平安城市基于VLAN組網方案淺析

劉林區

（天訊瑞達通信技術有限公司）

平安城市基于VLAN組網方案淺析

劉林區

（天訊瑞達通信技術有限公司）

本文主要針對平安城市建設中數字視頻安全傳輸保障的需求，提出一種基于VLAN組網傳輸解決方案。該方案采用基于VLAN組網技術，利用VLAN組間隔離的特性，為平安城市視頻監控平臺提供了安全可靠的數據通信承載網絡。在這種組網模式下，前端設備之間的接入接口不可以相互訪問，從而保證平臺、網絡和視頻數據的安全性。在平安惠州城市項目的建設中，該技術實現了前端IPC攝像機接入，高清視頻傳輸網絡服務質量要求高的應用業務，證明了本方案的有效性，對于向其他智慧平安城市視頻監控組網業務領域推廣具有重要意義。

平安城市；VLAN；視頻監控；IPC；攝像機；高清；802.1Q；ISL；廣播幀；安全；Access Link；Trunk Link；Hybrid Link；雙核心；路由

1 引言

在政府各級部門的重視和支持下，一線和二線城市全市的視頻監控攝像頭系統基本覆蓋了市區的治安重點區域及主要道路，在維護社會治安穩定方面發揮了重要的作用，已成為公安機關社會管理過程中不可或缺的技術手段。

隨著社會發展和人口的增加，原有的視頻主要在人口較為密集的區域，無法覆蓋較為偏遠的路段，現有的模擬視頻監控和監控網絡已經無法滿足當前城市安全管理的需求。為了提升社會管理工作效率，需要將原有的標清監控點和平臺進行升級改造成為高清監控系統，這樣就需要升級和構建一個可以承載高清視頻監控系統的基于VLAN的視頻專網。

2 基于VLAN技術組網方案

2.1 VLAN技術原理

VLAN（Virtual Local Area Network），即虛擬局域網，是一種邏輯廣播域，它允許不同地理位置的網絡終端加入到一個邏輯子網中，所有連接到VLAN的設備都可以收到其他VLAN成員的廣播，然而其他VLAN的設備不會收到這些廣播，這樣可以防止廣播幀泛洪，提升了網絡性能。（當然VLAN成員可以收到其他VLAN成員直接發送給它的單播分組，路由器提供中繼服務，使不同VLAN間進行互相通信。）

VLAN劃分可以分為靜態VLAN和動態VLAN。靜態VLAN是基于端口進行配置，需要指定每個端口的VLANID。它適用于端口數目有限的少量交換機。

動態VLAN可以按基于MAC地址，基于子網，基于用戶名分為3類。基于MAC地址就是根據所連接的計算機的網卡MAC地址來劃分VLAN。基于子網的VLAN就是根據計算的IP地址來決定所屬VLAN。基于用戶的VLAN就是根據計算機上當前登錄賬號，來決定該端口所屬VLAN。

在交換機的匯聚鏈接上，可以通過IEEE802.1Q和ISL協議對數據幀進行附加VLAN信息，構建跨越多臺交換機的VLAN。

帶有802.1Q標簽頭的以太網幀如表1。

表1

TPID（Tag Protocol Identifier），它包含一個固定值0x8100，表明這是一個加了802.1Q標簽的幀。TCI（Tag Control Information）包括用戶優先級（3bit，總共有8個優先級別）、規范格式指示器（1bit，0值說明是規范格式，1值說明是非規范格式）和VLANID（12bit，有效值為1～4094，其中0用戶識別幀優先級，4095作為預留值）。

ISL（Inter Switch Link）是Cisco產品支持的一種與IEEE802.1Q類似的、用于在匯聚鏈路上附加VLAN信息的協議。

VLAN訪問鏈接模式，VLAN交換機端口分為訪問鏈接（Access Link）、匯聚鏈接（Trunk Link）和混合鏈接（Hybrid Link）3種。Access端口只屬于1個VLAN，它的缺省VLAN就是它所在的VLAN，一般用于連接計算機和攝像機。Trunk端口可以屬于多個VLAN，可以接收和發送多個VLAN的報文，一般用于交換機之間或交換機與路由器之間連接的端口。Hybrid端口可以屬于多個VLAN，可以接收和發送多個VLAN的報文，可以用于交換機之間連接，交換機與路由器之間，也可以用于交換機與用戶計算機的連接。

Trunk端口和Hybrid端口缺省VLAN為VLAN1。當端口接收到不帶VLAN Tag的報文后，則將報文轉發到缺省VLAN的端口；當端口發送帶有VLANTag的報文時，如果該報文的VLANID與端口缺省的VLANID相同，則系統將去掉報文的VLAN Tag，然后再發送該報文。Trunk端口與Hybrid端口不同之處在于Trunk端口只允許缺省VLAN的報文發送時不打標簽，而Hybrid端口允許多個VLAN的報文發送時不打標簽。

2.2 VLAN組網

VLAN組網是按層次式網絡設計模型進行設計，它們分別是接入層、匯聚層和核心層，如圖1所示。

圖1

接入層，對最終用戶和前端攝像機進行了接入。匯聚層，對接入層交換機進行了聚合。核心層是連接所有的匯聚層設備。

2.3 VLAN高可用

為了保證視頻業務系統穩定運行，需要VLAN組網提供鏈路冗余，使視頻網絡具備高可用。這里采用雙核心設計，除接入層外，核心層和匯聚層每個節點使用兩臺相同的多層交換機來提供冗余。匯聚層每個節點通過冗余鏈路連接到每臺核心交換機。兩臺核心交換機通過一條鏈路相連，如圖2所示。

圖2

在雙核心設計中，每臺匯聚層交換機都有兩條到核心的路徑，這使得可以同時使用這兩條路徑的可用帶寬。匯聚層和核心層使用第3層設備，路由選擇協議能夠判斷鄰接的第3層設備是否可用，在某臺交換機出現故障，路由選擇協議就使用替代路徑通過冗余交換機為數據流選擇路由。

雖然在核心層加入了第3層設備，但是VLANA的范圍仍然是從第2層接入層交換機到匯聚層。雖然匯聚層交換機使用第3層交換機接口向接入層提供第3層功能，但這些鏈路實際上只在第2層傳輸數據流。

2.4 VLAN安全

社會視頻涉及敏感信息，需要防止泄露，首先必須從技術上保證視頻網絡安全。如，可以將連接終端用戶的交換機端口配置為靜態模式，這樣終端用戶將無法發送偽造的數據流讓交換機端口進行中繼。可以將中繼鏈路的本征VLAN設置為一個偽造或未用的VLAN ID，同時在中繼鏈路兩端將本征VLAN移除，這樣可以防止VLAN跨越攻擊。

除此之外，還可以采用以下措施保證VLAN安全。專網專用；禁用任何未用的交換機端口，以避免有人發現可利用的活動端口；采用VLAN隔離，各成員單位接入終端相互隔離；接入終端控制，ARP綁定，前端IP和MAC地址綁定；配置帶寬遠高于需求，路由自動迂回，設備冗余。

3 平安城市基于VLAN技術組網的案例

圖3

惠州視頻監控公安應用系統總體結構上分成三級，市公安局為一級監控網絡，分局/縣局為二級監控網絡，派出所為三級監控網絡。

按層次式網絡設計模型進行設計，將社會視頻監控網絡結構也分為三級：核心層、匯聚層、接入層。核心層為網絡的數據中心節點，視頻監控系統的平臺設備服務器均接入在核心層節點，核心層主要設置在通信樞紐節點；匯聚層主要作為流量、存儲、網絡的匯聚節點，網絡流量匯聚主要指一個區域的網絡匯聚節點對視頻流量的匯聚，匯聚層主要設置在匯聚節點；接入層主要負責前端視頻圖像的接入，接入層主要設置在接入網機房。VLAN規劃，VLAN10作為接入層節點網管；VLAN11-25作為DVR業務；VLAN30-50作為匯聚層以上節點的網管；VLAN100-150給客戶監控使用。

4 結語

本文描述了一種面向平安城市視頻監控的基于VLAN組網解決方案。該方案通過VLAN組網技術，結合VLAN網絡優勢，為構建平安城市視頻監控平臺提供了網絡的基礎支撐，是各類平安城市視頻業務開展的基礎。

同時本文通過平安惠州項目建設實際案例驗證了本方案的效果，在案例中借助VLAN網絡，我們實現了對網絡服務質量要求非常高的視頻監控業務，這也證明了VLAN組網技術是適合于大規模視頻業務的有效解決方案。

未來，我們將立足平安城市建設，并且將該技術應用于環保，金融，學校等多個行業領域，推出專業的VLAN組網解決方案。

[1]馬宏斌，王英麗，秦丹陽，編著.數據通信與網絡協議.北京：清華大學出版社，2015.

[2]謝希仁，著.計算機網絡（第5版）.北京：電子工業出版社，2008.

[3]David Hucaby，CCIE#4594，著，王兆文，譯.CCNP SWITCH（642-813）認證考試指南.

[4]W.Richard Stevens，著，范建華，胥光輝，張濤，等譯.TCP/IP詳解卷1：協議.北京：機械工業出版社，2004.

[5]高傳善，著.數據通信與計算機網絡.北京：高等教育出版社.

TN915.61

A

1004-7344（2016）30-0257-02

2016-10-7