摘要　随着电信运营商宽带网络建设的不断完善，随着图像压缩编码与流媒体技术的逐步演进，基于宽带技术的网络图像应用在网络视频监控中逐步得到推广使用，使得电子监控已不仅仅局限于安全防范，而是已成为一种对各行各业都较为行之有效的监督手段和管理资源。

　　由于市场潜力巨大，目前国内各大运营商已经开始建设网络视频监控平台，如网通的宽视界项目，电信的全球眼项目等，该平台的建设将使行业用户及公众用户实现远程视频监控成为可能。既然视频监控系统将作为一种业务，那么如何保障业务的可靠性及安全性，什么样的网络适合承载视频监控业务流将是运营商面临的技术问题。本文将从这些问题出发来阐述系统的组网方式及如何保障媒体流的安全性。

1、前言

　　网络视频监控系统基于宽带网络为用户提供视音频及各种报警信号远程采集、传输、储存及处理。这是一个由前端、中心平台、后端三部分组成的系统。前端由镜头、摄像机、云台、报警开关、视频编解码设备、主机控制设备和监控软件组成；中心管理平台具有业务平台的管理功能，对传送过来的图像进行转发、分发或存储，对报警进行联动处理；在后端用户可在网络的任何一个接入点，无论是监控现场，监控中心，或者是远端，只要通过IE浏览器或客户端软件在通过用户认证后可任意观看视频，可控制摄像机的角度、拉近拉远镜头、控制远端设备，并可接收报警信息。通过这一业务，用户只需轻点鼠标，通过宽带网络，可以从显示器中看到的不仅是清晰、逼真、实时监控图像，更像是一个由网络视频监控系统勾画出的、蕴含着巨大商机与经济效益的信息化蓝图。

2、MPLS VPN现状

　　MPLS VPN是一种基于MPLS技术的IP-VPN，是在网络路由和交换设备上应用MPLS技术，简化核心路由器的路由选择方式，利用结合传统路由技术的标记交换实现的IP虚拟专用网络（IP VPN），可用来构造宽带的Intranet、Extranet，满足多种灵活的业务需求。采用MPLS VPN技术可以把现有的IP网络分解成逻辑上隔离的网络。MPLS VPN由于在灵活性、扩展性、QoS方面的优势，逐渐成为最主要的IP-VPN技术，在电信运营网和企业网中都获得了广泛的应用。

　　电信运营网络采用MPLS VPN为企业提供宽带服务，并保证企业数据流的安全性和服务质量。VPN业务需要面向多种不同的用户，承载多种不同的业务，采用多种接入方式。运营商可以根据网络的实际情况及用户的需求开通最适合的VPN业务，实现统一的资源调度。目前运营商已经能够提供多种VPN业务，如Intranet、Internet、Extranet、Access VPN，而且这些业务可以整合为“VPN套餐”提供给企业。为实现完整的VPN业务，电信运营网络需要融合各种VPN技术，包括MPLS VPN、IPSec、L2TP、GRE、ATM、FR等。

　　目前网络设计基本都采用经典的分层结构，如城域网典型结构是骨干-核心-汇聚-接入四层模型，设备性能依次下降，网络规模依次扩大。核心层与骨干层通常采用口字型结构，增加冗余以保证网络的可靠性。在一个分层网络中如何部署PE节点，将PE部署到核心层、汇聚层，还是接入层?这是网络设计中经常遇到的问题。目前通常的方法是将PE分为多个层次，共同完成全网的VPN业务。与分层分级网络相适应，网络层次越高的PE容量和性能要求越高，网络层次越低PE的容量和性能要求越低。网络层次越低，PE数量越大，用户接入能力越强。

3、视频监控系统承载网解决方案

　　视频监控平台通常分两级进行构建：核心视频监控平台至于省中心，放置数据库服务器、AAA服务器、中心管理服务器、接入服务器、Web服务器等。为全省的视频监控平台提供核心的控制、认证、管理、北向接口等功能。视频存储服务器、分发服务器通常放置在各地市。

图1　典型的网络分层结构

　　建设MPLS VPN的网络，需要保证各地必须有足够的PE设备作为接入点。同时在合理规划核心网的情况下通过P路由互联组成MPLS VPN骨干网络。

图2　典型的省级视频监控系统组网模式

　　宽视界平台分为两大部分，一个是省中心的中心管理控制平台及门户，负责业务的控制和管理以及客户的访问；另一个是各地市的存储转发和前端接入平台，负责业务的流媒体转发和存储以及PU的接入。建网思路如下：

　　（1）省核心平台建设在一个独立的MPLS VPN网络中，平台通过PE接入到未来的MPLS VPN中，平台包括中心控制管理平台和分布在各地市的转发存储接入平台。

　　（2）目前本地城域网核心网络设备作为P设备，PE设备将直连路由分发到MPLS VPN网内，用户端采用缺省路由进入到VPN内。

　　（3）核心平台通过防火墙进行严格的保护，对于来自Internet的访问不仅可以通过MPLS VPN来阻止网络攻击的入侵还可通过防火墙的拦截，设置多种安全策略，可以实现高度的网络安全特性。

　　（4）针对行业用户、大客户可以采用2M专线、以太网专线或光纤直连，用户的出口路由器作为CE设备，监控客户端和前端设备可直接进入MPLS VPN网，并使用统一分配的私网IP地址。每个大客户使用独立的MPLS VPN，并保证各地的MPLS VPN与核心网络平台设备的MPLS VPN网络实现互通。可以通过互相导入Router-target的模式来实现。但各个大客户间的MPLS VPN不能直接互通，因为在MPLS VPN层面两个网络的Router-target没有实现互相注入和识别，所以可以很方便的实现多个大客户之间的互相隔离措施。

　　（5）针对公网用户或者零散小企业用户，可通过DSLAM，宽带上网线路通过PPPoE、VLAN透传等方式与PE设备建立VRF映射，从而获得与视频监控平台的互通。

4、PU及CU的接入方案

　　在接入层，用户以及前端的接入主要是利用DSLAM的方式，也有LAN的接入方式以及专线接入的方式等。

　　4.1　DSLAM上联到3层交换机

　　对于3层交换机的节点，如果有下挂的PU或CU，可以通过3层交换机下挂的DSLAM接入大量的PU和CU。3层交换机可以通过吉比特光纤与PE进行连接。当3层交换机与PE互通后，3层交换机汇聚的接入用户，透传VLAN到PE，就近实现PE节点的接入。

　　CU和PU在3层交换机上利用VLAN透传，每用户、每前端采用不同的VLAN实现隔离，VLAN终结在PE设备上，并按照用户群将地址池映射到视频监控的MPLS VPN特定VRF中，实现与VPN内业务的平台的互通，CU以及PU设备均配置私网地址。

图3　典型的CU及PU接入方式

　　4.2　DSLAM上联到BAS

　　BAS设备可实现对用户的认证，该设备承担的用户采用PPPoE的方式实现认证。

　　可以通过互联吉比特光纤的方式来进行连接。当BAS与PE互通后，BAS汇聚的接入用户，透传VLAN到PE，就近实现PE节点的接入。

　　CU和PU在BAS上利用VLAN透传，VLAN终结在PE设备上映射到视频监控的VPN中，实现与VPN内业务的平台的互通，CU以及PU设备均配置私网地址。

　　另外，还可以新建SR设备，把DSLAM采用双上联的方式，将视频监控的业务分离到SR，由SR作为PE设备，将业务映射到视频监控VPN中。

　　4.3　以太网透传模式（上联到3层交换机）

　　当3层交换机作为接入汇聚设备的节点，下挂有大量的LAN小区接入用户以及企业宽带接入用户时。那么其解决方案与采用DSLAM上联到3层交换机没有什么区别，只是在带宽保障上LAN更有优势。

　　4.4　专线模式

　　对于采用DDN、FR以及数字2Mbit/s专线的用户可以为其提供专线到PE设备的连接，将业务映射到视频监控的VPN网络中。最终由PE设备将视频监控的相关信令和媒体流映射到VPN网中，实现用户接入视频监控网络。这类用户建议均采用私网地址。

　　4.5　VPDN方式

　　对于ADSL用户来说，大部分采用PPPoE的方式接入。考虑到目前网内可能存在没有下沉MPLS VPN业务到BAS和附近的PE设备上，所以提供PPPoE认证和接入的BAS（LAC）可以通过建立L2TP隧道到PE（LNS）的方式来提供VPDN接入业务。这样也可以解决BAS不支持PE功能的设备入网问题。

　　具体方法如下：

　　CU或PU设备通过ADSL线路发起PPPoE拨号，发送PPPoE请求后收到来自BAS设备的认证要求。

　　CU或PU设备向BAS设备提交一组特殊的用户名和密码，例如：123@gongan。123是用户名，gongan是用于区分不同大客户的域名。BAS根据不同的域名配置，可以建立与远端LNS的L2TP连接。

　　BAS作为LAC与LNS建立L2TP隧道后，认证将提交为LNS进行认证，并由LNS提供动态的IP地址分配。

　　由此，CU或PU设备将可以建立从DSLAM到LNS的全程私网连接。利用广泛的Internet资源，将视频监控业务灵活的布放到各级接入设备上。

5、IP地址规划

　　由于视频监控网络往往涉及社会安全、企业机密、国家机密、金融安全等重大问题，如果把视频监控网络建设在公网上势必会造成一些安全隐患和潜在的泄密问题。所以核心网络平台必须采用私网地址建设。这样所有的核心网元都封闭在一个安全保密的环境中。

　　根据客类型不同，地址规划建议如下。

　　5.1　行业大客户

　　对这种类型的用户，通常采用专线方式连接到IP宽带网络，并直接连到平台，采用统一的地址规划和路由策略。各个前端设备采用与平台统一的私网地址进行路由和网络连接。在这样的情况下，行业大客户的设备没有任何连接地址穿越问题，并通过MPLS VPN网络获得有保障的QoS性能和质量。这种大客户的前端设备均可采用静态IP的配置模式，客户端可以采用动态或静态IP的分配模式。从一些大客户网络安全考虑，建议不同大客户单独建立MPLS VPN。

　　5.2　小型企业或固定公众用户

　　对这种类型的用户，通常采用ADSL的方式将PU和CU接入到平台系统中，ADSL可以通过动态或静态获得IP地址分配，但是获得的IP地址应归属与MPLS VPN网络，即采用平台系统相同的地址规划，保证QoS容易实现。

图4　VPDN接入方式

　　5.3　漫游用户

　　对这种类型的用户，通常采用互联网接入到平台系统中。由于漫游用户通过互联网接入宽视界网络平台，本身存在相对的不安全因素。所以通常情况下不建议把MPLS VPN内的宽视界平台与互联网通过IP地址转换的模式来提供业务。一般来说比较可行的方案是通过IPSec VPN的方案来接入互联网的漫游用户。通过在MPLS VPN与互联网互通的VPN网关提供IPSec VPN服务，漫游用户通过IPSec VPN软件建立与宽视界网络的加密隧道，并通过VPN网关的地址池获得MPLS VPN内网的私网地址。此时客户访问宽视界网络将通过承载在互联网上的加密隧道进入，并使用与宽视界平台统一的私网IP来获得连接。