络安全技术使信息更安全、
22、可靠,支持网络 VPN 隧道的加密数据传输,使得视频图像在远程监控时更加安全;.组网方便系统可以在现有的任何网络中完成各种监控功能,根据网络带宽的变化,视频流可自动调节可扩展具有与其它信息系统集成的开放接口,能够持续平滑升级和扩展,降低对系统的整体投资成本2.6 系统解决方案在本安全技术防范系统中,电视监控系统主要作为建筑物内外大范围监视区域的主要监视系统。根据丽江木府建筑特点和安全防范系统要求,结合目前安防产品的现状,电视监控系统的器材选型考虑为:网络摄像机、交换机、管理平台、控制软件、电视墙等主设备,选用国内知名品牌的产品,在系统具有先进性的同时,可保证系统稳定性和系统维护;其它辅件、机柜
23、、光缆、电缆、布线材料等选用国产的一些优质产品,这样即可以保证系统整体质量,又可从实际出发,降低工程成本。在本系统方案设计中,我公司所推荐的设备为奥尼克斯全系列的产品。2.6.1 系统总体框架设计整个系统由前端视频设备、传输系统、视频管理监控中心、防雷系统组成。前端设备:考虑到现场环境的功能要求不同,要求也不一样,在本方案中我们在主要出入口及主人行道采用高清百万像素网络摄像机、在主要建筑及空地.处采用高清百万像素网络枪机及球机;在最高处设置全景高倍高清球机,以达到最终实现监控目的。中心设备:系统设计为可全面方便控全部信号记录的中心系统,并设计为数字联网系统,充分满足现代化安防系统网络化要求。中
24、间传输部分:由 6 类双绞线传输、集中供电线路及附属管道组成。各路双绞线缆采用一对一方式;前端各路摄像机均采用中心集中供电方式。传输线路的管线均以小型美观的桥架敷设,分支主要采用 PVC 管敷设,充分保证系统长期运行的稳定性。前设备供电:丽江木府高清监控前端设备通常采用两种供电方式,一种是就近取电,一般可采用就近供电方式,各摄像机终端在就近的公共供电网络(如路灯供电网)取一路 220V 市电,市电经加装自动重合闸开关(含 SPD) ,引到落地室外防水箱使用,保证了引入部分电源线路的漏电及防雷防护。另一种是集中供电,前端设备统一由中心机房 UPS 电源提供 AC220V 电源至前端设备处通过采用
25、电源适配器转换后提供给摄像机所需要的电源供电。防雷接地:在整个监控系统中,由于室内摄像机已经在建筑物内,相应的就不在会受到雷击的可能,因此我们建议在木府的外围球机上安装防雷设备进行对摄像机保护。前端摄像机选用二合一网络防雷器,网络信号、电源的防雷,让室外监控的稳定运行。前端监控的防雷主要从以下二个方面进行:直击雷防护在直击雷非防护区的每个视频监控点均配置预放电避雷针,安装于监控点立杆顶部。提前预放电避雷针利用雷云电场周围电场强度向针尖发射高压脉冲特性,提前一定的时间引导雷电放电,不至于使局部雷云电荷积累形成过大的.雷击强度,降低监控点雷击接闪强度和电子设备雷击电磁脉冲强度,提高了室外监控点的保
26、护裕度。供电设施的雷击电磁脉冲防护电源防雷系统主要是防止雷电波通过电源对前端设备造成危害。为避免高电压经过避雷器对地泄放后的残压或因更大的雷电流在击毁避雷器后继续毁坏后续设备,以及防止线缆遭受二次感应,本系统对前端室外防水箱 220V 电源进线以及室外防水箱到网络数字摄像机的低压电源线路进行避雷接地。220V 电源进线避雷标称放电电流不小于 10KA。根据对整个系统的需求进行分析,和我们总体设计思想,系统的结构拓扑图如下:根据系统建设的需求,此次建设不是简单的设备采购,应包括硬件设备采.购、安装、系统集成等工程,按建设的性质可分为:监控前端硬件建设1:摄像机安装及图像采集;传输系统1:图像、控
27、制信号传输;2:供电线路、防雷系统;3:IP 网络传输;监控中心建设1:存储系统;2:中心平台管理系统;3:显示系统;4:监控客户端控制系统;2.6.2 监控前端硬件建设监控前端采用高清网络摄像机、枪机、球机,根据不同场所环境我们选用不同的网络摄像机。此方案前端视频处理模式是采用高清来架构,同时为了满足监控画面的预览和回放清晰度,高清化网络摄像机采用 1080P 压缩分辨率进行传输和存储。前端设备布置设计点位设计要求视频监控系统设计中前端点位的布置是否合理,以及所采用的设备是否恰当都是整个系统的关键所在。因此本次设计中,采用高清网络摄像机进行图像采集监控,再经汇聚交换机汇聚到中心。接入平台管理
28、、并可进行全面而方便的控制,全部信号同时进入磁盘陈列集中存储单元内进行全面的记录。在进行点位位置确定时,根据监视区域的规划来合理安排摄像机的安装位置,尽量满足重点区域无盲区监视,其他区域兼顾考虑等原则。具体点位布置描述如下:.考虑到现场环境的功能要求不同,要求也不一样,在本方案中我们在主要出入口及主人行道采用高清百万像素网络摄像机、在主要建筑及空地处采用高清百万像素网络枪机及球机;在最高处设置全景高倍高清球机。2.6.3 传输系统中心共有 69 路网络视频图像,每路视频图像 720P 高清需要的上传带宽不低于 2Mbps,每路视频图像 1024P 高清需要的上传带宽不低于 3Mbps,网络传输
29、系统采用水平子系统汇聚后再用光缆传输到监控中心,我公司建议采用全千兆局域网来架构视频传输系统。 .2.6.3.1 网络传输设计主干网以中心控制室为中心,设 14 个主干交换节点,交换机采用千兆交换机。从交换机至摄像机全部采用 6 类非屏蔽双绞线传输。主网络拓扑示意图:整体网络拓扑采用大二层的结构,分为核心层和接入层。核心层的核心交换机采用 H3C 增强型 IPv6 强三层万兆以太网交换机 S550028FEI,S5500具有出色的安全性,可靠性,多业务处理能力。与接入层上的 S51209PSI光纤连接。各类摄像机(61 只室外高清网络枪式摄像机 、7 只高速球机、一只半球)直接接入到接入交换机
30、上。主网设备清单:序号 产品代码 项目名称 数量1 核心交换机 LS-5500-28F-EI-AC H3C S5500-28F-EI-以太网交换机主机(24SFP+8GE Combo+2Slots)-单交流电源 1 .SFP-GE-SX-MM850-A 光模块-SFP-GE-多模模块-(850nm,0.55km,LC) 14 LSKM2150A 150W 交流电源模块 1 小计 核心交换机 2 接入交换机 LS-5120-9P-SI-H3 H3C S5120-9P-SI,L2 以太网交换机主机,8 个10/100/1000BASE-T,1 个 SFP,支持 AC110/220V 14 SFP-
31、GE-SX-MM850-A 光模块-SFP-GE-多模模块-(850nm,0.55km,LC) 14 小计 接入交换机 产品介绍:核心交换机 S550028FEI:H3C S5500-EI 系列交换机是 H3C 公司最新开发的增强型 IPv6 强三层万兆以太网交换机产品,具备业界盒式交换机最先进的硬件处理能力和最丰富的业务特性。支持最多 4 个万兆扩展接口,支持 IPv4/IPv6 硬件双栈及线速转发,使客户能够从容应对即将带来的 IPv6 时代;除此以外,其出色的安全性,可靠性和多业务支持能力使其成为大型企业网络和园区网的汇聚,中小企业网核心、以及城域网边缘设备的第一选择。高扩展性保护投资随
32、着用户端速度不断提高,用户最终会使集群千兆链路达到饱和,而能够拥有多条集群 10GE 链路将是我们的未来发展方向。H3C S5500-EI 系列交换机支持两个扩展槽位,每个槽位支持最大两端口的 10GE 扩展模块及两端口的 CX4扩展模块,在实现千兆汇聚或接入时保留进一步支持 10GE 的扩展能力,尽力保护用户投资。IPv4 到 IPv6 的演变是以太网发展的大势所趋,网络设备对于 IPv6 的支持不仅是简单的可用就行,而是需要达到商用的标准,S5500-EI 已经通过了国际最权威的 IPv6 Ready 第二阶段认证,而且通过了信息产业部严格的 IPv6 入网测试。这个系列产品是基于硬件的
33、IPv4/IPv6 双栈平台,支持丰富的 IPv4和 IPv6 三层路由协议、组播协议和策略路由机制,实现 IPv4 到 IPv6 的平滑升级。智能弹性架构H3C S5500-EI 系列交换机支持 IRF2(第二代智能弹性架构)技术,就是把多台物理设备互相连接起来,使其虚拟为一台逻辑设备,也就是说,用户可.以将这多台设备看成一台单一设备进行管理和使用。IRF 可以为用户带来以下好处:简化管理 IRF 架构形成之后,可以连接到任何一台设备的任何一个端口就以登录统一的逻辑设备,通过对单台设备的配置达到管理整个智能弹性系统以及系统内所有成员设备的效果,而不用物理连接到每台成员设备上分别对它们进行配置
34、和管理。简化业务 IRF 形成的逻辑设备中运行的各种控制协议也是作为单一设备统一运行的,例如路由协议会作为单一设备统一计算,而随着跨设备链路聚合技术的应用,可以替代原有的生成树协议,这样就可以省去了设备间大量协议报文的交互,简化了网络运行,缩短了网络动荡时的收敛时间。弹性扩展 可以按照用户需求实现弹性扩展,保证用户投资。并且新增的设备加入或离开 IRF 架构时可以实现“热插拔” ,不影响其他设备的正常运行。高可靠 IRF 的高可靠性体现在链路,设备和协议三个方面。成员设备之间物理端口支持聚合功能,IRF 系统和上、下层设备之间的物理连接也支持聚合功能,这样通过多链路备份提高了链路的可靠性;IR
35、F 系统由多台成员设备组成,一旦 Master 设备故障,系统会迅速自动选举新的 Master,以保证通过系统的业务不中断,从而实现了设备级的 1:N 备份;IRF 系统会有实时的协议热备份功能负责将协议的配置信息备份到其他所有成员设备,从而实现 1:N 的协议可靠性。高性能 对于高端交换机来说,性能和端口密度的提升会受到硬件结构的限制。而 IRF 系统的性能和端口密度是 IRF 内部所有设备性能和端口数量的总和。因此,IRF 技术能够轻易的将设备的交换能力、用户端口的密度扩大数倍,从而大幅度提高了设备的性能。完备的安全控制策略H3C S5500-EI 系列交换机支持 EAD(端点准入防御)功
36、能,配合后台系统可以将终端防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一个联动的安全体系,通过对网络接入终端的检查、隔离、修复、管理和监控,使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管理为集中策略管理,提升了网络对病毒、蠕虫等新兴安全威.胁的整体防御能力。H3C S5500-EI 交换机支持集中式 MAC 地址认证、802.1x 认证、PORTAL 认证,支持用户帐号、IP、MAC、VLAN、端口等用户标识元素的动态或静态绑定,同时实现用户策略(VLAN、QoS、ACL)的动态下发;支持配合 H3C 公司的 CAMS系统对在线用户进行实时的管
37、理,及时的诊断和瓦解网络非法行为。H3C S5500-EI 系列交换机提供增强的 ACL 控制逻辑,支持超大容量的入端口和出端口 ACL,并且支持基于 VLAN 的 ACL 下发,在简化用户配置过程的同时,避免了 ACL 资源的浪费。另外,S5500-EI 系列还将支持单播反向路径查找技术(uRPF) ,原理是当设备的一个接口上收到一个数据包时,会反向查找路径来验证是否存在从该接收接口到包中制定的源地址之间的路由,即验证了其真实性,如果不存在就将数据包删除,这样我们就可以有效杜绝网络中日益泛滥的源地址欺骗。H3C S5500-EI 交换机支持端口隔离功能,即便是在同一 VLAN 内,也可以实现
38、端口之间的隔离,从而避免广播风暴和病毒在 VLAN 内地扩散从而影响所有端口。支持 MAC 地址学习限制和安全 MAC 地址功能,可以保证只有真正的业务主机才能够接入网络,而其他新接入主机即使连接到交换机上也无法获取地址并连通网络。多重可靠性保护S5500-EI 系列交换机还具备设备级和链路级的多重可靠性保护。所有机型都支持冗余电源,其中 S5500-28F-EI 支持可插拔的冗余电源模块,也就是说我们可以根据实际环境的需要灵活配置交流或直流电源模块,此外整机还支持电源和风扇的故障检测及告警,可以根据温度的变化自动调节风扇的转速,这些设计使我们这款盒式交换机具备了机柜式交换机的高可靠性。除了设
39、备级可靠性以外,还支持丰富的链路可靠性以外,还支持丰富的链路可靠性技术,比如华三通信独创的 RRPP 快速环网保护机制。当网络上承载多业务、大流量的时候也不影响网络的收敛时间,保证业务的正常开展。丰富的 QoS 策略H3C S5500-EI 系列交换机支持 L2(Layer 2)L4(Layer 4)包过滤功能,提供基于源 MAC 地址、目的 MAC 地址、源 IP 地址、目的 IP 地址、TCP/UDP 端.口号、协议类型、VLAN 的流分类。提供灵活的对列调度算法,可以同时基于端口和队列进行设置,支持 SP(Strict Priority) 、WRR(Weighted Round Robi
40、n) 、SP+WRR 三种模式。支持 CAR(Committed Access Rate)功能。支持出、入两个方向的端口镜像,用于对指定端口上的报文进行监控,将端口上的数据包复制到监控端口,以进行网络检测和故障排除。出色的管理性H3C S5500-EI 系列交换机支持 SNMPv1/v2/v3(Simple Network Management Protocol) ,可支持 Open View 等通用网管平台以及 iMC 智能管理中心。支持 CLI 命令行,Web 网管,TELNET,HGMP,使设备管理更方便,并且支持 SSH2.0 等加密方式,使得管理更加安全。H3C S5500-EI 系
41、列交换机支持基于 MAC 地址划分 VLAN,很好的解决了移动办公的智能灵活管理;结合特有的基于全局和 VLAN 下发 ACL 策略,在简化用户配置的同时,也大幅节约了硬件资源。该系列交换机还支持 sFlow 功能,可以对出入方向的报文按比例随机抽样,灵活实现报文采集。接入交换机 S51209PSIH3C S5120-SI 系列以太网交换机是 H3C 技术有限公司自主开发的全千兆以太网交换机,广泛应用于企业网和园区网的接入层。提供灵活的全千兆以太网端口的接入密度、丰富的业务特性,并支持创新的 IRF(Intelligent Resilient Framework,智能弹性架构)技术,用户可以将
42、多台 S5120SI 交换机连接形成一个逻辑上的独立实体,从而为用户构建高性能、易管理、易扩展、低成本的千兆到桌面的解决方案,是千兆接入的理想选择。灵活的千兆接入H3C S5120-SI 系列全千兆以太网交换机提供灵活的 8/16/24/48 个10/100/1000M 自适应电口接入;并且支持非复用的 SFP 插槽,充分考虑用户的带宽升级的实际情况,保护用户投资。智能弹性架构H3C S5120SI 系列交换机支持 IRF2(第二代智能弹性架构)技术,就是把.多台物理设备互相连接起来,使其虚拟为一台逻辑设备,也就是说,用户可以将这多台设备看成一台单一设备进行管理和使用。IRF 可以为用户带来以
43、下好处:简化管理 IRF 架构形成之后,可以连接到任何一台设备的任何一个端口就以登录统一的逻辑设备,通过对单台设备的配置达到管理整个智能弹性系统以及系统内所有成员设备的效果,而不用物理连接到每台成员设备上分别对它们进行配置和管理。简化业务 IRF 形成的逻辑设备中运行的各种控制协议也是作为单一设备统一运行的,例如路由协议会作为单一设备统一计算,而随着跨设备链路聚合技术的应用,可以替代原有的生成树协议,这样就可以省去了设备间大量协议报文的交互,简化了网络运行,缩短了网络动荡时的收敛时间。弹性扩展 可以按照用户需求实现弹性扩展,保证用户投资。并且新增的设备加入或离开 IRF 架构时可以实现“热插拔
44、” ,不影响其他设备的正常运行。高可靠 IRF 的高可靠性体现在链路,设备和协议三个方面。成员设备之间物理端口支持聚合功能,IRF 系统和上、下层设备之间的物理连接也支持聚合功能,这样通过多链路备份提高了链路的可靠性;IRF 系统由多台成员设备组成,一旦 Master 设备故障,系统会迅速自动选举新的 Master,以保证通过系统的业务不中断,从而实现了设备级的 1:N 备份;IRF 系统会有实时的协议热备份功能负责将协议的配置信息备份到其他所有成员设备,从而实现 1:N 的协议可靠性。高性能 对于高端交换机来说,性能和端口密度的提升会受到硬件结构的限制。而 IRF 系统的性能和端口密度是 I
45、RF 内部所有设备性能和端口数量的总和。因此,IRF 技术能够轻易的将设备的交换能力、用户端口的密度扩大数倍,从而大幅度提高了设备的性能。全面的接入安全策略H3C S5120-SI 系列交换机支持特有的 ARP 入侵检测功能,可有效防止黑客或攻击者通过 ARP 报文实施网络中逐渐盛行的“中间人”攻击,对不符合 DHCP Snooping 动态绑定表或手工配置的静态绑定表的非法 ARP 欺骗报文直接丢弃。同时支持 IP Source Check 特性,防止包括 MAC 欺骗、IP 欺骗、MAC/IP 欺骗.在内的非法地址仿冒,以及大量地址仿冒带来的 DoS 攻击。另外,利用 DHCP Snoop
46、ing 的信任端口特性还可以有效杜绝私设 DHCP 服务器,保证 DHCP 环境的真实性和一致性。H3C S5120-SI 系列交换机支持端口安全特性族可以有效防范基于 MAC 地址的攻击。可以实现基于 MAC 地址允许/限制流量,或者设定每个端口允许的 MAC地址的最大数量,使得某个特定端口上的 MAC 地址可以由管理员静态配置,或者由交换机动态学习。H3C S5120-SI 系列交换机提供 802.1X 和 MAC 认证方式对接入的用户进行认证,允许合法用户通过,对于非法用户则拒绝其上网。同时还支持客户端软件版本检测、Guest VLAN 等功能,和 iMC 配合还可以实现代理检测、双网卡
47、检测等功能。通过这些功能的应用可以对用户的合法性进行充分的检查和控制,最大程度的减少非法用户对网络安全的危害。增强的网络管理和维护的易用性H3C S5120-SI 系列交换机支持通过 FTP、TFTP 实现设备的远程升级,支持SNMP v1/v2/v3,可支持 Open View 等通用网管平台,以及 iMC 智能管理中心。支持 CLI 命令行,Web 网管,TELNET,HGMP 集群管理,使设备管理更方便。并且支持 SSH2.0 等加密方式,使得管理更加安全。H3C S5120-SI 系列交换机支持 VCT(Virtual Cable Test)电缆检测功能,便于快速定位网络故障点。光纤以
48、太网技术是现在两大主流通信技术的融合和发展,即以太网和光纤网络。它集中了以太网和光纤网络的优点,如以太网应用普遍、价格低廉、组网灵活、管理简单,光纤网络可靠性高、容量大。光以太网的高速率、大容量消除了存在于局域网和广域网之间的带宽瓶颈,成为未来融合话音、数据和视频的单一网络结构。光纤以太网产品可以借助以太网设备采用以太网数据包格式实现 WAN 通信业务。目前,光纤以太网可以实现 10Mbps、100Mbps 以及1Gbps 等标准以太网速度。根据甲方意见,规划组建以光纤千兆(非理论千兆)骨干网络采集所有网路视频监控信息,运行监控系统,并与千兆核心网络实现只要 IP 信息可达时任意节点均可通过授
49、权查看监控信息,需要对网络进行以下几个方面的设计考.虑:1)提高网络可靠性:保证网络结构的健壮,稳定应用能力。2)提高接入安全性:通过防火墙或者安全组策略,以及物理和人员的管理措施,保证网络的安全应用。3)提高网络对视频的承载能力。网络视频传输需要一定的带宽容量支撑,主干网络需满足全视频网络的接入与转发,并考虑应用的扩展冗余。主干网络设计采用网络即插即用,以最简单方式实现高可靠主干网络,网络初期规划简单,增加业务简单、快捷。利用多层交换机来实现双线冗余技术,双线冗余由一个主线和一个从线相连而成,主线定时向链路发送协议报文来检测链路的状态,并且根据链路的实际状态来控制从端口的打开和关闭,从而实现故障自愈。双线冗余在单一链路故障时不会影响正常监控业务的进行,确保了整个系统的高可靠安全性,并有以下特色:技术趋势(国际标准/多厂商支持)双线同时传送数据,单车道变成双车道 时延小,不占用线上节点的处理能力 硬件级流量工程,链路带宽充分利用2.6.3.2 IP 地址规划IP 地址选择安防视频监控网络地址按 A/B/C 类保留地址段进行单独分配。IP 地址分配监控承载网络 IP 地址规划主要包括交换机等网络设备之间的互联地址、各监控点终端的 IP 地址、各监控分中心用户终端的 IP 地址分配
