基于iSCSI協(xié)議IP SAN存儲架構的高清網(wǎng)絡監(jiān)控系統(tǒng)的設計方案

楚葉峰

（長春大學 計算機科學技術學院，長春 130022）

基于iSCSI協(xié)議IP SAN存儲架構的高清網(wǎng)絡監(jiān)控系統(tǒng)的設計方案

楚葉峰

（長春大學 計算機科學技術學院，長春 130022）

設計了一個基于iSCSI協(xié)議IPSAN存儲架構的高清網(wǎng)絡監(jiān)控系統(tǒng)的設計方案。視頻監(jiān)控的重點是數(shù)據(jù)存儲，本文重點介紹了存儲部分的設計。經(jīng)過對比分析，說明選取IPSAN和iSCSI協(xié)議的原因，并且給出其相應的安全需求。為組建高清網(wǎng)絡視頻監(jiān)控系統(tǒng)提供一個向可兼容、可互通的方向發(fā)展的可參考的設計方案。

iSCSI協(xié)議；IP SAN；網(wǎng)絡監(jiān)控；

0 引言

視頻監(jiān)控系統(tǒng)歷來是安防領域的重要組成部分，以其快捷、簡便、信息內容豐富等特點而廣泛應用于各種場合，網(wǎng)絡視頻監(jiān)控系統(tǒng)是適用于傳統(tǒng)IP網(wǎng)絡的視頻監(jiān)控系統(tǒng)，可以實現(xiàn)多種報警信號的處理，并進行傳輸、存儲，不需要改造原有網(wǎng)絡，是一種比較經(jīng)濟的解決方案，近幾年來，隨著計算機存儲容量和網(wǎng)絡帶寬的快速發(fā)展，網(wǎng)絡視頻監(jiān)視系統(tǒng)已經(jīng)有了長足的發(fā)展。

1 系統(tǒng)總體設計

現(xiàn)有的網(wǎng)絡視頻監(jiān)控系統(tǒng)一般是由中心管理平臺、前端設備、客戶端和傳輸網(wǎng)絡三層結構組成，具體到設備級則是由編碼單元、解碼單元、網(wǎng)絡錄像單元、中心業(yè)務平臺和客戶端單元等設備組成，系統(tǒng)架構的結構圖如圖1所示，構建一個基于IP網(wǎng)絡的星型結構的數(shù)字化、網(wǎng)絡化的智能IP監(jiān)控系統(tǒng)，［1］

圖1 遠程網(wǎng)絡視頻監(jiān)控系統(tǒng)架構圖

網(wǎng)絡視頻監(jiān)控系統(tǒng)具體三層結構如下：

1）前端接入層

前端接入層就是系統(tǒng)的最前端，主要負責視頻采集、報警以及相應信號的編碼工作，一般由監(jiān)控視頻采集單元（視頻監(jiān)控攝像機）、編碼單元和報警單元（報警信號發(fā)生裝置）組成，編碼單元是核心，通過IP網(wǎng)絡接入到中心業(yè)務平臺，它的主要作用是將采集到的多種信號進行編碼以及在網(wǎng)絡上傳輸和控制。

2）業(yè)務控制/媒體交換層

由媒體處理分發(fā)、網(wǎng)絡錄像單元和中心業(yè)務平臺組成了業(yè)務控制/媒體交換層，是整個系統(tǒng)中的核心層次，本層主要工作是負責視頻和音頻的傳送和存儲，除此之外還負責業(yè)務處理的控制和系統(tǒng)的管理，其中網(wǎng)絡錄像單元的作用是實現(xiàn)將視頻數(shù)據(jù)轉換成數(shù)字格式并進行存儲、檢索和回放等功能，本層次的核心是中心業(yè)務平臺，需要在邏輯上完成以下功能：業(yè)務功能控制；用戶和前端設備的接入認證；系統(tǒng)設備管理和媒體分發(fā)轉發(fā)等功能。

3）用戶訪問層

用戶訪問層由兩部分組成，第一部分是客戶端單元，它負責兩個工作：一是實時集中監(jiān)控從遠程傳送來的圖像；二是維護管理以往的視頻（包括瀏覽和回放），以及其他設備，另一部分是解碼單元，它的主要工作是實現(xiàn)視音頻信號的電視墻解碼輸出，在客戶端單元的控制與管理下進行。

本文提出的高清網(wǎng)絡監(jiān)控系統(tǒng)的設計方案的重點是存儲系統(tǒng)部分，設計網(wǎng)絡存儲協(xié)議采用iSCSI協(xié)議，存儲架構采用IP SAN，以下內容具體分析采用該協(xié)議和架構的具體原因。

2 存儲架構設計

2.1 數(shù)據(jù)存儲架構簡介

常用的集中式數(shù)據(jù)存儲架構分為三種：

1）DAS（Direct Attached Storage直接外掛存儲）：應用服務器獨享存儲設備，存儲設備和應用服務器通過SCSI等I/O總線連接的一種存儲架構。

2）SAN（Storage Area Network存儲區(qū)域網(wǎng)絡）：此網(wǎng)絡是從主機到存儲系統(tǒng)間的高速數(shù)據(jù)傳輸?shù)囊环N專用網(wǎng)絡，并且數(shù)據(jù)可以在同處一級中的多個不同位置的存儲設備間進行傳輸，對外提供塊級（block）的存儲數(shù)據(jù)共享，是采用專用網(wǎng)絡方式連接存儲設備和應用服務器的存儲構架。

3）NAS（Network Attached Storage網(wǎng)絡附加存儲）：本質是一種使用文件共享協(xié)議來實現(xiàn)異構主機間文件共享的服務，在內部利用專用的服務器和文件系統(tǒng)管理存儲空間；在外部利用多種文件共享協(xié)議（例如NFS和CIFS）進行文件訪問管理，特別指出：NAS跨平臺通用性較好——可在不同的操作系統(tǒng)中共享同一個文件，［2］

三者結構關系如圖2所示。

圖2 數(shù)據(jù)存儲架構關系圖

在網(wǎng)絡視頻監(jiān)控系統(tǒng)中的系統(tǒng)架構及擴展上，SAN及NAS系統(tǒng)優(yōu)于DAS系統(tǒng)，DAS直接連接的方式不能滿足目前和將來的需求已經(jīng)被市場淘汰。

SAN的最大特點——是在網(wǎng)絡中將數(shù)據(jù)傳輸協(xié)議和傳輸介質獨立分割開，使之成為獨立的存儲區(qū)域網(wǎng)絡，傳輸對網(wǎng)絡帶寬無影響，對數(shù)據(jù)備份和恢復操作的可靠性和可擴展性有最大的提高，而且對備份和恢復的開銷有明顯減少，容災能力的整體提升也是因為SAN可以無縫地與遠程備份設備連接。

SAN有以下特性（與傳統(tǒng)網(wǎng)絡相比較）：

1）傳輸速度快、距離遠。

2）資源全面共享。

3）能作為遠程鏡像，在安全等方面可提供有效保證。

4）通過SAN備份，可整體降低流量數(shù)量，并且提高使用單位的內部網(wǎng)絡的整體服務質量。

5）集中化的存儲設備管理，為使用單位節(jié)省管理時間和管理人員。

SAN并不完美，同樣也存在缺點：

1）擴展造價高，需要建立獨立光纖網(wǎng)絡。

2）使用的器件貴，不容易被小規(guī)模單位接受。

3）需要考慮進行流控制也是FC（Fibre Chalinel光纖通道）的一個問題，使其趨于合理有效，［3］

這也是本文所設計的高清網(wǎng)絡監(jiān)控系統(tǒng)不采用FC技術的原因，本文所采用的是基于高速以太網(wǎng)技術的IP SAN。

2.2 IP SAN

IPSAN是基于高速以太網(wǎng)的網(wǎng)絡存儲系統(tǒng)，通過TCP/IP協(xié)議來實現(xiàn)存儲數(shù)據(jù)高速傳輸，IP SAN的優(yōu)點是：既有傳統(tǒng)SAN的高性能；又有NAS的數(shù)據(jù)共享優(yōu)勢，IP SAN的工作原理是虛擬化存儲交換機，實現(xiàn)對異構存儲資源的整合和數(shù)據(jù)的集中存儲，更進一步地模糊了本地存儲和遠程存儲的界限，對于主機和存儲系統(tǒng)，無論在任何位置，只要能提供標準接口就可以任意訪問數(shù)據(jù)。

IP SAN雖然有著效率高、價格相對低廉、管理及維護成本低、傳輸距離長和搭建方便及成本方面的優(yōu)勢，但是同時把IP技術固有的安全性能上的缺陷同樣繼承下來，所以在安全性能上要重點防范。

2.3 基于iSCSI協(xié)議的IP SAN安全需求

IP SAN是基于IP網(wǎng)絡的，對于IP網(wǎng)絡的安全策略都適用于IP SAN，IP網(wǎng)絡的安全策略有：加密、認證和數(shù)據(jù)完整性，因為使用IP網(wǎng)絡，主機不能直接控制存儲設備，所以采用命令通道（密鑰通道）和數(shù)據(jù)通道分離的方法比較安全。

基于iSCSI協(xié)議的IP SAN有以下安全考慮：

1）用戶認證與訪問控制

首先需要進行用戶身份認證，在驗證通過基礎上還需要提供對存儲網(wǎng)絡系統(tǒng)的訪問權限控制，是可以訪問整個存儲設備還是只能訪問其中的一部分。

2）網(wǎng)絡傳輸安全

因為是基于IP網(wǎng)絡傳輸?shù)模訧P網(wǎng)絡上的攻擊和破壞都是要考慮的要點，需要對在IP SAN網(wǎng)絡上傳輸?shù)臄?shù)據(jù)源和數(shù)據(jù)完整性進行認證，并且要對用戶數(shù)據(jù)加密保護。

3）數(shù)據(jù)存儲安全

在存儲網(wǎng)絡（SAN）中，數(shù)據(jù)和主機在物理上是分離的，所以一次通過身份認證仍然是不可以互相信任的，而數(shù)據(jù)需要長期保存，那么分在異地的存儲設備上的數(shù)據(jù)的安全會受到威脅，例如非授權的訪問和篡改，所以即使主機認證了存儲設備，存儲設備或存儲子系統(tǒng)仍然是不被信任的，也不能保證存儲設備上數(shù)據(jù)安全，因此，主機與存儲設備之間必須進行持續(xù)地逐一認證，對存儲系統(tǒng)中的數(shù)據(jù)也必須進行保護（包括數(shù)據(jù)加密和保證數(shù)據(jù)完整性），主機和共享存儲設備之間必須進行授權等，［4］

3 網(wǎng)絡存儲協(xié)議

實現(xiàn)IP SAN的協(xié)議有三種：FCIP、iFCP、iSCSI，F(xiàn)CIP是基于TCP/IP的光纖通道，通過TCP/IP協(xié)議實現(xiàn)光纖和存儲網(wǎng)絡的互連；iFCP是互聯(lián)網(wǎng)光纖通道協(xié)議，是一種網(wǎng)關到網(wǎng)關的協(xié)議，解決光纖的距離問題及其路由體系結構；iSCSI是最完全、最徹底的IP存儲協(xié)議，本文只討論iSCSI，［5］

iSCSI是Internet SCSI，也可稱為SCSIover TCP/IP，是SCSI標準和IP協(xié)議相結合的結果（架構在SCSI標準之上建立在TCP/IP協(xié)議上的），于2004年正式通過成為標準，iSCSI協(xié)議使得數(shù)據(jù)的存儲不再受地域的限制，iSCSI是一種端到端的協(xié)議，運行在存儲設備（稱為target，即目標端）和服務器（稱為initiator，即啟動端）之間（也包含協(xié)議傳輸網(wǎng)關設備），［6］

iSCSI協(xié)議的核心是在TCP/IP網(wǎng)絡上傳輸SCSI協(xié)議，其原理是將標準的SCSI命令用TCP/IP報文封裝，使其得以在使用TCP/IP協(xié)議的網(wǎng)絡上傳送，通過標準的IP網(wǎng)絡基礎設施實現(xiàn)的系統(tǒng)之間的連接，只需要不多的投資就可以在原有的IP網(wǎng)絡上方便、快捷地對信息和數(shù)據(jù)進行交互式傳輸及管理，iSCSI協(xié)議的應用對網(wǎng)絡存儲領域的發(fā)展起到了巨大的推動作用，并在許多領域取得了廣泛的應用，［7］

采用iSCSI協(xié)議優(yōu)勢有以下幾點：

1）IP技術成熟、功能豐富、適用范圍廣，組成網(wǎng)絡所使用的設備較低廉。

2）組網(wǎng)產(chǎn)品較成熟，并且輔助管理工具較多。

3）利用原有IP廣域網(wǎng)，可以和遠程存儲設備進行連接和傳輸，不需重新構建專用網(wǎng)絡。

目前根據(jù)成本、性能、安全等方面考慮，主要實現(xiàn)的方法是軟件方式和硬件方式兩種。

軟件方式：網(wǎng)絡連接設備使用服務器網(wǎng)卡，網(wǎng)卡接收在數(shù)據(jù)鏈路層上傳輸?shù)臄?shù)據(jù)幀，然后由主機的CPU和相應軟件從幀中提取SCSI數(shù)據(jù)和命令的操作，回溯過程也同樣由主機CPU和軟件實現(xiàn)，優(yōu)點是組網(wǎng)的硬件成本低，缺點是處理耗時相對長，原因是將SCSI命令封裝、TCP/IP報文轉換會占用主機端的資源，耗費一些時間。

硬件方式晚于軟件方式出現(xiàn)，可解決高速傳送瓶頸問題，硬件方式有TOE方式和iSCSIHBA方式兩種。

1）TOE（TCP Offload Engine TCP卸載引擎）方式，TOE方式是使用了TOE網(wǎng)卡，TOE網(wǎng)卡集成了TCP/IP卸載引擎處理邏輯芯片，網(wǎng)卡完成了協(xié)議中的大部分工作，CPU不需處理網(wǎng)絡協(xié)議工作，從而節(jié)約處理時間，采用這種方式，CPU和軟件部分只需要完成iSCSI協(xié)議數(shù)據(jù)單元的封裝和解封。

2）iSCSIHBA方式，在iSCSI的通信過程中，CPU和軟件僅承擔少量的管理任務，底層的TIP/IP協(xié)議和iSCSI協(xié)議的處理任務都由iSCSI存儲主機總線適配器（HBA）完成，［8］

硬件方式優(yōu)點可以減少CPU處理時間，適用于對可靠性實時性要求較高的業(yè)務，缺點是有額外開支，需要在主機上安裝專門的硬件板卡。

選擇軟件方式還是硬件方式要從單位自身實際情況出發(fā)，結合預算與適用性進行選取。

4 結語

隨著iSCSI存儲設備性價比的不斷提高，基于iSCSI的IP SAN存儲解決方案將會成為高清網(wǎng)絡監(jiān)控系統(tǒng)中的主流存儲技術，本文設計的高清網(wǎng)絡視頻監(jiān)控系統(tǒng)，可滿足不同行業(yè)的應用，例如：政府、教育、工業(yè)、企事業(yè)單位、商場等，基于iSCSI協(xié)議IP SAN存儲架構的系統(tǒng)可擴展性強，可在原有布線基礎上進行擴展；造價低廉，所需購買的設備少；性能穩(wěn)定，可以實現(xiàn)長時間的錄像和圖片存儲，安全可靠。

［1］ 夏衛(wèi)虎.構建企業(yè)iSCSI廉價存儲［J］.硅谷，2014（11）：122-123.

［2］ 徐佳健.網(wǎng)絡監(jiān)控系統(tǒng)控制命令傳輸方案的設計［J］.杭州電子科技大學學報，2012（5）：171-174.

［3］ 向建均.FC SAN與iSCSISAN比較分析研究［J］.情報探索，2007（2）：61-63.

［4］ 豆雅純.淺析監(jiān)控數(shù)據(jù)的存儲模式［J］.計算機與網(wǎng)絡，2008（1）：41-42.

［5］ 白勇，朱清新.基于iSCSI的IP SAN網(wǎng)絡存儲技術及其安全性研究［J］.計算機研究與發(fā)展，2009，46（增刊）：12-17.

［6］ 彭亮，涂曉東，牛長喜等.存儲區(qū)域網(wǎng)絡iSCSI協(xié)議的通信機制研究［J］.電子科技大學學報，2005（6）：988-991.

［7］ 黃振宇.iSCSISAN技術及其應用［J］.計算機時代，2003（5）：1-3.

［8］ 任星.基于iSCSI協(xié)議的IP SAN安全機制研究與實現(xiàn)［D］.鄭州：中國人民解放軍信息工程大學，2008.

責任編輯：吳旭云

Design Schem e for High-definition NetWork M onitoring System of IP SAN Storage Architecture Based on iSCSIProtocol

CHU Yefeng
（College of ComPuter Science and Technology，Changchun University，Changchun 130022，China）

This PaPer gives a design scheme for the high-definition network monitoring system of IPSAN storage architecture based on iSCSIProtocol.The focus of video surveillance is data storage，and the design of the storage Part ismainly introduced.Through com-Parative analysis，it exPlains the reasons of choosing IPSAN and iSCSIProtocol，and gives their resPective security needs，which Provides a design scheme with a comPatible and interoPerable direction for the formation of high-definition network video surveillance system.

iSCSIProtocol；IP SAN；network monitoring

TP393.094

A

1009-3907（2015）06-0041-04

2015-03-09

楚葉峰（1979-），女，吉林長春人，講師，碩士，主要從事GIS及計算機應用方面的研究。