【正文】 是采用MPLS技術實現的虛擬私有網絡，由CE、PE和P三種網絡實體構成。P并不知道有VPN的存在，僅僅負責骨干網內部的數據傳輸，但其必須能夠支持MPLS協議，并使能該協議。MPLS VPN的實現過程：客戶的邊界路由器CE連接到MPLS的PE路由器，通過MPLS內部創(chuàng)建的VPN，客戶的數據被封裝并透明地傳送到其它的CE路由器。 智能的網絡傳輸技術針對監(jiān)控業(yè)務要求視頻畫面清晰、流暢、延時小、占用網絡資源大等諸多特點，全縣域視頻監(jiān)控網絡系統(tǒng)運用了許多業(yè)界領先的技術，能夠很好地適應承載網絡帶寬的變化，為用戶提供較好的監(jiān)控服務質量。因此在系統(tǒng)媒體傳輸協議設計中，采用TCP/UDP靈活復用的方式，并通過調整視頻編碼的速率，使其適應傳輸網絡帶寬的變化。碼流控制技術將直接影響監(jiān)控視頻的畫面效果，碼流控制是視頻編碼中一個重要的問題。 打包策略控制技術在IP網絡通信中，物理層要限制每次發(fā)送數據幀的最大長度，當網絡層接收到要發(fā)送的數據報時，將判斷向本地哪個端口發(fā)送該數據報，并查詢該端口的MTU，在網絡層將MTU與該數據報長度進行比較，如果該數據報長度超過MTU規(guī)定的最大值，則需要對該數據報進行分片處理，滿足該數據報能夠通過該端口的需要。第二、如果對數據報分片的是中間路由器，不是發(fā)送端（編碼器），那么發(fā)送端就無法知道數據報是如何被分片的，當一片數據丟失，發(fā)送端無法重傳丟失的數據片，只能重傳整個數據報或將整個數據報丟棄，增加傳輸網絡壓力或者數據丟失。 排序去抖控制技術延遲抖動(delay jitter)定義為“抖動是對連續(xù)接收的數據包之間延遲差值的加權平均值” 在數據網絡中，抖動指的是包抖動而非位抖動。如果數據包之間的德爾塔時間不恒定，即被視為抖動，抖動的數據包數量超過一定值后，圖像質量就會受到影響。在數據網絡中，數據包傳輸以盡力而為的機制進行，IP數據包在網絡中完全獨立傳輸，不能保證可靠的數據傳輸，各數據包到達目的端可能會失序。 智能視頻路由技術系統(tǒng)支持單播、組播以及多級轉發(fā)功能。 單播（Unicast）：主機之間“一對一”的通訊模式，網絡中的交換機和路由器對數據只進行轉發(fā)不進行復制。但由于其能夠針對每個客戶的及時響應，所以此類協議主要應用在響應要求高的監(jiān)控場合中。216。主機可以向路由器請求加入或退出某個組，網絡中的路由器和交換機有選擇的復制并傳輸數據，即只將組內數據傳輸給那些加入組的主機。組播所帶來的好處是顯而易見的，但組播技術的應用、特別在互聯網上的組播應用很難實現，其原因主要是組播需要協議和設備的支持，所有介于組播源（服務器或組播代理服務器）和接收者（客戶端）之間的路由器、交換機、HUB、防火墻等設備均需支持組播，而互聯網上的網絡設備往往從整體效率、安全及防止網絡風暴等因素考慮，一般都關閉其組播協議的支持，而鏈路上任一節(jié)點對組播的不支持都會使組播信息無法下傳。 多級轉發(fā)：多媒體轉發(fā)單元實現了媒體的復制和轉發(fā)，當客戶端登錄中心管理單元成功,并請求打開某路視頻時,先向中心管理單元發(fā)送視頻請求, 中心管理單元將視頻請求轉發(fā)給多媒體轉發(fā)單元, 多媒體轉發(fā)單元接收到視頻請求后,查詢此路視頻是否已經存在,若此路視頻已經存在,則通知轉發(fā)進程轉發(fā)此路視頻給請求的客戶端；當發(fā)現此路視頻不存在時,則建立對應的轉發(fā)進程,實現轉發(fā)進程的動態(tài)建立；當轉發(fā)進程輸出空閑時,會自動結束。 光纖傳輸應用光纖和光端機應用在監(jiān)控領域里主要是為了解決兩個問題：一是傳輸距離，一是環(huán)境干擾。另外，對一些超強干擾場所，為了不受環(huán)境干擾影響，采用光纖方式進行傳輸。光端機可以提供一路和多路圖像接口，還可以提供一路和多路各種類型的雙向數據接口（包括RS23RS48以太網等），將它們集成到一根光纖上傳輸。近些年來，由于光纖通信技術的飛速發(fā)展，光纖和光器件的價格下降很快，使得光纖監(jiān)控系統(tǒng)的造價大幅降低，所以光纖和光端機在監(jiān)控系統(tǒng)中的應用越來越普及。其傳輸距離很容易就能達到30 Km左右，有些產品的傳輸距離可以達到60 Km，甚至上百公里。通過使用波分復用技術，還可以在一根光纖上實現圖像和數據信號的雙向傳輸，滿足監(jiān)控工程的實際需求。IP地址空間分配，要與網絡拓撲層次結構相適應，既要有效地利用地址空間，又要體現出網絡的可擴展性和靈活性，同時能滿足路由協議的要求，以便于網絡中的路由聚類，減少路由器中路由表的長度，減少對路由器CPU、內存的消耗，提高路由算法的效率，加快路由變化的收斂速度，同時還要考慮到網絡地址的可管理性。全縣域視頻監(jiān)控網絡系統(tǒng)IP地址分配原則如下：平臺服務器和其他設備分別分配專網IP地址?？h公安局各級指揮中心分配地址分配：數字視頻矩陣和視頻控制終端（計算機）均配置與管理平臺和前端PU設備同網段的專網IP地址，通過VPN專有網絡接入監(jiān)控平臺。具體實現方法如下，在前端設備增加規(guī)范設備地址屬性字段——該屬性依賴于警綜平臺地址數據，在規(guī)范的工程實施后確認相應的地址屬性后加以完善該屬性。 傳輸數據流向全縣域視頻監(jiān)控網絡系統(tǒng)數據流分為媒體流和信令流兩類，采用分離處理的數據流設計方案，有效地降低監(jiān)控系統(tǒng)的網絡壓力，提升監(jiān)控系統(tǒng)的穩(wěn)定性。在監(jiān)控系統(tǒng)中，媒體流占用帶寬資源是最大的，且僅在本監(jiān)控專有網絡中傳輸。用戶在認證鑒權模塊（CMU）統(tǒng)一認證、調度下，經過嚴格的權限管理，實現用戶的控制指令。在中心管理模塊的統(tǒng)一調度下，全縣域視頻監(jiān)控網絡系統(tǒng)媒體流的流程為：媒體管理模塊中的轉發(fā)單元（MSU）從監(jiān)控前端設備獲取媒體信息，轉發(fā)給用戶監(jiān)控終端，進行視頻瀏覽；在多個用戶同時請求同一路媒體信息時，轉發(fā)單元將該路媒體信息復制成多路，發(fā)給不同的請求用戶，監(jiān)控前端只上傳一路媒體信息，有效地解決了監(jiān)控前端網絡接入帶寬的瓶頸問題。邊界管理平臺包含相應服務器應用單元，如邊界安全管理、接入管理、媒體交換管理等，為保障邊界管理平臺的遠端?；钚裕ㄗh配置相對獨立的數據庫應用管理單元?？h全縣域視頻監(jiān)控平臺通過安全接入平臺與公安專網平臺實現系統(tǒng)連接。對于社會資源的接入，因其監(jiān)控系統(tǒng)有多種可能性，如模擬監(jiān)控系統(tǒng)（以模擬攝像機+模擬矩陣為主）、模數混合監(jiān)控系統(tǒng)（以模擬攝像機+DVR/DVS等編碼設備為主）、純數字監(jiān)控系統(tǒng)平臺等多種方式。 模擬矩陣級聯接入方案模擬矩陣接入方案示意圖如下。在接入模擬矩陣時，要求第三方矩陣廠家提供模擬矩陣的接口協議和接口方式。 DVR接入方案DVR監(jiān)控系統(tǒng)接入方案示意圖如下。當采用SDK方式接入DVR時，要求第三方DVR廠商提供DVR的接口協議（完整的SDK包）和接口方式。 數字平臺接入方案數字監(jiān)控平臺接入方案示意圖如下。這種接入模式在客戶端中間件的基礎上增加了服務器互通的環(huán)節(jié)，被接入平臺使用開發(fā)好的中間件完成接入工作，通過中間件進行視頻傳輸和攝像頭控制等功能。這種方式的優(yōu)勢主要在于靈活，由于信令和視頻都集中到服務器（群）上處理，可以進行靈活控制，可以方便的實現私網穿越，平臺集中轉碼，以及網絡優(yōu)化等。 平臺對接全縣域視頻監(jiān)控網絡系統(tǒng)平臺通過邊界安全管理模塊（網關服務器）能夠實現各類平臺的有效接入。 基于GB/T 28181標準的系統(tǒng)對接方案2011年，由公安部科技局提出，以公安部第一研究所聯合業(yè)內主要單位，由全國安全防范報警系統(tǒng)標準化技術委員會（SAC/TC100）歸口，在原公安部GA/T 669系列標準基礎之上細化和完善，提交送審了《安全防范視頻監(jiān)控聯網系統(tǒng)信息傳輸、交換、控制技術要求》國家標準（編號GB/T 28181），該標準規(guī)定了城市監(jiān)控報警聯網系統(tǒng)中信息傳輸、交換、控制的互聯結構、通信協議結構，傳輸、交換、控制的基本要求和安全性要求，以及控制、傳輸流程和協議接口等技術要求。聯網系統(tǒng)的信息傳輸、交換、控制方面的SIP（Session Initiation Protocol, 會話初始協議）監(jiān)控域互聯結構見下圖，描述了在單個SIP監(jiān)控域內、不同SIP監(jiān)控域間兩種情況下，功能實體之間的連接關系?；诖朔N考慮，本次縣視頻監(jiān)控聯網系統(tǒng)與市公安局天網平臺對接，擬采用符合上述標準的方案，即使用GB/T 28181規(guī)范接入方式：縣視頻監(jiān)控專網平臺作為下級域視頻監(jiān)控平臺，石家莊市天網平臺作為上級域視頻監(jiān)控平臺，兩級域之間信令交互采用國標規(guī)范標準。從技術細節(jié)來講，大體可采用兩種方式。以上兩種具體實施方案，均符合GB/T 28181國家標準的要求。 IP地址映射方案在縣視頻專網平臺與現網平臺之間，通過防火墻部署主要平臺服務器IP地址映射，從而實現縣視頻監(jiān)控平臺的整體聯網。動態(tài)IP地址翻譯（DIP，Dynamic IP Pool）DIP 池包含一個范圍內的 IP 地址， 防火墻設備在對 IP 封包包頭中的源 IP 地址執(zhí)行網絡地址轉換 (NAT) 時，可從中動態(tài)地提取地址。啟用 PAT 后，最多 64,500 臺主機即可共享單個 IP 地址。對于這種應用，應用 DIP 時，可指定不執(zhí)行 PAT（即，使用固定端口）。c) 擴展端口和DIP根據情況，如果需要將出站防火墻信息流中的源 IP 地址，從出口接口的地址轉換成不同子網中的地址，可使用擴展接口選項。然后，可基于每個策略啟用 NAT，并且指定 DIP 池，該池在用于轉換的擴展接口上創(chuàng)建。對于創(chuàng)建多個會話（每個會話都需要同一源 IP 地址）的服務，這種隨機地址分配可能會產生問題。防火墻設備將目的地為 MIP 的內向信息流轉發(fā)至地址為 MIP 指向地址的主機?！皠討B(tài) IP”(DIP) 將 IP 封包包頭中的源 IP地址轉換為 DIP 池中隨機選擇的地址，而 MIP 將 IP 封包包頭中的目的地 IP 地址映射為另一個靜態(tài) IP 地址。MIP 還部分解決通過 VPN 通道連接的兩個站點之間地址空間重疊的問題。VIP地址翻譯根據 TCP 或 UDP 片段包頭的目的地端口號，虛擬 IP (VIP) 地址將在一個 IP 地址處接收到的信息流映射到另一個地址。l 目的地為 :21 的 FTP 封包可能映射到地址為 的 FTP 服務器。由于目的地 IP 地址相同，防火墻設備根據目的地端口號確定將信息流轉發(fā)到的主機。同時，在系統(tǒng)設計中，為增強安全性，我們應采用以下幾個策略：①網絡地址轉換模塊 NAT技術模塊是本系統(tǒng)核心部分，而且只有本模塊與網絡層有關，因此，這一部分應和系統(tǒng)本身的網絡層處理部分緊密結合在一起，或對其直接進行修改。②集中訪問控制模塊 集中訪問控制模塊可進一步細分為請求認證子模塊和連接中繼子模塊。連接中繼子模塊的主要功能是為用戶建立起一條最終的無中繼的連接通道，并在需要的情況下向內部服務器傳送鑒別過的用戶身份信息，以完成相關服務協議中所需的鑒別流程。由于網關不知道內部主機可能要使用的臨時端口，故臨時端口使用表是由網關根據接收的數據包動態(tài)生成的。 ④認證與訪問控制系統(tǒng) 認證與訪問控制系統(tǒng)包括用戶鑒別模塊和訪問控制模塊，實現用戶的身份鑒別和安全策略的控制。它采用Telnet和WEB兩種實現方式，滿足不同系統(tǒng)環(huán)境下用戶的應用需求。 ⑤網絡安全監(jiān)控系統(tǒng) 監(jiān)控與入侵檢測系統(tǒng)作為系統(tǒng)端的監(jiān)控進程，負責接受進入系統(tǒng)的所有信息，并對信息包進行分析和歸類，對可能出現的入侵及時發(fā)出報警信息；同時如發(fā)現有合法用戶的非法訪問和非法用戶的訪問，監(jiān)控系統(tǒng)將及時斷開訪問連接，并進行追蹤檢查。它采用基于WEB的管理模式，由于管理系統(tǒng)所涉及到的信息大部分是關于用戶帳號等敏感數據信息，故應充分保證信息的安全性，我們采用JAVA APPLET技術代替CGI技術，在信息傳遞過程中采用加密等安全技術保證用戶信息的安全性。主要包括：中心服務器、數據庫服務器、智能分析服務器、網管服務器等。 多級多域權限設計從長遠來講，系統(tǒng)按照多級多域的理念進行設計，在全縣范圍內支持分級分域管理，并實現權限管理方面的歸屬明確、職責明晰。系統(tǒng)具備多級多域組網鑒權功能，各級中心管理平臺（CMP）之間可以進行相互注冊及鑒權，保證設備接入的合法性。當告警/報警發(fā)生時，下級中心管理平臺（CMP）主動通知上級中心管理平臺（CMP），上級中心管理平臺（CMP）再轉發(fā)至訂閱此告警/報警的管理臺和監(jiān)控臺。多級鑒權的功能，既保證了系統(tǒng)能夠按照各自監(jiān)控區(qū)域進行管理，又滿足了跨區(qū)域跨范圍進行鑒權的功能，實現了公安系統(tǒng)的整體協調作戰(zhàn)能力。35一級管理平臺二級管理平臺三級管理平臺系統(tǒng)獨立存活調用本級資源管理本級資源系統(tǒng)獨立存活調用本級資源管理本級資源改造系統(tǒng)中，縣公安部門視頻專網平臺在整個縣視頻監(jiān)控綜合系統(tǒng)中設置為頂級域，具有多級域系統(tǒng)之中的最高權限，其他視頻監(jiān)控系統(tǒng)，如社會監(jiān)控資源融合系統(tǒng)（基于邊界管理平臺實現）、新建視頻監(jiān)控資源系統(tǒng)（基于VPN專網監(jiān)控平臺實現），為縣局視頻專網平臺的下級域。在頂級域的監(jiān)控管理服務器中，為每個下級域配置一條到達該下級域監(jiān)控管理服務器的路由；在下級域的監(jiān)控管理服務器中，配置一條到達頂級域監(jiān)控管理服務器路由。頂級域根據下級域是否向自己成功注冊來判斷到達此下級域的路由是否可達。 下級域間的信令交互路由。根據全網控制策略，頂級域可以返回頂級域自身地址，下級域AB間通過頂級域中繼進行信令交互；頂級域也可以根據本地記錄的路由信息，將另一下級域B的地址返回給下級域A，下級域A和B間直接信令交互。下級域間的媒體交互路由。 域間資源權限管理設計縣局視頻專網平臺作為整個縣監(jiān)控系統(tǒng)的頂級域，其域管理員在整個系統(tǒng)中具有頂級域管理地位，擁有對下轄下級域進行域資源管理的最高權限。另外，各域內擁有的設備資源只有被授權給其他域后才能被其他域內用戶訪問和控制，授權的方式可以通過設備劃歸完成。設備劃歸可以是單臺設備劃歸，也可以是批量設備劃歸。域根據本地策略將這些資源授權給本地用戶使用。其用戶權限由域管理員進行設置。設備歸屬域的管理員為本域用戶分配本域設備的控制權限；在將設備劃歸給外域的同時為外域分配設備的控制權限。域內的用戶根據用戶權限進行搶占。域管理員可以為本域用戶分配外域設備(劃歸到本域)的控制權限。在本項目中，縣局視頻專網平臺作為整個縣監(jiān)控系統(tǒng)的頂級域，其域管理員在整個系統(tǒng)中自然獲得頂級域管理地位，擁有對下轄下級域進行用戶操作優(yōu)先級的最