一、校园网的业务需求与流量模型

一个典型的校园网络可以分为：校园主干网络、图书馆子网、教学子网、办公子网、宿舍及后勤子网等。

1.校园主干网络

校园主干网络是整个校园网络的传输干线，负责学校各个办公楼和院系局域网之间的数据传输、信息发布、资源共享，并负责Internet的对外出口。该子网的流量模型属于高密度、大流量的FULLMESH通信结构，需要无阻塞、高稳定的核心网络构建。

2.图书馆子网

图书馆是校园网内的数据集中地，常常和该校园的数据中心统一部署，满足海量高密度的数字图书存储系统、大并发量的数字图书检索与VOD点播系统、学校间图书共享资源以及图书管理办公系统。该子网的流量模型属于高密度、大流量的对称通信结构，需要无阻塞、高稳定的核心网络构建和VPN网关。

3.教学子网

教学子网的目标是利用网络实现多媒体教学，如交互式多媒体课堂、教师培训VOD点播等。该子网的流量模型在于大量用户（指超过60个流）点播下的视频信号的传送（如VOD视频点播）。该子网的流量模型主要属于高并发、大流量的输出结构。

4.办公子网

办公子网主要面向校园的各级领导及各职能部门，实现在线办公自动化系统，同时需要满足子网间的数据共享与办公需求。该子网的流量模型属于小流量的FULLMESH通信结构。

5.宿舍区及后勤子网

宿舍区子网即在学生宿舍内部连网，用以直接浏览校园发布的信息及查阅一些电子文档资料，或者通过校园网浏览Internet网；后勤子网覆盖范围大，主要用途有食堂IC卡计费系统等。该子网的流量模型属于高密度、大流量的FULLMESH通信结构。

二、视频监控系统的业务需求与流量模型

1.覆盖范围需求

近年来部署在校园的数字监控系统需要对校园做全方位的视频监控与信息采集，其需要覆盖到以下范围：

（1）对学校教学楼、实验楼、计算机楼、体育馆、图书馆、停车场、学生宿舍楼、行政楼等建筑的出入口和重点防火、防盗部位进行监控；

（2）对学生经常性集中的场所如食堂、运动场所、广场安装摄像机进行监控；

（3）对学校主干道、各大门口和家属区各楼出口进行监控；

（4）对校区大门、宿舍楼、综合楼、主要路口进行监控；

（5）接入红外、门禁、语音、报警器等通用安防技术。

2.控制中心需求

监控中心、教务处、保卫处通过校园内广泛部署的摄像头巡视校园安保工作和教学管理工作：

（1）电视墙上大尺寸中央显示器视墙中中央显示器进行单画面/多画面的自动、手动、报警切换显示，其它监视器进行多画面分割显示；

（2）通过专用键盘进行控制，在电视墙上可以监看、控制前端全部任意摄像机画面以及操作前端监控主机；

（3）通过电视墙或者PC电脑直接回放录像资料，接收前端报警信号等；

（4）各区域保卫室对区域所在的摄像点进行任意的调看和控制。

3.实况控制流量模型

监控前端向WEB客户端或者解码器发送单播或者组播的实况音视频数据流，或者经过MS转发发送单播的音视频数据流。音视频数据流是UDP/TCP可选，流量模型是单向的，数据生产者是监控前端，消费者是客户端、解码器。

4.存储流量模型

如图1所示，监控前端向存储资源直接写入基于TCP的存储数据流。流量模型是单向的，数据生产者是监控前端，消费者是存储资源。

责任编辑：余茂军

上一页12下一页

[page]

5.录像回放流量模型

DM从存储资源读取到相应的存储资源后，将回放的录像数据以VOD的形式发送给WEB客户端。从存储资源到DM是基于TCP的，从DM到PC是UDP/TCP可选的。流量模型是单向的，数据生产者是存储资源，消费者是客户端。

三、视频监控系统的校园部署

1.部署方式

在已有校园网的扩建项目中，可以采用融合部署方式，利用原有校园网络补充建设监控专网，通过其他网络配置手段和QoS技术保证两个业务系统的业务体验。宇视科技提供多种室内室外的单路、多路编码器适应不同的视频汇聚需求，其中用于户外监控的编码器均提供内嵌的EPON接口卡和双SFP子卡，可构建EPON星型或树型网络和RRPP环网。星形接入方式是楼宇园区等监控场合PDS综合布线系统采用的组网方式，并通过POE技术利用综合布线系统可以进行集中供电，简化布线，进一步降低系统的布线成本和TCO整体成本。

EPON能提供上下行对称的1Gbps的带宽，通过各种分光器组建树形网络、总线型网络，方便园区监控的各种部署模型，减少了线路和外部设备的故障率，提高了系统的可靠性。

RRPP光环网保护技术能够实现50毫秒内的链路保护，既解决了环网保护问题，又有效节约光纤和核心接入设备的网络占用。

2.组播设计

组播技术能够有效地解决单点发送多点接收的问题，从而实现网络中点到多点的高效数据传送，能够大量节约网络带宽、降低网络负载。为避免无规划、部署不当的组播可能引起的组播泛滥，通过PIM-SM组播路由、IGMP组管理、IGMP

Snooping侦听、组播源做合法性过滤、监控前端端口隔离等技术实现可控组播网络。基于校园网部署的可控组播建议：

一是在三层交换机上启用PIM-SIM，根据已有的单播路由建立自己的组播分发网络。

二是在监控客户端接入的网关接口下能使三层组播协议IGMP，客户端接入的二层交换机启用IGMPfast-leave，让只有感兴趣的人接受到感兴趣的组播报文。

三是在监控前端接入的三层网关上对组播源做合法性过滤，让非法视频流或组播数据无法接入网络。

四是在监控前端接入的二层交换机通过端口隔离，把各监控组播组数据控制在上下行的端口内，不泛滥。

3.QoS设计

音视频业务对于网络的带宽延时有较高的要求，特别是高清视频业务的普及，承载能力差的网络将带来图像卡顿、花屏等很差的音视频体验。对于上述视频监控系统与校园网融合部署的情况，大流量的视频监控业务可能对原有校园网的办公业务和教学业务产生流量冲击，在带宽受限的部分链路和广域网出口更容易因下行链路带宽不足而引起的端口缓存溢出而丢包。为提高监控业务的业务体验，可以对校园网络路径上的路由器、交换机做QoS设计。

（1）QoS策略制定：在充分了解校园对广域网业务规划的前提下，确定网络中的带宽瓶颈节点，制定适合的QoS方案是达成校园对业务流量和质量保证目标的关键。在某些时候为了满足校园的整体QoS要求，也需要对网络设计作出适当的改进。

（2）业务识别：业务识别的原则是越早越好，以减轻网络设备业务识别负担。最好媒体终端自行标记业务，一般建议在学校园区网进行业务识别，广域网只需进行优先级映射并进行队列调度即可。

（3）流量监管：对网络瓶颈点上游入端口进行流量限速，防止非优先级业务冲击导致的网络设备性能下降。

（4）拥塞避免：根据队列内业务分类和权重进行拥塞时的丢包处理。

（5）队列调度：根据业务种类和各自带宽需求进行出口带宽评估，确定业务带宽比例和优先级差别。

四、网络安全问题

网络的技术是全开放的，使得网络所面临的攻击来自多方面，关键视频资源与教学、办公网数据具有很强的私密保护性。校园网络是整个视频监控业务系统的承载基础，承载网的安全部署很大程度上决定了业务系统的安全等级。部署安全网络常常需要从功能分区与区域安全策略、地理位置与逻辑拓扑、2-7层网络协议安全策略等角度去设计。一般的做法主要有：

1.网络隔离

宿舍接入子网与广域网接入由于区域广泛、人员混杂，不受限于物理安全防范措施，存在较大的安全隐患。校园网以信息涉密程度针对不同的网络空间划分为不同的安全域，不同的安全域制订对应的安全策略。教学办公子网与宿舍接入子网、广域网之间需要使用网闸或者防火墙做网络隔离，端到端通信严格受控，仅允许指定的设备接入、与指定的设备通信，从而大大降低安全隐患的影响范围和风险。入侵检测与边界防护网关提供网络边界双向数据流的监控信息，通过防火墙网络隔离、端口扫描与攻击的检测防范、病毒防御、流量监控，减少用户网络数据感染病毒、业务被黑客破坏、重要信息被窃取等等安全事件，减少安全威胁在网络之间的传播。网络隔离出口个数需要严格受控，分布式部署的网络需要在各自的子网内汇总，从统一的出口接入敏感数据子网。

2.远程安全接入

远程安全接入方案集成防火墙、安全网关、安全管理平台功能，通过安全传输、安全过滤、用户认证等方式，实现广域网上部署的社会资源和移动用户安全接入视频监控专网。

3.行为监管

对用户行为进行管理、控制和审计，采用应用控制网关ACG、防火墙、安全管理平台组成，通过行为识别、行为控制、行为审计三个方面，实现对用户上网行为的监管，并且通过不断升级的特征库，可以及时的识别各种新的应用。

4.终端准入控制

访问控制是网络安全防范和保护的主要策略，主要任务是保证网络资源不被非法使用和访问，是保证网络安全最重要的核心策略之一。基于802.1x协议，通过MAC、IP、用户名等多种身份认证方式确认终端的接入合法性；并通过与操作系统和杀毒软件的配合联动，检查终端的安全漏洞、终端杀毒软件的安装和病毒库更新情况。

结语

安防行业的迅速发展推动了平安校园建设在各地的推广应用，其中视频监控是校园安全防范管理必不可少的部分，对于整个学校园区的监控部署工作，宇视科技结合校园网和监控系统的流量模型，提供端到端全数字智能IP监控的平安校园解决方案，使得整个方案系统规划简单、部署简单、扩展简单、维护简单、架构先进，为校园的安全防范管理带来了完善的解决办法。