鐵路綜合視頻監控系統IPv6升級改造方案

趙 越，楊家田，王永崗，孫 強

(1. 北京交通大學電子信息工程學院，北京 100044；2. 中國鐵路上海局集團有限公司合肥電務段，合肥 230011）

1 概述

隨著大數據、云計算、物聯網等新技術的出現，IPv4網絡地址資源匱乏問題逐漸成為限制互聯網技術進步的主要因素之一[1]。相較于IPv4，IPv6能夠提供更多的網絡地址資源，更高的路由效率和更好的服務質量，因此向支持IPv6技術的網絡進行過渡是互聯網演進升級的必然趨勢。作為國家戰略性、先導性、關鍵性重大基礎設施[2]，鐵路率先推進IPv6網絡的升級改造和試點工作對其他行業的信息化建設具有十分重要的指導意義。

鐵路綜合視頻監控系統作為鐵路信息網的重要組成部分，在鐵路運輸生產和治安等方面發揮了巨大作用。隨著高速鐵路的持續建設以及現有監控系統的不斷改造，未來視頻監控的規模仍會快速增長[3]，因此該系統對IPv6升級的需求將愈發迫切。

2 鐵路綜合視頻監控系統現狀

鐵路綜合視頻監控系統需要根據系統現狀來制定適用的IPv6升級改造方案，該部分將從系統結構、主要設備情況和IP地址使用情況來進行詳細描述。

2.1 鐵路綜合視頻監控系統結構

鐵路綜合視頻監控系統是一個多級管理、多級轉發、多級存儲的大型網絡化視頻監控系統，由視頻采集點、視頻匯聚點、視頻節點、承載網絡和視頻終端（視頻管理/監控終端）組成，覆蓋了包括車站站房、站場、專業機房和區間線路在內的主要區域。系統結構如圖1所示[4]。

2.2 主要設備情況

鐵路綜合視頻監控系統的主要設備有IP攝像機、模擬攝像機、視頻編碼器、視頻解碼器、各類服務器以及監控終端等。該系統的設備數量龐大且對IP協議的支持情況不同，具體情況如下。

1）視頻前端

鐵路綜合視頻監控系統中視頻采集所使用的攝像機為IP攝像機、模擬攝像機兩類。IP攝像機可以直接連接交換機傳輸視頻信息，且均支持IPv4配置，但只有2014年后生產使用的攝像機才開始兼容IPv6。模擬攝像機則是需要使用視頻編碼器進行信號編碼后再使用交換機傳輸視頻信息，該種方式要求視頻編碼器支持IP協議。

2）視頻服務器

視頻節點的服務器一般包括視頻存儲服務器、視頻轉發服務器、視頻分析服務器、視頻管理服務器等。目前各級視頻節點的各類服務器大多支持IPv4、IPv6雙棧部署。

3）視頻終端

目前，各鐵路局及下屬部分客運專線所使用的視頻監控系統平臺為鐵路綜合視頻監控系統V3.0，該軟件尚未對IPv6協議進行支持。

2.3 IP地址使用情況

截至2021年底，鐵路綜合視頻監控系統全路約有2 000個節點。視頻核心節點設立在中國國家鐵路集團有限公司（以下簡稱“國鐵集團”），數量為1個；視頻區域節點設立在各鐵路局，數量為18個；視頻接入節點設立在鐵路沿線的車間/站/段，根據管理需要分為I類和II類，其中I類視頻接入節點數量約為200個，II類視頻接入節點數量約為1 800個。此外，系統中還設置有視頻攝像機，數量約為20萬路，每年新增約3萬路。

該系統全部采用IPv4地址，已使用大約70萬個IP地址。由于IPv4地址的數量匱乏，繼續采用IPv4技術將無法對系統進行有效、統一的管理。未來視頻監控系統建設對IP地址的需求可能會超過100萬個，因而采用地址數量充足的IPv6技術來緩解這一現狀勢在必行。

3 IPv6發展需求分析

鐵路綜合視頻監控系統對于IPv6的需求，主要體現在外部系統互聯需求、視頻云存儲需求和一體化綜合視頻建設需求3個方面。

1）外部系統互聯需求

鐵路綜合視頻監控系統為鐵路調度、工務、車務、機務、客運等多個業務部門提供重要的視頻監控服務[5]。未來鐵路綜合視頻監控系統將與大量外部系統互聯，例如視頻會議系統、應急通信系統、調度集中系統、客/貨運服務系統、鐵路公安系統。

目前，鐵路數據通信網逐步推進IPv6建設，與鐵路綜合視頻監控系統存在互通需求的上述系統正在陸續推進IPv6部署。為保證該系統與外部系統信息交互的高兼容性，有必要盡快對其實施IPv6的升級改造。

2）視頻云存儲需求

隨著鐵路綜合視頻監控系統的快速發展，攝像機逐漸從模擬、數字向高清演進，系統中的視頻流量越來越大，視頻存儲時長的要求也普遍增加[6]。視頻云存儲作為新一代視頻存儲技術，具有強大的存儲能力與擴展能力。采用云存儲技術可以有效解決鐵路行業中視頻設備多、存儲容量大、維護成本高、升級擴容不便等問題[7]，支持IPv6的云存儲技術將成為視頻監控系統的主流存儲技術，開展鐵路綜合視頻監控系統的IPv6建設對鐵路視頻存儲云化的發展意義重大。

3）一體化綜合視頻建設需求

一體化綜合視頻監控系統建設從全接入，優布局、大節點，延存儲，同協議，高可靠，便使用，提智能。重配套幾個方面進行推進。“全接入”將大大增加視頻終端和其他設備的總數，導致該系統對IP地址的需求大幅增多；“優布局、大節點”則要求增大單節點接入規模，這會對每個節點所能分配的IP地址數量有很高要求，現IPv4的地址匱乏問題已經非常嚴重，難以滿足未來設備大量接入的需求；“同協議”直接要求了該系統未來需要支持IPv6協議；“高可靠”“便使用”“提智能”和“重配套”提出未來要著眼于網絡安全的保障和智能化應用的研發，而IPv6因其具有的高安全性和高擴展性可以為之賦能。綜上所述，IPv6技術的引入現已成為一體化視頻發展的前提條件之一。

4 鐵路綜合視頻監控系統IPv6升級改造方案

鐵路綜合視頻監控系統IPv6升級改造方案分為設備改造方案、IP地址劃分方案和過渡技術方案。

4.1 設備改造方案

現網中的IP攝像機可根據使用情況來對僅支持IPv4的攝像機進行更換，模擬攝像機則不再進行IP改造，直接新建支持IPv6的網絡。現網中的主機和服務器等設備要求支持雙棧配置，對不支持雙棧技術的設備進行替換。目前系統中使用的視頻監控平臺不支持IPv6，需要重新進行開發和部署。

4.2 IPv6地址劃分方案

鐵路IPv6地址長度為128位，由網絡前綴、子網ID和主機ID 3段組成，采用的是本地地址(Local IPv6 Unicast Addresses，ULA)。

鐵路綜合視頻監控系統IPv6地址分配方案如下。

1）網絡前綴

IPv6地址的從左至右第1～32位，共32位，其值固定為FD00::/32。

2）子網ID

IPv6地址的從左至右第33～64位，共32位，按照分層原則逐級劃分為4個級別標識[8]。

一級標識：第33～36位，共16個/36地址段，標識號0～F（二進制為0000～1111），用于標識地址所屬的信息網絡。鐵路綜合視頻監控系統屬于數據通信網，數據通信網的本級標識號十六進制為5，二進制為0101。

二級標識：第37～44位，共256個/44地址段，標識號00～FF（二進制為00000000～11111111），以每4位一組進行標識。本級標識按地址所屬的區域來進行分配，即該級標識用于標識國鐵集團和各鐵路局，如國鐵集團本級的標識號十六進制為00，二進制為00000000。

三級標識：第45～52位，共256個/52地址段，標識號00～FF（二進制為00000000～11111111）。鐵路綜合視頻監控系統本級標識號的十六進制為06～0F，二進制為00000110～00001111。該級標識的具體分配方案如表1所示。

表1 三級標識分配方案Tab.1 Plan for the ID assignment of Level 3

四級標識：第53～64位，共4096個/64地址段，標識號000～FFF（二進制為000000000000～111111111111）。

根據鐵路綜合視頻監控系統一體化建設中“優布局、大節點”的要求，取消II類視頻接入節點，增大單節點接入規模。該級標識代表各鐵路局所轄區域內的視頻接入節點，即各大車站、路段。視頻核心節點（國鐵集團）與視頻區域節點（鐵路局）該級標識號為000（二進制為000000000000），各個視頻接入節點（車站、路段）標識號為001～FFF（二進制為000000000001～111111111111）。該方案分配方式可支持每個視頻區域節點下最多接入4 095個視頻接入節點，完全可以滿足系統需求。

3）主機ID

從左至右第65～128位，共計64位為主機ID。鐵路綜合視頻監控系統采用手工配置靜態地址。

4.3 過渡技術方案

1）方案1：雙棧+隧道技術

6VPE是一種承載IPv6的MPLS VPN技術，可以在保持原有BGP MPLS IPv4網絡不做大變動的情況下進行向IPv6的過渡，可以看成是在MPLS VPN技術基礎上針對IPv6進行了擴展[9]。使用6VPE技術，對現有鐵路網絡造成影響較小且實現較為簡單。

采用該方案時，將鐵路綜合視頻監控系統在車站設置的三層交換機作為客戶側邊緣（Customer Edge，CE）設備接入鐵路數據通信網的網絡側邊緣（Provider Edge，PE） 設 備。PE設 備 與 CE設備之間通過靜態路由協議交換路由信息。該方案中，只需要鐵路數據通信網的PE路由器支持IPv4/IPv6雙棧技術和隧道技術即可。方案的系統組網方式如圖2所示。

2）方案2：雙棧+轉換技術

NAT64+DNS64是一種通過轉換的方式來實現IPv6 與IPv4網絡互通的過渡技術，NAT64執行IPv6、IPv4間的地址轉換和協議轉換，DNS64執行域名地址解析，二者需要結合起來使用[10]。

采用該方案時，需要將視頻接入節點的三層交換機與NAT64設備和DNS64設備連接，其中NAT64設備用于地址和協議轉換，DNS64設備用于IPv6 DNS解析。該方案需要增加上述兩種設備（新增設備需要做冗余備份），方案的組網方式如圖3所示。在視頻區域節點和視頻核心節點之間，同樣采取視頻接入節點和視頻核心節點的組網方式部署NAT64和DNS64設備。

3）方案選擇

方案1的6VPE技術一般用于實現IPv6跨越IPv4網絡的通信，支持多點對多點的互聯，還可以提供IPv6 VPN隔離，技術成熟。采用方案1時，只需要隧道兩端的設備支持IPv4/IPv6雙棧即可，成本低，適合大規模部署。通過6VPE的配置，可以使現有的IPv4網絡能夠承載IPv6協議封裝的音頻數據，也可以滿足過渡期間與外部系統互通的需求。相較于方案2，轉換技術不僅需要在系統接入端部署NAT64和DNS64設備，還需要解決防火墻等問題，成本較高，也較為復雜。此外，目前的鐵路綜合視頻監控系統中的視頻區域節點至視頻接入節點之間、I類視頻接入節點至II類視頻接入節點之間、視頻接入節點至車站視頻匯聚之間均采用MPLS VPN進行業務傳輸與隔離，通過6VPE進行過渡對系統改造較小，所以更加建議使用方案1。

對于現有鐵路綜合視頻監控系統，建議先進行視頻核心節點與視頻接入節點的IPv4/IPv6雙棧改造，然后再對視頻前端與視頻終端進行適應性改造，而對于新建的鐵路視頻系統則建議直接部署支持IPv4/IPv6雙棧的網絡。

5 總結

鐵路綜合視頻監控系統的IPv6升級改造將是一個長期且復雜的過程。對于IP地址劃分，在地址段中標識出設備屬性可以大大提升地址可讀性和可管理性。對于過渡技術選擇，采取雙棧技術與隧道技術結合的方案可以在兼顧現網、保障業務的前提下，降低改造成本，利于分階段進行實施。隨著該系統IPv6升級改造的進行，將推動下一代鐵路視頻云存儲技術、一體化視頻以及“視頻＋業務”應用的發展，并為之帶來強大的技術支持。