鄧黃燕， 周 迪

（浙江宇視科技有限公司，浙江 杭州 310053）

0 引言

為有效維護(hù)社會(huì)穩(wěn)定，構(gòu)建和諧生活環(huán)境，平安城市建設(shè)一直是政府和公眾持續(xù)關(guān)注的熱門(mén)話題。 平安城市建設(shè)首先要滿足治安管理和社會(huì)安全防控的需求。 當(dāng)前社會(huì)是一個(gè)人、財(cái)、物大流動(dòng)的社會(huì)，社會(huì)面的信息千變?nèi)f化，極大地增加了公安機(jī)關(guān)管理社會(huì)的難度， 傳統(tǒng)治安管理和社會(huì)防控的方法和手段已很難滿足當(dāng)前的工作要求。 而平安城市充分利用現(xiàn)代信息通信技術(shù)， 結(jié)合音視頻、智能、大數(shù)據(jù)的應(yīng)用，達(dá)到了指揮統(tǒng)一、反應(yīng)及時(shí)、作戰(zhàn)有效的目的。

然而，由于缺乏前期的統(tǒng)籌規(guī)劃，各單位根據(jù)自己的業(yè)務(wù)需求積極快速地部署了大量視頻監(jiān)控系統(tǒng)。這些獨(dú)立運(yùn)行的系統(tǒng)在有效發(fā)揮其最初規(guī)劃的功能的同時(shí)，也為聯(lián)網(wǎng)應(yīng)用、數(shù)據(jù)共享造成了障礙。而聯(lián)網(wǎng)應(yīng)用和數(shù)據(jù)共享是視頻監(jiān)控系統(tǒng)及其數(shù)據(jù)價(jià)值獲得進(jìn)一步質(zhì)的提升的關(guān)鍵基礎(chǔ)。 為此，2015 年，國(guó)家發(fā)改委等九部委聯(lián)合發(fā)布了《關(guān)于加強(qiáng)公共安全視頻監(jiān)控建設(shè)聯(lián)網(wǎng)應(yīng)用工作的若干意見(jiàn)》，要求到2020 年基本實(shí)現(xiàn)“四個(gè)全”目標(biāo)，分別為：全域覆蓋，即實(shí)現(xiàn)重點(diǎn)公共區(qū)域及重點(diǎn)行業(yè)、領(lǐng)域的重要部位100% 視頻監(jiān)控覆蓋； 全網(wǎng)共享，即實(shí)現(xiàn)重點(diǎn)公共區(qū)域及重點(diǎn)行業(yè)、領(lǐng)域的涉及公共區(qū)域的視頻圖像資源100%聯(lián)網(wǎng)共享；全時(shí)可用，即實(shí)現(xiàn)重點(diǎn)公共區(qū)域安裝的視頻監(jiān)控?cái)z像機(jī)完好率達(dá)到98%，重點(diǎn)行業(yè)、領(lǐng)域的涉及公共區(qū)域的監(jiān)控?cái)z像機(jī)完好率達(dá)到95%；全程可控，即公共安全視頻監(jiān)控系統(tǒng)聯(lián)網(wǎng)應(yīng)用實(shí)現(xiàn)分層安全體系建設(shè)，保證重要視頻圖像信息不失控、敏感信息不泄露。

在視頻圖像信息聯(lián)網(wǎng)建設(shè)的過(guò)程中，如何實(shí)現(xiàn)數(shù)量巨大的、 存在IP 地址沖突的在線應(yīng)用平臺(tái)無(wú)縫地互聯(lián)和共享，成為關(guān)乎視頻圖像信息整合與共享成敗的關(guān)鍵。

1 在線視頻監(jiān)控業(yè)務(wù)聯(lián)網(wǎng)共享存在的問(wèn)題

1.1 問(wèn)題描述

1.1.1 平臺(tái)聯(lián)網(wǎng)擴(kuò)展難

當(dāng)前國(guó)內(nèi)各級(jí)政府機(jī)關(guān)和事業(yè)單位的大型視頻監(jiān)控系統(tǒng)建設(shè)大多遵從國(guó)家標(biāo)準(zhǔn)《GB/T 28181-2011 公共安全視頻監(jiān)控聯(lián)網(wǎng)系統(tǒng)信息傳輸、交換、控制技術(shù)要求》，標(biāo)準(zhǔn)的最新版本為《GB/T 28181-2016 公共安全視頻監(jiān)控聯(lián)網(wǎng)系統(tǒng)信息傳輸、交換、控制技術(shù)要求》，以下簡(jiǎn)稱“GB/T 28181 標(biāo)準(zhǔn)”。

GB/T 28181 標(biāo)準(zhǔn)中平臺(tái)之間的對(duì)接需要進(jìn)行域間互聯(lián)的注冊(cè)，從而形成鄰居關(guān)系。 但是鄰居關(guān)系的信令維護(hù)需要消耗平臺(tái)資源，通常一個(gè)平臺(tái)的鄰居數(shù)量規(guī)格在幾十到幾千。 顯然，巨量的平臺(tái)一旦實(shí)現(xiàn)兩兩互聯(lián)， 很多平臺(tái)將無(wú)法支撐鄰居關(guān)系，從而造成系統(tǒng)性能的障礙。

GB/T 28181 標(biāo)準(zhǔn)中平臺(tái)之間建立互聯(lián)， 需要管理員進(jìn)行手動(dòng)配置和維護(hù)。然而，大量的平臺(tái)進(jìn)行兩兩互聯(lián)， 其配置和維護(hù)的工作量將非常巨大。 例如，1000 個(gè)平臺(tái)實(shí)現(xiàn)互聯(lián)， 管理員需要在每個(gè)平臺(tái)上進(jìn)行關(guān)于其他999 個(gè)平臺(tái)的鄰居關(guān)系配置， 并將需要對(duì)499500 對(duì)鄰居關(guān)系進(jìn)行維護(hù)。如此巨大的工作量是不可接受的，從而造成配置維護(hù)的障礙。

系統(tǒng)性能的障礙和配置維護(hù)的障礙屬于平臺(tái)聯(lián)網(wǎng)的擴(kuò)展性困難。

1.1.2 在線業(yè)務(wù)無(wú)縫遷移難

目前公安視頻專網(wǎng)大量運(yùn)行著基于GB/T 28181 標(biāo)準(zhǔn)的級(jí)聯(lián)模式的業(yè)務(wù)平臺(tái)。 這種模式下，上級(jí)域平臺(tái)可以調(diào)閱下級(jí)域平臺(tái)所管轄的視頻資源，但下級(jí)域無(wú)法調(diào)閱上級(jí)域和平級(jí)單位的視頻資源， 必須通過(guò)申請(qǐng)上級(jí)平臺(tái)的賬號(hào)權(quán)限以達(dá)到目的。 如此，業(yè)務(wù)執(zhí)行的實(shí)時(shí)性和重要數(shù)據(jù)的對(duì)接融合便無(wú)法實(shí)現(xiàn)，從而造成業(yè)務(wù)融合對(duì)接的障礙。

將上下級(jí)域的級(jí)聯(lián)模式修改為平級(jí)域之間的互聯(lián)模式，確實(shí)可以在一定范圍內(nèi)實(shí)現(xiàn)各平臺(tái)之間的聯(lián)網(wǎng)共享。 但是，基于GB/T 28181 標(biāo)準(zhǔn)平臺(tái)的重新配置改造，必定導(dǎo)致在線業(yè)務(wù)的中斷，影響該時(shí)間段內(nèi)重要任務(wù)的執(zhí)行。 這是在線系統(tǒng)平滑切換的障礙。

業(yè)務(wù)融合對(duì)接的障礙和在線系統(tǒng)平滑切換的障礙屬于無(wú)縫遷移的困難。

1.1.3 聯(lián)網(wǎng)的地址沖突解決難

由于歷史上各單位采取獨(dú)立的IT 設(shè)施規(guī)劃和建設(shè)的策略，IP 地址的沖突在所難免。如今若為了聯(lián)網(wǎng)而進(jìn)行IP 地址的重新規(guī)劃和實(shí)施將是一項(xiàng)十分浩大的工程。 采用NAT （Network Address Translation，網(wǎng)絡(luò)地址轉(zhuǎn)換）設(shè)備進(jìn)行隔離，并通過(guò)NAT 進(jìn)行互聯(lián)，是一個(gè)常見(jiàn)的方案，但NAT 聯(lián)網(wǎng)也會(huì)遇到不少問(wèn)題。

第一，IP 報(bào)文穿過(guò)NAT 設(shè)備后其源IP 地址或目的IP 地址會(huì)發(fā)生改變， 而其承載的消息體所包含的IP 信息不會(huì)發(fā)生改變， 這種不一致會(huì)導(dǎo)致某些業(yè)務(wù)無(wú)法交互。 例如，處于私網(wǎng)的服務(wù)器將私網(wǎng)服務(wù)地址包含在消息中告訴公網(wǎng)的訪問(wèn)者，訪問(wèn)者顯然無(wú)法訪問(wèn)這個(gè)服務(wù)地址。 于是，相關(guān)的業(yè)務(wù)流程必須針對(duì)各種組網(wǎng)做出特殊而復(fù)雜的設(shè)計(jì)。

第二， 如果NAT 私網(wǎng)存在多個(gè)需要被公網(wǎng)設(shè)備訪問(wèn)的服務(wù)器， 就必須在NAT 設(shè)備上為這些服務(wù)器分別配置公網(wǎng)IP，這會(huì)消耗很多公網(wǎng)IP 地址。雖然有時(shí)也可以通過(guò)配置“地址+端口” 映射來(lái)實(shí)現(xiàn)，但由于不同的業(yè)務(wù)使用不同的端口號(hào)，就需要管理員遍歷所有的業(yè)務(wù)類型， 配置大量的映射，維護(hù)工作量很大。

第三，中心控制服務(wù)器在某些情況下可以判斷出交互的雙方誰(shuí)處于NAT 私網(wǎng)、誰(shuí)處于公網(wǎng)，從而通知內(nèi)網(wǎng)的設(shè)備主動(dòng)向外網(wǎng)設(shè)備發(fā)起連接。這就要求每個(gè)會(huì)話都實(shí)現(xiàn)兩種以上的處理流程。對(duì)于一個(gè)包含了多個(gè)會(huì)話行為的業(yè)務(wù)流程來(lái)說(shuō)，這種組合會(huì)非常復(fù)雜；況且某些標(biāo)準(zhǔn)業(yè)務(wù)也不允許交互的雙方顛倒C/S 的角色，例如HTTP 請(qǐng)求，不可能讓W(xué)EB服務(wù)器主動(dòng)向WEB 客戶發(fā)起TCP 連接。

第四， 防火墻作為一個(gè)企業(yè)網(wǎng)絡(luò)的安全保障，其職責(zé)之重不言而喻，當(dāng)存在多個(gè)被訪問(wèn)的服務(wù)處于防火墻內(nèi)側(cè)時(shí)， 就需要防火墻開(kāi)放相當(dāng)數(shù)量的UDP/TCP 端口，如此便會(huì)給內(nèi)網(wǎng)帶來(lái)安全隱患。

1.1.4 異構(gòu)系統(tǒng)共享對(duì)接難

GB/T 28181 標(biāo)準(zhǔn)發(fā)布之前， 視頻監(jiān)控系統(tǒng)已經(jīng)在各個(gè)單位獲得了大量的應(yīng)用。這些系統(tǒng)遵從著不同的地方標(biāo)準(zhǔn)、 行業(yè)標(biāo)準(zhǔn)和企業(yè)標(biāo)準(zhǔn)， 很多與GB/T 28181 標(biāo)準(zhǔn)并不兼容。 現(xiàn)有視頻監(jiān)控系統(tǒng)的標(biāo)準(zhǔn)不統(tǒng)一給聯(lián)網(wǎng)共享帶來(lái)了協(xié)議交互的障礙。

《關(guān)于加強(qiáng)公共安全視頻監(jiān)控建設(shè)聯(lián)網(wǎng)應(yīng)用工作的若干意見(jiàn)》同時(shí)要求：依托公安視頻圖像專網(wǎng)，以公安視頻圖像共享平臺(tái)為核心，分級(jí)有效整合各類視頻圖像資源，逐步對(duì)接社會(huì)面視頻資源，最大限度實(shí)現(xiàn)公共區(qū)域視頻圖像資源的全網(wǎng)聯(lián)網(wǎng)共享。社會(huì)面視頻資源采用的標(biāo)準(zhǔn)更是五花八門(mén)，不一而足，甚至根本沒(méi)有標(biāo)準(zhǔn)。

如何實(shí)現(xiàn)這些異構(gòu)系統(tǒng)與GB/T 28181 標(biāo)準(zhǔn)平臺(tái)的便利靈活地對(duì)接， 是一個(gè)需要仔細(xì)研究的課題。

1.2 傳統(tǒng)的主要解決方法及不足之處

針對(duì)系統(tǒng)性能的障礙，一個(gè)常用的解決方案是集群或堆疊。 集群和堆疊可以節(jié)省前期投資，根據(jù)業(yè)務(wù)增長(zhǎng)累加投資， 是一個(gè)總擁有成本TCO（Total Cost of Ownership）比較理想的方案。 針對(duì)配置維護(hù)的障礙， 或許可以單獨(dú)設(shè)計(jì)一種自動(dòng)發(fā)現(xiàn)的機(jī)制，但目前GB/T 28181 標(biāo)準(zhǔn)中并沒(méi)有這方面的考慮。無(wú)論如何，這些方案均需要升級(jí)系統(tǒng)，對(duì)在線業(yè)務(wù)造成影響。

針對(duì)業(yè)務(wù)融合對(duì)接的障礙，一個(gè)解決方案是在上級(jí)域平臺(tái)分類分級(jí)開(kāi)設(shè)賬號(hào)，并實(shí)施合適的權(quán)限管控。 不過(guò)，一個(gè)系統(tǒng)的在線用戶數(shù)量通常存在限制，受制于平臺(tái)的硬件性能。而在線系統(tǒng)平滑切換，依靠GB/T 28181 標(biāo)準(zhǔn)的平臺(tái)自身是無(wú)法實(shí)現(xiàn)的。

異構(gòu)方案的對(duì)接，常用的方案是基于其中一方的業(yè)務(wù)SDK 調(diào)用， 或采用第三方網(wǎng)關(guān)進(jìn)行業(yè)務(wù)轉(zhuǎn)換。 但若要同時(shí)解決前面的幾個(gè)問(wèn)題， 單純采用SDK 和轉(zhuǎn)換網(wǎng)關(guān)顯然無(wú)能為力。

解決NAT 穿越的問(wèn)題，當(dāng)前的主要方法[8]包括應(yīng)用層網(wǎng)關(guān)ALG （Application Layer Gateways）、隧道技術(shù)、Hole Punching 方案、STUN 協(xié)議、TURN 協(xié)議、Full Proxy 方 法、Middlebox Communications（MidCom）協(xié)議等。 ALG 方案[9]組網(wǎng)部署最簡(jiǎn)單，但對(duì)NAT/Firewall 有特殊要求，要求其識(shí)別應(yīng)用層信息，并修改內(nèi)部字段，每增加一種應(yīng)用都需對(duì)NAT/Firewall 做版本升級(jí)。 隧道技術(shù)[10]簡(jiǎn)潔方便，但隧道兩端的網(wǎng)絡(luò)很可能存在地址規(guī)劃沖突，需要對(duì)兩端網(wǎng)絡(luò)做IP 地址規(guī)劃更改。Hole Punching[11]、STUN[12]、TURN[13]、Full Proxy 等協(xié)議各有特點(diǎn)，但均要求在外網(wǎng)部署一臺(tái)服務(wù)器。 MidCom[14]協(xié)議要求可信的第三方組件對(duì)應(yīng)用信息進(jìn)行識(shí)別并對(duì)NAT/Firewall 進(jìn)行控制。

上述傳統(tǒng)的解決方案各有特點(diǎn)，但均無(wú)法完成現(xiàn)存的大量視頻監(jiān)控系統(tǒng)的無(wú)縫平滑地聯(lián)網(wǎng)共享。因此，我們期望從第三方網(wǎng)關(guān)入手，設(shè)計(jì)一套能靈活適應(yīng)各種NAT 網(wǎng)絡(luò)環(huán)境、允許IP 地址存在規(guī)劃沖突、實(shí)現(xiàn)異構(gòu)業(yè)務(wù)無(wú)縫對(duì)接，并具有良好擴(kuò)展性的架構(gòu)。

2 基于虛擬地址空間的共享架構(gòu)設(shè)計(jì)

為統(tǒng)一解決上述難題，本文設(shè)計(jì)并實(shí)踐了一種基于虛擬地址空間的共享架構(gòu)。在每個(gè)平臺(tái)旁邊部署一個(gè)共享網(wǎng)關(guān)（后文簡(jiǎn)稱“網(wǎng)關(guān)”）；網(wǎng)關(guān)之間建立一個(gè)虛擬的、不與外部路由的地址空間，并由業(yè)務(wù)觸發(fā)， 按需在網(wǎng)關(guān)之間建立GB/T 28181 標(biāo)準(zhǔn)的平級(jí)域互聯(lián)；網(wǎng)關(guān)與平臺(tái)之間采用平臺(tái)所支持的協(xié)議進(jìn)行平級(jí)域互聯(lián)， 例如GB/T 28181 標(biāo)準(zhǔn)或其他地方標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)、企業(yè)標(biāo)準(zhǔn)等。最終實(shí)現(xiàn)各視頻監(jiān)控系統(tǒng)之間的無(wú)縫共享聯(lián)網(wǎng)。

2.1 基本原理

為便于描述虛擬地址空間共享架構(gòu)的基本原理，我們將聯(lián)網(wǎng)模型簡(jiǎn)化為兩個(gè)域間的廣域互聯(lián)。

如圖1 所示是一個(gè)比較常見(jiàn)的城市監(jiān)控系統(tǒng)互聯(lián)模型。 監(jiān)控中心網(wǎng)絡(luò)（這里稱為“總部”）處于NAT/Firewall 的內(nèi)網(wǎng)，分支網(wǎng)絡(luò)（這里稱為“分部”）處于另一個(gè)NAT/Firewall 的內(nèi)網(wǎng)，分別租用運(yùn)營(yíng)商的網(wǎng)絡(luò)接入公網(wǎng)。 公網(wǎng)不允許部署任何監(jiān)控設(shè)備。

圖1 城市監(jiān)控系統(tǒng)互聯(lián)模型架構(gòu)原理圖Figure 1 Schematic diagram of the interconnection model architecture of the city monitoring system

總部和分部分別擁有自己完整的監(jiān)控系統(tǒng)，總部與分部之間建立平級(jí)域互聯(lián)。我們讓總部的數(shù)據(jù)轉(zhuǎn)發(fā)服務(wù)器（MS）兼任中繼（Relay），總部的防火墻為Relay 配置一個(gè)IP/端口映射，以便讓分部的VM（視頻監(jiān)控系統(tǒng)管理平臺(tái)）和MS 能向Relay 建立虛通道；總部的VM 也向Relay 建立虛通道。 這些虛通道形成了虛擬地址空間。 Relay 為總部的VM、分部的VM 和MS 分別分配不同的虛地址，于是兩臺(tái)VM 和兩臺(tái)MS 分別各自擁有了兩個(gè)IP 地址，一個(gè)為本身真實(shí)的IP 地址， 另一個(gè)為分配的虛IP 地址。 每個(gè)域內(nèi)的終端或客戶端與它們的VM 和MS交互時(shí)采用真實(shí)的IP 地址；總部的VM 和MS 與分部的VM 和MS 交互時(shí)采用虛地址，通過(guò)虛通道進(jìn)行報(bào)文的傳輸。

我們以視頻實(shí)況點(diǎn)播業(yè)務(wù)為例描述整個(gè)流程。假設(shè)總部的客戶端（Client）要點(diǎn)播分部的終端：總部Client 向本域VM 發(fā)起申請(qǐng)；總部VM 通過(guò)虛通道向分部VM 發(fā)起指令；分部VM 指示前端發(fā)送視頻流， 目的地址為分部MS 的真實(shí)IP 地址； 分部MS 將視頻流封裝進(jìn)虛擬地址空間轉(zhuǎn)發(fā)給總部MS；總部MS 將視頻流解封裝后轉(zhuǎn)發(fā)給本地的Client。

為提高可靠性和系統(tǒng)整體的業(yè)務(wù)性能，可以設(shè)計(jì)多中繼以實(shí)現(xiàn)中繼的主備機(jī)制或負(fù)載分擔(dān)機(jī)制。

監(jiān)控業(yè)務(wù)使用虛擬地址空間中的虛擬IP 地址進(jìn)行封裝， 并作為虛通道承載報(bào)文的應(yīng)用層信息進(jìn)行傳送。如此，承載報(bào)文在穿越NAT、防火墻、網(wǎng)閘時(shí)所發(fā)生的任何IP 頭部的改變都不會(huì)影響監(jiān)控業(yè)務(wù)。

虛通道提供的這個(gè)虛擬地址空間純粹是一個(gè)應(yīng)用層信息， 僅為虛擬地址空間兩端的設(shè)備所理解，不與網(wǎng)絡(luò)設(shè)備進(jìn)行路由交互，也就規(guī)避了兩邊私網(wǎng)地址規(guī)劃沖突的問(wèn)題。 即使沒(méi)有NAT 設(shè)備進(jìn)行隔離， 只要保證兩邊的VM 和MS 服務(wù)器可與Relay 進(jìn)行正?；ネǎ@個(gè)模型同樣適用。

2.2 系統(tǒng)設(shè)計(jì)

借助上述簡(jiǎn)化模型的原理，我們可以利用下述模型解決共享聯(lián)網(wǎng)遇到的所有問(wèn)題。

我們以常見(jiàn)的多級(jí)聯(lián)網(wǎng)模型為例，如圖2 所示為系統(tǒng)設(shè)計(jì)圖。 每個(gè)聯(lián)網(wǎng)單元（即實(shí)際的視頻監(jiān)控平臺(tái)）配置一個(gè)共享網(wǎng)關(guān)，網(wǎng)關(guān)利用聯(lián)網(wǎng)單元支持的互聯(lián)協(xié)議與聯(lián)網(wǎng)單元進(jìn)行對(duì)接，建立平級(jí)域的互聯(lián)。

圖2 基于虛擬地址空間的共享架構(gòu)系統(tǒng)設(shè)計(jì)圖Figure 2 Design of shared Architecture system based on Virtual address space

第一，網(wǎng)關(guān)之間建立虛擬地址空間。 除了最下面一級(jí)聯(lián)網(wǎng)單元的網(wǎng)關(guān)，其他級(jí)的網(wǎng)關(guān)兼任其下級(jí)網(wǎng)關(guān)的Relay。 每個(gè)下級(jí)網(wǎng)關(guān)均向自己的上級(jí)網(wǎng)關(guān)建立虛通道，每個(gè)上級(jí)網(wǎng)關(guān)均向自己的下級(jí)網(wǎng)關(guān)分配虛擬地址塊，同時(shí)自己保留一個(gè)虛擬地址。如此，網(wǎng)關(guān)之間形成了一個(gè)虛擬地址空間，而網(wǎng)關(guān)與聯(lián)網(wǎng)單元之間則采用實(shí)際地址進(jìn)行對(duì)接。聯(lián)網(wǎng)單元除了新增與網(wǎng)關(guān)的平級(jí)域互聯(lián)之外，沒(méi)有做任何的改動(dòng)。

第二，單位和網(wǎng)關(guān)地址對(duì)應(yīng)關(guān)系的傳播。 網(wǎng)關(guān)一旦獲得虛擬地址，即定期向外廣播自己所屬單位和虛擬地址的綁定關(guān)系，以便于虛擬地址空間內(nèi)的網(wǎng)關(guān)都可以獲知各單位及其網(wǎng)關(guān)地址的綁定關(guān)系。

第三，人機(jī)界面設(shè)計(jì)。 資源請(qǐng)求方式雖然可以多樣，但基于地圖的可視化交互更為直觀。 若某個(gè)用戶需要其他單位一定地理范圍內(nèi)的攝像機(jī)資源，他只需在地圖界面上畫(huà)個(gè)范圍即可，Client 主機(jī)便知道用戶想要的攝像機(jī)資源的集合。

第四， 業(yè)務(wù)交互。 當(dāng)某個(gè)聯(lián)網(wǎng)單元所屬的Client 想要獲取其他單位的攝像機(jī)資源信息并進(jìn)行點(diǎn)播，Client 可以在地圖界面上畫(huà)個(gè)范圍；Client所屬的VM 平臺(tái)即向自己的共享網(wǎng)關(guān)發(fā)起請(qǐng)求，內(nèi)含地理范圍包含的單位信息和攝像機(jī)信息；該網(wǎng)關(guān)根據(jù)單位信息找到對(duì)應(yīng)的網(wǎng)關(guān)，向該網(wǎng)關(guān)申請(qǐng)建立平級(jí)域互聯(lián)，并申請(qǐng)相關(guān)攝像機(jī)資源；對(duì)方單位的網(wǎng)關(guān)向它的VM 轉(zhuǎn)發(fā)請(qǐng)求。 當(dāng)回復(fù)層層回遞后，Client 即可點(diǎn)播相關(guān)攝像機(jī)的視頻。

第五，權(quán)限管理。為了安全起見(jiàn)，視頻監(jiān)控系統(tǒng)的共享資源可以進(jìn)行分類： 不受限資源和受限資源。 前者經(jīng)過(guò)上級(jí)審批即可在全網(wǎng)傳播，后者必須由上級(jí)指定特定的接收者。每個(gè)上級(jí)只能審批自己權(quán)限內(nèi)的下屬和自己的資源，審批后的資源也只能在自己轄區(qū)內(nèi)共享傳播。 當(dāng)某個(gè)網(wǎng)關(guān)收到請(qǐng)求，在回復(fù)資源之前，必須將該請(qǐng)求的摘要上送上級(jí)平臺(tái)審批。 審批通過(guò)之后，才可以進(jìn)行回復(fù)。

第六，異構(gòu)處理。共享網(wǎng)關(guān)負(fù)責(zé)實(shí)現(xiàn)與各現(xiàn)有平臺(tái)的互聯(lián)對(duì)接， 所以各個(gè)平臺(tái)無(wú)需關(guān)心其他平臺(tái)的標(biāo)準(zhǔn)執(zhí)行狀況。 共享網(wǎng)關(guān)負(fù)責(zé)采用異構(gòu)平臺(tái)的協(xié)議實(shí)現(xiàn)與異構(gòu)平臺(tái)的對(duì)接，從而實(shí)現(xiàn)異構(gòu)特征的屏蔽。

3 試驗(yàn)驗(yàn)證分析

考慮到多級(jí)和兩級(jí)的運(yùn)行原理相同，本文以兩級(jí)聯(lián)網(wǎng)單元和對(duì)應(yīng)的兩級(jí)共享網(wǎng)關(guān)進(jìn)行試驗(yàn)。兩個(gè)共享網(wǎng)關(guān)需要其中一方作為服務(wù)端（試驗(yàn)環(huán)境中稱為UAG），另一方作為客戶端，本試驗(yàn)選擇上級(jí)共享網(wǎng)關(guān)為服務(wù)端UAG，本級(jí)共享網(wǎng)關(guān)為客戶端。

如圖3 所示是服務(wù)端UAG 的配置界面。 啟動(dòng)UAG 服務(wù)器， 設(shè)定虛擬地址空間的網(wǎng)絡(luò)地址段為10.110.0.0/16；啟動(dòng)DHCP 服務(wù)，動(dòng)態(tài)分配的地址段為10.110.0.1～10.110.236.114。 其中UAG 服務(wù)器在虛擬地址空間中的IP 地址為10.110.255.251，分配給本級(jí)聯(lián)網(wǎng)單元VM 服務(wù)器的虛擬地址為192.168.104.100。

圖3 上級(jí)共享網(wǎng)關(guān)的服務(wù)端UAG 配置界面Figure 3 The server UAG configuration interface of the upper-level shared gateway

撥號(hào)成功后，開(kāi)始逐項(xiàng)檢查撥號(hào)連通性：

第一，打開(kāi)cmd 使用route print 確認(rèn)路由已經(jīng)正常下發(fā)， 如192.168.104.0 255.255.255.0 下一跳為10.110.255.251。

第二， 檢查確定能夠ping 通網(wǎng)關(guān)IP∶10.110.255.251。

第三，檢查確定能夠ping 通UAG 服務(wù)器虛擬地址∶10.110.255.251。

第四， 檢查確定能夠ping 通VM 服務(wù)器IP 地址：192.168.104.100。

然后，兩級(jí)聯(lián)網(wǎng)單元均以平級(jí)域的方式連接各自的網(wǎng)關(guān)。至此，雙方均可以看到對(duì)方共享的資源，可根據(jù)需要點(diǎn)播預(yù)覽和回放對(duì)方的視頻資源。

如圖4 所示，本級(jí)共享網(wǎng)關(guān)作為客戶端向服務(wù)端撥號(hào)連接。其中，202.8.101.101 為服務(wù)端UAG 的實(shí)際IP 地址；5555 為服務(wù)端UAG 的協(xié)議連接的端口號(hào)。

圖4 本級(jí)共享網(wǎng)關(guān)的客戶端撥號(hào)界面Figure 4 Client dial interface of shared gateway

經(jīng)過(guò)試驗(yàn)系統(tǒng)的測(cè)試驗(yàn)證， 基于虛擬地址空間的架構(gòu)可以有效地解決共享聯(lián)網(wǎng)所遇到的所有問(wèn)題。

3.1 消除了擴(kuò)展性難題

試驗(yàn)系統(tǒng)里的共享網(wǎng)關(guān)相互之間默認(rèn)不建立平級(jí)域的互聯(lián)，只在業(yè)務(wù)需要時(shí)才自動(dòng)地建立臨時(shí)互聯(lián)，業(yè)務(wù)結(jié)束則斷開(kāi)互聯(lián)。 從而規(guī)避了n*n 的兩兩互聯(lián)所帶來(lái)的巨大壓力，消除了系統(tǒng)性能的障礙。

試驗(yàn)系統(tǒng)采用了基于單位和地址綁定關(guān)系的廣播機(jī)制， 各單位管理員無(wú)需手動(dòng)建立己方單位平臺(tái)與其他各個(gè)單位平臺(tái)的平級(jí)域互聯(lián)， 只需維護(hù)己方共享網(wǎng)關(guān)與己方單位平臺(tái)之間的一個(gè)平級(jí)域互聯(lián)，總體工作量從n*n 降低至n； 而且只是一次性的投入， 任何單位無(wú)需因?yàn)槠渌麊挝恍略雎?lián)網(wǎng)單元而增加本單位的維護(hù)投入，從而消除了維護(hù)配置的障礙。

3.2 實(shí)現(xiàn)了無(wú)縫融合

在共享網(wǎng)關(guān)與業(yè)務(wù)平臺(tái)建立平級(jí)域互聯(lián)的過(guò)程中，以及在共享網(wǎng)關(guān)之間建立動(dòng)態(tài)的平級(jí)域互聯(lián)過(guò)程中，各業(yè)務(wù)平臺(tái)原先的在線業(yè)務(wù)未出現(xiàn)中斷，視頻流暢無(wú)卡頓，實(shí)現(xiàn)了業(yè)務(wù)系統(tǒng)的平滑無(wú)縫聯(lián)網(wǎng)。

當(dāng)業(yè)務(wù)平臺(tái)的客戶需要調(diào)閱其他平級(jí)單位的資源，通過(guò)地圖界面圈定地理范圍，對(duì)應(yīng)的攝像機(jī)點(diǎn)位便出現(xiàn)在界面上， 通過(guò)點(diǎn)擊可以實(shí)現(xiàn)實(shí)況視頻的調(diào)閱，而無(wú)需登錄上級(jí)平臺(tái)，實(shí)現(xiàn)了業(yè)務(wù)的平滑融合。

3.3 消除了NAT 和異構(gòu)帶來(lái)的問(wèn)題

試驗(yàn)系統(tǒng)中，三個(gè)待聯(lián)網(wǎng)的平臺(tái)及其共享網(wǎng)關(guān)分別處于三個(gè)不同的私網(wǎng)，其中一個(gè)平臺(tái)為非GB/T 28181 的異構(gòu)平臺(tái)。它們通過(guò)各自的NAT 防火墻聯(lián)入互聯(lián)網(wǎng)。

由于虛擬地址空間在監(jiān)控業(yè)務(wù)與承載網(wǎng)絡(luò)之間實(shí)現(xiàn)了通用的適配層， 對(duì)上屏蔽網(wǎng)絡(luò)的特征，使得監(jiān)控業(yè)務(wù)不受網(wǎng)絡(luò)拓?fù)涞母蓴_；對(duì)下屏蔽業(yè)務(wù)特征， 使網(wǎng)絡(luò)傳輸不必針對(duì)監(jiān)控業(yè)務(wù)進(jìn)行定制化部署，所以很順利地實(shí)現(xiàn)了聯(lián)網(wǎng)互通，不用修改業(yè)務(wù)流程，公網(wǎng)也無(wú)需增加任何設(shè)備，無(wú)需新購(gòu)公網(wǎng)IP。

雖然兩個(gè)私網(wǎng)的地址規(guī)劃存在沖突，但虛擬地址空間隔離了各個(gè)私網(wǎng)的地址空間，所以無(wú)需做任何地址的調(diào)整。

中繼所在的防火墻僅開(kāi)啟了一個(gè) “地址/端口映射”，且這個(gè)“地址/端口映射”指向Relay 非數(shù)據(jù)管理服務(wù)器。其他私網(wǎng)的防火墻均無(wú)需開(kāi)啟任何映射，從而將整體安全風(fēng)險(xiǎn)降至了最低。

異構(gòu)平臺(tái)采用異構(gòu)協(xié)議與共享網(wǎng)關(guān)實(shí)現(xiàn)平級(jí)域互聯(lián)， 共享網(wǎng)關(guān)將其轉(zhuǎn)換為GB/T 28181 協(xié)議與其他共享網(wǎng)關(guān)交互，實(shí)現(xiàn)了異構(gòu)屏蔽。 無(wú)論哪一個(gè)平臺(tái)均可以進(jìn)行順利的資源調(diào)閱。

4 結(jié)語(yǔ)

基于虛擬地址空間的共享聯(lián)網(wǎng)架構(gòu)便利地解決了《關(guān)于加強(qiáng)公共安全視頻監(jiān)控建設(shè)聯(lián)網(wǎng)應(yīng)用工作的若干意見(jiàn)》 大聯(lián)網(wǎng)任務(wù)所遇到的主要障礙，消除了聯(lián)網(wǎng)的擴(kuò)展性難題， 實(shí)現(xiàn)了業(yè)務(wù)的無(wú)縫融合，消除了NAT 帶來(lái)的一系列問(wèn)題， 屏蔽了系統(tǒng)的異構(gòu)性，具有很高的靈活性、安全性和便利性。