六安市供電系統視頻監控專用VPN網絡設計

摘 要：市級平臺宜采用服務器集群的方式實現平臺的安全穩定運行，通過交換機來實現平臺內服務單元網絡的構建，同時，在平臺與III/IV內網之間通過架設防火墻與NAT來實現視頻監控平臺與電力III/IV區內網的安全隔離；在前端接入側，通過架設協議轉換網關，一方面實現了對所有變電站前端設備的接入，另一方面通過該網關起到了對視頻監控平臺與站端的數據過濾的作用，保證站端系統與本視頻監層控平臺之間的安全隔離；使用MIS傳送視頻數據的前端站點需要加防火墻，以保證MIS網絡與視頻監控專用網絡的安全隔離；通過外網接入的外網平臺或前端需加設防火墻及縱向加密認證裝置，保證電力專網與公共網絡的安全隔離。

關鍵詞：供電系統；視頻監控；VPN

中圖分類號：TP277 文獻標識碼：A 文章編號：2096-4706（2018）05-0157-02

Design of Dedicated VPN Network for Video Monitoring in

Lu’an Power Supply System

MA Qinghua，LI Jun

（State Grid Anhui Electric Power Company Lu’an Yeji Power Supply Company，Yeji 237431，China）

Abstract：The municipal platform should use the server cluster to realize the safe and stable operation of the platform，and realize the construction of the service unit network in the platform through the switch. At the same time，the security isolation between the video monitoring platform and the power III/IV inner network is realized between the platform and the III/IV inner network to achieve the security isolation between the video monitoring platform and the power III/IV inner network. Through the erection protocol conversion gateway，on the one hand the realization of all substation front-end equipment access，on the other hand，through the gateway to realize the video monitoring platform and the station end of the data filtering function，to ensure the station end system and the video surveillance platform between the security isolation；use MIS to transmit video data front end station It is necessary to add a firewall to ensure the security isolation of the MIS network and the special network for video surveillance. The external network platform or front end of the external network needs to add a firewall and a vertical encryption authentication device to ensure the safe isolation of the power network and the public network.

Keywords：power supply system；video surveillance；VPN

1 網絡帶寬管理策略

視頻監控數據業務承載網絡為綜合通信數據網或者電力SDH網，采用MPLS VPN技術保證網絡的高效性及安全性。對于承載網絡的要求如下：

承載網絡本身對端到端的視頻傳送服務質量（QOS）提供保障。網絡視頻監控系統的QOS實現要求IP承載網絡在承載端到端的視音頻IP包碼流時，做到延遲小、抖動低、丟包率低。其中對網絡視頻監控系統QOS影響最重要的指標是丟包率。

對于具有較高QOS的業務使用，要求IP承載網絡端到端通信的網絡延遲、延時抖動、丟包率指標要達到如下要求：（1）丟包率上限為5%；（2）網絡延時上限未500ms；（3）時延抖動上限為100ms；（4）視頻流暢，無馬賽克現象，則網絡丟包率不超過3%；（5）圖像無明顯時延，則網絡時延不超過500ms。

業務網絡設備應能夠對網絡的時延、抖動、包錯序、丟包等問題采取策略進行恢復和補償，可調整數據流量，以適應網絡帶寬的變化。

承載網絡端到端通信的網絡延遲、延時抖動、丟包率指標要限定在一定范圍。承載網絡應能夠采取一定的策略保障QOS，例如采用專網承載、DiffServ或MPLS策略等。

承載網絡和業務系統相互配合，共同保證QOS。承載網絡應能將網絡的狀態報告給業務系統；業務系統應該能夠根據承載網絡的狀態對承載網絡進行相應的控制。

2 網絡傳輸安全策略

六安市供電系統視頻監控專用視頻傳輸網的網絡鏈路主要是運營商租用的線路，這些線路與運營商網絡并不是隔離的，運營商能夠保證線路的傳輸帶寬和質量，但不能保障鏈路的傳輸安全[1]。因此，為了保障在綜合傳輸網上傳輸的數據的安全，需要構建六安市供電系統視頻監控專網加密傳輸機制，基于VPN、公鑰加密、數字簽名等方式，對在視頻傳輸網上傳輸的數據進行加密和完整性、真實性保護，防止對數據內容的竊取和對數據的篡改、假冒，實現六安市供電系統視頻監控專網與運營商網絡的隔離。

3 承載網絡帶寬計算

網絡帶寬包括：前端設備接入監控中心，監控中心之間級聯，用戶終端接入監控中心和預留網絡帶寬四部分。網絡帶寬計算方法如下：

前端設備接入監控中心的網絡帶寬不低于允許并發接入的視頻路數×單路視頻碼率；

監控中心之間級聯網絡帶寬不低于并發級聯視頻路數×單路視頻碼流；

用戶終端接入監控中心的網絡帶寬不低于并發顯示視頻路數×單路視頻碼流；

預留的網絡帶寬根據聯網系統的應用情況確定。

4 防火墻的NAT穿透

NAT（Network Address Translation，網絡地址轉換）是將IP數據報頭中的IP地址轉換為另一個IP地址的過程。在實際應用中，NAT主要用于實現私有網絡訪問公共網絡的功能[2]。

在本項目中可以應用NAT穿越技術（NAT Traversal），通過使用這種技術可以徹底解決VoIP應用跨越防火墻和NAT網絡的難題。該技術采用了虛擬代理和IP隧道的先進手段，為VoIP應用搭起了一道橋梁。

NAT穿越技術擁有這樣的功能，它能夠讓網絡應用程序（如音視頻通信程序）主動發現自己位于NAT設備之后，并且會主動獲得NAT設備的公網IP，并為自己建立端口映射條目，這些都是NAT后的設備的應用程序自動完成的，也就是說，在NAT穿越技術中，NAT后的設備的應用程序處于主動地位，它已經明確地知道NAT設備要修改它外發的數據包，于是它主動配合NAT設備的操作，主動地建立好映射，這樣就會解決很多以前由NAT引起的網絡連接問題[3]。

在外網與視頻監控MPLS VPN之間需要加NAT設備用于IP地址修改與映射，以便于兩網之間進行通信，同時也保證視頻監控MPLS VPN網絡的安全；在III/IV區網與視頻監控MPLS VPN加NAT設備用于IP地址修改與映射以便于2網之間的通信，保證2網之間的安全分離。

5 地址規劃與分配

視頻監控系統的地址規劃和分配以安徽電網通信數據網地址規劃為依據，地址規劃通過VPN方式接入，全省縱向統一規劃，視頻監控業務與其他業務之間地址獨立規劃。視頻監控業務為通信數據網應用類型中的業務三。

500kv變電站：每個站點分配64個IP地址的子網，子網掩碼為/26。220kv變電站：每個站點分配32個IP地址的子網，子網掩碼為/27。110kv和35kv變電站：每個站點分配16個IP地址的子網，子網掩碼為/28。根據“十二五”變電站的數量規劃，為每個縣分配1個B類地市，然后在此基礎上進行細分。預留一部分地址，作為這部分地址的補充，分配不夠的單位，可以到市公司申請預留地址資源。

帶寬分配：單個變電站（營業廳、發電站等）至所屬視頻監控平臺帶寬為10M，縣局視頻監控平臺至市局視頻監控平臺帶寬為100M，市局視頻監控平臺至省公司視頻監控平臺帶寬為100M。

網絡安全防范措施：實現電力通信數據網絡的橫向隔離、縱向認證，保證電力通信數據網絡安全穩定地運行。

參考文獻：

[1] 朱圣.基于MPLS技術的政府城域網體系結構的設計與探討 [D].上海：華東師范大學，2008.

[2] 劉向東，李志潔，王德高，等.網絡地址轉換原理實驗的設計與實現 [J].實驗科學與技術，2012，10（4）：106-109+164.

[3] 孫秀娟.淺談網絡地址轉換（NAT）技術 [J].北京工業職業技術學院學報，2006（1）：53-56.

作者簡介：馬清華（1976-），男，安徽六安人，助理工程師，本科。研究方向：電力技術。