9.2.1 IP定址
任何設備若想通過互聯網與其他設備通信,必須有相應的唯一IP位址。IP地址用來識別發送和接收設備。目前有兩個IP版本:IP版本4( IPv4 )和IP版本6( IPv6 )。兩個版本的主要區別是,IPv6地址較長( 128位,而 IPv4 地址僅為32位 )。目前應用最為普遍的是 IPv4 地址。
9.2.1.1 IPv4 地址
IPv4位址由四個位址塊組成,每個位址塊之間用圓點隔開。每個位址塊用0到255之間的數字表示,如192.168.12.23。
某些IPv4位址塊是為專用預留的。這些專用IP位址是10.0.0.0至10.255.255.255,172.16.0.0至172.31.255.255和192.168.0.0至192.168.255.255。這些位址僅供專網使用,不允許通過路由器向互聯網傳送。所有準備通過互聯網通信的設備,必須有自己的公共IP地址。公共IP地址是由互聯網服務提供者分配的地址。ISP可以分配動態IP位址,可在會話中更改;也可以分配靜態位址,一般需要按月付費。
– 埠:
埠號規定特定的服務或應用,以便接收伺服器( 如網路攝影機 )知道如何處理資料。當電腦發送與特定應用關聯的資料時,一般在IP位址中自動添加埠號,不必用戶通知。埠號選擇範圍由0至65535。有些應用採用互聯網編號分配機構( IANA )預先為其分配的埠號。例如,HTTP網路服務一般在網路攝影機上映射為埠80。
– 設置IPv4位址:
為使網路攝影機或視訊編碼器在IP網路環境下工作,必須為其分配IP地址。藍眼科技網路視訊產品主要通過兩種方法設置IPv4位址:1 )自動採用DHCP( 動態主機設定通訊協定 ),2 )手動輸入網絡視訊產品介面靜態IP位址、子網路遮罩和默認路由器IP位址,或採用管理軟體。
DHCP管理IP位址庫,對網路攝影機/視訊編碼器進行動態分配。DHCP功能往往通過寬頻路由器執行,依次獲取互聯網服務提供者分配的IP位址。採用動態IP位址,網路設備的IP位址可以按天變更。採用動態IP位址時,建議使用者在動態DNS( 網域名稱系統 )伺服器上註冊網路視訊產品的功能變數名稱,這樣可使產品功能變數名稱始終與目前為其分配的IP位址關聯。
採用DHCP設置IPv4位址的過程如下。網路攝影機/視訊編碼器登錄後發送查詢,請求DHCP伺服器進行配置。DHCP伺服器回復IP地址和子網路遮罩。網路視訊產品用最新IP位址更新動態DNS服務器,這樣使用者便可以用功能變數名稱訪問產品。
– NAT( 網路位址轉譯 ):
當有專用IP位址的網路設備需要通過互聯網發送資訊時,必須採用支援NAT的路由器。採用這種方法,路由器可將專用IP位址轉換為公共IP位址,不必通知主機。
– 埠轉發:
若想通過互聯網訪問位於專用LAN中的攝影機,應使用路由器的公共IP位址,以及網路攝影機/視訊編碼器對應於這個私人網路絡的埠號。
通過HTTP的網路服務一般映射為埠80。那麼,私人網路絡中多個網路攝影機/視訊編碼器採用HTTP的埠80如何處理呢?這時,不是變更每個網路視訊產品預設HTTP埠號,而是通過配置路由器將唯一HTTP埠號與特定網路視訊產品的IP位址和預設HTTP埠關聯。這個過程稱為埠轉發。
埠轉發過程如下。進來的資料包通過路由器公用( 外部 )IP位址和特定埠號進入路由器。路由器經配置後將來自預定埠號的資料發送到路由器私人網路絡一側的特定設備。然後,路由器用自己的專用( 內部 )IP位址取代發送方位址。從接收一側的用戶端看,資料包好像是從路由器發過來的。發送資料包時,這個過程相反。通過互聯網發出資料前,路由器用自己的公共IP地址取代源設備的專用IP位址。
傳統上,埠轉發首先配置路由器。不同路由器配置埠轉發有不同的方法,www.portfoward.com等網站提供不同路由器的配置指導。埠轉發過程一般用互聯網瀏覽器調出路由器介面,然後輸入路由器的公共( 外部 ) IP位址,以及需要映射到特定網路視訊產品內部IP位址的唯一埠號及其應用的埠號。
為簡化埠轉發過程,藍眼科技在其許多網路視訊產品中配置了NAT轉換穿越功能。NAT轉換穿越功能採用UPnP™,自動嘗試配置網路NAT路由器埠映射。在網路視訊產品介面中,使用者可手動輸入NAT路由器的IP位址。如果路由器不支援手動輸入,網路視訊產品將自動搜索網路中的NAT 路由器,並選擇默認路由器。此外,如果未手動輸入,服務將自動選擇HTTP埠。
9.2.1.2 IPv6地址
IPv6位址採用十六進位符號編寫,再用冒號將位址分成八塊,每個位址塊16位。例如:2001:0da8:65b4:05d3:1315:7c1f:0461:7847
IPv6的主要優點是,除大量IP位址可供使用外,設備還可以採用其MAC位址自動配置自己的IP地址。對於互聯網通信,主機通過路由器請求和接收公用位址塊的首碼及其他資訊。然後採用這個首碼和主機的尾碼,因此IPv6不必再進行DHCP的IP位址分配和人工設置IP位址。IPv6的其他優點包括,重新編號簡化供應商之間轉換整個企業網路,加快路由分配速度、根據IPSec點對點加密、變更網路時採用同一位址連接( Mobile IPv6 )。
IPv6位址附在URL的方括號中,專用埠按以下方法分配位址:
http://[2001:0da8:65b4:05d3:1315:7c1f:0461:7847]:8081/
設置藍眼科技網路視訊產品的 IPv6位址時,只需選中核取方塊即可在產品中啟用IPv6。產品將根據網絡路由器的配置接收 IPv6 位址。
9.2.2網路視訊資料傳輸協定
傳輸控制協議( TCP )和使用者資料包通訊協定( UDP )是基於IP的資料發送協定。這些協議是其他協議的載體。例如,用於通過互聯網流覽全球伺服器網頁的HTTP( 超文字傳輸協定 )便是由TCP加以支援的。
TCP是一種可靠連接的傳輸通道。它可將大塊資料分成較少的分組,確保一端發送的資料可以在另一端接收。TCP通過重發保證可靠性,因此存在明顯時延。在重點保證可靠通信而不在意傳輸時延的情況下,一般採用TCP。
UDP是一種無連線協定,不保證能夠收到發送的資料,整個控制機制和誤差校驗由應用本身處理。 UDP不再重發丟失的資料,因此不會造成長時間時延。
|
協議 |
傳輸協議 |
埠 |
一般用途 |
網路視訊用徒 |
|
FTP( 檔案傳送協議 ) |
TCP |
21 |
通過互聯網/內部網傳送檔 |
將網路攝影機/視訊編碼器的影像或視訊傳送給FTP伺服器或應用。 |
|
SMTP( 電子郵件傳輸協議 ) |
TCP |
25 |
發送電子郵件的協議 |
網路攝影機/視訊編碼器可採用其內建電子郵件用戶端發送影像或報警通知。 |
|
HTTP( 超文本傳輸協議 ) |
TCP |
80 |
用於流覽web,即由web伺服器檢索網頁 |
最常用的方法是傳輸網路攝影機/視訊編碼器視訊,這種環境下的網路視訊設備實際上充當web伺服器,根據使用者或應用伺服器的請求提供視訊。 |
|
HTTPS( 安全超文字傳輸協議 ) |
TCP |
443 |
用於採用加密技術安全訪問網頁 |
安全傳送網路攝影機/視訊編碼器的視訊。 |
|
RTP( 即時傳輸協議 ) |
UDP/ TCP |
Not Defined |
RTP用於標準化互聯網傳送音頻的 |
常用方法是傳送基於H.264/MPEG 的網絡視訊,同步視訊和音訊,RTP提供數據包序號並加蓋時間戳記,便於按正確順序重新組裝資料包。傳輸可以單點傳送,也可以多點傳送。 |
|
RTSP( 即時流 協議 )
|
TCP |
554 |
用於設置和控制通過RTP的多媒體會話。 |
|
表9.2a一般TCP/IP協定及網路視訊使用的埠。
9.3 VLAN
設計網路視訊系統時,從安全和性能角度考慮,總是希望將網路獨立於其他網路。乍看上去,理所當然是單獨構建一個網路。儘管簡化了設計,但網路採購、安裝和維護成本往往高於採用虛擬區域網路( VLAN )技術。
VLAN是一種虛擬分割網路技術,大部分網路交換機支援這種功能。將網路使用者劃分為邏輯分組可實現網路分割。只有特定分組中的使用者才能交換資料,或訪問網路的某些資源。如果網路視訊系統被分割成VLAN,只有這個VLAN中的伺服器可以訪問網路攝影機。與獨立網路相比,VLAN 一般是更好且更加經濟高效的解決方案。IEEE 802.1Q是配置VLAN時使用的主要協定,每個幀或分組用附加位元組標記,表示分組所屬的虛擬網路。
9.4 服務品質
由於不同應用可採用同一IP網路,如電話、電子郵件和監控視訊,因此需要控制如何共用網路資源,以滿足每一種服務的要求。一種解決方案是在網路傳送通信時,讓網路路由器和交換機根據不同類型的服務( 話音、資料和視訊 ),以不同的方式工作。利用服務品質( QoS ),不同的網路應用可在同一網路上共存,而不佔用彼此的頻寬。
服務品質指許多技術,如差異性服務代碼點( DSCP ),它可以識別資料包中的資料類型,將數據包分成通信類,從而安排發送的先後順序。QoS感知網路的主要優點包括,可以排列業務的先後順序,緊急資料流程先於優先順序低的資料流程發送,控制應用的頻寬使用量,從而控制應用之間頻寬爭用,顯著提高網路可靠性。PTZ通信通常視為緊急,要求縮短時延,這是QoS可以用來保證快速回應傳送要求的一個典型例子。所有交換機、路由器和網路視訊產品必須支援QoS,是視訊網路中採用QoS的必要條件。
9.5 網路安全
保證IP網路資訊傳輸有不同的安全級別。首先是驗證與授權。使用者或設備由網路和遠端通過使用者名和密碼進行識別,設備經驗證後方可進入網路。加密資料避免他人使用或讀取可以提高安全性。一般方法是HTTPS( 也稱SSL/ TLS )、VPN和WEP,或無線網路中的WPA。( 關於無線安全的更多信息,請參見第10章。 )採用加密會降低通信速度,取決於實施的種類和使用的加密技術。
9.5.1用戶名與密碼驗證
用戶名和密碼驗證是IP網路保護資料最基本的方法,在安全水準要求不高,或視訊網路未與主網絡分離,未經授權的使用者無法對視訊網路進行物理訪問的情況下,這種方法足以保證資料安全。密碼發送時可以加密,也可以不加密。前者最安全。
藍眼科技網路視訊產品提供多級密碼保護。三個級別為:管理員( 全權訪問所有功能 )、操作員( 訪問除配置頁以外的所有功能 )、監控人( 僅訪問現場視訊 )。
9.5.2 IP地址過濾
藍眼科技網路視訊產品具有IP位址過濾功能,可允許可拒絕訪問定義的IP位址。典型配置下,網路攝影機僅允許裝有視訊管理軟體的伺服器IP位址訪問網路視訊產品。
9.5.3 IEEE 802.1X
許多藍眼科技網路視訊產品支援IEEE 802.1X,該協定驗證LAN埠連接的設備。IEEE 802.1X建立點對點連接,或防止 LAN 埠的訪問,如果驗證失敗的話。IEEE 802.1X可防止「埠劫持」,即未經授權的電腦通過建築內外的網路插口進入網路。IEEE 802.1X對於網路視訊應用非常實用,因為網路攝影機往往裝在公共空間,這裡的公開接入的網路插口存在安全隱患。在當今企業網路中,IEEE 802.1X正在成為各種網路連接設備的基本要求。
IEEE 802.1X在網路視訊系統中的工作過程如下:1 )網路攝影機向交換機或接入點發送網路接入請求;2 )交換機或接入點將請求發送至驗證伺服器;例如RADIUS( 撥入使用者遠端認證服務 )服務器,如Microsoft Internet Authentication Service伺服器;3 )如果驗證成功,伺服器通知交換機或接入點打開埠,允許網路攝影機的資料經交換機在網路中傳送。
9.5.4 HTTPS或SSL/TLS
HTTPS ( 安全超文字傳輸協定 ) 等效於HTTP,一個主要區別是:傳輸的資料採用加密通訊端協定層 ( SSL ),或傳輸層安全( TLS )加密。這種安全方法對資料本身加密。許多藍眼科技網路視訊產品具有HTTPS內建支援功能,保證web瀏覽器安全查看視訊。不過,採用HTTPS會降低通信鏈路速度,影響視訊幀速。
9.5.5 VPN( 虛擬專網 )
VPN可在兩個通信設備之間建立安全「隧道」,通過互聯網安全可靠地通信。這種設置中,原封包,其中包括資料及其可能含有源和目的地址等資訊的標頭、發送資訊的類型、包在封包序列中的編號和包長加密。加密包封裝在另一個包中,僅顯示兩個通信設備( 即路由器 )的IP位址。這樣,可以防止未經授權訪問通信及其內容,僅有正確「金鑰」的設備可以進入VPN。用戶端與伺服器之間的網路設備不能訪問或查看資料
來源自藍眼科技有限公司 www.blueeyes.com.tw
留言列表
新品上市 (4)
