平安城市基于VLAN组网方案浅析

2016-08-10刘林区

大科技 2016年30期

关键词：层交换机核心层交换机

刘林区

（天讯瑞达通信技术有限公司）

平安城市基于VLAN组网方案浅析

刘林区

（天讯瑞达通信技术有限公司）

本文主要针对平安城市建设中数字视频安全传输保障的需求，提出一种基于VLAN组网传输解决方案。该方案采用基于VLAN组网技术，利用VLAN组间隔离的特性，为平安城市视频监控平台提供了安全可靠的数据通信承载网络。在这种组网模式下，前端设备之间的接入接口不可以相互访问，从而保证平台、网络和视频数据的安全性。在平安惠州城市项目的建设中，该技术实现了前端IPC摄像机接入，高清视频传输网络服务质量要求高的应用业务，证明了本方案的有效性，对于向其他智慧平安城市视频监控组网业务领域推广具有重要意义。

平安城市；VLAN；视频监控；IPC；摄像机；高清；802.1Q；ISL；广播帧；安全；Access Link；Trunk Link；Hybrid Link；双核心；路由

1 引言

在政府各级部门的重视和支持下，一线和二线城市全市的视频监控摄像头系统基本覆盖了市区的治安重点区域及主要道路，在维护社会治安稳定方面发挥了重要的作用，已成为公安机关社会管理过程中不可或缺的技术手段。

随着社会发展和人口的增加，原有的视频主要在人口较为密集的区域，无法覆盖较为偏远的路段，现有的模拟视频监控和监控网络已经无法满足当前城市安全管理的需求。为了提升社会管理工作效率，需要将原有的标清监控点和平台进行升级改造成为高清监控系统，这样就需要升级和构建一个可以承载高清视频监控系统的基于VLAN的视频专网。

2 基于VLAN技术组网方案

2.1 VLAN技术原理

VLAN（Virtual Local Area Network），即虚拟局域网，是一种逻辑广播域，它允许不同地理位置的网络终端加入到一个逻辑子网中，所有连接到VLAN的设备都可以收到其他VLAN成员的广播，然而其他VLAN的设备不会收到这些广播，这样可以防止广播帧泛洪，提升了网络性能。（当然VLAN成员可以收到其他VLAN成员直接发送给它的单播分组，路由器提供中继服务，使不同VLAN间进行互相通信。）

VLAN划分可以分为静态VLAN和动态VLAN。静态VLAN是基于端口进行配置，需要指定每个端口的VLANID。它适用于端口数目有限的少量交换机。

动态VLAN可以按基于MAC地址，基于子网，基于用户名分为3类。基于MAC地址就是根据所连接的计算机的网卡MAC地址来划分VLAN。基于子网的VLAN就是根据计算的IP地址来决定所属VLAN。基于用户的VLAN就是根据计算机上当前登录账号，来决定该端口所属VLAN。

在交换机的汇聚链接上，可以通过IEEE802.1Q和ISL协议对数据帧进行附加VLAN信息，构建跨越多台交换机的VLAN。

带有802.1Q标签头的以太网帧如表1。

表1

TPID（Tag Protocol Identifier），它包含一个固定值0x8100，表明这是一个加了802.1Q标签的帧。TCI（Tag Control Information）包括用户优先级（3bit，总共有8个优先级别）、规范格式指示器（1bit，0值说明是规范格式，1值说明是非规范格式）和VLANID（12bit，有效值为1～4094，其中0用户识别帧优先级，4095作为预留值）。

ISL（Inter Switch Link）是Cisco产品支持的一种与IEEE802.1Q类似的、用于在汇聚链路上附加VLAN信息的协议。

VLAN访问链接模式，VLAN交换机端口分为访问链接（Access Link）、汇聚链接（Trunk Link）和混合链接（Hybrid Link）3种。Access端口只属于1个VLAN，它的缺省VLAN就是它所在的VLAN，一般用于连接计算机和摄像机。Trunk端口可以属于多个VLAN，可以接收和发送多个VLAN的报文，一般用于交换机之间或交换机与路由器之间连接的端口。Hybrid端口可以属于多个VLAN，可以接收和发送多个VLAN的报文，可以用于交换机之间连接，交换机与路由器之间，也可以用于交换机与用户计算机的连接。

Trunk端口和Hybrid端口缺省VLAN为VLAN1。当端口接收到不带VLAN Tag的报文后，则将报文转发到缺省VLAN的端口；当端口发送带有VLANTag的报文时，如果该报文的VLANID与端口缺省的VLANID相同，则系统将去掉报文的VLAN Tag，然后再发送该报文。Trunk端口与Hybrid端口不同之处在于Trunk端口只允许缺省VLAN的报文发送时不打标签，而Hybrid端口允许多个VLAN的报文发送时不打标签。

2.2 VLAN组网

VLAN组网是按层次式网络设计模型进行设计，它们分别是接入层、汇聚层和核心层，如图1所示。

图1

接入层，对最终用户和前端摄像机进行了接入。汇聚层，对接入层交换机进行了聚合。核心层是连接所有的汇聚层设备。

2.3 VLAN高可用

为了保证视频业务系统稳定运行，需要VLAN组网提供链路冗余，使视频网络具备高可用。这里采用双核心设计，除接入层外，核心层和汇聚层每个节点使用两台相同的多层交换机来提供冗余。汇聚层每个节点通过冗余链路连接到每台核心交换机。两台核心交换机通过一条链路相连，如图2所示。

图2

在双核心设计中，每台汇聚层交换机都有两条到核心的路径，这使得可以同时使用这两条路径的可用带宽。汇聚层和核心层使用第3层设备，路由选择协议能够判断邻接的第3层设备是否可用，在某台交换机出现故障，路由选择协议就使用替代路径通过冗余交换机为数据流选择路由。

虽然在核心层加入了第3层设备，但是VLANA的范围仍然是从第2层接入层交换机到汇聚层。虽然汇聚层交换机使用第3层交换机接口向接入层提供第3层功能，但这些链路实际上只在第2层传输数据流。

2.4 VLAN安全

社会视频涉及敏感信息，需要防止泄露，首先必须从技术上保证视频网络安全。如，可以将连接终端用户的交换机端口配置为静态模式，这样终端用户将无法发送伪造的数据流让交换机端口进行中继。可以将中继链路的本征VLAN设置为一个伪造或未用的VLAN ID，同时在中继链路两端将本征VLAN移除，这样可以防止VLAN跨越攻击。

除此之外，还可以采用以下措施保证VLAN安全。专网专用；禁用任何未用的交换机端口，以避免有人发现可利用的活动端口；采用VLAN隔离，各成员单位接入终端相互隔离；接入终端控制，ARP绑定，前端IP和MAC地址绑定；配置带宽远高于需求，路由自动迂回，设备冗余。

3 平安城市基于VLAN技术组网的案例

图3

惠州视频监控公安应用系统总体结构上分成三级，市公安局为一级监控网络，分局/县局为二级监控网络，派出所为三级监控网络。

按层次式网络设计模型进行设计，将社会视频监控网络结构也分为三级：核心层、汇聚层、接入层。核心层为网络的数据中心节点，视频监控系统的平台设备服务器均接入在核心层节点，核心层主要设置在通信枢纽节点；汇聚层主要作为流量、存储、网络的汇聚节点，网络流量汇聚主要指一个区域的网络汇聚节点对视频流量的汇聚，汇聚层主要设置在汇聚节点；接入层主要负责前端视频图像的接入，接入层主要设置在接入网机房。VLAN规划，VLAN10作为接入层节点网管；VLAN11-25作为DVR业务；VLAN30-50作为汇聚层以上节点的网管；VLAN100-150给客户监控使用。