海康ip网络监控方案

海康ip网络监控方案（精选8篇）

1.海康ip网络监控方案 篇一

高速公路监控系统的建设，越来越受到公路运营方、管理部门以及公众的重视。经过多年的高速公路机电工程建设和实践，相关设计、运营、管理部门对这一系统的功能不断加深了解，并在系统的应用过程中越来越多的发现——早期建设的非智能化监控系统固有的局限性，无法很好地满足高速公路运营及管理部门准确决策，保障高速公路畅通及高效率的目的。由于目前大部分高速公路已建的监控系统智能化程度不高，无法主动、及时地发现路面的异常情况进而自动执行预案，实现高效管理和应急调度指挥。

本文以一条省际高速公路为例，此高速公路全长115KM，全路段共有8个收费站入口，8个收费站出口，8个双向隧道，10个高速公路服务区。整个项目全部采用IP高清监控技术、智能分析技术、车牌识别技术、网络通信技术等进行设计，取得了良好的应用效果。

需求分析与建设目标

通过与高速公路运营方，高速公路管理方等各方面沟通了解，结合我们深入分析高速公路管理部门的业务需求和我们对高速公路管理信息化建设的理解，以合理性、先进性、可靠性、稳定性和可扩展性为设计原则。总结了以下几个重要的建设内容和方向。

高清化

所有硬件设备全部支持720P和1080P的高清分辨率，唯有实现高清化的图像采集和应用，才能实现整体系统的高清化，才能使监控系统从看得见到看得清的转变，也唯有高清化，才能提高整个系统的智能化程度和实际应用的效果。不仅前端全部采用720P或者1080P的高清监控摄像机，网络传输、管理控制、显示系统全部采用高清设备和技术。

智能化

通过各种智能分析技术来主动判断高速公路的运营状况，对高速公路上不符合规范，规章和违法的交通行为及事件自动记录并报警，能够智能识别各种违章行为，包括车牌识别，人脸识别等。以实现从被动监控到主动智能监控的转变。

IP网络系统架构

基于TCP/IP协议的网络通信体系架构是全球最开放的和最标准的，由于IP网络系统架构的开放性、成熟性和广泛兼容性，采用IP网络体系架构不仅维护简单，而且方便系统的扩容和管理。

网络存储

基于整个系统的全IP网络架构设计，采用网络化存储技术，部署简单，与其他存储技术相比具有强大的优越性能。存储网络可提供在计算机与存储系统之间的数据传输，可以实现超大容量数据的集中存储，超大数据吞吐能力，远距离数据存储，方便扩容并且部署简单。

弹性扩展，标准开放

高速公路的管理是一种层级管理结构，并且随着各地经济的不断快速发展，高速公路建设里程不断增长，高速公路的监控系统也会不断新建和扩容，为了保护已有投资，必须确保新旧高速公路监控能够无缝融合、平滑弹性扩展。在系统不断扩大的同时，标准的开放性可有效降低系统扩容的整体成本，并实现快速部署。

系统整体规划

根据高速公路长距离，全室外，多级管理的特点，设计高清全IP光网络系统架构。与目前高速公路联网监控的其他几种系统架构相比有比较明显的技术优势。传统的第一种系统设计方式是站级以下采用光端机+模拟视频矩阵+硬盘录像机的主体架构方式，录像和上传都采用硬盘录像机编码和存储。另外比较典型的一种是分中心以下全部采用模拟摄像机+光端机+光矩阵平台进行联网，省中心一级采用编码传输的方式。

在本文的高速公路全IP高清监控系统设计当中，高清IPC直接输出高清720P或1080P图像，同时高清IPC都具备双码流输出技术，在高速公路机电工程中，传输系统全部采用光纤，为高清IP监控系统提供了良好的基础网络传输平台，全流媒体转发和交换技术，并通过环网传输技术，可大大节约高速公路紧张的光纤资源，同时可降低系统成本。

另外，为了提高高速公路管理部门的现场管理和执法水平，系统还设计了移动执法终端系统，通过3G无线广域网络，管理人员能通过终端管理系统实时现场查看整条或多条高速公路的路况，并可通过系统快速展开取证执法，可极大提高高速公路的管理效率和减轻管理人员的劳动强度。

2.海康ip网络监控方案 篇二

3月30日, 博科公司发布了两个新的专业服务产品, 进一步证明了博科投资和承诺, 致力于帮助客户增加原有IP网络价值。其中, IP网络基础架构服务包括:博科IP网络基础架构服务为客户提供端到端下一代IP网络的评估、设计和部署。博科的专家建议和最佳方法指导帮助客户在部署IP网络技术时, 加速配置、最大化资源使用效率、降低风险;博科IP网络基础架构服务包括:IP网络评估、IP网络设计、IP网络执行、IP网络迁移、IP网络校对。

现在, 博科IP网络基础架构服务在美国、欧洲, 中东和非洲市场已经可以使用, 2009年第二季度将在亚太地区及日本市场提供。

3.海康ip网络监控方案 篇三

关键词城域网客户网络BGP

1客户需求

目前，大部分电信城域网通过汇聚路由器运行IBGP协议来承载用户路由，而部分客户网络则需要通过双上行接入电信城域网，并要求双上行的链路在路由上实现冗余且能够自动切换。从安全角度考虑，城域网汇聚路由器一般不与客户网络运行IGP协议，但如果汇聚路由器与客户网络运行静态路由，再将静态路由引入到城域网的BGP协议，此方式在链路接入正常Down|UP的时候没有问题，但是当链路出现“单通”且静态路由不会消失的情况下，就会导致业务的中断。虽然配置静态路由可以考虑使用BFD协议来监测“单通”的问题，但是需要客户网络的设备支持BFD协议，否则无法实现。

2建议方案

为了实现客户网络双上行冗余链路的路由自动切换，可以考虑在客户网络和某城域网之间运行BGP协议。但是根据电信城域网相关规范，城域网汇聚路由器在收到客户网络发布的EBGP路由后，核心路由器在向163、CN2等EBGP发送路由时，需将这部分路由过滤掉。

下面是根据上述问题和需求给出的一个参考建议方案。

（1）建议方案一 （设客户网络AS号为64959）

如图，客户网络的AS设置为64959与某电信汇聚路由器运行EBGP协议，某电信路由器下发缺省路由到客户网络，同时通过前缀列表严格控制从客户网络接收的用户路由，并增加Community属性65***：9999和no-export。客户网络发送自身网段地址到某城域网汇聚路由器，同时从某城域网汇聚路由器接收缺省路由。

配置脚本：

某电信路由器汇聚路由器：

ip prefix-list CustomerRoute seq 5 permit xx.xx.yy.0/28

ip prefix-list CustomerRoute seq 10 permit xx.xx.zz.0/28

!

route-map FromCustomer permit 10

match ip address prefix-list CustomerRoute

set community 65***:9999 no-export //对客户接收到的路由设置Community属性65***：9999和no-export

router bgp 65***

bgp router-id xx.xx.xx.xx //汇聚路由器 Loopback

bgp log-neighbor-changes

neighbor xx.xx.xx.xx remote-as 64959 //与客户互联的接口地址

neighbor xx.xx.xx.xx activate

neighbor xx.xx.xx.xx default-originate //向客户网络下发默认路由

neighbor xx.xx.xx.xx route-map FromCustomer in //设置策略只接收客户网络特定路由

no auto-summary

no synchronization

exit-address-family

!

客户端设备：

ip route xx.xx.yy.0 255.255.255.240 yy.yy.yy.1 //通过静态、动态、Null0发布

ip route xx.xx.zz.0 255.255.255.240 yy.yy.yy.1

router bgp 654959

bgp router-id xx.xx.xx.xx //客户网络Loopback

bgp log-neighbor-changes

neighbor xx.xx.xx.xx remote-as 65*** //与客户互联的接口地址

address-family ipv4

neighbor xx.xx.xx.xx activate

network xx.xx.yy.0 mask 255.255.255.240 //发布客户网段到某城域网路由器

network xx.xx.zz.0 mask 255.255.255.240

no auto-summary

no synchronization

exit-address-family

（2）建议方案二

通过方案一的实施，客户网络路由不发送到其他AS，但是在城域网内部还是可以看到64959这个AS号，而且将来若城域网分配这个AS号给其他业务使用的时候也会造成在本地城域网上该AS64959的混淆。因此我们也可以考虑和客户之间通过接口建立IBGP关系。

如上图，如果客户网络和某城域网汇聚路由器之间使用IBGP建立邻居关系的话，客户网络的路由，将不能从汇聚路由器发布到城域网的核心路由器和其他设备，这将导致可客户网络不可达。因此为了打破这个限制，我们需要在城域网的汇聚路由器上增加设置，将城域网RR设置为汇聚路由器的route-reflector-client，也就是说RR和汇聚路由器互相指定为对方为自己路由发射器的客户端。某电信路由器下发缺省路由到客户网络，同时通过前缀列表严格控制从客户网络接收的用户路由，并增加Community属性65***：9999。客户网络发送自身网段地址到某城域网汇聚路由器，同时从某城域网汇聚路由器接收缺省路由。

配置脚本：

某电信路由器汇聚路由器：

ip prefix-list CustomerRoute seq 5 permit xx.xx.yy.0/28

ip prefix-list CustomerRoute seq 10 permit xx.xx.zz.0/28

!

route-map FromCustomer permit 10

match ip address prefix-list CustomerRoute

set community 65***:9999 //对客户接收到的路由设置Community属性65***：9999

router bgp 65***

bgp router-id xx.xx.xx.xx //汇聚路由器 Loopback

bgp log-neighbor-changes

neighbor xx.xx.xx.1 update-source Loopback0 //IPV4 RR1 IBGP

neighbor xx.xx.xx.1 remote-as 65***

neighbor xx.xx.xx.2 update-source Loopback0 //IPV4 RR1 IBGP

neighbor xx.xx.xx.2 remote-as 65***

neighbor xx.xx.xx.xx remote-as 65*** //客户网络IBGP，与客户互联的接口地址

address-family ipv4

neighbor xx.xx.xx.1 activate

neighbor xx.xx.xx.1 route-reflector-client //指定RR1为汇聚路由器的客户端

neighbor xx.xx.xx.2 activate

neighbor xx.xx.xx.2 route-reflector-client ////指定RR2为汇聚路由器的客户端

neighbor xx.xx.xx.xx activate

neighbor xx.xx.xx.xx default-originate //向客户网络下发默认路由

neighbor xx.xx.xx.xx route-map FromCustomer in //设置策略只接收客户网络特定路由

no auto-summary

no synchronization

exit-address-family

!

客户端网络设备：

ip route xx.xx.yy.0 255.255.255.240 yy.yy.yy.1 //通过静态、动态、Null0发布

ip route xx.xx.zz.0 255.255.255.240 yy.yy.yy.1

router bgp 65***

bgp router-id xx.xx.xx.xx //客户网络Loopback

bgp log-neighbor-changes

neighbor xx.xx.xx.xx remote-as 65*** //与客户互联的接口地址

address-family ipv4

neighbor xx.xx.xx.xx activate

network xx.xx.yy.0 mask 255.255.255.240 //发布客户网段到某城域网路由器

network xx.xx.zz.0 mask 255.255.255.240

no auto-summary

no synchronization

exit-address-family

!

3方案比较

通过两个方案的比较，我们可以发现两个方案在实施上都没什么问题，对于方案一需要使用新的AS以及后续可能存在路由问题。综合考虑建议某电信汇聚路由器和客户运行BGP协议的时候，采用方案二。

IP Metropolitan Area Network BGP Protocol Access Customer Network Implementation Scheme Analysis

Li Weixian

（China Telecom Yunnan branch，Kunming 650100，China）

AbstractWith the development of telecommunication operation, part of telecom customer network through double uplink access telecommunication network, and routing calls in realization of redundancy and can automatically switch. Therefore, how to reasonable deployment of router protocol is very important.

Key wordsmetropolitan area network，the customer network，BGP

4.海康ip网络监控方案 篇四

2009/11/26/18:18 来源：慧聪教育网

一、用户概况及需求

某市的一所监狱，现有3栋楼180个监室、20个劳教学习教室，设有1个总控中心7个分控中心。计划利用网络建设一套广播系统，以便利用这套系统能够向服刑人员提供专业丰富的科学、教育、法律及文化知识。本着监狱是改善罪犯的居住、生活、学习和劳动环境的场所，设计广播系统的主要区域包括行政区、教育教学楼、生产区、生活区及室外。

二、用户需求分析及系统设计

广播控制室设置在行政办公楼总控中心一层主要对行政区、生产区和生活区进行广播；系统广播内容主要包括：宣传教育广播、播放背景音乐、日常行政管理广播、紧急广播等。

可根据设置，每天定时或循环播放节目，自动化程度高，节省人力物力，即使在监狱工作人员繁忙时间也能轻松应对，有效提升了监狱细致化、人性化的管理，能使服刑人员对科学、教育、法律及文化知识印象更加深刻。

（1）系统要求能借助TCP/IP网络，设计为数字网络广播系统，可实现远程广播，并能授权多个分控点广播讲话，如：监狱长办公室、中控室、出入口门卫处远程寻呼、可实现对

（2）满足背景音乐，宣教广播，支持紧急广播消防联动。在监狱内传达各种服务类的通知。

（3）无人值守，系统自动播放预存音乐或其他节目。可实现定时或循环播放，且多套节目同时在各个不同的区域播放；

（4）对监狱广播进行管理，能实现整个监狱的监舍集中统一广播，又能实现分区广播，如：对行政办公楼、生产区、食堂区、公共活动区等单独广播，还能对监舍、劳教学习楼的教室等实现点对点寻址广播；

（5）优先级别：背景音乐和各种教学音源，宣教广播，紧急广播。宣教广播自动衰减背景音乐，紧急广播完全切除背景音源和宣教广播。

根据以上需求分析设计如下：

1）监舍：系统要求可对每个监舍单独广播，本次设计为每个监舍配备一只网络广播终端GM-8002加相应的吸顶或壁挂音箱。2）行政办公楼：单独为一个区域，设计配置数字网络广播机架式终端GM-8004及相应功率放大器。

3）教育教学区：本区域主要是劳教室，向服刑人员提供专业丰富的科学、教育、法律及文化知识。配合教学需要，每间教室配备相应的网络广播点播终端GM-8002及相应的吸顶或壁挂音箱。

4）生产区：单独为一个区域，设计配置一台数字网络广播机架式终端GM-8004及相应功率放大器，终端配接GM606壁挂音柱。

5）食堂区：单独为一个区域，设计配置一台数字网络广播机架式终端GM-8004及相应功率放大器，终端配接GM-513吸顶天花喇叭。

6）室外公共活动区：本区域包括绿地足球场，篮球场区域，单独为一个广播区，设计配置数字网络广播机架式终端GM-8004及相应功率放大器，室外共配备12只GM-628（60W）大功率防雨音柱。

[1] [2] [3] 下一页

7）监狱长办公室、中控室、出入口门卫处：这三处设计为远程寻呼对讲控制，办公人员及服刑人员出入登记核实信息并相互对讲等。

三、本系统实现的功能

1、广播控制中心对多个或单个劳教室及监舍寻呼

当广播管理中心有事情，需要给多个监舍发布广播通知时，可通过广播控制中心来选择所要通知的区域，其它没有通知正常播放本域的音乐或其它教育节目。

2、定时、定点节目播放

系统可设定任意多个监舍播放制定的音频节目，或对任意指定的监舍区域进行广播讲话；服务软件可远程控制每台数字网络音频终端的播放内容（划定区域播放）和音量等，播放背景音乐及播放一些宣传教育类等。

3、消防联动功能

当某个区发生紧急性灾害或火灾时，广播系统将接收消防中心的报警信号，按预先设定好的N±

1、N±4邻层报警功能，相应区域的背景音乐及其它广全部切断，自动转为消防报警设备，起到组织指挥和疏导人员安全撤离时的中心防灾广播。

四、本系统还可实现以下功能（1）定时背景音乐播放

数字网络广播终端具有独立IP地址，可以单独接收服务器的个性化定时播放节目。广播员将需要使用的背景音乐素材存储在服务器硬盘上，并编制播放计划，系统将按任务计划实现全自动播出。（2）网上电台转播

数字IP网络广播可以将通过网络收音机软件接收到的Internet网络电台节目转换成IP网络广播数据格式，对网络语音终端实时播放。如美国之音、BBC、CNN及国内其他专门的语言电台等。

（3）语音实时采播

数字IP网络广播节目实时采播功能，能够将来自其他音源的节目实时采集压缩存储到服务器，并可按要求同时转播到指定的网络广播终端终端。采播源可以是其他商用或自用电台、录音卡座、CD播放器、MP3播放器、麦克等，用于广播通知等。

（4）报警强插广播

一路报警强插，外接报警（如火警等）信号一旦报警，可自动触发整个系统启动并接入报警广播，无须人为操作，而且根据预先设置可实现N±

1、N±4邻层报警功能。

（5）功放电源控制

数字网络终端可以根据语音信号的有无，自动切换内置功放的电源，避免功放24小时长时间工作。

（6）与安防监控系统无缝整合

系统提供完整的软件动态链接库，可与监控中心的系统服务器合成全方位的安防系统，是配套视频监控系统的理想选择。

五、系统特点和优势 传输数字化

GM数字IP网络广播采用独有的CD质量的数据文件格式，将音源转换为数据文件传送到网络终端。

上一页 [1] [2] [3] 下一页

全程数字化传输避免了传统音频广播的信号衰减与噪音，提供高保真音质的声音。终端个性化

GM数字IP网络广播基于IP数据网络，每个网络广播终端都可以有独立的IP地址，可以拥有完全个性化的节目。前端网络化

GM数字IP网络广播将前端音源扩展到整个网络，节目定时播放都可以通过网络远程操作。网络化的管理，还可以对不同的用户设置不同的权限。播放自动化

GM数字IP网络广播能够实现自动化播放，并为各个节目指定播放时间，服务器将自动进行播放，并且播放内容与对象范围可以任意指定。操作人性化

GM数字IP广播为提供了人性化的图形菜单界面、人性化的操作，轻松简便，专一实用，提高了使用的效率。应用智能化

GM数字IP广播有很多智能化的设计，可以在广播过程实现录音、变速、列表循环播放等语音功能；还可以实现定时设置，实现广播自动播放；并能够远程编排、维护、管理等。工程简单化

GM数字IP网络广播工程简单，对于现在有局域网设每一个IP广播点，只需要增加网络广播终端安装即可，如果没有搭建网络，数据网络的工程量也相对简单，只需要铺设网线即可，一旦建设，广播系统与计算机网络系统可以共用，减少多网重复建设。系统零维护

GM数字IP网络广播在物理上与网络共用，所以并不在网维护之外增加额外的维护工作。在应用上，系统可设置独立网段与计算机系统分隔，各网络广播终端嵌入式系统程序固化，不会受到病毒感染。系统整体稳定可靠，基本没有维护。

5.大型网络IP规划 篇五

1、科学性

2、合理性

3、可扩展性

4、便于管理

资料：二进制 ：1286432168421

11111111.11111111.11111111.11111111

案例：一所大学现在需要建设网络，为了学校信息中心的人员的方便管理，需要对IP有一个合理的规划，现有15个学院+一个校领导域，共需建设16个子网，以及在每个学院设置台PC机器的IP地址，现在为了后续网络拓展，需要提前预留一半的IP地址，假设每个学院又要设置8个学院的子网(举例：机房1、机房1、机房3、实验室、科研室、学院领导网、研究生)，方便学院部门管理。预计在网络ID为172.16.0.0/16配置IP。

分析：1、16个二级子网

2、每个子网2000个IP地址

3、每个二级子网又划分8个三级子网(有256太机器)

4、 网络ID：10101100.00010000.00000000.00000000

子网掩码：11111111.11111111.00000000.00000000

解决方案：

1、现在需要预留一半的IP地址：我们需要设置一级子网，那就将网络的一半IP地址预留：

(1)现在网络ID中的网络号是：172.16(16位)主机号是0.0(16位)

主机数：2的16次方个

(2)想再将网络ID中的主机号一分为二，现在向主机号中借一位变成网络号，那么现在就变成2个一级子网：172.16.0.0/17172.16.128.0/17，网络号之间的间隔是27=128(7为第三组中的主机数)

一级子网网络1：10101100.00010000.00000000.00000000

一级子网网络2：10101100.00010000.10000000.00000000

子网掩码：11111111.11111111.10000000.00000000

现在每个子网络中的网络号是：17位主机号是15位

主机数：215个

(3)现在将一级子网1：172.16.0.0预留，将一级子网2：172.16.128.0分配

2、现在在一级子网2：172.16.128.0中划分16个二级子网，每个二级子网中有2000多台机器，

(1)现在网络ID中的网络号是：172.16.128(17位)主机号：15位

主机数：215个

(2)要在一级子网上划分16个二级子网，需要向主机号中借4位(24=16)变成网络号，成为16个二级子网，网络号之间的间隔是23=8(3为第三组中的主机数)

二级子网网络1：10101100.00010000.10000000.00000000172.16.128.0/21

二级子网网络2：10101100.00010000.10001000.00000000172.16.136.0/21

二级子网网络3：10101100.00010000.10010000.00000000172.16.144.0/21

二级子网网络4：10101100.00010000.10011000.00000000172.16.152.0/21

二级子网网络5：10101100.00010000.10100000.00000000172.16.160.0/21

二级子网网络6：10101100.00010000.10101000.00000000172.16.168.0/21

二级子网网络7：10101100.00010000.10110000.00000000172.16.176.0/21

二级子网网络8：10101100.00010000.10111000.00000000172.16.184.0/21

二级子网网络9：10101100.00010000.11000000.00000000172.16.192.0/21

二级子网网络10：10101100.00010000.11001000.00000000172.16.200.0/21

二级子网网络11：10101100.00010000.11010000.00000000172.16.208.0/21

二级子网网络12：10101100.00010000.11011000.00000000172.16.216.0/21

二级子网网络13：10101100.00010000.11100000.00000000172.16.224.0/21

二级子网网络14：10101100.00010000.11101000.00000000172.16.232.0/21

二级子网网络15：10101100.00010000.11110000.00000000172.16.240.0/21

二级子网网络16：10101100.00010000.11111000.00000000172.16.248.0/21

子网掩码：11111111.11111111.11111000.00000000

现在每个子网络中的网络号是：21位主机号是11位

主机数：211个(2048个)

现在主机号中共有2048个IP，除去网络号和广播号，足够满足方案中的要求，

(3)现在将二级子网1：172.16.128.0/21举例，进行三级子网的划分，满足学院的要求。

3、现在在二级子网1：172.16.128.0/21中划分3个三级子网，每个三级子网中有256多台机器，

(1)现在网络ID中的网络号是：172.16.128(21位)主机号：11位

主机数：211个

(2)要在二级子网上划分8个三级子网，需要向主机号中借3位(23=16)变成网络号，成为8个三级子网，网络号之间的间隔是20=1(0为第三组中的主机数)

三级子网网络1：10101100.00010000.10000000.00000000172.16.128.0/24

三级子网网络2：10101100.00010000.10000001.00000000172.16.129.0/24

三级子网网络3：10101100.00010000.10000010.00000000172.16.130.0/24

三级子网网络4：10101100.00010000.10000011.00000000172.16.131.0/24

三级子网网络5：10101100.00010000.10000100.00000000172.16.132.0/24

三级子网网络6：10101100.00010000.10000101.00000000172.16.133.0/24

三级子网网络7：10101100.00010000.10000110.00000000172.16.134.0/24

三级子网网络8：10101100.00010000.10000111.00000000172.16.135.0/24

子网掩码：11111111.11111111.11111111.00000000

现在每个子网络中的网络号是：24位主机号是8位

主机数：28个(256个)

现在主机号中共有256个IP，除去网络号和广播号，足够满足方案中的要求。

以二级子网1：172.16.128.0/21中划分3个三级子网为例，进行划分学院中三级子网，其他二级子网的划分方法以上类推。

现在这个大型网络的IP地址很合理、科学的配置完整。如果本网络以后扩展院系或添加院系，只需在预留的一级子网络中提取相应的IP地址。如果院系的IP不够，也可以在预留的一级子网络中提取相应的IP地址。原理一样。

注：文中的一级子网网络、二级子网网络、三级子网网络都是为了方便理解IP规划的思路，没有此概念!它们统称子网!

6.网络IP地址管理规定 篇六

一、制定目的：

为了规范公司内部网络IP地址的分配和管理，保障公司网络正常运行和健康发展，更好地为大家服务，特制定公司网络IP地址管理规定。

二、适用范围：

公司各部门、分厂电子办公管理人员

三、职责分工：

1、公司内部网实行静态IP地址管理，IP地址由网络管理部统一规划、分配和管理，公司计算机均分配真实、唯一的IP地址。

2.网络管理部负责公司内部网IP地址的日常维护、管理工作（包括用户申请IP地址的审批、IP地址和网卡地址的登记绑定、IP地址的监管和网络故障检测）。

3.任何接入公司内部网的计算机用户须到网络管理部办理申请手续，填写《IP地址申请表》，登记网卡的物理地址（MAC地址）；用户如更换网卡，须到网络管理部重新登记备案。

4.IP地址是一种重要的、有限的网络资源，用户如停用IP地址应及时报网络管理部注销。网络管理部有权收回长期未使用的IP地址。

5.获得合法静态IP地址的计算机用户可自由访问公司内部资源，用户享有对该IP地址的专用权，同时承担对该IP地址所应担负的相关道德和法律责任。

6.获得合法静态IP地址的计算机用户只允许在已备案的计算机上使用公司内部网资源。未经网络管理部批准，不得挪用、转让其所拥有的IP地址，一经发现，网络管理部有权收回其IP地址，终止其使用公司内部网信息服务的权利。

7.任何人不得私自盗用公司内部网内的IP地址。一经发现，网络管理部有权停止其一切网络连接，情节严重的给予相应处理。

8.网络管理部有权根据公司的相关规定对部分IP地址（如：被盗用的IP地址、计算机受到病毒影响等）进行绑定、更换、封锁、关闭等处理措施。

9.本办法由网络管理部负责解释并实施。

10.本规定自公布之日起执行。

四、考核规定：

1、未经网络管理部允许，私自盗用他人IP地址，一经发现考核100元/次；

2、未经网络管理部允许，私自盗用他人可上网IP地址，且造成公司机密泄露或病毒感染者，一经发现考核1000-5000元/次；

3、上网人员不得把IP地址告诉或转交他人使用，一经发现考核200元/次；

4、上网人员不得转接路由器或设置网络代理服务器，一经发现考核1000元/次。

7.海康ip网络监控方案 篇七

移动自组网络MANET(Mo Bile Ad Hoc Network)是指由一组移动节点组成的动态的、多跳的无线网络。移动自组网络中的节点既是主机又是路由器,网络的互联完全由节点之间的相互协作来实现的。与其他网络相比较,Ad hoc网络这种组网方便的特点,使得其广泛应用于紧急通信、军事通信等领域。

1 Ad hoc网络的IP配置问题

移动自组网通过协议组成网络,其中有代表性的路由协议有DSR[2]、AODV[3]、OLSR[4]、DSDV[5]、TBRPF[6]等。这些路由协议都需遵循一个基本前提,即在建立路由实现通信前,网络中所有节点都必须有一个全网唯一的地址。对于规模小(几十个节点)、范围小(一千米以内)的网络可以用静态编制的方案来实现,但是对于规模大(几千个节点)、范围较大且不断扩展的网络,手动的静态设置就显得无能为力。这就需要采用可自动分配网络地址的IP地址自动分配技术。

传统固定网络环境IPv4、IPv6分别提供了相应的IP自动分配地址的机制,IPv4提供了DHCP,IPv6提供了全状态和无状态两种地址自动配置方式。但是由于Ad hoc网络中:(1)节点的随机移动性;(2)缺乏中央管理;(3)节点资源有限;(4)无线网络带宽有限等特点,很多在传统固网中的自动配置方法难以直接适用于Ad Hoc网络,因此必须研究适应于Ad hoc网络的专用地址动态IP分配机制。

Ad hoc网络的IP分配机制必须满足以下条件:(1)分配的机制不依赖路由协议;(2)分配的IP地址是唯一标识的;(3)能够短时间内处理IP冲突问题,管理好网络分割和合并情况;(4)尽可能地使IP分配过程时间短,开销低。

2 相关Ad hoc网络IP自动配置方案

为了很好地解决IP分配过程中的一系列问题,研究人员提出了一系列方案。文献[7]提出了一种AAA协议,方案采用B类网络169.254/16随机为新加入节点配置一个IP地址,通过全网性的重复地址检测来保证网络不存在冲突IP地址,但是该方案只在节点请求地址阶段进行地址冲突检验,而缺乏地址维护机制;MANET中数据包的延时不确定,如果包的延时大于协议规定的时间,则可能给未配置的节点分配冲突的地址;若网络规模大,消息洪泛整个网络的开销也不小;另外,该方案不能解决网络分割和合并问题。

文献[8]提出一种MANETconf配置方案,它通过一张全局的IP地址表来保存所有的地址信息,节点加入和退出网络时更新地址表中相应地址状态信息。同时还可以通过对全局表的查找来检测IP冲突。MANETconf方案依赖于先验式路由协议,在大型Ad hoc网络中若每个节点都要维持一个全局表代价是昂贵的,显然MANETconf方案不适应于大型Ad hoc网络。

文献[9]提出了一种Prophet分配机制(预言函数机制),它利用一个特殊函数f(n)来分配地址。f(n)是一个有状态函数,在整数集R上产生整数序列,初始状态为seed,不同的seed将得到不同的整数序列。但是这种方案没有排除地址冲突的可能性,方案中他们假设当一个旧地址分配给一个新加入节点时,原来拥有此地址的节点离开了MANET,事实并不一定如此。

文献[10]提出了Buddy机制(地址池机制),方案为了每个节点保留一个未分配的IP地址集,新加入的节点广播地址分配请求,寻找一个已配置IP的节点作为代理,为其分配一个未用的IP地址,同时分配一半空闲的IP地址空间。该方案最大的缺陷是IP地址得不到充分利用,造成了一部分IP地址的流失,对本身资源有限的Ad hoc网络来说一种极大的浪费。

文献[11]提出把IPv6的地址自配置方案移植到Ad hoc网络来。方案中,节点所有的数据包不需要特别指出IPv6地址的全局前缀就可以传输到所属子站点的所有节点。文献[12]提出了一种简单的解决方案以确保所有的节点属于一个网络。上述方案中节点本机地址由16位子网ID,48位的固定地址以及64位内部地址组成,子网ID在Ad hoc网络中没有任何物理意义(意味着在路由查找过程中不提供任何信息,仅仅作为子网的标识),每个节点都可以通过随机选择子网ID和内部地址来创建一个完整的IP。文献[13]提出一个地址复用检测机制,解决地址冲突问题。文献[14]提出一个方案确保了网络合并的时候IP地址唯一。

3 AIPAC方案

文献[1]采用文献[11]中的分层思想,提出一种AIPAC方案。该方案的基本思想是:一个完整的网络IP地址由IP和4字节的Network ID(Net ID)组成,网络初始化阶段并不要求节点拥有有效的IP地址,而是选择具有更高HID(Host Identify)的节点作为配置变量(Initiator)为进入网络的两节点配置IP地址。其他后来进入网络的节点向Initiator发出地址分配请求,由Initiator为新加入节点分配IP地址。协议通过广播(IP,Net ID)组信息来管理整个网络的IP地址冲突、网络的分割和合并。

针对网络合并过程中并不会马上出现节点数据传输的特点,AIPAC协议并不提供及时的地址复用解决方案,而是结合反应式路由协议的特点,只在有需要的时候进行DAD(duplication address detection),解决地址冲突问题,避免存储过时的无用信息。并结合上述特点还提出了一种逐步合并的策略来管理网络的合并,同样也是为了避免存储过时的无用信息,节约资源。

4 一种分层的安全性方案

AIPAC方案中的IP分配,是基于对节点绝对信任的基础上实现的,现实中Ad hoc网络会面临各种形式的攻击。本文根据AIPAC协议的特点,提出一种分层次的安全性方案。方案的基本思路是:基于分层的概念基础上,对不同层次的节点进行不同程度的认证,对初始节点进行双向认证,而在子网中由初始节点对新加入节点进行单向认证,以保证在IP分配过程中节点的安全性。方案在注重安全性的同时,尤其关注了认证过程中的通信开销问题。

基本方案如下:

设Ai、Aj为初始节点,Bi为普通节点,N为子网的个数。

1)当节点是初始节点时:

(1)若N=1,即只有一个子网,则Ai不需要认证;

(2)若N=2,子网个数为2,Ai与Aj之间相互认证(i与j不同);

(3)若N≥3,初始节点之间相互认证至少两次。

2)当新加入节点Bi为普通节点时:

由初始节点对其进行单向认证,认证通过后,初始节点为其分配IP地址。

初始节点认证的算法如下:A、Bi为初始节点,*为邻居节点。

步骤(1),一个新加入的初始节点向其邻居初始节点发送认证请求,一个认证请求消息包括了请求者的身份,请求者的离线证书(离线证书由认证请求者A和req Auth消息经A的私钥加密生成);步骤(2),当邻居初始节点Bi收到消息后,用A的公钥(节点的公钥可以线下获取)解密消息获取请求认证者信息,同时发送Bi的证书Cert(Bi)(Cert(Bi)与Cert(A)雷同,由Bi和req Auth加密生成),同时把加密过的验证信息(Bi,NBi)给A,随机数NBi保证该消息不重复、有效;步骤(3),A解密Bi消息,获取其中信息,外加一随机数NA,并用Bi公钥加密发送给Bi;步骤(4),Bi验证NBi后发送消息告知请求者A,认证通过;步骤(5),A验证了NA告知对Bi的认证通过,最后由AIPAC协议的初始化进程对新加入的初始节点进行IP分配。

子网新加入的节点认证算法如下:

KS为一次性密钥,A为新加入节点,B为初始节点,NA、NB为随机数,KB为B的公钥。

在上述算法中,A节点向初始节点B请求认证,请求消息包括请求者身份A,证书A(证书里包括请求消息,一次性密钥KS,随机数NA)。当B收到消息用自己私钥解密获取KS,NA并把NA加密返回A,A验证NA后,把加密的NB发送给A,B验证NB后,即给A分配IP地址。

5 性能评估

5.1 安全性评估

在移动Ad hoc网络中,针对IP分配和节点认证过程的攻击形式,有地址欺骗攻击以及恶意节点行为等。本方案中,在认证阶段由于恶意节点无法得到节点的私钥和合法的数字证书,每个节点收到认证请求后都会用证书的公钥来验证发送者的真实身份。恶意节点就没有机会伪装其他节点的地址或发出地址冲突的假信息。在地址分配阶段中,初始节点的IP分配由于子网处于初始化阶段,攻击者很难攻击一个原本不存在的网络,而在子网的IP分配阶段,IP地址用KS加密,恶意节点无法获得KS,就保证了IP地址信息不会被恶意节点获得,有效保证了IP分配过程的安全,防止地址欺骗攻击。

显然从算法中可以看出初始节点的安全性基于相互认证的节点数,认证的次数越多安全性越高。对于一个已认证的节点来说,是不能防止其恶意的行为,一个节点一旦通过认证获取IP地址,可以在短时间内重新认证n次,以消耗地址资源。但是由于一个节点需要多个节点认证,才意味着身份认证通过。要形成对整个网络有效的攻击,需要一系列恶意的节点,节点数要达到一个阈值。同时由于每次认证的证书是不同的,加大了通过认证的难度,很难形成有效的攻击,这样可以有效防止恶意节点的行为。由于在子网中采用了不同于初始节点的单向认证形式,子网的安全性相对来说比较弱,但是由于AIPAC协议采用分层设计,即便发生了网络攻击事件,受到影响的网络仅仅是整个网络的一小部分,局限于某一个子网。攻击者若想攻击整个网络必须在经过子网认证的同时,还需要进行多个不同初始节点的认证服务,认证代价很高,这样可以有效避免对整个网络的攻击,限制受攻击范围。

同时AIPAC协议在IP分配的过程中,由于采用32位IPv4地址,可以选择的地址有232种可能值,即使节点个数很多,经生日判定计算,冲突的几率也很低;若采用IPv6地址空间,几率则会更小,完全能够有效防止生日攻击。

5.2 安全性开销评估

本文方案还有一个重要优点,即认证开销相对较小。移动Ad hoc网络主要的限制在于资源有限、带宽有限、能量有限。目前,所有安全性的IP分配方案专注于IP分配过程的安全性问题,并没有考虑认证开销问题。建立一次身份认证和地址分配的开销比较大,密钥的注册和证书的颁发,对每一个参与节点的认证和RSA计算过程,加密解密过程,都需要大量的开销。

虽然这种开销在实现Ad hoc网络安全的过程中是不可避免的,但是也应该在提供安全性的同时,减小安全性开销,本文尤其关注了安全性开销问题。结合AIPAC协议分层设计的特点,对子网中节点仅进行单向认证,虽然相对来说降低了网络的安全性,但是这种安全性威胁仅局限于一个子网内,同时极大地降低了安全性开销,这样的代价是可以接受的。

我们就文献[10]中安全性的开销和本文方案的安全性开销做比较:

文献[10]中采用的是基于邻居节点的认证模式,对所有节点采用基于邻居节点的双向认证模式,认证次数至少在2次以上,认证通过之后分配IP和一段地址池给请求节点。在文献[10]中认证是基于所有的邻居而言,认证步骤为6步,至少认证2次。而本文方案中,由于采用了分层设计,初始节点相对很少,大部分认证是子网中普通节点的单向认证。单向认证通过,初始节点即为新加入节点分配IP地址,总共步骤为4步。同时初始节点认证较为复杂,需要多次的加密解密工作,而单向认证相对简单,显然认证的开销远不及文献[10]中一半。

6 结 论

8.基于IP网络的视频监控系统研究 篇八

关键词：视频监控；IP网络；视频图像压缩

中图分类号：TP277 文献标识码：A文章编号：1007-9599 (2012) 01-0000-02

IP-based Video Surveillance System Study

Dong Xiaowei

(Xidian University,Xi'an710071,China)

Abstract:In this paper,the main function of the IP network video surveillance system,the system processes and data acquisition of video data compression algorithms optimized.

Keywords:Video surveillance;IP network;Video compression

最早的视频监控是一种全模拟的视频监控系图片信息以模拟信息的传输方式，采用视频电缆进行传输，因此图片信息的传输距离一般都较短，只能应用于小范围区域的监控。随着信息技术的发展，利用数字控制的视频矩阵来替代传统的全模拟视频矩阵，采用数字信息，通过IP网络传输的监控系统具有更远的传输距离以及更灵活的处理方式。

一、系统需求分析

在视频监控系统中，必须实现数据采集和传输、数据监控以及数据存储管理三大功能。

（一）数据采集和传输

1.数据采集

视频采集即通过摄像头将监控范围内的信息转换成为数字信息，由于在市场上已经有较多非常成熟的视频监控摄像头产品，因此，可以通过购买合适产品来实现视频数据的采集。

2.数据传输

一般而言，在网络中传输的数据较多，从而给网络传输和数据存储带来了较大的压力。因此，需要采用合适视频数据编码技术来对数据进行压缩，从而减轻系统中数据传输与数据存储的压力。

（二）数据监控

1.动态检测

动态检测即视频监控端从IP网络中获取视频监控数据进行显示的过程，为了让观察人员能够更加集中精力对校园视频监控尽心观察，系统应该能够按照2×2、3×3、4×4等多种通道形式对IP网络中的数据进行观察。

2.云台控制

云台控制，即在视频监控端，通过Socket技术对云台进行控制，从而通过计算机软件调整摄像头的角度和焦距。

3.视频回放

首先，查找存储在存储器中的历史视频数据，然后读取文件系统中的视频数据进行回放，其显示的界面与动态检测界面完全类似，但是与动态检测之直接从IP网络中读取视频数据不同，视频回放是读取文件系统中的视频数据进行播放。

（三）数据存储

1.视频录像

视频录像，即将网络中传输的视频监控信息进行存储，以方便日后了解事故发生的前因后果、快速定位事故嫌疑人，视频录像除了保存视频图像信息以外，为了方便对视频数据的管理，存了存储视频数据外，还必须将视频采集的地点和时间段等描述信息进行存储。

2.系统数据管理

系统数据表示除了视频图像信息外，系统中的用户信息、摄像头描述信息以及视频录像文件描述信息。

二、系统流程设计

（一）数据采集流程

1.使用市场上已经较为成熟的摄像头来进行视频数据的采集。

2.采用H.264视频数据编码方法来完成视频数据的压缩，通过在摄像头端安装BF527芯片对视频图像数据进行H.264编码。

3.使用IP组播技术来进行视频数据的传输，一方面，使得IP网络中的视频监控子系统可以观察到所获取的视频信息；另一方面，IP网络中的数据存储管理子系统可以将网络中传输的视频数据存储到文件系统中。

（二）云台控制流程

对云台的控制指的是控制云台的转动，从而增加监事区域的范围。对镜头的控制，主要控制镜头的变距、焦距和光圈。客户端通过Socket来对云台和镜头以及摄像机周边照明灯的开关。其具体流程如下所示：

1.系统初始化；

2.判断串口是否可用，如果不存在则进入第三步，否则进入第四步；

3.判断下一个串口是否存在，如果可用则转入第一步，进行初始化；如果不存在，则结束，并给出错误信息；

4.发送相应动作码控制云台和静态动作；

5.结束。

三、关键技术实现

在视频采集子系统中，为了提高IP网络中视频数据的传输速度，需要使用合适的视频数据编码方法来对视频图像信息进行压缩。H.264是一种效率较高的视频压缩技术，体现了目前国际视频编码解码技术的最新成果。在保证相同的视频图像质量下，H.264有更高的压缩比和更好的IP网络适应性。但是，同时这样的高压缩比需要进行大量的运算。同时，视频信息的压缩是在摄像头端进行，为了提高H.264编码算法的运行效率。

H.264是一个非常复杂的算法，仅使用C语言很难达到实时编码的效果。在对算法进行分析的过程中，发现DCT、SAD等函数被频繁的调用，消耗了大量的处理时间，因此，主要采用汇编语言实现DCT、SAD函数，从而提高运行效率。

在C代码和汇编代码汇编的程序中，一般都由C代码来构建运行环境和主题构架，然后再嵌入汇编代码函数，通常有以下两种方法：

（1）直接将汇编代码嵌入到C代码中，使用bfin-uclinux-gcc或者是bfin-linux-uclibc-gcc等编译工具都支持使用asm（）函数直接嵌入汇编代码 ，这种方法较为简单，但是编译较为麻烦。

（2）使用汇编语言编写，函数，然后由C代码来调用这些函数，这种方法比较通用 ，虽然比较复杂，但是程序的整体结构更好理解，在视频监控系统中采用这种方法来实现H.264编码算法中DCT、SAD等函数代码的优化。

例如，对SAD的优化如下：

LSETUP（START，END） LC0=p1；//硬件循环，其中P1是循环的次数

START：

R3=[I1++]；//数据读取

SAA（R1：0，R3：2）||R1=[I0++]||R2=[I1++]；//计算R1：0，R3：2的SAD

SAA（R1：0，R3：2）||R0=[I0++]||R3=[I1++]；//同时读取数据

SAA（R1：0，R3：2）||R1=[I0++]||R2=[I1++]；

END：

SAA（R1：0，R3：2）（R）||R0=[I0++]||R2=[I1++]；

经过测试，在16*16像素模块等SAD算法中，总共需要9261个时钟周期，进行优化后仅需要使用182个时钟周期就可以完成，提高了近50倍的效率。

参考文献：

[1]刘文耀.数字图像采集与处理.北京:电子工业出版社,2007,89-95

[2]汪国有，姜远利，杨永祥.基于Blackfin DSP的实时视频采集接口设计与实现.计算机与数学工程,2010,34(1):125-127

[2]毕厚杰.新一代视频压缩编码标准-H.264/AVC.北京:人民邮电出版社,2005,65-88