1、NetApp技术报告基于NetAppE系列存储的视频监控解决方案规划和设计注意事项NetApp公司JoelW.King、JamesLaing2013年7月ITR-4197摘要使用E系列存储的视频监控解决方案为物理安全集成商提供了一个高度可扩展的视频管理系统存储库,可支持大量摄像机、百万像素分辨率、高帧速率和较长的保留期限。该架构的设计可实现高可靠性和高可用性,以满足视频监控部署的需要。目录1简介41.1 发布范围41.2 受众41.3 培训服务42规划和设计概述51.1 服务器虚拟化51.2 文件系统53 E系列存储规划53.1 RAID级别63.2 热备件63.3 动态磁盘池73.4 工作流
2、73.5 部署示例73.6 I/O特征83.7 高可用性83.8 多路径概述93.9 E系列认证多路径驱动程序94 网络规划94.1 网络示例104.2 网络接口114.3 VMwarevSphere网络配置114.4 上行链路连接(第2层)124.5 上行链路连接(第3层)134.6 网络管理注意事项144.7 网络设计原理145服务器规划155.1 硬件建议155.2 CPU165.3 服务器制造商165.4 内存165.5 一般设计标准166设计检查清单167总结178定义17参考资料18版本历史19表格目录表1)培训服务。4表2)网络设计最佳实践概念。14表3)设计检查清单要素。16表
3、4)术语词汇表。17插图目录图I)E系列磁盘结构。6图2)DDP可用容量。7图3)高可用性设计。8图4)架构拓扑概览。10图5)CiscoNexus3048拓扑概览。11图6)VMwarevSphere网络配置,12图7)上行链路连接(第2层)。13图8)上行链路连接(第3层)。141简介NetAPP&E系列存储阵列为大规模视频监控部署提供了性能、效率、可靠性和企业级支持。所有视频监控管理软件都有一个共同的功能,就是可将实时视频源录制到存储中供日后播放,从而有助于对一台或一组摄像机的视域内的人员或事件进行取证分析或调查。这些视频源由数百或数千台摄像机生成,通常可每天24小时、每周7天持续录制,
4、保留期限长达数月或数年。1.1 发布范围本文档旨在为销售、设计或实施这些基于NetAppE系列存储的解决方案的人员提供有关视频监控的简介。其中将介绍构建基于NetA即E系列存储的视频监控解决方案所需的所有功能组件,该解决方案可利用录制服务器可靠地录制视频和归档视频。本文档将介绍视频监控系统的主要组件和功能。可在FieIdPOrtal上获取多种视频监控资源。1.2 受众本报告旨在为物理安全集成商、视频监控管理软件工程师、网络和存储系统工程师以及负责将NetAppE系列存储系统集成到现有视频监控部署或设计和实施新部署的架构师提供指导。本报告中的内容假定这些专业人员可以结合他们的经验和支持文档来使用
5、此信息,以构建高效率、可扩展的高可用性系统。部署目标本文档的部署目标为大型环境(200-1,000台摄像机或更多),保留期限至少30天,且主要使用HDTV/百万像素分辨率摄像机。1.3 培训服务我们提供了大量网络培训和面授培训机会,可帮助用户成功部署NetAppE系列存储阵列。建议最终用户参加NetAPD大学客户学习路线图中列在“存储系统”下的培训课程。表1列出了我们提供的培训课程、培训持续时间和培训模式。表1)培训服务。课程说明持续时间(小时)培训方式E系列E5400技术概述01:00网络培训E系列E2600技术概述01:00网络培训NetAppE系列硬件架构和配置00:45网络培训NetA
6、ppE系列存储系统24:00面授培训维护NetAppE系列存储系统16:00面授培训2规划和设计概述本文档接下来的内容将讨论物理安全集成商在视频监控部署中实施E系列存储阵列时必须考虑的规划和设计事项。2.1 服务器虚拟化服务器虚拟化已获得企业数据中心的广泛认可,因为它可以对服务器进行逻辑细分,而以前这是通过物理细分来实现的。虚拟化的最佳候选服务器是那些不受资源(内存或CPU)消耗影响的数据中心服务器。视频录制服务器不是虚拟化的主要候选服务器,因为无论是从数百台网络视频摄像机载人视频源,还是以流的方式将实时或归档视频传送到查看工作站、执行分析功能(动态检测)以及将视频写入磁盘,这些功能对服务器资
7、源的需求都很高。多核CPU的发展让在虚拟环境中实施视频录制服务器成为可能。一些物理安全集成商喜欢在非虚拟环境中部署相对廉价的IRU服务器,以避免因购买、安装和维护虚拟机管理程序所带来的成本。低端1RU服务器、2GHz四核CPU、4GBRAM和两个千兆以太网(GbE)接口符合针对许多开放式视频管理系统建议的录制服务器性能规格。此类系统可在某些部署中支持约64到128台HDTV佰万像素摄像机。此部署模型对于IPSANZiSCSI部署极具吸引力。一个网络接口可用于视频传入,另一个接口可提供与存储阵列的连接。而要在较高性能的IRU、2RU或4RU服务器上将录制服务器组件实施为虚拟机,则要求具备E546
8、0控制器和双端口光纤通道主机总线适配器(FibreChannelHostBusAdapter,FCHBA)的较高性能特征的部署更可能成为候选的部署方案。在此配置中,物理机箱上的所有虚拟机可共享FCHBAo例如,E5460可通过VMwareESXi5.x中的本机多路径驱动程序连接到服务器FCHBA3可以使用原始磁盘映射(RaWDiSkMaPPing,RDM)以逻辑单元号(LogicaIUnitNumbehLUN)的形式直接向录制服务器虚拟机提供一个或多个卷。可以将一个四端口GbE适配器定义为网络交换机的端口通道配置,或者可以安装一个WGbE接口。此配置支持每个物理服务器具有四个或四个以上的录制服
9、务器虚拟机。要为录制服务器实现高可用性和卓越的吞吐量,同时减少需要部署的物理机数量,虚拟化是最佳选择。2.2 文件系统大多数基于开放式平台的视频管理软件(VideoManagementSoftWare,VMS)解决方案都使用WindowsServer2008R2作为操作系统,并使用NTFS文件系统,其分配单元大小为64KB。通常不会为视频监控部署并行文件系统(如StorNext或Lustre)o某些VMS应用程序会实施分层存储方法,允许VMS管理员定义多阶段存储架构。由于视频归档文件会从一个层级移至另一个层级,因此,可以选择进行整理以降低帧速率。也可以选择对视频归档进行加密。但是,整理和加密功
10、能会同时影响I/O和CPU的性能。如果整理功能配置为将文件从一个卷(LUN)移至另一个卷,则必须先从源LUN中读取文件,在进行整理后将其写入到目标卷(LUN)中。实施分层存储时,必须考虑对性能的影响。3E系列存储规划每个视频录制服务器都要求在操作系统中定义一个或多个卷(LUN)1以便归档视频文件。可以使用SANtricityES阵列管理子系统来配置E系列存储阵列各个硬盘可通过创建卷组/创建磁盘池向导分配给卷组或动态磁盘池(DynamicDiskPool,DDP)0DDP中的最小磁盘数为11,而卷组的最小磁盘数取决于RAID级别。RAID5或RAID6的最大磁盘数为30ODDP会受到阵列中物理磁
11、盘驱动器总数的限制。在卷组定义步骤中会选择分配给卷组的所有物理磁盘的RAID级别。支持的RAID级别0、1、10、3、5和6适用于传统卷组,而DDP则使用在池中10个驱动器上分配的RAID6条带。每个物理磁盘都有一个512MB的区域,以存储阵列配置数据库以及用于动态更改区块大小的可选空间。系统会根据卷组或DDP定义创建各个卷(LUN)并将其映射到主机。可以单独配置每个卷的区块大小、修改优先级、缓存设置和介质扫描频率。卷、卷组和磁盘池的逻辑定义如图1所示。图I)E系列磁盘结构卷(LUN)卷(LUN)二卷组二-攵者、二动态磁盘池;二一,_WlWll11W1磁盘驱动器磁盘驱动器每个卷组或磁盘池上的物
12、理磁盘数量以及每个组或池上的卷数量由视频录制服务器和应用程序软件的性能和规模估算要求确定。3.1 RAID级别对于视频监控部署,业内通常部署RAID5/RAID6或RAIDIOo按照内华达州博彩委员会(NevadaGamingCommission)标准的规定,存储阵列在单个组件发生故障时不能丢失数据。尽管RAID6的容错性能更好(因为它允许两个磁盘出现故障),但通常会部署RAID5,因为在符合标准的同时成本更低。通常,RAID10会与固态磁盘(SolidStateDisk,SSD)或旋转速度更高(15K)的磁盘结合使用,以实现最佳读取性能。RAID5/RAID6用于实现最佳写入性能。在E系列中
13、RAID10可通过选择RAID1以及四个或四个以上的驱动器来实现。对于取证分析量很大的博彩行业部署环境,一些VMS供应商建议在最近的几分钟或几小时视频归档期间将RAID10和RAID5结合使用。此类设计会对最近的归档使用RAID10,然后通过分层存储功能,在保留期限内将视频移至RAID5卷组中。如果在环境中取证分析不经常发生,或者性能级别通过RAID5或RAID6卷组足以提供可接受的读取性能,则可能无需考虑此设计注意事项。在教育市场这一垂直行业中,只有当发生意外事件(例如,在学生之间发生恶意破坏行为或发生口角)要求分析视频时,才会查看归档视频。3.2 热备件热备件是指只有在需要时才会使用的磁
14、盘。可以使用热备件来替代出现故障的驱动器,从而能够在卷组中的各驱动器之间重建数据和奇偶校验。视频监控性能通常会在磁盘重建期间进行衡量,因为在重建过程中,系统会同时产生读取和写入OoNetApp建议系统中每30个驱动器至少使用一个热备件。重建热备件驱动器所需的时间取决于驱动器的大小和卷组中驱动器的数量,可能需要花费数小时或数天的时间。可以通过DDP减少性能方面的负面影响,并缩短重建故障驱动器所需的时间。使用DDP时,不存在空闲热备件;备用容量将纳入池中。3.3 动态磁盘池DDP是E系列提供的一项功能,用于保持性能不变,即使在驱动器出现故障和重建时也不例外。在重建期间可以最大程度地减少性能下降,与
15、传统RAID重建相比,该重建的完成速度更快。由于使用DDP时重建时间较短,因此,在出现多个驱动器故障时,数据丢失的可能性也会最小。可以定义一个池以包含系统中的所有磁盘.也可以在系统中定义多个池。DDP中的最小磁盘驱动器数为11。数据在池中的10个驱动器上进行条带化,并需要一个额外的驱动器在池中的所有驱动器之间提供冗余。DDP使用RAID6作为RAID引擎。存储管理员可以混合配置传统卷和DDP0可以创建具有RAID10的传统卷以实现最高性能,并可为容量卷配置DDP0例如,通常使用3TB驱动器为视频录制服务器部署的卷大小的可用容量如图2所示。图2)DDP可用容量。BSkpodCandKtotes(
16、M11dhvs):UsaUeCipeotyDnveCourtPreservationCapySeorfcyCapatteSecureEnaUe?DaUAssuranceCapable36.335TB34.i99TB19185,588,039GB(2driven)5,588,039GB(2drives)YsYWveVeSA32.062TB175,588,039Ge(Zdives)YesVeS29.925TB165,588,039GB(2drives)YsYM27.789TB25.MTBIS145,588,039G8(2fcvw)工588.039GB(2drives)Ye$YesrwYes23.5
17、11TB135,588,039G8(2drtves)YwYw21.371TB125,5S8,039G8(2drives)YesYei21.375TB112,794.019Ge(1ivm)YesYesV对于视频监控解决方案,较小的单卷磁盘池可实现最佳带宽,其性能可与RAID6媲美,而重建速度是RAID6的两倍。因此,当系统中的卷容量已填满并处于文件删除模式下时,需要对视频监控管理软件性能测试进行衡量。DDP不会像RAID6一样性能出现降级,其性能在整个生命周期内更为一致。3.4 工作流磁盘系统的性能特征是:每秒I/O操作数(IOPS)和/或每秒吞吐量(以MB为单位)。网络性能则以每秒数据包数以及
18、每秒吞吐量(以MB为单位)进行衡量。如果对多个应用程序的小规模随机I/O操作使用磁盘阵列,则优化IOPS非常重要。每秒数据包数这一网络性能通常以小型(64字节)数据包来衡量。但是,与IOPS相比,视频监控部署更关注吞吐量性能。网络视频摄像机会为录制服务器生成较大的IP数据包,并将较大的记录写入存储阵列。由于视频通过IP网络传入录制服务器,并且数据速率通常以IP网络的每秒兆位数(MbPS)来计算,因此,本文档中的许多表列出的是Mbps,而不是每秒兆字节数(MBps)o3.5 部署示例查看实际部署的特征有助于了解工作流特征。一台录制服务器可管理配置为进行连续录制的46台网络视频摄像机。这些摄像机的
19、配置为:使用H.264RTPDP,HDTV720像素分辨率,每秒30帧。根据录制服务器的网络交换机端口接口统计数据报告,在118MbPS条件下,服务器的数据速率为每秒11,000个数据包。根据此信息,该服务器的平均数据包大小计算为(118M/8位/11,000),即每个数据包1,406字节。SANtricityES会报告为录制服务器定义的卷(LUN)的工作负载,即,在每秒44次I/O时为20Mbpso该速率相当于144Mbps,其中平均I/O大小为465KBc视频管理系统通常使用的记录大小为256KB或512KBo此示例录制服务器会每毫秒接收11个IP数据包,并且每22毫秒向存储阵列生成一次写
20、入操作。3.6 I/O特征在许多部署中,视频监控工作负载的特征为包括99%的写入工作负载和1%的读取工作负载。在这些部署中,视频会持续归档到磁盘中,或者根据动态检测进行归档,而只有出现需要分析的意外事件时才会进行查看。例如,在教育市场中就不常查看归档。写入工作负载通常是每个卷(LUN)上的恒定工作负载,它可根据每台服务器上的摄像机数量来确定。而读取工作负载则根据查看工作站查看归档视频的频率和次数来确定。大多数视频管理系统都会实施分析工具来使操作员能够对视频进行快进。此外,还具有智能搜索归档视频的功能,可以查找摄像机视域特定区域内的运动或对象。这些搜索实用程序可能会检查两个时间段之间的所有归档视
21、频,也可能会检查出现在每10个帧处的所有归档视频。此外,多个摄像机的视频归档可按时间进行同步或快进。此读取工作负载生成I/O请求的速率可能是最初将视频写入磁盘的速率的许多倍。写入工作负载特征比较容易确定,而读取工作负载则较难预测。视频管理系统的架构和配置也会影响存储阵列的工作负载。实施分层存储的系统会安排按重复间隔(如每小时或每天)在卷或目录之间进行复制,在执行复制功能期间,存储阵列的IOPS可能会增加8倍或以上。此功能将同时生成读取和写入Oo查看工作流和性能数据时,视频监控部署必须首先衡量基准写入性能,然后考虑在最初写入之后读取或复制视频的频率。3.7 高可用性实时应用程序(如视频)为物理安
22、全集成商带来了一项挑战,因为如果网络视频摄像机和存储系统之间出现任何中断或故障,则意味着丢失事件记录而无法恢复。为视频监控实施高可用性首先应考虑摄像机位置、网络基础架构、服务器和视频管理软件冗余,最后还要考虑存储阵列。这些组件如图3所示。图3)高可用性设计。SAN双工控制器对于至关重要的区域,实施时应使多台摄像机具有重叠的视域,以便在单个摄像机或访问层交换机出现故障时仍然能保持所有范围被覆盖。覆盖重要区域的多台摄像机必须连接到不同的访问层交换机.并通过冗余上行链路连接到核心/分发层交换机。IP网络必须采用高可用性网络设计原则,在链路和/或交换机出现故障时能够实现快速整合,并实施确定性流量恢复,
23、同时具有充足的容量来支持故障期间的流量。VMS功能可通过网络视频摄像机中的本地存储、故障转移录制服务器和冗余管理服务器来保护视频归档的可用性。VMwareESXi等虚拟机管理程序可为链路聚合提供本机支持。对于非虚拟部署,适用于WindowsServer2008的Microsoft故障转移集群虚拟适配器支持链路聚合。可为服务器和E系列之间的光纤通道或直连SAS连接安装双端口HBA,以便为每个控制器提供冗余路径。对于iSCSI部署,还可通过连接到双IPSAN的多个以太网NIC为E系列控制器提供高可用性。故障转移驱动程序是在服务器和存储阵列之间提供路径故障恢复的核心。通常,故障转移驱动程序可实现以下
24、功能: 确定冗余I/O路径 在控制器或数据路径发生故障时,将I/O重新路由到备用控制器 检查指向控制器的路径的状态 提供控制器/总线的状态对于Windows,故障转移驱动程序是MicrosoftMPIO和SANtricityES主机安装设备专用模块(Device-SpecificModule,DSM)的组合。E系列支持VMWareESXi的本机多路径功能。3.8 多路径概述主机将根据启动程序端口、目标端口和LUN号来识别设备。如果主机具有连接到双工E系列控制器的冗余IPSAN接口(iSCSI)、双端口SAS接口或双端口HBA适配器,则该主机就具有连接到其LUN的冗余路径。SANtricityE
25、S安装实用程序的主机安装选项必须安装在适用于Windows部署的物理录制服务器上,以实现必要的多路径驱动程序,从而通过正确的路径将I/O传输到LUNo在子虚拟机上运行的WindowsServer无需安装E系列多路径驱动程序,而是使用ESXi的本机多路径驱动程序。除了提供多路径发现和配置之外,多路径驱动程序还可以管理遍历所属控制器的多个路径之间的I/O负载平衡,并管理控制器、路径故障转移和故障恢复。例如,对于较慢的主机接口连接,要增加主机和存储控制器之间的吞吐量,最有效的方法是通过选择循环或最小队列深度选项来使用所有可用路径。与部署一个8Gb/秒光纤通道连接相比,部署多个基于GbE的iSCSI接
26、口可通过对多个路径进行负载平衡而使吞吐量显著提高。3.9 E系列认证多路径驱动程序适用于WindowsServer2008R2的E系列认证多路径驱动程序是WindowsMPIO组件以及加载适当DSM的SANtricityES主机安装。默认情况下,Windows支持每个控制器具有四个路径,最多32个路径。Windows支持每台主机最多具有255个卷(LUN)0对于VMware,VMware本机多路径插件(NMP)已获得认证。在使用VMwareESXi5.0.0的虚拟机中运行WindowsServer2008R2时,只应安装SANtricityES主机实用程序。在SANtricity主机实用程序安
27、装中会安装实用程序SMdevices,该实用程序是一款非常有用的故障排除工具,用于确定所连接的存储阵列名称和卷信息。如图3所示的示例拓扑在视频录制服务器和存储阵列之间使用了冗余路径。对于光纤通道部署,根据所使用的端口数,拓扑中可能存在多个活动路径和备用路径。对于iSCSI,需要手动在MicrosoftiSCSI启动程序中配置多个活动路径和备用路径。综上所述,SANtricityES安装在每台Windows录制服务器上: 对于VMwareESXi子系统,选择自定义安装,并且仅安装实用程序。 对于非虚拟Windows部署,选择相关主机选项以安装实用程序,DSM可提供多路径支持,以实现高可用性。4网
28、络规划视频监控部署要求网络基础架构满足以下要求: 提供充足的可用容量(带宽)以传输视频 IP视频数据包丢失率非常低或无丢失 网络延迟不超出视频源的传输协议(TCP或UDP)的适用范围 可通过网络冗余和网络设计最佳实践实现高可用性 符合网络安全和服务要求视频可能会使用UDP或TCP在端点之间进行传输。在这两种传输方法中都可能发生图像质量问题(帧丢失)。由于TCP是面向连接的协议,因此,TCP传输会在拥塞期间首先放弃其带宽,实时应用程序(如视频)可能会因到达时间过迟而需要由接收方放弃,因为已超过播放时间。虽然基于IP网络的视频监控部署会与IP语音(VoiceOverIP,VoIP)使用许多相同的服
29、务级别协议(SerViCe-LeVelAgreement,SLA),但视频的带宽要求显著高于VoIP的带宽要求。此外,每台网络摄像机都会在网络上以流的形式持续(24/7)传输视频,而IP电话使用的网络资源则较少,除非正在进行通话。在现有网络上实施基于网络的视频要求使用数据、VoIP和视频的网络服务质量(NetworkQualityofService,Q0S)0无论是为视频监控实施单独的物理网络,还是将视频融入到现有网络基础架构之中,物理安全部门或集成商都必须与IT部门通力合作,以实施与现有基础架构一致的网络设备。提供语音和视频网络实施服务的领先网络供应商和集成商可以提供必要的协助,帮助评估IP
30、视频监控部署的网络是否已就绪。4.1 网络示例本节讨论如何通过网络交换机与录制服务器建立机架顶部连接,以及网络交换机如何与核心/分发层交换机进行集成。我们会使用已在NetApp的RTP实验室中构建并测试的示例配置来说明建立视频监控网络的具体信息。我们已针对E2660部署对一个示例视频监控解决方案进行了验证,该部署涉及NetAppE系列存储、最多四个CiscoUCSC220-M3服务器以及两个CiscoNexus3048机架顶部集成的第2/3层交换机。VMwareESXi5.1安装在每台CiscoUCS服务器上。每台服务器配置有四个虚拟机,每个虚拟机均运行WindowsServer2008R2o
31、CiscoNexus3048交换机可提供服务器访问层交换基础架构,以便将视频监控系统连接到最终客户的IP网络基础架构。在大多数部署中,网络视频摄像机和查看工作站会连接至现有网络路由器或新的网络路由器,交换机会在物理安全部署中安装。IP网络是该架构的关键组成部分,因为它可提供与所有主要组件的连接,如图4所示。图4)架构拓扑概览。注:E系列存储阵列已连接到网络交换机,以便能够对运行SANtriCityES的工作站进行管理,尽管主机是通过光纤通道链路或直接SAS连接来建立连接的。每个CiscoNexus3048交换机都支持四个1/1OGbpsSFP+端口。在每个交换机上,两个端口配置为WGbps虚拟
32、端口通道(VPC)对等链路;其余两个端口则可用于第3层(已路由)或第2层(已交换)上行链路。经过测试,该配置可在每个交换机上利用一个WGbpsSFP+光纤来实现上行链路连接和高可用性。CiscoNexus3048是一个具有48个10/100/1000MbPSRJ-45端口的IRU机箱,用于连接到服务器上的数据和管理接口以及E系列管理端口。风扇托盘具有冗余电源和冗余风扇。CiscoNexus3048可通过冗余电源和风扇、冗余上行链路和vPC功能实现高可用性。该视频监控部署中的任一CiscoNexus3048交换机出现故障或不工作,都不会影响视频监控服务器从网络视频摄像机中捕获和录制视频流的功能。
33、4.2 网络接口在NetApp测试的示例配置中,每台CiscoUCSC220-M3服务器都具有一个Broadcom四端口以太网适配器。这四个端口聚合为一个逻辑链路。通过该链路,可以将视频从网络视频摄像机传入服务器。其中,两个成员链路连接到一个CiscoNexus3048交换机而另外两个成员链路则连接到另一个CiscoNexus3048交换机。CiscoNexus3048交换机之间配置有两个VPC对等保活链路(IGbPS)和两个10GbpsvPC对等链路。vPC对等保活链路仅传输控制平面流量,用于检测对等故障。VPC对等链路属于第2层中继,在某些故障情形下,可以同时传输设备管理VLAN流量和服务
34、器端口通道接口的流量。图5显示了此网络拓扑结构。图5)CiscoNexus3048拓扑概览。VSS-3048-1接口 VLAN 58VRF成员VPC对等保活IP 地址 n.n.n.30VPC对等IS路 两个10 Gbps端口通道59 中继VSS30482接口 VLAN 58VRF成员VPC对等保活IP 地址 n n n n/30缄口通道1 访问注:为清晰起见,仅显示一台服务器(服务器1)0所有服务器的配置都类似。本文档稍后会显示上行链路连接。4.3 VMwareVSphere网络配置在CiscoUCSC220-M3服务器的VMwarevSphere客户端上,视频传入网络配置为一个交换机,其中包
35、含四个物理适配器。该配置示例在图6中显示为vSwitch1(VLAN2020).图6)VMwarevSphere网络配置Qr A4rView:*4reuomgSkInafa 5 5MchOVfUJ 卜似h 8 Gb.P UMfUeeviotkT*aml OutP MarQGn 4m *3nfP uiWoeo-B /Hs .l LtiWK0yoRACK aft 41RAC*T2BACK Sn 43RA: 夕045WK$术* M/X-RACKM-WOhr A4r*免_ ty-m VffficSm VrrnZ 0 rc3一 UrrnC2IOOO FulIOOO FulIOQO FulWOO Pul少
36、 3 兄Cisco DiscoYerf PiPropertiesVetdon: IfnecU Twe U Ive Gag- Deure M F Md忙方 Pott ID: 5o(twevrsm; rijrJ/re Piaifonm. PPrefix: IP Pr*fiLvch: VU4 Ful Duptex: Mnj:5ycm NW: SyHern O(d: M08.-N Mdre95: Ixcaticn:12BHSV5S3M J(lOCi644Rn)19B.18.6.1Ethernet if 29Osco NU5 WnMq 5/4F (.3KX)4BTP-LCEo.o.o.o02020Enl
37、edOV5S-3DWJ1.3.6. .4. .9. IZ.3. 1.3.110619Bl57.llSnlWkKag除了视频传入VLAN之外,还会配置一个设备管理VLAN1以便为E系列管理端口提供管理连接;为物理服务器管理提供Cisco集成的管理控制器端口;提供ESXiVMkerneI管理网络端口;为SSHxLinuxX-terminal或Windows远程桌面连接提供子操作系统管理网络端口。4.4 上行链路连接(第2层)经过测试,如果仅使用第2层服务,则该设计不需要对CiscoNexus3048使用任何额外的CiscoNX-OS软件包。系统默认设置(无需许可证)包括该解决方案中使用的功能:VL
38、AN、IEEE802.1Q中继、vPC,链路聚合控制协议(LACP)s安全外壳版本2(SSHv2)访问和Cisco发现协议。使用该选项,可以将视频监控系统和园区核心/分发交换机之间的上行链路连接配置为第2层(已交换)端口通道中继。图7显示了此拓扑。图7)上行链路连接(第2层)1.2端口通道视频监控机架在这种假设前提下,必须配置最终客户核心/分发交换机,以提供第2层和第3层功能,为视频监控解决方案提供支持。这些功能包括: 主要和辅助根生成树桥(快速生成树协议RSTP) 以太网交换机虚拟接口(SVI)1例如,用作视频传入和管理VLAN的接口VLAN 热备用路由器协议(HSRP)或虚拟路由器冗余协议
39、VRRP);用于视频传入和管理VLAN的虚拟IP地址在安装和实施过程中,可以通过交替重复加载CiscoNexus3048交换机并验证连接和恢复来验证此设计的高可用性配置。4.5 上行链路连接(第3层)最终客户可能需要NX-OS系统默认设置(无许可证)中不支持的其他功能,他们可以购买其他CiscoNX-OS软件包、基本许可证(N3K-C3048-BAS1K9)和LAN企业版许可证(N3K-C3048-LAN1K9)。这些软件包提供的功能包括IP多播支持(IPPIM-SM)或高级第3层路由(如OSPFV2或EIGRP)等。例如,可以使用这些可选许可证实现路由服务器访问层,如Cisco文档高可用性
40、园区网络设计一使用ElGRP或OSPF的路由访问层中所述。如果最终客户需要为视频监控部署提供第3层连接,则拓扑如图8所示。视iK监控机架4.6 网络管理注意事项CiscoNexusNX-OS不对域名系统(DNS)服务器或动态主机配置协议(DynamiCHoStCOnfigIlratiOnProtocol,DHCP)服务器提供软件支持。如果需要这些服务,则必须由最终客户网络管理系统提供。最佳做法是,应配置CiscoNexus3048交换机,以便向系统日志服务器记录日志,并响应SNMP查询,以及向网络管理工作站发送SNMP陷阱。4.7 网络设计原理示例CiscoNexus交换机配置将实施这些网络设
41、计最佳实践概念,如表2所述。表2)网络设计最佳实践概念。设计决策说明VLAN安全最佳实践此应用程序说明提供了VLAN安全最佳实践的详细信息。请访问VLAN1在许多部署中.VLAN1跨越多个交换机.并且不受交换机间中继端口减少的影响。此部署中的端口不会分配给VLAN1,VLAN1SVI已关闭。VLAN2未使用的端口在示例拓扑中,为交换机上所有未使用的端口定义和配置VLAN2o中继端口上不允许VLAN2.如果恶意用户连接到一个未使用的交换机端口.则连接的设备将无法访问位于本地交换机外部的网络。此外,建议禁用未使用的端口。VLAN3本机VLAN将VLAN3指定为此部署的本机VLANz本机VLAN是8
42、02.1q中继端口上未标记的VLANo此拓扑中的本机VLAN仅在中继端口上配置,VLAN3没有边缘端口。VLAN7设备管理此部署利用的一个VLAN1它用于管理E系列控制器端口和每台服务器的三个管理接口。在VLAN7中还会为服务人员配置一些未使用的可用端口,用于将笔记本电脑连接到一个端口进行初始安装和持续故障排除。此VLAN通过第2层上行链路或第3层连接中继到网络核心。设计决策卜兑明VLAN58墟拟端回于2通道对等保活VLAN将VLAN58指定为虚拟端口通道(VPC)对等保活VLANo端口通道58接口和SVI接口在t璃4赧MJO峭瓣有七贵赞解炉糊病接口分配一个IP网络地址.并将该地址用作VPC保
43、活的源和目标IP地址。不对VPC保活使用交换机管理接口(mgmt),从而使最终用户可以将该管理接口连接到网络拓扑结构中的其他设备.以便对交换机进行带外管理。4建蹩弟虏商制痢嬲明或酬苏鼬勃疑案睡甥触震不便硼物燃踊I况耐部署相对1一一.一一一_一- 优势最为突出裂新嬲球曝覆髓解懈剪的蜘骷瞬法期序 g匏於i彘颊崛一设计. “怫懒甜魁色脚腌越微奴谦静直逵奇憾峰哪黜询崛 峨或者直连出置对可扩展性谶嬲限制将娣曲除曜询瞬嫡簿跄嬲能为锻趣缔裁随舞晞蹴是利用虚拟化 部署少量高端服涝器Ute)。在视频监控解决方案交换机上安装LAN企业版许可证,可以更明确地界定机架与核心/分发5.1 硬件建嬲交换机。由于第3层的界
44、定,可以在所有机架式交换机上使用相同的VLAN编号方案。查看工作站前赢解fttp:WWWonsrWfe蛹5漫旃而搭d箭箭g 工冽由字箕髓禅建议。送些建议一:例如,双核IntF L黑产,瑞瑞层伊山bU TZ由Q5 NF日小士工,需概括性颁率。CPU说明:聚合视频数据速率15基于NetAppE系列存储的视频监控解决要估计录制服务器的数量以及存储阵列的类型和大小,必须确定 方费像视柄勒康取瑜斤产生的聚合数据速率。视频管理系统软件VMS的架构可确定存储阵列的工作负载要求。设计要素|设计决策说明VLAN安全最佳实践此应用程序说明提供了VLAN安全最佳实践的详细信息。请访问VLAN1在许多部署中.VLAN
45、1跨越多个交换机,并且不受交换机间中继端口减少的影响。此部署中的端口不会分配给VLAN1.VLAN1SVI已关闭。VLAN2未使用的端口在示例拓扑中,为交换机上所有未使用的端口定义和配置VLAN2o中继端口上不允许VLAN20如果恶意用户连接到一个未使用的交换机端口,则连接的设备将无法访问位于本地交换机外部的网络.此外,建议禁用未使用的端口。VLAN3本机VLAN将VLAN3指定为此部署的本机VLAN,本机VLAN是802.1q中继端口上未标记的VLANo此拓扑中的本机VLAN仅在中继端口上配置CVLAN3没有边缘端口。VLAN7设备管理此部署利用的一个VLAN,它用于管理E系列控制器端口和每台服务器的三个管理接口。在VLAN7中还会为服务人员配置一些未使用的可用端口,用于将笔记本电脑连接到一个端口进行初始安装和持续故障排除。此VLAN通过第2层上行链路或第3层连接中继到网络核心。设计决策说明VLAN58虚拟端
免费区 
