平安城市基于VLAN組網(wǎng)方案淺析

劉林區(qū)

（天訊瑞達(dá)通信技術(shù)有限公司）

平安城市基于VLAN組網(wǎng)方案淺析

劉林區(qū)

（天訊瑞達(dá)通信技術(shù)有限公司）

本文主要針對平安城市建設(shè)中數(shù)字視頻安全傳輸保障的需求，提出一種基于VLAN組網(wǎng)傳輸解決方案。該方案采用基于VLAN組網(wǎng)技術(shù)，利用VLAN組間隔離的特性，為平安城市視頻監(jiān)控平臺提供了安全可靠的數(shù)據(jù)通信承載網(wǎng)絡(luò)。在這種組網(wǎng)模式下，前端設(shè)備之間的接入接口不可以相互訪問，從而保證平臺、網(wǎng)絡(luò)和視頻數(shù)據(jù)的安全性。在平安惠州城市項目的建設(shè)中，該技術(shù)實現(xiàn)了前端IPC攝像機(jī)接入，高清視頻傳輸網(wǎng)絡(luò)服務(wù)質(zhì)量要求高的應(yīng)用業(yè)務(wù)，證明了本方案的有效性，對于向其他智慧平安城市視頻監(jiān)控組網(wǎng)業(yè)務(wù)領(lǐng)域推廣具有重要意義。

平安城市；VLAN；視頻監(jiān)控；IPC；攝像機(jī)；高清；802.1Q；ISL；廣播幀；安全；Access Link；Trunk Link；Hybrid Link；雙核心；路由

1 引言

在政府各級部門的重視和支持下，一線和二線城市全市的視頻監(jiān)控攝像頭系統(tǒng)基本覆蓋了市區(qū)的治安重點區(qū)域及主要道路，在維護(hù)社會治安穩(wěn)定方面發(fā)揮了重要的作用，已成為公安機(jī)關(guān)社會管理過程中不可或缺的技術(shù)手段。

隨著社會發(fā)展和人口的增加，原有的視頻主要在人口較為密集的區(qū)域，無法覆蓋較為偏遠(yuǎn)的路段，現(xiàn)有的模擬視頻監(jiān)控和監(jiān)控網(wǎng)絡(luò)已經(jīng)無法滿足當(dāng)前城市安全管理的需求。為了提升社會管理工作效率，需要將原有的標(biāo)清監(jiān)控點和平臺進(jìn)行升級改造成為高清監(jiān)控系統(tǒng)，這樣就需要升級和構(gòu)建一個可以承載高清視頻監(jiān)控系統(tǒng)的基于VLAN的視頻專網(wǎng)。

2 基于VLAN技術(shù)組網(wǎng)方案

2.1 VLAN技術(shù)原理

VLAN（Virtual Local Area Network），即虛擬局域網(wǎng)，是一種邏輯廣播域，它允許不同地理位置的網(wǎng)絡(luò)終端加入到一個邏輯子網(wǎng)中，所有連接到VLAN的設(shè)備都可以收到其他VLAN成員的廣播，然而其他VLAN的設(shè)備不會收到這些廣播，這樣可以防止廣播幀泛洪，提升了網(wǎng)絡(luò)性能。（當(dāng)然VLAN成員可以收到其他VLAN成員直接發(fā)送給它的單播分組，路由器提供中繼服務(wù)，使不同VLAN間進(jìn)行互相通信。）

VLAN劃分可以分為靜態(tài)VLAN和動態(tài)VLAN。靜態(tài)VLAN是基于端口進(jìn)行配置，需要指定每個端口的VLANID。它適用于端口數(shù)目有限的少量交換機(jī)。

動態(tài)VLAN可以按基于MAC地址，基于子網(wǎng)，基于用戶名分為3類。基于MAC地址就是根據(jù)所連接的計算機(jī)的網(wǎng)卡MAC地址來劃分VLAN。基于子網(wǎng)的VLAN就是根據(jù)計算的IP地址來決定所屬VLAN。基于用戶的VLAN就是根據(jù)計算機(jī)上當(dāng)前登錄賬號，來決定該端口所屬VLAN。

在交換機(jī)的匯聚鏈接上，可以通過IEEE802.1Q和ISL協(xié)議對數(shù)據(jù)幀進(jìn)行附加VLAN信息，構(gòu)建跨越多臺交換機(jī)的VLAN。

帶有802.1Q標(biāo)簽頭的以太網(wǎng)幀如表1。

表1

TPID（Tag Protocol Identifier），它包含一個固定值0x8100，表明這是一個加了802.1Q標(biāo)簽的幀。TCI（Tag Control Information）包括用戶優(yōu)先級（3bit，總共有8個優(yōu)先級別）、規(guī)范格式指示器（1bit，0值說明是規(guī)范格式，1值說明是非規(guī)范格式）和VLANID（12bit，有效值為1～4094，其中0用戶識別幀優(yōu)先級，4095作為預(yù)留值）。

ISL（Inter Switch Link）是Cisco產(chǎn)品支持的一種與IEEE802.1Q類似的、用于在匯聚鏈路上附加VLAN信息的協(xié)議。

VLAN訪問鏈接模式，VLAN交換機(jī)端口分為訪問鏈接（Access Link）、匯聚鏈接（Trunk Link）和混合鏈接（Hybrid Link）3種。Access端口只屬于1個VLAN，它的缺省VLAN就是它所在的VLAN，一般用于連接計算機(jī)和攝像機(jī)。Trunk端口可以屬于多個VLAN，可以接收和發(fā)送多個VLAN的報文，一般用于交換機(jī)之間或交換機(jī)與路由器之間連接的端口。Hybrid端口可以屬于多個VLAN，可以接收和發(fā)送多個VLAN的報文，可以用于交換機(jī)之間連接，交換機(jī)與路由器之間，也可以用于交換機(jī)與用戶計算機(jī)的連接。

Trunk端口和Hybrid端口缺省VLAN為VLAN1。當(dāng)端口接收到不帶VLAN Tag的報文后，則將報文轉(zhuǎn)發(fā)到缺省VLAN的端口；當(dāng)端口發(fā)送帶有VLANTag的報文時，如果該報文的VLANID與端口缺省的VLANID相同，則系統(tǒng)將去掉報文的VLAN Tag，然后再發(fā)送該報文。Trunk端口與Hybrid端口不同之處在于Trunk端口只允許缺省VLAN的報文發(fā)送時不打標(biāo)簽，而Hybrid端口允許多個VLAN的報文發(fā)送時不打標(biāo)簽。

2.2 VLAN組網(wǎng)

VLAN組網(wǎng)是按層次式網(wǎng)絡(luò)設(shè)計模型進(jìn)行設(shè)計，它們分別是接入層、匯聚層和核心層，如圖1所示。

圖1

接入層，對最終用戶和前端攝像機(jī)進(jìn)行了接入。匯聚層，對接入層交換機(jī)進(jìn)行了聚合。核心層是連接所有的匯聚層設(shè)備。

2.3 VLAN高可用

為了保證視頻業(yè)務(wù)系統(tǒng)穩(wěn)定運行，需要VLAN組網(wǎng)提供鏈路冗余，使視頻網(wǎng)絡(luò)具備高可用。這里采用雙核心設(shè)計，除接入層外，核心層和匯聚層每個節(jié)點使用兩臺相同的多層交換機(jī)來提供冗余。匯聚層每個節(jié)點通過冗余鏈路連接到每臺核心交換機(jī)。兩臺核心交換機(jī)通過一條鏈路相連，如圖2所示。

圖2

在雙核心設(shè)計中，每臺匯聚層交換機(jī)都有兩條到核心的路徑，這使得可以同時使用這兩條路徑的可用帶寬。匯聚層和核心層使用第3層設(shè)備，路由選擇協(xié)議能夠判斷鄰接的第3層設(shè)備是否可用，在某臺交換機(jī)出現(xiàn)故障，路由選擇協(xié)議就使用替代路徑通過冗余交換機(jī)為數(shù)據(jù)流選擇路由。

雖然在核心層加入了第3層設(shè)備，但是VLANA的范圍仍然是從第2層接入層交換機(jī)到匯聚層。雖然匯聚層交換機(jī)使用第3層交換機(jī)接口向接入層提供第3層功能，但這些鏈路實際上只在第2層傳輸數(shù)據(jù)流。

2.4 VLAN安全

社會視頻涉及敏感信息，需要防止泄露，首先必須從技術(shù)上保證視頻網(wǎng)絡(luò)安全。如，可以將連接終端用戶的交換機(jī)端口配置為靜態(tài)模式，這樣終端用戶將無法發(fā)送偽造的數(shù)據(jù)流讓交換機(jī)端口進(jìn)行中繼。可以將中繼鏈路的本征VLAN設(shè)置為一個偽造或未用的VLAN ID，同時在中繼鏈路兩端將本征VLAN移除，這樣可以防止VLAN跨越攻擊。

除此之外，還可以采用以下措施保證VLAN安全。專網(wǎng)專用；禁用任何未用的交換機(jī)端口，以避免有人發(fā)現(xiàn)可利用的活動端口；采用VLAN隔離，各成員單位接入終端相互隔離；接入終端控制，ARP綁定，前端IP和MAC地址綁定；配置帶寬遠(yuǎn)高于需求，路由自動迂回，設(shè)備冗余。

3 平安城市基于VLAN技術(shù)組網(wǎng)的案例

圖3

惠州視頻監(jiān)控公安應(yīng)用系統(tǒng)總體結(jié)構(gòu)上分成三級，市公安局為一級監(jiān)控網(wǎng)絡(luò)，分局/縣局為二級監(jiān)控網(wǎng)絡(luò)，派出所為三級監(jiān)控網(wǎng)絡(luò)。

按層次式網(wǎng)絡(luò)設(shè)計模型進(jìn)行設(shè)計，將社會視頻監(jiān)控網(wǎng)絡(luò)結(jié)構(gòu)也分為三級：核心層、匯聚層、接入層。核心層為網(wǎng)絡(luò)的數(shù)據(jù)中心節(jié)點，視頻監(jiān)控系統(tǒng)的平臺設(shè)備服務(wù)器均接入在核心層節(jié)點，核心層主要設(shè)置在通信樞紐節(jié)點；匯聚層主要作為流量、存儲、網(wǎng)絡(luò)的匯聚節(jié)點，網(wǎng)絡(luò)流量匯聚主要指一個區(qū)域的網(wǎng)絡(luò)匯聚節(jié)點對視頻流量的匯聚，匯聚層主要設(shè)置在匯聚節(jié)點；接入層主要負(fù)責(zé)前端視頻圖像的接入，接入層主要設(shè)置在接入網(wǎng)機(jī)房。VLAN規(guī)劃，VLAN10作為接入層節(jié)點網(wǎng)管；VLAN11-25作為DVR業(yè)務(wù)；VLAN30-50作為匯聚層以上節(jié)點的網(wǎng)管；VLAN100-150給客戶監(jiān)控使用。

4 結(jié)語

本文描述了一種面向平安城市視頻監(jiān)控的基于VLAN組網(wǎng)解決方案。該方案通過VLAN組網(wǎng)技術(shù)，結(jié)合VLAN網(wǎng)絡(luò)優(yōu)勢，為構(gòu)建平安城市視頻監(jiān)控平臺提供了網(wǎng)絡(luò)的基礎(chǔ)支撐，是各類平安城市視頻業(yè)務(wù)開展的基礎(chǔ)。

同時本文通過平安惠州項目建設(shè)實際案例驗證了本方案的效果，在案例中借助VLAN網(wǎng)絡(luò)，我們實現(xiàn)了對網(wǎng)絡(luò)服務(wù)質(zhì)量要求非常高的視頻監(jiān)控業(yè)務(wù)，這也證明了VLAN組網(wǎng)技術(shù)是適合于大規(guī)模視頻業(yè)務(wù)的有效解決方案。

未來，我們將立足平安城市建設(shè)，并且將該技術(shù)應(yīng)用于環(huán)保，金融，學(xué)校等多個行業(yè)領(lǐng)域，推出專業(yè)的VLAN組網(wǎng)解決方案。

[1]馬宏斌，王英麗，秦丹陽，編著.數(shù)據(jù)通信與網(wǎng)絡(luò)協(xié)議.北京：清華大學(xué)出版社，2015.

[2]謝希仁，著.計算機(jī)網(wǎng)絡(luò)（第5版）.北京：電子工業(yè)出版社，2008.

[3]David Hucaby，CCIE#4594，著，王兆文，譯.CCNP SWITCH（642-813）認(rèn)證考試指南.

[4]W.Richard Stevens，著，范建華，胥光輝，張濤，等譯.TCP/IP詳解卷1：協(xié)議.北京：機(jī)械工業(yè)出版社，2004.

[5]高傳善，著.數(shù)據(jù)通信與計算機(jī)網(wǎng)絡(luò).北京：高等教育出版社.

TN915.61

A

1004-7344（2016）30-0257-02

2016-10-7