商务咨询: 点击这里给商务咨询发消息  人事咨询: 点击这里给人事咨询发消息  其它咨询: 点击这里给其它咨询发消息 
当前位置:首页 > 解决方案 > 酒店信息化技术解决方案
园区网络解决方案
主机存储解决方案
IT外包服务解决方案
云平台解决方案
建筑智能化解决方案
信息安全解决方案
酒店信息化技术解决方案

浏览:8362  发表时间:2015-10-17

第一章. XXXX大酒店网络系统

本章方案设计对XXXX大酒店企业网进行整体规划设计,并对工程进行可行性考虑保证方案可实施、资源优化配置。XXXX大酒店企业网系统的建设,利用先进的网络技术,建设XXXX大酒店企业网,为公司的应用系统提供安全、稳定、高效的网络平台。网络系统应达到以下要求:

1. 网络设计

1.1. XXXX大酒店网络设计规划

整个网络承载着企业IP监控、VoIP、视讯会议OA软件等各种业务系统,并提供整个园区的Internet接入。

经过合理规划,针对XXXX大酒店企业网系统的具体需求,总体网络设计将网络采用层次化和模块化设计。

 

 

XXXX大酒店企业网——网络总体设计拓扑图分别如下,其结构分为核心层和接入层两个层次,整体网络为千兆骨干,百兆到桌面设计。核心层与接入层之间采用多模GE光链路连接,每台接入交换机独立光路上行至核心交换机,不采用堆叠设计。

2. 设计说明

2.1. Internet边界路由设计

为了保证整个Internet上网安全和集中统一管理,降低Internet接入设备成本和管理成本, XXXX大酒店企业网采用数据中心统一Internet出口。由于该出口还要承载写字楼用户的internet接入,以及公寓楼用户internet接入,所以Internet出口处部署一台高性能路由器MSR5006,保证XXXX大酒店企业网的正常运行。

2.2. Internet接入安全设计

Internet出口安全通过在核心交换机上部署1块SecBlade高性能防火墙板卡,为整个酒店提供提供高性能、灵活策略的安全网关保障。

在核心交换机部署内置防火墙是防火墙最主要的应用模式之一,绝大部分网络都会接入Internet,因此会面临非常大的来自Internet的攻击的风险,需要一种简易有效的安全防护手段,通过在核心交换机位置部署防火墙和IPS板卡,主要目的是实现以下三大功能:

来自Internet攻击的防范:随着网络技术不断的发展,Internet上的现成的攻击工具越来越多,而且可以通过Internet广泛传播,由此导致Internet上的攻击行为也越来越多,而且越来越复杂,防火墙必须可以有效的阻挡来自Internet的各种攻击行为;

Internet服务器安全防护:XXXX大酒店企业网接入Internet后,会利用Internet这个大网络平台进行信息发布和企业宣传,需要在核心交换机部署安全防护策略,过滤来自Internet对这些资源服务器的从2层~7层的非法访问,因此必须采用防火墙+IPS双重安全手段在满足公众访问这些服务器的同时,亦能保证这些服务器的安全;

内部用户访问Internet管理:必须对内部用户访问Internet行为进行细致的管理,比如能够支持WEB、邮件、以及BT等应用模式的内容过滤,避免网络资源的滥用,也避免通过Internet引入各种安全风险;

基于上述需求,我们建议在Internet边界,采取以下防火墙部署策略:

设备部署模式:

如上图所示,我们建议在核心交换机与Internet路由器之间配置防火墙,防火墙保证系统的可靠性,

 安全控制策略:

防火墙设置为默认拒绝工作方式,保证所有的数据包,如果没有明确的规则允许通过,全部拒绝以保证安全;

配置防火墙防DOS/DDOS功能,对LandSmurfFragglePing of DeathTear DropSYN Flood

ICMP FloodUDP Flood等拒绝服务攻击进行防范;

配置防火墙全面安全防范能力,包括ARP欺骗攻击的防范,提供ARP主动反向查询、TCP报文标志位不合法攻击防范、超大ICMP报文攻击防范、地址/端口扫描的防范、ICMP重定向或不可达报文控制功能、Tracert报文控制功能、带路由记录选项IP报文控制功能等;

由外往内的访问控制规则:

通过防火墙的访问控制策略,拒绝任何来自Internet对内网的访问数据,保证任何Internet数据都不能主动进入内部网,屏蔽所有来自Internet的攻击行为;

由外往DMZ的访问控制规则:

通过防火墙的访问控制策略,控制来自Internet用户只能访问DMZ区服务器的特定端口,比如WWW服务器80端口、Mail服务器的25/110端口等,其他通信端口一律拒绝访问,保证部属在DMZ区的服务器在安全的前提下,有效提供所需的服务;

由内往外的访问控制规则:

通过防火墙的访问控制策略,对内部用户访问Internet进行基于IP地址的控制,初步实现控制内部用户能否访问Internet,能够访问什么样的Inertnet资源;

通过配置防火墙提供的IP/MAC地址绑定功能,以及身份认证功能,提供对内部用户访问Internet的更严格有效的控制能力,加强内部用户访问Internet控制能力;

通过配置防火墙提供的SMTP邮件过滤功能和HTTP内容过滤,实现对用户访问Internet的细粒度的访问控制能力,实现基本的用户访问Internet的行为管理;

由内往DMZ的访问控制规则:

通过防火墙的访问控制策略,控制来自内部用户只能访问DMZ区服务器的特定端口,比如WWW服务器80端口、Mail服务器的25/110端口等,其他通信端口一律拒绝访问,保证部属在DMZ区的服务器在安全的前提下,有效提供所需的服务;

对于服务器管理员,通过防火墙策略设置,进行严格的身份认证等措施后,可以进行比较宽的访问权限的授予,在安全的基础上保证管理员的网络访问能力;

由DMZ往内的访问控制规则:

通过防火墙的访问控制策略,严格控制DMZ区服务器不能访问或者只能访问内部网络的必需的资源,避免DMZ区服务器被作为跳板攻击内部网用户和相关资源;

其他可选策略:

可以启动防火墙身份认证功能,通过内置数据库或者标准Radius属性认证,实现对用户身份认证后进行资源访问的授权;

根据需要,在两台防火墙上设置流量控制规则,实现对网络流量的有效管理,有效的避免网络带宽的浪费和滥用,保护网络带宽;

根据应用和管理的需要,设置有效工作时间段规则,实现基于时间的访问控制,可以组合时间特性,实现更加灵活的访问控制能力;

在防火墙上进行设置告警策略,利用灵活多样的告警响应手段(E-mail、日志、SNMP 陷阱等),实现攻击行为的告警,有效监控网络应用;

启动防火墙日志功能,利用防火墙的日志记录能力,详细完整的记录日志和统计报表等资料,实现对网络访问行为的有效的记录和统计分析;

2.3. 网络交换平台设计

在XXXX大酒店网络中心内放置1台高端以太网交换机S7506E,每个核心交换机上配置1块24口千兆光口模块,1块16口千兆光口+8口千兆电口模块;千兆电口用于连接网络中心服务器汇聚交换机和出口路由器,千兆光口用于连接各接入层交换机。接入层交换机S3100负责接入各种信息点。在核心交换机上配置防火墙模块一块和IPS模块一块,加强内网安全。

3. 部署安全插卡优势说明

3.1. 高可靠性:降低单点故障

1. 在设备内部,基于交换机的无阻塞技术,各种插卡通过背板总线进行数据交换。任何一块插卡出现故障,基于H3C专利技术,可以通过Bypass方式使得流量自动绕过故障插卡,保证业务流正常处理和转发,不会出现单点故障。

2. 插卡式设备,所有的关键部件都可以冗余部署。单独的盒式设备,一般最多提供双电源的可靠性设计。而插卡式设备,包括电源、引擎、接口板、业务板等都可以冗余部署,大大提高了可靠性。当所有的关键部件都进行冗余部署的时候,实际上就是两台设备在同时工作,并可以进行负载分担。

3. 所有的插卡都支持热插拔,大大降低出现故障时更换设备的时间。

3.2. 高性能和高扩展性:减少业务瓶颈

1. 高性能:所有的H3C SecBlade业务模块都采用了业界最领先的多核多线程CPU+ASIC+FPGA的高性能、分布式硬件架构。这种分布式的硬件架构保证了所有的业务能在第一时间并行处理。对于现在大量的应用层安全攻击,由于需要进行深入的报文分析,只有这种多核多线程的硬件架构才能真正做到实时处理,不会产生大的数据延迟。

2. 高转发:所有的SecBlade业务模块与交换机及其他插卡之间都是通过交换机Crossbar总线进行数据传输,数据带宽高达10Gbps以上。相对于盒式设备之间通常采用的网线连接方式,数据带宽更高、延时更低,而且可靠性更高,不会出现由于网线故障或连接故障导致的业务中断。

3. 盒式设备性能一般是固定的,但是插卡式设备的处理能力可以通过板卡的扩展进行数倍的提升。即使是单块的业务板,得益于其先进的多核架构,其性能优势也很明显(FW性能可以达到单模块万兆处理能力)。

4. 接口多:普通盒式设备一般最多提供几个接口,而插卡式设备的接口板可提供无限制的接口,并且可根据要求进行扩展,所有接口的VLAN都可以共享各种业务板卡。同时,通过虚拟化技术,可以将同一块物理业务板卡在逻辑上划分为相互独立的多个板卡,每个逻辑板卡拥有完全独立的资源和策略。 

5. 接口种类丰富:普通盒式设备,只能提供普通的以太网电口和光口。而基于交换机和路由器的插卡,还可以提供各种POS接口、ATM接口、E1/T1口等接口类型。

6. 组网简单:采用插卡式设备,只需在交换机中插入所需模块,相对盒式设备来说不会占用空间。且所有插卡都集成在一台交换机中,数据交换通过背板总线实现,组网更加简单,不像盒式设备,各个设备之间都要通过复杂的网线进行连接。

3.3. 管理简单

1. 每个插卡可以通过WEB界面进行独立管理,也可以由交换机与其他业务板一样进行统一管理。不同插卡的状态可以基于主控板统一显示,通过主控板实现对插卡的统一管理。

2. 各个插卡的安全告警和日志信息能统一上报给H3C的安全管理平台SecCenter。通过SecCenter的统一安全信息收集和筛选,提取相关的关联信息,然后进行统一配置和管理,真正做到安全联动。

3.4. 成本投入低

1. 得利于良好的扩展性,在对接口、功能、性能等进行升级的时候,在升级标准相同的条件下,再次投入的成本大幅降低,原有的投资也能得到保障。

第二章. 酒店安防监控系统

1. 监控需求

本方案基于如下进行设计:

网络规模: 1个监控总控中心,总共270个摄像点。

IP承载网存储数据量:所有监控点传输按照D1分辨率进行编码,存储码率根据各个位置的重要性的不同,重点部位按照D1分辨率进行实时编码( 2M bit/s实时码率),一般场所按照CIF分辨率进行存储编码(512Kbit/s的存储码率)。

各摄像头根据各自的位置特点通过以太网电口接入方式与专网相连;

通过建设这个网络环境,实现前端现场点监控图像的全数字化(高清晰度、全实时),传输网络化(TCP/IP)图像数据存储可做到集中式存储。

XXXX大酒店监控的内网和外网内各类用户(用户权限许可)可以对前端监控可实时图像监控;对存储图像可实现企业内网内,计算机网络调阅播放和下载所有网点监控摄像机图像。

建成后的全数字视频监控系统以实时监控录像为主,系统不仅在结构上具有扩展能力,而且在业务上也有综合应用能力,包括图像传输、远程监控、数字图像数据远程集中存储,远程实时点播回放(储存数据图像)功能

具体监控点分布统计情况如下表:

楼层

球机

枪机

半球

电梯专用

专照车牌

楼层小计

汇聚点位

地下停车场

 

10

8

6

2

26

80

1F+室外6个球机

8

6

18

2

 

34

2F

 

 

18

2

 

20

3F

 

 

17

 

 

17

36

4F

 

 

11

 

 

11

5F

 

 

8

 

 

8

6F

 

 

4

 

 

4

20

7F

 

 

8

 

 

8

8F

 

 

8

 

 

8

9F

 

 

8

 

 

8

24

10F

 

 

8

 

 

8

11F

 

 

8

 

 

8

12F

 

 

8

 

 

8

24

13F

 

 

8

 

 

8

14F

 

 

8

 

 

8

15F

 

 

8

 

 

8

24

16F

 

 

8

 

 

8

17F

 

 

8

 

 

8

18F

 

 

8

 

 

8

24

19F

 

 

8

 

 

8

20F

 

 

8

 

 

8

21F

 

2

5

 

 

7

22

22F

 

2

5

 

 

7

23F

 

 

8

 

 

8

24F

 

 

7

 

 

7

16

25F

 

 

7

 

 

7

楼顶

2

 

 

 

 

2

总计

10

20

228

10

2

270

 

 

球机

枪机

半球

电梯专用

专照车牌

 

 

 

2. 监控规划建议

2.1. 系统设计指导意见

XXXX大酒店楼宇监控系统的建设应以“实用、可靠、先进、经济、开放、安全”为指导思想。

(一)实用:监控覆盖面和图像质量须满足XXXX大酒店实际需求;数字图像实时监视和图像回放查询界面友好,系统安装、使用、维护简便,满足各级部门的需求。

(二)可靠:系统采用的主要安防设备须经过具有公安部批准的相应资格产品检测中心的测试,质量达标,性能稳定,能持续有效运行。

(三)先进:采用成熟、主流的技术构建系统平台,充分兼顾需求和技术的发展,充分考虑与其他系统的连接,建设可扩展的、开放的平台。主要设备可采用搭积木的模块式方便扩容,保护原有投资。

(四)经济:在确保实用性、可靠性、先进性的前提下,注重系统建设成本和投入的阶段性,以技术建设与应用机制的协调发展,确保系统效益。

(五)开放:系统应遵循开放系统的原则。系统应符合国家标准和行业规划,能提供软件、硬件、通信、网络、操作系统和数据库管理系统等诸方面的接口和工具,使系统具备良好的灵活性、兼容性、扩展性和可移植性。

(六)安全:由于本系统涉及到对于公共场所的日常实时监控、数据传输量大、使用人员多,故安全性和保密性十分突出和重要。在考虑系统安全性和保密性时,除应考虑各种外界干扰外,还需在各个环节提供安全、保密措施。

二.2.2. 系统实施建设原则

本项目遵循系统集成“统一标准、整体布署”的基本原则。

首先确认系统整体架构,专网架构为全IP架构,同时选择一个标准化、扩展性好的网络视频与安防管理平台软件,满足项目的根本需要。实现对图象、报警的集中监控、存储等管理功能,监控的范围包括:公寓楼和写字楼监控、商场监、以及大楼楼外监控。

2.3. 规划依据、规范和标准系统设计依据

系统规划设计必须按照国际、国家和本地区的有关标准和规范进行。本设计将依据和参照以下的设计规范和要求进行:

《安全防范工程技术规范》 (GB 50348-2004);

《安全防范工程程序与要求》 GA/T75-94);

《安全防范系统验收规则》 GA308-2001);

《安全防范系统通用图形符号》 GA/T74-2000);

《民用闭路电视监控系统工程技术规范》 GB50198-94);

《工业电视系统工程设计规范》 GBJ115-87);

《音频、视频及类似电子设备安全要求》 GB8898-2001);

《测量、控制和试验室用电气设备的安全要求》 (GB4793-2001)

《信息技术设备的安全》 GB4943-2001);

《邮电通信网光纤数据传输系统工程施工及验收技术规范》。

EIA/TIA568A,EIA/TIA569A国际电子工业协会通信线缆、通讯路径和空间标准

ISO/ICE/IS11801结构化布线标准

ISO TCP/IP协议标准

ISO/IEC 13818 MPEG-2协议标准

ISO IGMP/CGMP协议标准

10BASE-T,100BASE-TX 标准 IEEE802.3,IEEE802.3U

《中华人民共和国通信行业标准》(YD/T926

3. 系统体系架构设计概述

3.1. 系统设计架构

H3C在基于IP的数据传输、数字图像处理以及数据存储等技术的长期积累上,推出基于NGeN架构的iVS第五代网络视频监控系统。

H3C iVS网络视频监控系统完全基于IP应用开发,并将控制信令的IP通信概念引入了监控应用,将传统监控的简单连接应用提升到IP通信应用。H3C iVS网络视频监控系统借鉴了NGeN架构,将信令控制与码流交换分离,信令接续与码流承载分离。即使核心服务器出现故障,也不会影响整个监控业务的正常运行。系统中各个部件(视频管理服务器VM、数据管理服务器DM、客户端VC、前端监控媒体终端EC/DC、视频存储设备IP-SAN)如果IP可达,都可以分布化部署,正常运行。

H3C iVS网络视频监控系统按照控制管理分为监控接入层、承载交换层、控制管理层和视频应用层四个层次。

 

图2:H3C iVS网络视频监控系统架构

3.2. 系统架构层次

1. 监控接入层

前端监控媒体终端负责把视频源传送过来的模拟图像转换并编码压缩成IP数据流通过IP网络传送,支持UDP组播流和存储iSCSI单播流。

2. 承载交换层

采用开放式的TCP/IP协议的IP承载网,并利用组播协议把不同的数据码流传送到实际目的地址。

3. 控制管理层

H3C IVS网络视频监控系统采用信令控制与码流交换分离体系,控制管理层负责整个系统的信令控制。控制管理层是IVS网络视频监控系统的核心部件,系统中所有的设备都通过控制管理层来实现相互的通信和管理。

4. 视频应用层

视频应用层主要由视频客户端VC负责把监控图像进行实时查看,并把历史数据进行回放;通过DC解码器,可以把视频数据还原成模拟信号,输出到监视器、电视墙;H3C iVS网络视频监控系统提供丰富的API接口,可以方便的进行第三方集成开发和功能扩展。

3.3. 系统功能特点

1. 先进的体系架构

iVS方案充分整合了IP网络、视频、存储、信令等领域的技术,采用开放的架构,标准的技术实现。系统将信令控制与媒体流交换分离的先进理念引入视频监控系统。系统管理服务器只处理信令流,媒体流通过网络或专用流媒体服务器的处理交换以分布式的形式分发出去,避免了由于媒体流处理的性能压力而造成的核心管理服务器瓶颈问题,从而可以实现监控规模的无限制扩展。

2. 创新的双流分离设计

iVS方案根据网络监控中对实时流和存储流的需求差异创新性的在全系列编码器产品中采用了实时流和存储流分别输出的双流设计,其中实时流支持单、组播,存储流支持iSCSI标准的TCP单播流,iSCSI标准技术的支持,使得编码器到IP SAN盘阵间的端到端(P2P)连接成为可能,既满足实时流低延时、大收敛比的访问需求,又满足了存储流高可靠性、海量、分布式存储的需求,避免了传统方案媒体服务器转发存储流的瓶颈问题,优化了系统的整体并发处理性能。

3. 高清晰的图像质量

iVS方案采用最新的专业图像技术,可提供FULL D1高清晰图像分辨率,支持MPEG2、MPEG4、H.264编码格式,其中H.264支持其最高的MainProfile标准,编码带宽最高可达4M(H.264)-8M(MPEG2),尤其是在高动态图像监控场合,iVS可以为用户提供广播级的高清图像质量。同时专网方案下通过组播优化等网络技术,使得iVS具备低于300毫秒的实时性能,满足专业监控的要求。




4. 专业可靠的海量存储

iVS方案支持网络存储和本地存储两种高可靠存储模式。网络存储模式下采用了IP-SAN作为监控数据存储设备,可以在分布式部署的同时实现集中管理、跨域共享、平滑扩容、兼容互通等。而当网络故障时,本地编码器通过内置缓存保存故障期间图像信息,通过IP SAN存储和本地缓存结合实现高可靠海量网络存储。当系统网络不支持网络存储时,iVS方案的ER系列编码器支持本地高可靠海量存储,ER采用NAS架构,支持RAID5保护,选用SATA硬盘,最大扩展8块硬盘实现本地海量高可靠存储,所有资源可以被中心统一资源管理,同时支持远程IP SAN备份。

5. 智能便利的管理维护

将IP网管及业务控制平台的技术应用至IP监控系统,彻底改变传统监控只能依靠人工进行系统管理和维护的局面,.实现编解码、存储、网络传输和业务软件(服务器)四大平台的统一管理。支持分级分域的管理、灵活的用户权限管理、自动的设备批量配置、全网设备的统一拓扑视图、拓扑自动发现管理、全网设备状态管理、故障自动告警及定位管理和GIS地图功能。


 


6. 系统高可靠性

系统中音视频流不在数字监控网管服务器上集中处理,而是通过网络的处理交换以分布式的形式分发出去,避免由于视频交换服务器的处理性能而造成的瓶颈问题。

7. 集中化管理

针对不同的用户可以采用域管理、用户管理和云台控制冲突管理等多种权限管理模式。不同用户可以根据指定对应权限对系统进行操作。这种分级分域的多种管理模式非常适合政府、公安行业的管理模式。

系统根据用户业务管理模式的特点,采用集中式管理方式。通过视频管理服务器VM和数据管理服务器DM不仅可对前端设备进行集中管理和控制,还可对分布在各区域的存储终端设备进行远程集中管理。用户只需要在一台客户端上就可以对整网设备进行批量配置下发、远程升级、远程操作、业务实现等操作。

8. 良好的系统开放性

整个系统采用国际标准IP传输协议,提供业界标准设备接口,用户选择设备的灵活性大,升级扩容方便;图像编码和传输协议均采用国际标准,前端设备扩容简单方便,可灵活增减;整个系统可通过第三方开放API接口提供业务应用开发,也可以参与矩阵、光端机、DVR等其他厂家的系统控制。

9. 全系统时钟同步

不但所有管理服务器之间时间自动同步,监控媒体终端上还有OSD叠加视频时钟,也和系统管理服务器同步,这个功能在视频监控管理和事件发生后查找证据上有重要的实际意义。

10. 灵活丰富的接入方式

支持Ethernet、SFP、EPON等多种接入方式。全系列编码器支持双网口、SFP光纤接口和EPON无源光网络接口,方便用户选择组网方案。如在市区光纤资源充足的接入点,采用SFP接口100兆数字光纤接入,充分利用现有IP网络。在县、镇、乡村光纤资源紧张的地方采用EPON无源光网络,大幅减少光纤数量;降低系统综合成本和线路租金。

11. 电信级的设备高可靠性

采用电信级器件和制造工艺,充分满足高风险等级场所的高可靠性监控需求。编码器产品针对室外恶劣环境使用设计,温度范围广,长时间工作范围065 ℃。防雷等级达到了正负4KV,冲击电流3KA的通流量要求,静电达到了正负8KV的要求,平均无故障间隔时间(MTBF > 500,000小时,指标远远高于一般厂商产品。支持醇酸树脂绝缘涂覆保护技术,达到防潮、防霉、防盐雾侵蚀的1级户外防护等级要求,提高产品的可靠性 

3.4. 与传统视频监控系统的比较

H3C iVS第五代网络视频监控系统突破了传统监控的瓶颈点,使监控系统具备更好的可扩展性,同时也使监控网络具有了良好的可管理性。有机地将监控前端设备、监控管理软件、网络设备、IP-SAN存储设备融合为一个整体解决方案,有效地将客户监控应用由原先的安防应用提升到IT应用。H3C iVS网络视频监控系统已经广泛应用于“平安城市”、机场监控、城市轨道交通监控、港口码头监控、酒店监控、企业园区监控等行业监控市场。

传统体系的视频监控系统,虽然实现了从模拟到数字直至支持IP网络的传输,但前端设备功能单一,管理系统相对简单,已难以完成目前监控网络的不断扩大及日益复杂的功能需求。针对用户的实时观看、使用、存储三个方面应用都与IP视频监控系统存在巨大的差距:

特点

光端机+矩阵+DVR/DVS+视频服务器

基于IP架构的视频监控(存储)系统

看的清楚

支持4CIF视频流,码率最高2Mbps

支持高清D1视频流,码率1M12M

图像接入DVR/DVS时候图像效果变差,视频多级转换模拟信号衰减

摄像机模拟信号在监控点一次编码直接加入网络,传输和存储图像质量不受距离限制变化。

用的方便

查看某个监控画面的用户数量是有限的

基于组播机制,查看某个监控画面的用户数量没有限制

单个设备功能强大,功能齐全。

NGN架构,软交换业务平台,可支持各类数据应用

存的可靠

实时视频监控和数据集中存储服务在一起;一旦视频服务器出现问题监控和数据存储都失效

实时监控与存储分离,互不影响;

IP-SAN可靠性高

适合100200路摄像机局域网小系统,低码率低存储量较低图像质量。

工业级存储设备,支持大数据量实时并发读写,可以应对所有恶劣的突发需求。

 

2.4. 系统各分项设计

2.4.1. 系统总体设计

网络视频监控系统可支持分级分域的组网架构,可支持在总控中心、酒店出入口、各楼层分控实现不同等级的监控中心,每级监控中心负责接入和管理本级本区域的监控点,实现实时监控、图像存储、历史图像回放检索等功能,上级可根据需要调用任何下级监控区域的实时图像和历史图像。监控中心可根据需要部署IP SAN存储设备实现本区域所有监控图像的存储,同时通过视频解码器将图像输出至电视墙实现实时监控,也可通过安装在PC上的客户端软件进行实时监控或历史图像回放。 

监控点的接入因地制宜,室内监控点由于分布比较集中,可采用RJ45以太电口方式,充分利用现有的网络资源。室外监控点可就近接入楼层弱电间内。 

整个系统采用高性能IP专网承载监控图像,不存在图像衰减问题,同时通过组播方式支持多个人同时查看同一热点,系统可实现无阻塞交换,无任何瓶颈。可以保障这样大规模监控系统的“监、控、查、管”综合性能。


根据XXXX大酒店监控系统的需求,此次建设不是简单的设备采购,应包括硬件设备采购、安装、系统集成等工程,按建设的性质可分为:

(1)监控前端硬件建设

摄像机安装及图像采集

视频编码设备

报警联动设备

(2)传输系统

图像、控制信号传输

供电线路

IP网络传输

(3)总控中心建设

网络存储系统

显示解码及显示系统

综合视频管理系统

报警联动系统

根据XXXX大酒店对整个网络视频监控系统的要求,设计共分为12个分控中心,12个分控中心通过网络和相应的权限在网内可以看到各自分管的任意监控点的情况,在网内任意一台客户端通过网络和权限都可以监看酒店内各监控点的情况,也可以通过客户端对所监看的摄像机进行远程控制和录像。

4.2. 系统前端设备部分

系统每个前端均由摄像机(云台摄像机或固定枪机)、立杆、室外机箱、视频编码器(EC)、专用电源和防雷接地等设备组成。

1. 摄像头

摄像能够把活动景物的光信号转变为图像的电信号,它是电视监控系统中最主要的信号源。

摄像机的分类方式有多种方式:

按所摄取的图像种类来分:(1) 黑白摄像机;(2) 彩色摄像机

按适用照度来分:(1) 普通摄像机:在白天和较强灯光下才能摄取到满意的图像,最低照度均大于10勒克斯(Lux)以上。2低照度摄像机:可以工作在照度较低的环境中(如黎明、黄昏、暗光下),最低照度为0.1—0.5Lux。3微光摄像机:可以工作在月光、星光甚至伸手不见五指的阴天、漆黑的夜间。一般摄像头支持BNC视频输出接口。

摄像机云台及支架 

云台不仅起到支撑和安装摄像机的作用,更重要的是扩大了摄像机的视野范围。云台可以使摄像机在水平和垂直方向任意转动和俯仰,因而在某种意义上它起到了变一台摄像机为多台摄像机的作用。

云台可分为手动式和电动式两种。在监视系统中,电动式云台获得了广泛应用。电动云台多是由中心控制室通过摄像机遥控单元来进行控制的。电动云台是—种以微电机为动力,通过传动机构,带动摄像机在水平方向做0°~350°转动和在垂直方向做0°~±90°俯仰的一种机械装置电动云台分为交流和直流云台两种类型。

摄像机防护罩 

用于监控系统的摄像机,特别是置于室外的摄像机,一年四季全天候进行工作,环境条件变化无常,有时需要在相当恶劣的条件下工作。例如,风沙、雨、雪、冰雹、烟雾、高温等为了保证摄像机工作的可靠性,延长其使用寿命,必须给摄像机配装具有多种特殊性保护措施的外罩,称为防护罩。一般防护罩的功能是防尘、防雨雪风霜、自动调节温度等,根据需要,还可以附加防爆、防砸、防腐蚀、防冲击、防烟雾、防辐射等一些特殊的功能。另外为了防止阳光直射摄像机,还应加装防阳光直射的遮光罩。

本次设计中,根据应用场所分别选择枪机,球机,带夜视的,不带夜视的。

2. 立杆和室外机箱

立杆和室外机箱是前端监控点的物理支柱,室外环境的恶劣加上各种不可预测的天气情况,都要求室外立杆一定要具有良好的牢固度;室外机箱内需安装光端机和专用UPS监控电源等设备,并留有空间余量,所以室外机箱在保证防雨耐高温的同时,要具有很强的防撬性能。

3. 视频编码器(EC)

视频编码器采用MPEG2/MPEG4,H.264编码算法,支持D1分辨率;编码芯片采用支持高码流的ASIC或DSP芯片,视频编码器控制单元支持iSCSI协议,设备可以设置目标地址,支持时钟同步及远程管理功能。

在本系统设计中,采用EC2004-HF四路视频编码器,将多个楼层的监控摄像机汇聚到某一个楼层的弱电井,在弱电井内配置多台EC2004,前端接入摄像头,后端通过网线接入交换机。

4. 防雷设备

对于前端摄像机需要在室外进行安装的情况,增加设计安装防雷与接地系统。前端设备防雷与接地由以下几部分组成:

电源线入口处安装电源避雷器;

视频信号线入口安装信号避雷器;

通信控制线入口安装信号避雷器;

室外的前端设备的良好接地,接地电阻小于,高土壤电阻率地区可放宽至 <10Ω

5. 数据传输

在本次设计中,根据不同情况采用不同的传输模式,第一期兼容原系统建设中,通过IP网线将原有的系统接入;新建监控点建设中将各点编码后的数据通过光纤传输至监控中心。 

在中心采用一台S5500-28C-EI作为监控系统的核心交换机,5台S3100-26C作为接入交换机。

2.4.3. 系统管理平台部分

基于网络传输为基础的IP智能监控管理系统一般包括管理服务设备、存储管理服务设备、流媒体服务设备等各种物理硬件,根据需要还要配置相应的管理、监控、客户端等软件。

1. 系统管理平台建设需求分析

作为整个数字安全管理系统的中心和心脏,所有的前端数据都要传输到该处进行分析、处理、存储和转分发。该部分重点要考虑如下的功能需求:

实时图像点播:根据需要,可将前端的任一路或者任几路图像调用到显示设备进行直观显示,以了解现场实时情况进行分析处理。

轮切业务:根据定制的任务,进行自动切换显示,以对切换组内的前端区域进行宏观的观察控制。

远程控制:根据需要,对前端的一体化摄像机进行旋转、放缩等控制,通过前端的扬声设备对区域内的有关人员发送语音信息。

历史图像检索和回放:通过设备、通道号和时间段(可选),或通过报警信息,用户可以检索到已经录制的历史图像列表,并根据需要进行回放观看。可以对回放进行正常播放、快速播放、慢速播放、逐帧播放、暂停抓拍、录像下载等操作。可以控制图像的缩放显示、分屏显示和全屏显示。

报警管理:当系统启动布防时,一旦编码器检测到告警检测装置的开关量输入,系统将按设置的联动关系表启动相应的报警联动项目,比如声光报警装置、制定的分控/客户端提示、调出对应区域的视频图像等等,及时通知提醒职守人员,以方便职守人员进行快捷的观察分析和处理。

用户和权限管理:支持多级用户管理,每个用户有独立的用户名和密码。系统有一或多个系统管理员,对全网的用户有配置权限,可选择用户对设备的操作权限。不同级别的用户和管理员有不同的优先级别。

分控及客户端管理:分控及客户端的注册管理、用户权限等级管理、在线监控等。

良好的人机交互界面:视频监控客户端支持图形化的配置界面,所有的增删改查操作全部可以通过图形化的操作完成,所见即所得。系统对设备、监控关系、报警、巡检结果等提供报表功能,整网设备运行情况一幕了然。系统支持GIS功能,支持通过导航地图快速定位关注的区域,在电子地图上可以直观的显示摄像头的分布和各种详细信息。

合法性、一致性控制:接入系统的前端设备(编码器、解码器、客户端等)必须向中心管理服务器进行注册成功后才能联入系统进行工作,在注册过程中利用安全性机制(SIP协议/RFC3261)审计终端的合法性。前端设备同数据管理服务器之间有保活机制,以保证终端与视频管理服务器之间的通讯正常。管理服务器主动发起的配置轮询,以检查各前端设备的配置是否一致并自动按中心设备进行修改。

时间同步:OSD信息、历史图像时间索引、回放检索等都要求系统具有准确一致的时钟信息,监控网络中的大量服务器和终端设备都需要进行时钟同步。

设备监控和控制:对联入的设备进行在线监控和在线故障诊断报警,支持断线重建、自动连接等功能。

集中管理和批量配置:管理员在权限范围内,可以对所有终端进行集中的配置,同时支持批量配置管理,提供了电信级的可维护性,减轻了管理员的工作量。

日志管理:系统运行日志包括:设备启动、保活失败、配置不同步、故障和故障恢复等信息(设备ID、状态变化、时间)。系统操作日志包括:某用户的登入、退出、对系统配置的修改、控制等。告警日志包括:温度过高、视频丢失报警、遮挡报警、运动检测告警、外部告警、设备离线等。系统支持针对各种告警信息提供统计报表,基于报表,提供基于告警类型和告警时间等的查询功能。

存储管理:对系统内的存储设备进行统一管理,资源策略、监控存储设备工作状态、分配存储资源、制订存储计划、数据备份、数据安全性管理等功能。

6. 系统管理平台的构成

系统管理平台由以下单元构成:

视频管理服务器

视频监控客户端

视频管理服务器

是监控系统方案的管理中心和控制中心,授权用户可以在任意一台PC管理终端上完成全网的设备管理、资源调度、云台控制和硬解码输出控制,所有的控制指令由视频管理服务器集中处理和发送。通过视频管理服务器,可以很容易的实现对IP 智能监控系统方案的集中管理。其主要完成的功能为:

呼叫控制模块:用于进行呼叫控制和控制信令转发。

视频监控应用模块:用于进行用户管理和设备管理、实现各项控制功能、同步系统数据、实现NTP和DHCP功能。

报警策略管理:设定报警转发策略,将指定报警发送给制定的客户端,报警动作配置

WEB服务器:提供友好的WEB用户界面,管理直观、方便。

集中管理所有存储设备。

动态分配存储资源,实现视频数据按计划存储,实现在线存储资源分配。

支持客户端快速精确地检索视频数据(秒级),基于块数据的回放检索效率高。

提供了对多种方式存储数据的备份功能,支持手动和按计划备份,以文件方式备份存储,方便管理;

支持故障硬盘在线更换功能

支持前端多种策略报警联动存储

视频管理客户端

该软件可以通过视频管理服务器对视频解码器的输出进行灵活的控制,实现数字矩阵的功能。同时内置软件解码工具,支持多路视音频信号的软解码,使得用户可以直接在PC上对监控内容进行实时查看或历史回放查看。VC可以接收系统产生的各类报警并加以直观显示和联动,VC同时支持GIS地理信息系统方便用户操作控制。其主要完成的功能为:

视频监控业务:实时视频播放、点播回放、轮切控制、远程云台控制、图片抓拍、录像下载、GIS电子地图操作、矩阵控制、双向语音对讲。

系统管理:设备管理、用户管理、系统信息统计。

报警台:系统实时报警显示、历史信息、报警图像弹出、报警时抓拍、报警声音提示、报警短消息、报警邮件

7. 关键系统功能及其业务流程

(1)实时图像点播

如图所示,实时图像点播业务包括视频采集、传输交换、控制和显示四个主要环节



在管理员的控制下,将摄像头的图像实时在视频监控客户端和解码器后的电视上播放出来的业务流程如下。

控制环节:

首先管理员通过视频监控客户端的业务控制界面,选定编码器下的摄像机为视频源,视频管理客户端播放软件和解码器下的电视为显示设备。

业务申请提交之后,视频管理服务器通过SIP协议,向编码器下发指令:按照指定格式编码后将媒体流发送到某组播地址上;向视频管理客户端播放软件和解码器发送指令:在某组播地址上接收媒体流,视频监控客户端和解码器向交换机发送IGMP报文,加入组播组,交换机上即刻建立转发表,用于组播报文的转发。

视频采集:

摄像头采集图像后,以模拟视频信号方式传送给编码器;

编码器进行A/D(模拟到数字)转换,使用内部的专用芯片,编码压缩为高分辨率(D1格式,720×576)的视频媒体流数据,使用组播报文的形式发送到视频监控专网;

传输环节:

接收端的DC(解码器)只要使用IGMP申请加入对应的组播组,就可以接收到特定摄像头的组播媒体流数据,经过解码器的解码,然后进行D/A转换,就可以将现场图像实时的还原到监视器上。如果不使用DC,也可以通过VC(软终端),接收组播媒体流,通过计算机的软解码,直接显示到计算机的显示器上。

视频监控专网的交换机通过专用交换芯片,根据转发表对IP报文进行高性能转发,组播报文被复制到监控客户端和解码器所在的端口,而其它端口上没有这些组播报文。

显示环节:

解码器接受到流媒体组播报文,使用内部专用解码芯片将压缩过的视频信息解码,并进行D/A(数字到模拟)转换,将高效还原后的模拟图像实时送到监视器上显示出来。

视频监控客户端软件接收到流媒体组播报文后,调用高效的软件解码软件,利用CPU的多媒体处理功能将压缩后的视频信息解码,将模拟图像通过显卡的数字VGA接口输出到显示器上显示出来。在实时播放的过程中,支持图像的缩放、抓拍、录像,并可以将本地抓拍和录像上传到存储设备中。

以上是用组播流程完成多对一监控;如果使用单播,编码器支持同时发送多路(最多4路)单播媒体流;如果同时观看的用户超过编码器的上限,可以通过流媒体服务器进行转发。

(2)远程控制

视频监控客户端软件选择一个具有控制功能的摄像头后,可以进行远程控制。

首先系统会判断用户对摄像头是否有控制权限,如果没有,视频管理服务器会拒绝用户的控制请求,并在视频监控客户端上提示出来。

用户对摄像头控制有三种手段:通过串口接入PC的专业键盘,PC键盘快捷键(支持用户自定义),或者用鼠标的点击图形化的控制面板。

监控客户端将控制指令以PALCO-D的信令格式,以SIP协议的方式发送给视频管理服务器,如果云台使用PALCO-D协议,视频管理服务器直接将控制报文转发给编码器;如果云台使用非PALCO-D协议,视频管理服务器根据ini文件的描述,进行协议转换,再转发给编码器。编码器收到云台控制指令后,通过RS485总线将PALCO-D协议发送到云台。

全部用户对云台的控制权限分为9个等级,高优先级的用户可以抢占低优先级用户的控制权限;如果一个用户正在进行重要的操纵,可以选择锁定云台,此时高优先级客户也无法抢占,操纵完成后,用户释放云台,其他用户才可以进行操作和抢占。因为所有云台控制都是通过IP网络,经由视频管理服务器进行中转,因此可以实现全网的云台控制权限的统一分配;云台控制只有信令部分,数据量非常小,对视频管理服务器的性能没有影响。

 

(3)存储和备份

酒店监控等应用中,历史信息在取证、追溯时有着极其重要的作用,因此历史视频监控信息要被可靠的记录、存储和备份。

数据管理服务器上为每个视频源预留了独立的存储空间,当存储需求有变化时,存储空间可以通过图形化的界面被动态的调整。

当一个编码器设备经过安全认证,登陆到整个系统之后,数据管理服务器将编码器上每个摄像头对应的存储计划、预留的存储空间,以及安全令牌(写权限)通过视频管理服务器下发给编码器。编码器使用安全令牌连接到专业的IP-SAN上,经过安全验证后,被允许写入数据,后续编码器根据每个摄像头的存储计划,实时将压缩后的视频数据流写入IP-SAN中,在写数据的过程中使用标准的iSCSI协议。记录时,系统使用块文件、直接裸盘读写技术加快了图像检索、存储、回放的速度。

在数据记录的过程中编码器直接发送存储流到IP-SAN,避免了传统方案中使用流媒体服务器造成的性能上的瓶颈;IP-SAN对编码器直接进行安全性检查,也避免了安全方面的隐患;同时减小了维护的复杂度。同时系统也支持配置流媒体服务器,在方案上同前一代解决方案相兼容。

编码器在向IP-SAN中写入媒体流的同时,还记录了设备、通道、时间、报警同图像存储物理位置的对应关系,用于检索定位。数据管理服务器定期汇总IP-SAN上的检索信息,生成报表记录到DM服务器上的数据库中,提高检索查询的效率。

IP-SAN作为专业的存储设备,提供了稳定可靠的存储功能,大容量的吞吐能力,同时支持热插拔、堆叠、备份功能。用户可以通过实际需要确定历史信心需要保存的时间。对于需要长期保存的信息,可以备份到另外的存储设备上,也可以对信息进行抽帧存储,减小对存储设备容量的需要。

(4)历史图像的检索和回放

数据管理服务器上的数据库中记录了设备、通道、时间、报警同图像存储物理位置的对应关系,通过设备、通道号和时间段(可选),或通过报警信息,用户可以检索到已经录制的历史图像列表,双击即可播放。

在监控客户端上可以用图形化方式显示存储计划执行情况,正常录制、没有录制、无需录制等各种信息通过不同的颜色以柱状图的方式显示出来,对正常录制的部分双击即可播放。

选取到要回放的历史图像之后,通过iSCSI协议,从IP-SAN读取录制的历史图像,解码后播放出来。

在视频监控客户端上,可以对回放进行正常播放、快速播放、慢速播放、逐帧播放、暂停抓拍、录像下载等操作。可以控制图像的缩放显示,分屏显示和全屏显示。

历史图像除了可以在视频监控客户端上播放,也可以通过解码器在电视等显示设备上播放,当两者同时播放时,可以实现两者的视频同步。

图像回放的过程中,只对解码器和客户端授予“读”的权限,防止重要的录像信息被恶意或无意的篡改。

历史图像回放界面

 

(5)报警管理

当系统启动布防时,一旦编码器检测到告警检测装置的开关量输入,系统将有如下的报警联动:

图像输出到指定解码器或视频监控客户端;

系统按照预定义的方式使用视频和音频方式提醒管理员进行报警复核;

触发摄像头打到预制位;

触发存储和客户端上的录像、抓拍功能,同时记录报警的地址、级别、类型、时间,处警的组织、结果、时间等信息;

将告警信号通过凤凰箝位电路输出到告警终端,触发专业报警器的光报警;

GIS地图上以醒目的图标显示报警的摄像头位置;

将告警信息通过高级业务接口输出给网管或其他业务系统,触发更高层面的告警联动,例如三台合一系统、应急指挥调度系统、OA办公系统等;

(6)双向语音对讲

当触发编码器上凤凰箝位电路的对讲开关后,监控点可以通过连接在编码器音频输入口上的麦克风向监控中心讲话,反馈现场情况;此时的视频流和音频流做到唇音同步。

监控中心根据观察到的情况,通过连接在编码器上音频输出口的扩音器向监控现场喊话。

音频流的建立过程和视频流的建立过程相类似,都是在视频管理服务器管理下,通过SIP协议对编码器和视频监控客端进行控制。

系统支持双向对讲,编码器支持回声抵消功能,防止喇叭和麦克风之间产生声音回路,导致回授噪音。

IP智能监控系统语音对讲实现以下功能:

对讲台与前端点对点对讲,对讲的发起,可以是前端设备、或监控中心;

对讲台到前端,点对点单向语音;

中心监控点对指定范围的前端监控点语音广播;

提供对讲台排队机制;

启动对讲时,图像能够自动切换到预先设定的实时图像;

高权限的对讲台可以抢占低权限对讲台正在进行的对讲。

系统支持回声抑止;

对讲语音数据流独立于图像数据流,媒体封装格式为RTP。

友好的人机交互界面

视频监控客户端支持图形化的配置界面,所有的增删改查操作全部可以通过图形化的操作完成,所见即所得。

系统对设备、监控关系、报警、巡检结果等提供报表功能,整网设备运行情况一幕了然。

系统支持GIS功能,支持通过导航地图快速定位关注的区域,在电子地图上可以直观的显示摄像头的分布和各种详细信息,例如类型、状态、经纬度,通过对电子地图上的摄像头点击操作,在导航栏上输入摄像头信息,GIS地图会将摄像头居中显示,可以便捷的提供实时播放、点播回放。

GIS功能界面图

 

监控客户端支持双屏显示功能,配置管理界面和回放界面分别在两个显示器上,增加了信息量。媒体播放控件支持多分屏分割显示(4~25分屏)。

当终端运行异常时,根据级别的不通,系统以多种方式通过告警台提示管理员确认问题,改变了传统监控系统中要靠人去一一确认设备是否正常运行,大大减轻了系统维护管理的工作量。

系统支持批量配置,当终端和摄像头数目超过一定数量级别时,批量配置是系统中必不可少的功能,否则整个监控网络的维护根本无从谈起。

配置界面

 

(7)用户与权限管理

本监控系统的核心管理设备为视频管理服务器,在其之上可进行用户权限管理,可分成超级用户一般用户帐号、普通用户等级别。视频管理服务器数据库的超级用户帐号密码由服务器的系统管理员设定,数据库的一般用户帐号和权限由数据库超级用户(数据库管理员)设定。系统维护人员可随时方便地对数据进行备份和恢复。

视频管理服务器可对用户权限进行分级、分域、分设备的管理,可以有效地控制、屏蔽非法用户的连接,保证了数据的安全性,同时在实现了合理的管理权限的划分的基础上减少了维护的工作量

以上只是对权限分配做了一个整体的简单描述,对于更为具体的相关权限的详细描述如下:

系统支持域管理

最多7层,呈树型组网,对应某一级行政区划

各种设备都归属在一个域下

每个域可以有自己的管理员和操作员

用户管理

支持多级用户管理,每个用户有用户名和密码,通过MD5加密的方式到服务器上进行验证,保证可靠性

整个系统有一或多个系统管理员,对全网的用户有配置权限,可选的对设备有操作权限。

域管理员用户,可以对域内的编解码器、图像采集和显示设备进行增、删、改、查,为云台设置预置位,新增域和子域的新用户

普通用户对摄像头和显示器的权限包括:查看配置信息,看实时监控,远遥,看回放,下载录像,配置轮切计划;管理员可以指定某用户对于某摄像头或显示器具有某种权限;为配置方便,也可以指定某用户对于某域内的所有摄像头或显示器具有某种权限(权限的批量配置)。

当某用户需要临时访问非管辖区域内的历史或实时图像时,可以向管理员申请授权。

云台控制冲突

用户分为9个云台控制的优先级

同级或高级用户可以抢夺控制权

用户获得控制权后,可以选择锁定。锁定后不能再被抢夺。

日志管理

整个系统的日志管理分为三类:系统运行日志、操作日志和告警日志

系统运行日志包括:设备启动、保活失败、配置不同步、故障和故障恢复等信息(设备ID、状态变化、时间)

系统操作日志包括:某用户的登入、退出、对系统配置的修改、控制等

告警日志包括:温度过高、视频丢失报警、遮挡报警、运动检测告警、外部告警、设备离线等。

系统支持针对各种告警信息提供统计报表,基于报表,提供基于告警类型和告警时间等的查询功能。

(8)轮切业务

轮切业务基于实时监控,是对多路实况进行轮流查看的业务。

轮切业务实现过程:

首先通过视频监控客户端配置轮切计划,确定被显示的摄像头列表,以及每个摄像头的图像在播放中需要逗留的时间。确定了轮切方案,在执行之前还需要为方案选择一个显示设备。

轮切方案被提交到视频管理服务器之后,服务器通过SIP信令周期性的控制编解码器,从而在监视设备上周期性的循环显示各个摄像头的实时监控信息。

视频监控客户端上,可以实现多画面的显示,多个画面之间的操作相互独立,比如:可以显示多路实况,可以显示多路回放,也可以部分画面显示实况、部分画面显示回放。视频监控客户端根据所配置的计算机性能的不同,可以支持4画面、6画面、9画面、15画面等显示方式,高端图形工作站最多支持25分屏。

视频监控客户端的业务控制与媒体播放

 

(9)终端合法性,状态一致性检查

编解码器和监控客户端启动后,必须向视频管理服务器发起注册,在注册过程中利用SIP协议(RFC3261)的安全性机制审计终端的合法性。只有完成了注册过程,终端才能接入到视频监控专网,开展业务。

在运行的过程中,如果终端实时检测到异常,将信息保存到本地,上报到视频管理服务器,在客户端管理界面的告警台上提示给系统管理员。当视频管理服务器管理的域内的服务器类设备(例如数据管理服务器、流媒体服务器、IP-SAN,也包括视频管理服务器自身)出现故障时,视频管理服务器也会及时将告警信息推送到客户端上,并以稍高级别的告警提示管理员。

终端注册成功后,需要周期性的向视频管理服务器发送保活。保活是为了保证终端与视频管理服务器之间的通讯正常,采用的一种心跳检测机制。各种服务器同数据管理服务器之间也有同样的保活机制。一旦设备检测到心跳断开,说明对端设备出现了问题,此时除了发送告警信息,系统将同时按照预先设定的方案采取措施,例如将业务切换到备份设备上,在数据管理服务器和视频管理服务器进行业务切换的过程中,所有已经建立的实时监控业务和历史回放业务都不受影响。保活的默认周期是10s(推荐),有时为了提高系统在故障时的恢复速度,也可以将周期适当缩短。

视频管理服务器主动发起的配置轮询,是为了保证服务器上记录的配置与下发到编解码器上实际的配置一致。配置轮询的时候,如果出现配置不一致,将以视频管理服务器记录的配置为准,自动启动配置下发,强制终端更新的配置。同时视频管理服务器将记录日志,并启动告警提示。

(10)时间同步

OSD信息、历史图像时间索引、回放检索等都要求系统具有准确一致的时钟信息,监控网络中的大量服务器和终端设备都需要进行时钟同步,手工一一同步在精度上和工作量上都不能满足需要,因此一个健壮可靠的监控系统必须提供自动的时钟同步机制。

视频监控系统支持域内全部设备均使用标准NTP服务器作为时间同步来源的配置,也支持域内设备根据视频管理服务器的系统时间进行域内设备进行自动时间同步。

(11)集中管理和批量配置

当系统内存在大量终端设备时,管理员不可能分别登陆到每个设备上配置各种参数。H3C视频监控系统提供了集中的配置管理功能,管理员在权限范围内,可以对所有终端进行集中的配置,同时支持批量配置管理,提供了电信级的可维护性,减轻了管理员的工作量。

管理平台服务器可以接入核心交换机的千兆网口,与存储设备一起放置在网络中心机房内,管理部门可以远程登录管理,各用户可以通过网络实时登录系统。

4.4. 车辆出入管理系统

8. 系统设计

该系统的核心:卡口自动车牌车标识别测速系统,自动采集车辆信息并完成车牌字符和颜色的自动识别功能,并通过管理软件实现相应的功能模块。

卡口监控车牌识别系统采用基于IP的网络接口或其它数据接口方式,易于与其它设备接口。系统控制中心管理计算机与各监控点计算机的连接采用星形拓扑结构,每个监控点均可与控制中心直接连接,传输车辆通行数据和监控图像数据。网络互联采用光纤或DDN∕ISDN∕PSDN∕LAN∕ATM∕Internet/无线方式等通信方式。

整个系统的设计目标是利用先进的计算机视觉技术,对监控路面过往的每一辆机动车的前部特征图像和全景图像进行连续全天候实时记录,计算机根据所拍摄的图像进行车牌自动识别并可对嫌疑车设防自动报警。

本车牌识别系统与视频监控系统可以做到完全融合,能够将前端各个出入口的监控点图像进行分析,实现过程直接在后端,不需要重新布线,不需要施工。可以实现管理集中,控制查看分散。

将卡口所有的监控点连入到监控网络,采用高清视频编码器编码,在监控中心或保卫部门配置一台电脑,安装一套车辆识别软件即可。

 

9. 系统总体结构

本系统是一种完全基于视频的智能化车牌识别系统,可对视频图像中静止或行驶的一个或多个车辆的车牌进行检测和识别,对车辆和车牌的检测不需要添加外部触发装置。该系统操作方便,识别率高,识别速度快,对不同的光照条件、图像质量和摄像角度都有相当的适应性。另外,该系统还拥有完善的配置和查询管理功能以及方便的升级和功能扩展接口,为用户的实际应用提供了便利。

本系统使用.NET技术,采用高度模块化的设计,将车牌识别过程的各个环节各自作为一个独立的模块,系统的系统框架如图所示:

系统首先通过视频输入管理模块得到需要的最佳质量的视频图像,对获取的每一帧,利用最新的高效视频检测技术对在2-3个车道上行驶的车辆的车牌进行定位和跟踪,从中自动提取车牌图像,然后经过车牌精定位、切分和识别模块准确地自动分割和识别字符,得到车牌的全部字符信息以及颜色和类别信息。通过查询征稽数据库得到车辆的征稽信息,显示欠费车辆的相关信息,同时现场报警。系统还采用独特的在线学习新技术,对各识别模块进行动态的调整,使得车牌识别系统能够自动适应各种应用环境变化,从而大幅提高识别系统的鲁棒性。

10. 系统功能设计

卡口检查站交通电视监控

安装点的摄像头使用视频编码器通过园区网络传送至监控中心的视频监控系统中,同时在检查点布置一台控制主机,安装监控管理平台,实现对卡口以及停车场入口的实时监控,同时卡口的视频录像也实时存储到监控中心的存储设备中。

黑名单车辆实时检测、报警

监测设备自动识别所有通过监测车道车辆的车牌号码、车标及其他信息,将车牌号码、车型等与黑名单数据库按优先级比对,比对成功后按报警级别向授权用户报警。

车标自动识别功能

提供对指定车标的通过车辆抓拍、识别功能,识别结果实时提供其他系统。 

速度监测

对通过公路监测断面所有车辆进行速度监测,实时检测过往车辆行驶速度。

道路监测断面全景、特写车道视频录像

监测设备的视频(全景、特写车道)本地数字化,实时滚动存储至少150小时。

道路流量/流速检测、高速公路流量监测

为网络内授权用户提供交通流量、流速等统计信息。

日志记录

系统各级设备皆具备日志记录功能,管理员可按用户需求定制不同内容的日志,并通过电子邮件自动发送。

分类查询、统计、打印

所有实时监测以及处理后信息能分类查询、统计、打印。应用软件具备模糊查询功能。

通信信道

系统采用各种(一般是光纤)通信方式。本地存储设备考虑到人工提取存储数据的方便、灵活,存储设备应使用操作方便、可热插拔的移动硬盘或笔记本计算机。

远程维护和管理

具备设备监测功能,自动生成状态报告,定期发往指定用户。应至少包括如下项目的状态:电源,计算机系统,摄像机,检测设备,硬盘录像机,应用软件。可对前端设备的简单故障进行远程维护和报警。监测点可以进行远程维护,包括软件配置参数,系统和各个设备配置和状态。系统时钟同步功能。

系统安全

监测点设备提供防盗措施,系统提供防病毒功能,各级网络之间数据交流,建立网络服务和安全机制、防止黑客入侵等功能。

11. 系统技术指标

环境条件

1. 环境温度:-20℃~+60

2. 环境湿度:5%95%

3. 使用环境:室内外全天候条件

4.标准距离摄像机与触发点的车辆之间的距离为5

车牌识别指标

1.车辆检测率:≥99%,全牌识别率:≥96%,后六位识别率:≥99%

2.车速范围:0-150公里/小时

3.单车识别时间:< 80ms

4.存储图像格式:JPEG,存储图片最低象素:384*288

5.平均无故障时间:> 12个月,有故障自动恢复时间:< 1分钟

6.车牌牌照在视频图像中的尺寸占整个图像宽度的1/51/3

7.测速误差:≤5%

8.车牌倾斜角度:≤±30

 

4.5. 系统存储部分

XXXX大酒店监控系统,一期建设建成1个监控中心,多个分控点。总计建设270个监控接入点。所以对于XXXX大酒店监控系统的存储平台具体要求如下

(1)要求监控控制平台的数据库在纪录图像信息的同时,还应纪录与图像信息相关的检索信息,入设备、通道、时间、报警信息等。平台应能存储音频信息并保持10天;对于需要长期保存的信息可配置专用存储设备备份。

(2)图像存储设备满足采用H.264或MPEG-4/2视频编码格式进行图像存储。跟进需要扩展G.711/ G.723 /G.729等音频编解码器标准实现音频同步存储。在AVS系列标准成熟并且证明适用于监控领域后,宜优先考虑采用AVS标准。

(3)具有足够的扩展空间,存储的图像数据应保证FULL D1(720×576)以上的图像分辨率;

(4)监控图像存储时间不小于15天,经过复合后的报警图像应按相应的报警处置规范做长期的保存。

(5)应考虑对录像文件的采取防篡改或完整性检查措施;支持按图像来源、纪录时间、报警事件类别等多种方式对存储的图像数据进行检索,支持多用户同时并发访问同一数据源;

(6)支持图像纪录、网络回放的双工、双码流模式。

(7)设备管理:要求平台内的存储系统,在同一的管理平台下,实现对所有存储软硬件资源的配置及查询,系统性能的实时监视,系统设备的故障报警监视、故障诊断、及定位分析、报警日志的创建及维护等。

(8)安全认证:验证用户的访问权限和优先级,监测和纪录用户进行的访问和操作等;验证接入设备的合法性,并注册合法设备。

1. 存储网络选择

存储技术的发展经历了SCSI、FC、IP三代技术过程:

SCSI磁盘阵列为第一代存储设备,基于SCSI协议,是基于SCSI总线架构的存储设备,设备的容量一般为几TB级。目前仍在少量双机应用系统中采用。

FC磁盘阵列为第二代存储设备,基于FC令牌环协议,是基于FC环路架构的存储设备,设备的容量一般为数十TB级。目前仍有广泛使用。

IP存储为第三代存储设备,基于ISCSI协议,主要是基于IP全交换架构的存储设备,设备的容量可接近无限扩容,达到数千TB级(PB级)。目前在大型数据中心中为主要有广泛使用。

IP SAN是基于高速以太网的SAN架构,通过iSCSI(Internet SCSI,Internet小型计算机系统接口)协议来实现存储数据在服务器和存储设备之间高速传输。它继承了IP网络开放、高性能、高可靠性、易管理、可扩展性强、自适应性强的优点,实现存储网络与应用网络的无缝连接,并提供了优良的远程数据复制和容灾特性。 

IP SAN 可以根据实际具体的监控录像存储保存期限和保密级别的要求,完成影像资料在不同的磁盘系统、磁带库、光盘等存储设备之间的实现多级归档与数据备份保护。

12. 存储设备选型分析

XXXX大酒店存储系统建设中,必须考虑影像数据的保密性和对网络带宽的影像,监控录像数字化采用分布式存储集中管理的网络存储技术已经成为主流应用模式。IP智能监控存储系统,采用专业标准的存储设备,进行分布式存储集中管理数据存储模式,有如下优点:

监控画质清晰

由于采用标准、专业海量存储设备存储监控录像,不受到无须受到像DVR或DVS模式因为操作系统限制,最大2T容量限制。以及CPU处理能力的限制只能存储低码流CIF格式,采用专业存储设备,可根据实际业务需要任意设定图像存储格式,提高画质质量,实现高清晰的监控。

可选D1、MPEG4、MPEG2(DVD)、H.264等多种不同清晰度监控画质,音频上可扩展支持必要的扩展G.711/ G..723 /G.729标准,确保实时监控画质、音质。还原历史监控影像完全相同,并可支持高清,达到清清楚楚监控、事后取证准确、精准支撑决策的监控效果,真正实现监控系统部署的意义。

存储系统的性能

由于存储系统不仅要支持多路摄像头的监控数据为并发实时顺序写入,同时要满足级监控中心对同一数据源的多路并发随机读取,对于存储系统带宽、持续写性能、控制器处理性能要求很高。存储设备的控制性能、持续读写带宽必须需随着摄像头数量的增加和存储容量的扩展而同步提升,以满足监控系统的带宽、性能需要,要求磁盘与控制器必须交换式连接方式,存储设备不可有内部带宽、性能的瓶颈。

业务可靠性高,监控数据安全性高

事后取证的保障

采用标准、专业存储设备集中存储监控录像,保障监控数据安全、系统安全。

存储容量不受限制,存储系统采用分布式存储集中管理设计,配合虚拟化技术无限扩展能力,监控录像保存周期和保存数量可随需延长。

存储系统采用企业级SATA硬盘,其安全性远高于IDE硬盘,可保障监控数据的安全性,事后监控、调阅、调查有充分保障。

硬盘可实现RAID保护,并采用热备盘进行二级保护,进一步保障监控数据的安全性。

录像影像资料的检索速度-业务效率和快捷

快速精准的检索

采用数据块指针纪录技术,实现历史影像资料的基于指针数据库的检索,检索效率相对基于影像基于文件检索速度从数十分钟提高秒级,同时指针数据库考虑考虑对录像文件的采取防篡改或完整性检查措施;支持按图像来源、纪录时间、报警事件类别等多种方式对存储的图像数据进行检索,支持多用户同时并发访问同一数据源。

成熟标准的技术,开放兼容互通性

存储系统多采用标准化协议,系统兼容性风险较低。

系统的不同应用可能基于不同的平台(WIN2000 \SUN SOLARIS\IBM AIX\HP-UX\LINUX等等),可能是一个异构环境,因此系统必须具备良好的开放性和互连性,才能确保存储备份系统基础设施功能的充分发挥。

系统方便和NAS、DAS、SAN等各种结构的存储网络集成,并方便和以太网存储系统整合。

可管理性

 在统一监控模式下,可统一监控整个监控系统中的数十台,乃至数百台的存储设备的运行状态,实现集中管理。另外,由于采用专业存储设备,降低了分布式DVR带来的维护工作量大、数据丢失频繁等问题,降低了日常维护工作量。

经济性和投资保护

方案设计应具有前瞻性,在可预见的未来的设备改造中,要保证现有系统能最大程度的被继续使用,使目前的投资未来也能发挥较大的作用;

方案设计能以较低的成本、较少的人员投入来维持系统运行,提供高效能和高效益。尽可能保留并延长已有系统的投资,减少以往在资本与技术投入方面的浪费。

数据管理性

系统设备必须采用智能化、可管理的设备,最终能够实现监控、监测整个备份系统的运行状况。通过先进的管理策略、管理工具提高设备的运行性能、可靠性,从而简化维护工作。

易用性

系统能够方便地进行系统检测、监控、日常维护等方面的管理,具有良好的客户界面。

综合以上对XXXX大酒店监控系统的业务需求,IP智能监控系统的要求,监控平台的存储系统的设备选型为:H3C 基于分布式存储集中管理控制架构的VX 1500智能海量IP SAN/NAS存储设备。

13. 存储系统容量计算

XXXX大酒店监控系统中,监控录像数据的容量需求较大,总计一期建设270个监控接入点,要求采用FULL D1(720*576)以上的图像分辨率格式进行存储,2048Kbit/s实时码率,保存15天。

单个摄像机1天存储量:21.3 GB

其中10个监控点按照D1存储,所需要的容量为:

10*21.3*15=3.1T

260个摄像机 15 天 512 Kbps码流存储数据量:

260*(21.3/4)*15=20.28T

由于酒店安防系统对数据存储的可靠性要求严格,因此本系统的设计方案中采用RAID5数据保护加全局硬盘热备,另外考虑到监控系统的编码器写入过程当中8%的峰值漂移及整体存储空间10%的冗余,配置一定的冗余量作为数据备份以及报警录像存储。因此最终所需要的存储空间为:32TB

本次项目中采用 H3C VX1500存储设备,单台满配16块1000G企业级SATA二代硬盘因此此次需要配置1台VX1500,1台DE1116,总共配置办32块1000GB 企业级SATAII硬盘

14. 存储系统方案说明

前端采集的实时视频监控图像,通过支持iSCSI协议的视频编解码器将监控图像直接打包成iSCSI数据包采用裸数据块的方式直接写入IP SAN盘阵。通过在部署在市局指挥中心的数据管理服务器进行视频数据的管理,实施监控数据写入过程,可完成视频数据实施存储和存储系统的动态监控。采用数据块指针纪录技术,实现历史影像资料的基于指针数据库的检索,检索效率相对基于影像基于文件检索速度从数十分钟提高秒级,同时指针数据库考虑对录像文件的采取防篡改或完整性检查措施;支持按图像来源、纪录时间、报警事件类别等多种方式对存储的图像数据进行检索,支持多用户同时并发访问同一数据源。

IP SAN中存储的数据同时客户端的随时下载的,读取,当用户需要查看IPSAN中已保存的视频监控数据时,可通过授权的视频监控客户端直接点播相应位置的视频监控数据进行历史图像的查看。

通过在监控指挥中心管理服务器进行视频数据的管理,视频监控客户端通过与系统管理服务器结合,根据适合的策略,可以通过设在分控中心的监控终端(或电视墙)实时监控(或者点播)下辖监控点的视频数据。

通过IP SAN上的可选的软件模块进一步完成各个监控点视频数据到总控中心的集中存储和数据备份,对于解决酒店内部的内防内控问题打下基础。也有利于实现系统管理的多级多域问题,平滑扩展。

存储设备与网络核心交换机一同放置在网络机房中,进行集中管理,保卫部门可以通过网络远程管理数据,同时各分控部门可实时调阅本权限内的视频录像。

4.6. 监控中心设计

1. 中心控制室

 

中心控制室设在综合楼,包括电视墙和控制台两个部分。  

中心屏显系统:中间由2块单屏尺寸为42吋的液晶显示屏组成,顶部为一块高为50cm长为500cm的双基色LED显示屏,可滚动显示有关信息。

两侧显示屏分别由12块(2×621彩色监视器拼接组成

控制台:操作台设置2台工控式计算机,配4台22吋工业液晶显示器并配置4台电脑椅。

控制系统:配置一台朗柯模拟控制键盘,接入到工控式计算机中。

中心控制是铺设防静电地板,并在窗户等处配置浅灰色窗帘

15. 分控室

分控室:在酒店出库控制口、各楼层等地各设置一个分控室,其权限只能查看本区域的监控图像。

每个分控室统一安装1台PC式工控计算机,台19吋液晶显示器

16. 显示系统

视频显示部分完成视频信号的解码及输出显示,这部分主要包括H3C公司的DC系列监控媒体终端,还包括电视墙、多媒体大屏幕、调音台、功放等模拟视音频设备。

DC系列监控媒体终端同时具备视音频解码、输出和网络接入功能,可以把来自前端EC监控媒体终端传送过来的组播IP 数据包进行数字化解码,还原成模拟视音频信号后输入到电视墙、大屏幕、调音台、功放等模拟视音频设备。

此外,iVS方案还提供客户端软件VC。该软件可以通过VM视频管理服务器对DC系列监控媒体终端的输出进行灵活的控制,实现数字矩阵的功能。同时内置软件解码工具,支持多路视音频信号的软解码,使得用户可以直接在PC上对监控内容进行实时查看或历史回放查看。VC可以接收系统产生的各类报警并加以直观显示和联动,VC同时支持GIS地理信息系统方便用户操作控制。

监控图像的显示有两种方式:

第一种是用PC机的软件解码来观看图像;

第二种方式为通过硬件解码器的方式将IP数字图像解码成模拟信号上电视墙。

视频解码器主要功能是从网络上获取视音频数据流,将数字信号转换还原为模拟信号,输出到监视器、电视墙、多媒体大屏幕、调音台、功放等模拟视音频设备。

视频解码器作为后端各级监控中心的视频、音频信号输出设备,需要具备以下功能:自适应各种视音频编码方式;支持高码流视频解码能力;设备稳定可靠适合长时间运行;易管理,配置简单。

在监控中心配置5台DC2004-FF四路解码器,对前端图像解码。

第三章. 酒店视讯系统

由于视频会议采用的是通过酒店网络进行图像、语音等数据的传输,可以很大的节省员工因为要集中参加会议而发生的相关费用,而且还能大大增加开会的次数和效率,方便客户与其他远端人员及时的沟通。

H3C视讯会议解决方案支持SIP和H.323双协议,其产品组合具有H.264、H.239双流、动态4CIF高清图像、VGA输入输出等方面视讯领域的最新特性,并且提供双机热备,负载均衡,跨网段会议等独创功能,最大程度上能够满足目前行业市场的组网需求。

H3C多媒体会议服务器支持纯语音终端接入,因此借助于语音网关就可以实现视频会议与传统PSTN网络的互通,使用户的固定电话或者手机也可以加入到视频会议当中来。

酒店视频会议解决方案的系统结构如下:

 

H3C视讯会议解决方案包括多点控制单元(简称“MCU”)为核心、视讯终端、高清终端、桌面视讯终端软件等终端侧部件;通过MCU与终端协同工作,用户可以进行面对面的双向音视频沟通及资料分享,直接提升单位形象及竞争力。

MCU与终端侧设备相互配合可以满足园区用户各种网络部署及会议功能操作需要,具体功能特性体现为高可靠性,易用性,实用性,易维护性。高可靠性体现在采用了业内首创双机热备技术易用性体现在简单易用的WEB 管理方式和支持多种会议控制模式;实用性体现在强大的双视频流传输技术、栩栩如生的多画面显示和灵活多变的全中文字幕,支持以级联方式海量扩容,先进的组播接收;易维护性体现在系统支持批量配置和强大的会议保障功能

第四章. WLAN系统

1. 无线局域网概述

无线局域网(WLAN)技术于20世纪90年代逐步成熟并投入商用,既可以作传统有线网络的延伸,在某些环境也可以替代传统的有线网络。对比传统的有线传输解决方案,使用WLAN网络实现数据传输具有以下显著特点:

简易性:WLAN网络传输系统的安装快速简单,可极大的减少敷设管道及布线等繁琐工作;

灵活性:无线技术使得WLAN设备可以灵活的进行安装并调整位置,使无线网络达到有线网络不易覆盖的区域;

综合成本较低:一方面WLAN网络减少了布线的费用,另一方面在需要频繁移动和变化的动态环境中,无线局域网技术可以更好地保护已有投资。同时,由于WLAN技术本身就是面向数据通信领域的IP传输技术,因此可直接通过百兆自适应网口和企业内部Intranet相连,从体系结构上节省了协议转换器等相关设备;

扩展能力强:WLAN网络系统支持多种拓扑结构及平滑扩容,可以十分容易地从小容量传输系统平滑扩展为中等容量传输系统;

随着WLAN技术的快速发展和不断成熟,目前在国内外已经具有较多的政府机构使用WLAN技术布置无线城域网,进行承载部分政府业务,诸如:电子政备、消防、公安信息等等,如:美国费城、荷兰阿姆斯特丹等。 

无线局域网技术经过十几年的发展,已经历了三代技术及产品的发展。

第一代无线局域网主要是采用Fat AP,每一台AP都要单独进行配置,费时、费力、费成本;

第二代无线局域网融入无线网关功能但还是不能集中进行管理和配置,其管理性安全以及对有线网络的依赖成为了第一代和第二代WLAN产品发展的瓶颈,由于这一代技术的AP储存了大量的网络和安全的配置,包括加密的钥匙,Radius  client的安全密码 (secret) 等,而AP又是分散在建筑物中的各个位置,一旦AP的配置被盗取读出并修改,其无线网络系统就失去了安全性。另外由于AC或无线网关的硬件多数是基于Pentium架构的,所以当用户接入数量 (IP sessions)增多时,无线网的性能会急剧下降,时常会发生掉线或死机情况。在这样的环境下,基于无线交换机技术的第三代WLAN产品应运而生。

第三代无线局域网采用无线交换机和FIT AP的架构,对传统WLAN设备的功能做了重新划分,将密集型的无线网络和安全处理功能转移到集中的 WLAN 交换机中实现,同时加入了许多重要新功能,诸如无线网管、AP间自适应、无线安管、RF监测、无缝漫游以及Qos。,使得无线局域网的网络性能、网络管理和安全管理能力得以大幅提高。

表1 FAT AP与FIT AP两种组网方案对比

 

 

2. XXXX大酒店无线网项目建设需求

客户的要求包括以下几点:

1.实现对公共开放区域以及总统套房的有效覆盖

酒店24~25层复式总统套房进行进行有效的WLAN覆盖;

需要对1-6层 大堂、会议室、餐厅等开放区域进行有效的WLAN覆盖。

2.需要认证后用户才能接入

由于WLAN实现的时基于空间的覆盖,为了阻止非授权用户访问无线网络,以及防止对无线局域网数据流的非法侦听,无线网络要具有相应的安全手段,主要包括:物理地址(MAC)过滤、服务区标识符(SSID)匹配、AES加密,双向认证等方式。

3. WLAN建设原则

结合WLAN的实际应用和发展要求,公众无线局域网(PWLAN)网络系统设计,主要遵循以下系统总体原则:

实用性原则:以现行需求为基础,充分考虑发展的需要来确定系统规模。

安全性原则:PWLAN运营网络,即是一个开放网络,同时作为运营网络对用户的安全以及网络的安全要求较高。

可靠性原则:系统设计能有效的避免单点失败,在设备的选择和关键设备的互联时,应提供充分的冗余备份,一方面最大限度地减少故障的可能性,另一方面要保证网络能在最短时间内修复。

成熟和先进性原则:由于WLAN应用于运营网络仍然属于新新技术,需要及时将新技术引用进来,更好的开展业务,同时也要求保证网络与业务的可靠性。

规范性原则:系统设计所采用的技术和设备应符合WLAN国际标准、国家标准和联通WLAN企业标准,为系统的扩展升级、与其他系统的互联提供良好的基础。

开放性和标准化原则:在设计时,要求提供开放性好、标准化程度高的技术方案;设备的各种接口满足开放和标准化原则。

可扩充和扩展化原则:所有系统设备不但满足当前需要,并在扩充模块后满足可预见将来需求,如带宽和设备的扩展,应用的扩展和办公地点的扩展等。保证建设完成后的系统在向新的技术升级时,能保护现有的投资。

可管理性原则:整个系统的设备应易于管理,易于维护,操作简单,易学,易用,便于进行系统配置,在设备、安全性、数据流量、性能等方面得到很好的监视和控制,并可以进行远程管理和故障诊断。

4. WLAN建设方案

根据目前XXXX大酒店的用户规模和网络状况,拟采用无线控制器(AC)+瘦AP(Fit AP)的组网方式,瘦AP实现无线信号的处理,而用户管理、加密、漫游、AP管理等功能全部集中到AC进行,这样可以简化整个网络的管理,提高设备的工作效率。用户认证系统采用H3C开发的综合加入管理系统(Comprehensive Access Management System,CAMS)来完成;AP的供电采用以太网供电(Power Over Ethernet,PoE),通过以太网线来汇聚AP的流量,同时为AP提供电源,这样可以简化布线,同时减少故障点,提高网络的可靠性。

以下是各楼层的AP部署设计:

1F

大堂、办公室:3个AP

2F

餐厅、会议室:7个AP

3F

会议室、餐厅:6个AP

4F

娱乐室、会议室:6个AP

5F

休息厅:1个AP

6F

按摩室:1个AP

24F

部长套房:4个AP

25F

总统套房:2个AP

共计

30个AP

 

4.1. XXXX大酒店无线网络基础方案

 

WLAN组网示意图

AP在启动后会自动通过PPPOE拨号方式获取IP地址,并自动搜寻可关联的无线控制器,在和无线控制器建立CAPWAP隧道之后会自动从无线控制器下载配置文件和更新软件版本。

FIT AP组网最大的优点在于AP本身零配置,AP上电后会自动从无线控制器下载软件版本和配置文件,同时无线控制器会自动调节AP的工作信道以及发射功率。另外,通过无线控制器的RF扫描探测热点地区Rouge AP,可以及时排除其他AP存在的干扰,保障AP的稳定运行。在网络管理方面,网管可以只通过管理无线控制器设备就可以达到控制AP的效果,极大的减少了无线网络后期维护和管理的工作量。

4.2. 用户接入认证方案

认证方案采取三重保障,第一层保障是MAC地址认证,第二层保障是服务区标识符 ( SSID ) 匹配,第二层保障是802.1x认证

MAC地址认证  每个无线客户端网卡都由唯一的48位物理地址(MAC),可在AP中或者AC重维护一组允许访问的MAC地址列表,如果用户的MAC地址是合法的,AP才会对用户的流量进行进一步的处理,如果用户的MAC地址是非法的,那么AP就会丢弃用户的流量,这样就可以实现物理地址过滤,确保非法用户不能访问无线网络

服务区标识符 ( SSID ) 匹配 无线客户端必需设置与无线访问点AP相同的SSID ,才能访问AP;如果出示的SSID与AP的SSID不同,那么AP将拒绝通过本服务区上网。利用SSID设置,可以很好地进行用户群体分组,避免任意漫游带来的安全和访问性能的问题。可以通过设置隐藏接入点(AP)及SSID区域的划分和权限控制来达到保密的目的,因此可以认为SSID是一个简单的口令,通过提供口令认证机制,实现一定的安全。

IEEE802.1x 认证 是一种基于端口的访问控制技术,是用于无线局域网的一种增强网络安全解决方案。当无线工作站STA与无线访问点AP关联后,是否可以使用AP的服务要取决于802.1x的认证结果。如果认证通过,则AP为STA打开这个逻辑端口,否则不允许用户连接网络。   

CAMS集成了事前认证、事中监控、事后审计和业务管理等多种功能,是一体的多业务安全接入管理平台

CAMS可以与H3C的无线控制器、FAT AP、交换机、路由器等网络设备共同组网,实现对无线接入、VPN接入以及IP电话接入的管理、认证、授权和计费。

 CAMS作为企业网的用户管理中心,在基本的AAA功能之上, 提供了多业务融合的管理、维护和安全控制平台

4.3. 网络管理方案

为了保证网络的可管理性,H3C使用IMC统一网管系统应能对无线网络中的AP、AC等设备作到统一管理,包括设备管理、拓扑管理、告警管理、性能管理。可以把各厂家的专用网管集成到通用的网络管理平台,从而实现统一化的管理。

同时IMC通过SNMP以及标准的MIB库支持对第三方网络设备的管理,可以识别3Com交换机及路由器设备、Cisco交换机和路由器设备、马可尼交换机及路由器设备,以及MS WindowsSun SolarisHP UXIBM AIXRed Hat Linux等终端IP设备,提供第三方设备的系统信息、接口信息等基本信息的浏览,提供第三方设备的网元管理系统的集成能力;对于华为设备可以提供配置管理、故障、设备网元管理等功能。对于第三方设备的支持,需要设备支持RFC1213等基本MIB并提供SysOID及厂商图标。

H3C全系列的WLAN产品包括FAT AP和FIT AP均支持SNMP V1/V2/V3,支持标准的MIB库,支持通用的网络管理平台;可以集成到标准的第三方软件平台,如HP的Openview。

4.4. H3C方案的优点

AP零配置

无线控制器+FIT AP控制架构对设备的功能进行了重新划分,其中无线控制器负责无线网络的接入控制,转发和统计、AP的配置监控、漫游管理、AP的网管代理、安全控制;FIT AP负责802.11报文的加解密、802.11的PHY功能、接受无线控制器的管理、RF空口的统计等简单功能。H3C公司在支持这种新的网络架构时将一些新的智能功能集成进FIT AP和无线控制器中,以便于给用户呈现统一的网络管理接口:

1) FIT AP的配置保存在无线控制器中,FIT AP启动时会自动从无线控制器下载合适的设备配置信息

2) FIT AP需要能够自动获取IP地址,同时FIT AP需要能够自动发现可接入的无线控制器,并对无线控制器和FIT AP之间的网络拓扑不敏感

3) 无线控制器支持FIT AP的配置代理和查询代理,能够将用户对FIT AP的配置顺利传达到指定的FIT AP设备,同时可以实时察看FIT AP的状态和统计信息

4) 无线控制器保存FIT AP的最新软件,并负责FIT AP软件的自动更新

 

H3C公司通过这一全新的网络管理接口可以很好的解决目前型WLAN网络组网中存在的管理问题:

1) 用户只需要建立业务参数模板和设备参数模板,并设定指定的AP引用这些模板,当FIT AP启动时无线控制器会根据预先的配置引用信息给FIT AP下发配置,用户的配置工作量大大减少。

2) 用户对FIT AP的管理是通过无线控制器来代理完成,网管不再关心FIT AP的IP地址,FIT AP和无线控制器之间的关联是自动完成,不再需用户对AP进行的配置干预。

3) 无线用户的数据报文被FIT AP封装在AP和AC间的数据隧道中,接入AP的边缘网络不需要再为无线用户的接入而更改VLAN和ACL等配置

4) 无线控制器保存了所管理的FIT AP的运行状况和在线用户统计信息,维护人员只需登录到指定的无线控制器就可以完成信息察看。用户对FIT AP的管理是通过无线控制器来代理完成,因此在线更改服务策略设定和安全策略设定也不再需要逐一登录到AP设备,而只需要登录到指定的无线控制器就可以完成设置,无线控制器会自动把新的配置下发到指定的FIT AP。

5) 用户不再需要手动逐一对AP设备进行软件升级,AP在每次重新启动时会自动比较当前运行的版本和无线控制器上保存的版本,如果无线控制器上保存的版本更新,FIT AP会自动更新本地的软件影像。

6) AP本地不再保存配置信息,即使设备丢失也不存在因配置丢失而出现的安全隐患。

电信级产品质量保证

H3C自2003年公司成立以来就继承了业界领导厂商华为和3Com的WLAN产品。整个无线产品的规划都是按照电信级设计,从阻容到主处理器芯片,每一个元器件都经过严格质量认证和技术认证,基本上是选用一流供应商的元器件,保证元器件的性能和品质。在产品生产上,H3C公司采用业界先进的IPD CMM3.0集成产品开发流程,有严格的质量管理体系,从全流程的每一个环节控制产品质量。

强大的研发团队,自主知识产权,快速响应客户需求

H3C的研发团队分布在北京、杭州、深圳和印度,海外研发中心紧跟前沿技术脚步,国内研发中心快速响应客户需求。H3C全系列WLAN产品采用完全自主研发的软件,并采用了业界最为严格的测试标准,由位于北京的独立的鉴定测试中心来最终鉴定产品能否达到质量标准。此外由于自主开发软件,完全掌握知识产权,很容易根据客户的要求定制特殊功能,以满足特定情况下的应用。

完善的服务体系

H3C公司在全国建立了30个区域服务中心和区域备件系统,承诺为客户提供专业、快捷、规范的服务,通过先进的通信技术与总部的技术服务平台连接,完成客户档案、维护经验案例、备件库存、产品发布等信息的共享,形成覆盖全国地市级城市,专职人员规模超过400人的技术服务体系。H3C致力于通过高质量的服务提高用户网络的可用性,提升用户满意度。

H3C成立了备件中心(SPC,XXXX大酒店re Parts Center)专门支撑H3C公司的售后服务和向客户的承诺,依托遍布全国主要城市的30个区域备件库和位于杭州、北京及深圳3个分拨中心,建成了国际化、标准化、现代化的物流管理系统。H3C备件中心科学地进行备件仓储分析和管理,能够向客户提供高效的备件服务,最大限度地保障客户网络的平稳运行。

丰富的无线网络工程经验

无线网络的工程实施对整个项目的成败至关重要。H3C专门成立了无线工程督导团队来确保无线网络工程的顺利实施,目前H3C公司已经成功实施了第六届亚洲冬季运动会、北京解放军总医院、国家知识产权局、新华社、北京航空航天大学、北京交通大学、华东理工大学、上海汤臣洲际大酒店等无线网络工程的部署,具备丰富的无线项目实施工程经验,保证项目进度,后顾无忧。

4.5. 无线网络规划

1. 频率规划

目前针对WLAN来讲,2.4G具有3具不重叠的信道,针对5.8G具有5个不重叠信道,但由于网络用户具有一定的不确定性,故网络覆盖时所需要的WLAN网络空间都要进行2.4G与5.8G的频率覆盖,从网络规划的角度出发,主要考虑2.4G与5.8G二个频率的覆盖设计,针对2.4G的频率的信号衰减模型主要采用如下:PathLoss(dB) = 46 +10* n*Log D(m),而对于5.8G的信号衰减模型:PathLoss(dB) = 32.4+20*lg f[MHz]+ 20*lgd[KM] +a * d[KM],以上二信号衰减模型进行网络的设计,到具体网络实施时要进行工勘与优化,而对于信道主要采用1、6、11三个信道交错使用,具体的面覆盖逻辑示意图如下:



WLAN2.4G信道规划示意图

2. 频率复用



无线覆盖示意图


针对频率复用的设计与实现主要侧重于重叠区域,考虑到802.11技术中目前业界主要采用DCF的仲裁,这样会导致从网络实施的角度出发,没有办法做到像GSM、3G网络的控制力度,从技术原理的角度出发,没有办法实现很好的频率复用,只能被动做些负载均衡的功能。每个AP具有54Mbps、48Mbps、36Mbps、18Mbps等的覆盖范围,对于54Mbps的覆盖范围不重叠,对于54Mbps与18Mbps就可能进行重叠,可以根据网络侧的负载功能进行实现一定程度的频率复用功能,从网络规划的角度出发,WLAN基本上、下行无线链路复用的处理问题,因为目前都是DCF方式,而从只能结合业务目标实现网络覆盖效果,具体网络使用效果使用负载均衡功能进行实现。

负载均衡的功能实现具体原理如下:

a) 根据负载均衡的配置确定负载均衡的模式、SSID、其他参与负载均衡的AP的标识、用户数或流量的阀值等进行一定的初始化;

b) 确定本AP的2个射频模块连接的STA用户数量和流量;

c) 通过UDP协议以私有方式定时进行AP间通讯。先进行握手,成功后才进行数据的交换,获取参与负载均衡的AP的负载信息。

d) 当有STA要接入时,根据其工作频率,比较本AP上该射频下的负载和其他AP的指定SSID下的用户数或流量,以及负载均衡的SSID绑定接口的速率集,决定STA能否接入。同时要注意到若用户数已达到AP某个SSID的最大用户数,则该AP的SSID不允许再接入STA;

3. AP容量规划

从业界实现的DCF方式来看,没有一个最大用户数的限制,但业界各个厂商进行实现时都基于一定理解的前提下进行默认限制,H3C目前每个AP最大的用户默认限制为64个用户(可扩展支持128),从网络规划的角度出发,按每个AP支持128个用户进行网络规划,尤其针对高密集区域。

AP的最大净荷吞吐量为:23Mbps,用户的增加总带带下降量不大, 100kbps/用户,按128用户进行规划;300kbps/用户按64用户进行规划;1Mbps/用户按22用户进行规划;2Mbps/用户按11用户进行规划; 

802.11a/b/g能够接入的并发用户数量根据不同的业务要求下的用户数量,从系统能力的角度出发,可以支持64用户接入;


 
©2002 - 2017 广东惠群科技股份有限公司 粤ICP备05071800号
粤公网安备 44010602001283号