CN102546657A - Ip监控系统中穿越、协助穿越网络隔离设备的方法和节点 - Google Patents
Ip监控系统中穿越、协助穿越网络隔离设备的方法和节点 Download PDFInfo
- Publication number
- CN102546657A CN102546657A CN2012100303274A CN201210030327A CN102546657A CN 102546657 A CN102546657 A CN 102546657A CN 2012100303274 A CN2012100303274 A CN 2012100303274A CN 201210030327 A CN201210030327 A CN 201210030327A CN 102546657 A CN102546657 A CN 102546657A
- Authority
- CN
- China
- Prior art keywords
- address
- l2tp
- message
- monitor node
- relaying
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
本发明公开了IP监控系统中穿越网络隔离设备的方法,包括:位于网络隔离设备内侧网络内的第一监控节点作为LNS,接收作为LAC的L2TP中继发起隧道连接请求;L2TP隧道连接建立后,该第一监控节点分配IP地址给该L2TP中继,第一监控节点激活自身L2TP虚接口IP地址;第一监控节点从L2TP中继接收隧道报文并将隧道报文进行解封装获得内容为监控信令数据的内层IP报文,第一监控节点从内层IP报文中获得监控信令数据并进行相应的信令处理;第一监控节点将自身生成的监控信令数据封装到内层IP报文中,然后将该内层IP报文封装到隧道报文中发送给L2TP中继。本发明能够在简单有效地穿越隔离设备的同时,避免了隔离设备对监控业务的困扰。
Description
技术领域
本发明涉及视频监控领域,尤其涉及一种IP监控系统中穿越、协助穿越网络隔离设备的方法和节点。
背景技术
基于IP网络的视频监控已经逐渐发展成为安防业的主流方案,成功应用于平安工程、高速公路、公安网、园区等大型项目。IP的标准性和开放性也使得各个网络孤岛的整合变得容易,使网络规模的扩展变得轻松。考虑到IPv4地址资源紧张和现有各区域网络地址段相互重叠的现实,以及各种网络安全的需要,NAT、防火墙、安全隔离网闸等设备被大量的应用于大型网络中。这就使得基于IP的视频监控系统的信令和业务流程变得非常复杂,甚至导致某些业务在某些特定的组网中无法开展。下面简单阐述下在视频监控网络存在NAT、防火墙、安全隔离网闸时,视频监控网络通信变得复杂困难的缘由。
在存在NAT设备的时候,由于IP报文穿过NAT设备之后其源IP地址或目的IP地址会发生改变,而一个业务信令内部通常也包含有源IP地址和目的IP地址,由此造成内、外部地址的不统一,这在很多时候会对视频监控业务流程造成困扰。另外,如果NAT外网存在设备要首先发起通向内网的TCP/UDP连接,就必须先在NAT设备上为内网的那些设备分别配置内部服务器的地址/端口映射,这样显然会浪费大量公网地址,很多时候也是不允许的。当然,在控制服务器可以判断出交互的两台设备谁处于NAT内网谁处于外网时,可以通知内网的设备主动向外网设备发起连接。但是这要求每个会话连接都实现两种或甚至两种以上的处理流程,对于一个包含了多个会话行为的业务流程这种组合会变得非常复杂。况且某些标准业务也不允许交互的双方颠倒C/S的角色。
在存在防火墙时,需要防火墙开放相当数量的UDP/TCP端口以便防火墙外的终端,如视频监控客户端,能主动访问防火墙内的服务器,如视频管理服务器(VM)。这样就给企业内网带来了安全隐患。
在存在安全隔离网闸时,大量以IP代理方式实现的网闸(即来自外部的流量先发送到网闸的一个代理IP,网闸修改目的IP后再往内网转发),通常会要求网闸协助对业务信令的内部信息做出相应的修改,因为其中可能包含有IP地址信息。于是监控系统厂家每开发一个新特性可能都会要求网闸公司配合做出相应的特性开发。
另外,一些特殊用户还有特殊的视频监控网络需求。比如说公安网络等安全性要求较高的网络需要:所有的会话连接都要求由内网发起,否则外部流量就进入不了内网。在一个典型的集中控制架构中,终端,如编码设备,首先得向服务器,如视频管理服务器,发起注册信令,点播业务也是点播主机先向服务器发起申请,当终端和主机处于外网而服务器处于内网时业务就会遭遇困境。
发明内容
本发明提供了一种IP监控系统中穿越网络隔离设备的方法和对应的监控节点。
本发明的技术方案是这样实现的:
一种IP监控系统中穿越网络隔离设备的方法,该方法应用于监控系统的监控节点上,其中所述监控系统中包括多个监控节点以及L2TP中继,所述多个监控节点包括EC,VC以及至少一种服务器;其中所述至少一种服务器为VM,该方法包括:位于网络隔离设备内侧网络内的第一监控节点作为LNS,接收作为LAC的L2TP中继发起隧道连接请求,与该L2TP中继建立L2TP隧道连接;L2TP隧道连接建立后,所述第一监控节点分配IP地址给所述L2TP中继,第一监控节点激活自身L2TP虚接口IP地址;第一监控节点从L2TP中继接收隧道报文并将隧道报文进行解封装获得内容为监控信令数据的内层IP报文,所述内层IP报文是网络隔离设备外侧网络的监控节点发送的监控信令数据,所述隧道报文的目的地址为第一监控节点自身的IP地址,隧道报文的源地址为L2TP中继自身的IP地址,所述内层IP报文的目的地址为第一监控节点L2TP虚接口的IP地址,所述内层IP报文的源地址为外侧网络中监控节点的IP地址;第一监控节点从内层IP报文中获得监控信令数据并进行相应的信令处理;第一监控节点将自身生成的监控信令数据封装到内层IP报文中,然后将所述内层IP报文封装到隧道报文中发送给L2TP中继,L2TP中继将内层IP报文转发到网络隔离设备外侧网络的监控节点,其中该内层IP报文的源地址为第一监控节点L2TP虚接口的IP地址,目的地址为外侧网络监控节点的IP地址,该隧道报文的源地址为第一监控节点自身的IP地址,该隧道报文的目的IP地址为L2TP中继自身的IP地址。
一种IP监控系统中穿越网络隔离设备的监控节点,其中该监控节点位于网络隔离设备内侧网络,所述监控系统中包括多个监控节点以及L2TP中继,所述多个监控节点包括EC,VC以及至少一种服务器;其中所述至少一种服务器为VM,该监控节点包括隧道处理单元、信令处理单元以及网络接口单元;其中所述隧道处理单元包括连接处理子单元以及报文处理子单元:其中,网络接口单元,用于在IP网络上收发报文;信令处理单元,用于处理监控信令数据;连接处理子单元,用于接收作为LNS的L2TP中继发起隧道连接请求;并在L2TP隧道连接建立后分配IP地址给所述L2TP中继,并激活自身L2TP虚接口IP地址;报文处理子单元,用于将网络接口单元从L2TP中继接收的隧道报文进行解封装获得内容为监控信令数据的内层IP报文,并将该监控信令数据提交给信令处理单元;其中所述内层IP报文是网络隔离设备外侧监控节点发送的报文,所述隧道报文的目的地址为所述该监控节点自身的IP地址,隧道报文的源地址为L2TP中继自身的IP地址;所述内层IP报文的目的地址为所述所述L2TP虚接口IP地址,源IP地址为所述外侧监控节点的IP地址;其中该报文处理子单元进一步用于,将监控节点信令处理单元生成的监控信令数据封装到内层IP报文中,然后将所述内层IP报文封装到隧道报文中发送给网络接口单元,由网络接口单元发送给L2TP中继,L2TP中继将内层IP报文转发到网络隔离设备外侧网络的监控节点,其中该内层IP报文的源地址为所述L2TP虚接口的IP地址,内层报文的目的地址为所述外侧网络监控节点的IP地址,该隧道报文的源地址为该监控节点自身的IP地址,该隧道报文的目的地址为L2TP中继自身的IP地址。
本发明还提供了一种IP监控系统中协助穿越网络隔离设备的方法和对应的L2TP中继。该方案如下实现:
该方案一种IP监控系统中协助监控节点穿越网络隔离设备的方法,该方法应用于监控系统的L2TP中继上,其中所述监控系统中包括多个监控节点以及L2TP中继,所述多个监控节点包括EC,VC以及至少一种服务器;其中所述至少一种服务器为VM,该方法包括:L2TP中继作为LAC向网络隔离设备内侧网络内的作为LNS的第一监控节点发出L2TP隧道连接请求;在与第一监控节点建立隧道连接后,接收第一监控节点分配的IP地址;从第一监控节点接收隧道报文并将该隧道报文进行解封装获得内层IP报文,所述内层IP报文是第一监控节点发送给网络隔离设备外侧的监控节点的报文,隧道报文的源地址为第一监控节点自身的IP地址,目的地址为所述L2TP中继自身的IP地址,所述内层IP报文的目的地址为外侧网络中的监控节点的IP地址,源地址为所述第一监控节点L2TP虚接口的IP地址;根据内层IP报文的目的地址,将该报文转发给网络隔离设备外侧的监控节点;将网络隔离设备外侧的监控节点发出的IP报文进行隧道封装后发送给所述第一监控节点,其中该IP报文的目的地址为第一监控节点L2TP虚接口的IP地址,源地址为网络隔离设备外侧的监控节点的IP地址,封装后的隧道报文的目的IP地址为所述第一监控节点自身的IP地址,隧道源IP地址为L2TP中继自身的IP地址。
一种IP监控系统中协助监控节点穿越网络隔离设备的L2TP中继设备,其中所述监控系统中包括多个监控节点以及L2TP中继,所述多个监控节点包括EC,VC以及至少一种服务器;其中所述至少一种服务器为VM,该方法包括:网络接口单元,用于通过IP网络收发报文;连接处理子单元,用于向作为LNS的网络隔离设备内侧的监控节点以L2TP中继自身的IP地址发出的L2TP隧道连接请求;在与所述监控节点建立隧道连接后,接收内侧网络监控节点分配的IP地址;报文处理子单元,用于从所述网络隔离设备内侧监控节点接收隧道报文并将该隧道报文进行解封装获得内层IP报文,根据内层IP报文的目的地址将该报文转发给网络隔离设备外侧的监控节点;所述内层IP报文是网络隔离设备内侧的监控节点发送给网络隔离设备外侧的监控节点的报文,隧道报文的源地址为内侧监控节点自身的IP地址,目的地址为所述L2TP中继自身的IP地址,所述内层IP报文的目的地址为网络隔离设备外侧监控节点的IP地址,源地址为所述内侧监控节点L2TP虚接口的IP地址;其中该报文处理子单元,进一步用于将网络隔离设备外侧的监控节点发出的IP报文进行隧道封装后发送给所述内侧的监控节点,其中该IP报文的目的地址为内侧监控节点L2TP虚接口的IP地址,源地址为网络隔离设备外侧监控节点的IP地址,封装后的隧道报文的目的IP地址为所述内侧节点自身的IP地址,隧道报文源地址为L2TP中继自身的IP地址。
与现有技术相比,本发明能够解决了当前IP监控系统业务端口过多、NAT转换或网闸穿越时内部消息转换的困扰,从而使监控系统内部的新特性开发只需要专注于业务本身,而不必再为网络层面的转换而操心,而网闸公司也不必针对性的为监控系统这种业务做出特定的开发,对客户的防火墙来说需要开放的端口或地址映射也更少,从而更加的安全。尤其是对于要求一个方向先发起会话的环境,L2TP中继可以作为LAC角色向网络隔离设备内侧网络发起连接,而不必要求监控业务层面做出调整。
此外L2TP的接收端可以会对接收到的乱序报文进行缓存和调整,这对于音视频流量尤为有意义,因为乱序会极大的影响音视频的解码和播放效果。L2TP之上的PPP协议具有会话连接认证功能,这就提供一层安全防护;PPP可以对报文头或数据进行压缩,这样可以减少数据的传输量。如果需要进一步的保密,只需要在L2TP隧道的基础上叠加IPsec即可,可以是L2TP overIPsec,也可以是IPsec over L2tp。
附图说明
图1为实施例一的网络示意图;
图2为实施例二的网络示意图;
图2a为实施例二的另一网络示意图
图3为实施例三的网络示意图;
图4为实施例四的网络示意图;
图4a为实施例四的另一网络示意图;
图5是本发明监控节点或者L2TP中继设备的基本硬件架构;
图6是本发明监控节点或者L2TP中继设备的逻辑结构图。
具体实施方式
本发明按如下思路进行创作:
IP监控系统中监控节点穿越网络隔离设备时,位于网络隔离设备内侧网络内的第一监控节点作为LNS,接收作为LAC的L2TP中继发起隧道连接请求,与该L2TP中继建立L2TP隧道连接;L2TP隧道连接建立后,该第一监控节点分配IP地址给该L2TP中继,第一监控节点激活自身L2TP虚接口IP地址;第一监控节点从L2TP中继接收隧道报文并将隧道报文进行解封装获得内容为监控信令数据的内层IP报文,该内层IP报文是网络隔离设备外侧网络的监控节点发送的监控信令数据,该隧道报文的目的地址为第一监控节点自身的IP地址,隧道报文的源地址为L2TP中继自身的IP地址,该内层IP报文的目的地址为第一监控节点L2TP虚接口的IP地址,该内层IP报文的源地址为外侧网络中监控节点的IP地址;第一监控节点从内层IP报文中获得监控信令数据并进行相应的信令处理;第一监控节点将自身生成的监控信令数据封装到内层IP报文中,然后将该内层IP报文封装到隧道报文中发送给L2TP中继,L2TP中继将内层IP报文转发到网络隔离设备外侧网络的监控节点,其中该内层IP报文的源地址为第一监控节点L2TP虚接口的IP地址,目的地址为外侧网络监控节点的IP地址,该隧道报文的源地址为第一监控节点自身的IP地址,该隧道报文的目的IP地址为L2TP中继自身的IP地址。
该第一监控节点还从L2TP中继接收隧道报文并将隧道报文进行解封装获得内容为监控业务数据的内层IP报文,该内层IP报文是网络隔离设备外侧网络监控节点发送的监控业务数据报文,该隧道报文的目的地址为该第一监控节点自身的IP地址,隧道报文的源地址为L2TP中继自身的IP地址;该内层IP报文的目的地址为该第一监控节点L2TP虚接口的,源地址为该外侧网络监控节点的IP地址;或者第一监控节点还将生成的监控业务数据封装到内层IP报文中,然后将该内层IP报文封装到隧道报文中发送给L2TP中继,由L2TP中继将内层IP报文转发到网络隔离设备外侧网络的监控节点,其中该内层IP报文的源地址为第一监控节点L2TP虚接口IP地址,内层报文的目的地址为该外侧网络监控节点的IP地址,该隧道报文的源地址为第一监控节点自身的IP地址,该隧道报文的目的地址为L2TP中继自身的IP地址。
该第一监控节点L2TP虚接口的IP地址是网络隔离设备外侧网络规划的IP地址。或者该第一监控节点L2TP虚接口的IP地址是自身独立规划的IP地址,该L2TP中继与网络隔离设备外侧的监控节点建立有L2TP隧道连接,该网络隔离设备外的监控节点包括VM和MS。
该第一监控节点为VM,VM接收L2TP中继通过VM与L2TP中继建立的L2TP隧道发送的封装在隧道报文中的监控信令数据,该监控信令数据由EC或者VC发送。
IP监控系统中L2TP中继协助监控节点穿越网络隔离设备时,L2TP中继作为LAC向网络隔离设备内侧网络内的作为LNS的第一监控节点发出L2TP隧道连接请求;在与第一监控节点建立隧道连接后,接收第一监控节点分配的IP地址;从第一监控节点接收隧道报文并将该隧道报文进行解封装获得内层IP报文,该内层IP报文是第一监控节点发送给网络隔离设备外侧的监控节点的报文,隧道报文的源地址为第一监控节点自身的IP地址,目的地址为该L2TP中继自身的IP地址,该内层IP报文的目的地址为外侧网络中的监控节点的IP地址,源地址为该第一监控节点L2TP虚接口的IP地址;根据内层IP报文的目的地址,将该报文转发给网络隔离设备外侧的监控节点;将网络隔离设备外侧的监控节点发出的IP报文进行隧道封装后发送给该第一监控节点,其中该IP报文的目的地址为第一监控节点L2TP虚接口的IP地址,源地址为网络隔离设备外侧的监控节点的IP地址,封装后的隧道报文的目的IP地址为该第一监控节点自身的IP地址,隧道源IP地址为L2TP中继自身的IP地址。
该L2TP中继与网络隔离设备外侧的监控节点建立有L2TP隧道连接具体为:该L2TP中继与VM和MS建立有L2TP隧道连接,L2TP中继接收网络隔离设备外侧的VM和MS发送的隧道报文后,先将该隧道报文进行解封装,然后重新进行隧道封装后发送给网络隔离设备内侧的第一监控节点。
该L2TP中继为该网络隔离设备外侧的MS。
下面结合附图及具体实施例对本发明再作进一步详细的说明。实施例中涉及到的各种节点或者设备定义如下:EC为编码终端或媒体终端,VC为监控客户端,VM为视频管理服务器,DM为数据管理服务器,MS为媒体交换服务器,IPSAN为IP存储服务器,LNS为L2TP服务端,本发明将其命名为L2TP中继设备,因为其还需要执行报文转发工作。在下面实施例中L2TP中继在建立L2TP隧道的时候作为LAC角色存在。
实施例一
图1显示实施例一的网络示意图。该网络是一个IP监控系统。该IP监控系统包含多个监控节点。图1中,监控节点EC11被网络隔离设备与另一网络隔离。网络隔离设备可以是NAT,防火墙或者网闸等。本实施例中,如图1,该监控系统中的监控节点EC11所在的网络为网络隔离设备内侧的网络,这里称其为网络A,它被网络隔离设备隔离或者说保护,这里将网络隔离设备外侧网络称为网络B。由于网络隔离设备的存在,导致网络A可以访问网络B,而网络B在没有特殊配置的前提下无法访问网络A。该IP监控系统还包含L2TP中继14。监控节点EC11自身的IP地址是10.10.10.10,即属于网络A(网络A的IP地址是10.10.10.0/24)的IP地址是10.10.10.10;监控网络中其他监控节点自身的IP地址和这里EC 11自身的IP地址作类似的解释。L2TP中继14自身的IP地址,即非通过LNS服务端分配的IP地址为12.12.10.10,这个地址从网络A的角度来看属于公网地址,即网络A可以直接访问;如果该地址不能被直接访问到,可以在本网络出口的隔离设备上配置静态映射的对应公网地址。监控节点EC11需要和网络B中的另一监控节点进行通信。
L2TP中继14作为LAC,以自身IP地址12.12.10.10向作为LNS的EC11发起隧道连接请求,以与EC11建立L2TP隧道连接。这里,L2TP中继14被网络隔离设备隔离,需要网络隔离设备进行相关处理才能使L2TP中继发起的隧道连接请求能够穿越网络隔离设备到达网络A监控节点,比如说配置静态映射的对应公网地址。EC11收到该隧道连接请求后,与L2TP中继14建立隧道连接,并将地址池中的地址分配给L2TP中继14。EC11地址池中的地址属于网络B规划的IP地址,但是和网络B已经存在的设备的IP地址不同。EC11的地址池中的IP地址属于12.12.11.0/24,其分配给L2TP中继14的IP地址为12.12.11.10,EC11激活L2TP虚接口的IP地址12.12.11.1。EC11与网络B中的监控节点:如视频管理服务器VM13进行通信时,比如EC11向VM13进行注册的时候,将对注册报文进行隧道封装,这里VM13的IP地址为12.12.12.10,属于网络12.12.12.0/24。EC11将监控信令数据,即注册报文的内容封装到内层IP报文中,然后将该内层IP报文封装到隧道报文中发送给L2TP中继14,其中该内层IP报文的源地址为EC11的L2TP虚接口的IP地址12.12.11.1,目的地址为VM13的IP地址12.12.12.10;该隧道报文的源地址为EC11自身的IP地址10.10.10.10,目的地址为L2TP中继14的IP地址12.12.10.10。L2TP中继14从监控节点EC11接收到其发送的隧道报文后将该隧道报文进行解封装获得内层IP报文。EC11根据自身的保存的路由信息将该内层IP报文根据目的IP地址进行路由。本例中L2TP中继的路由信息如下表所示:
目的IP地址 | 掩码 | 网关 | 出口 |
12.12.10.0 | 24 | 12.12.10.1 | Interface1 |
12.12.12.0 | 24 | 12.12.12.1 | Interface2 |
... | ... | ... | ... |
12.12.11.1 | 32 | 12.12.11.1 | L2TP_VT1 |
L2TP中继14根据目的IP地址12.12.12.10将报文从Interface2接口发送出去。网络A中的监控节点EC11的注册报文最终被路由到了网络B中的VM13。VM13收到该注册报文后将EC11的相关信息在本地进行保存。当有VC需要点播EC11上的视频流量的时候,VM13指示EC11发送监控视频流的监控信令数据封装成IP报文被路由到L2TP中继14,L2TP中继14将VM13发送的该IP报文进行隧道封装后发送给EC11,该IP报文的目的地址为EC11L2TP虚接口的IP地址12.12.11.1,源地址为VM13的IP地址12.12.12.10,封装后的隧道报文的目的IP地址为EC11自身的IP地址10.10.10.10,隧道源IP地址为L2TP中继14自身的IP地址12.12.10.10。EC11从L2TP中继14接收隧道报文并将隧道报文进行解封装获得内层IP报文。EC11从内层IP报文中获得监控信令数据并进行相应的信令处理。EC11根据监控信令的指示将监控业务数据发给相应的监控节点。EC11根据自身的路由表,通过隧道发送监控业务数据或者不经过隧道直接发送该监控业务数据。EC11通过隧道发送监控业务数据时,EC11将生成的相应的监控业务数据封装到内层IP报文中,然后将该内层IP报文封装到隧道报文中发送给L2TP中继14,其中该内层IP报文的源地址为EC11的L2TP虚接口的地址12.12.11.1,目的地址为接收监控业务数据的监控节点,如VC或者MS的IP地址,该监控节点可以在任意网络中,包括但不限于网络A或者网络B,比如说图1中位于A网络中的VC12和位于网络B中的VC 15;该隧道报文的源地址为EC 11自身的IP地址10.10.10.10,目的地址为L2TP中继14的IP地址12.12.10.10。L2TP中继14从EC11接收到隧道报文并将该隧道报文进行解封装获得内层IP报文。L2TP中继14根据该内层IP报文的目的IP地址,即接收监控业务数据的监控节点将报文发送出去。
L2TP中继14与VC12建立L2TP隧道,该过程和L2TP中继14与EC11建立过程相同。VC12在VM13上进行注册,该注册的过程和EC11相同。后续VC12点播EC11的视频流量时,先将点播的监控信令通过VC12和L2TP中继14之间的L2TP隧道发送到VM13。后续EC11在VM13的指示下发送监控业务数据通过EC11和L2TP中继14之间的隧道到达L2TP中继14后,L2TP中继对该报文进行解封装,根据内层报文的目的IP地址以及自身的路由表,对该监控业务报文进行封装从隧道接口通过VC12和L2TP中继14之间的隧道发送到VC12。VC12接收该隧道报文进行解封装获得监控业务数据,VC接收的隧道报文的内层IP报文的目的IP地址为VC12的L2TP虚接口的IP地址,内层源IP为EC11的L2TP虚接口的IP地址,隧道报文的源IP地址为L2TP中继自身的IP地址,隧道报文的目的IP地址为VC12自身的IP地址。
网络B中的VC15点播EC11上的视频流量的时,VC15在VM13上进行注册,这个过程属于现有技术。VC15点播EC11的视频流量时,先将点播的监控信令直接发送到VM13,后续EC11发送的监控业务数据可以不经过EC11和L2TP中继14之间的隧道直接到达VC15,也可以通过EC11和L2TP中继14之间的隧道到达L2TP中继14之后,由L2TP中继14再发送到VC 15。
如果L2TP中继14单独由一个路由器或者其他网络设备充当的话,成本会比较高,所以如果IP监控系统存在MS转发设备的话,MS可以充当L2TP中继14。视频流量点播时,VM13指示EC11将视频业务数据发送到充当L2TP中继14的MS,再由MS根据点播VC的地址进行视频业务数据的转发。
实施例二
图2显示了实施例二的网络示意图。图2网络示意图和图1的区别在于网络B中的L2TP中继24向VM23发起隧道连接请求与VM23建立L2TP隧道连接;网络B中还包括一个MS26,L2TP中继24也向MS26发起隧道连接请求与MS26建立L2TP隧道连接。L2TP中继24也向网络A中的监控节点EC21发起隧道连接请求与EC21建立L2TP隧道连接。EC21、VM23、MS26给L2TP中继24分配的IP地址可以是独立地址池中的IP地址,即地址池中的IP地址可以单独规划一个IP地址段,不需要占用网络B规划的IP地址,比如EC21分配14.14.14.0/24中的地址、VM23分配15.15.10.0/24中的地址,MS26分配16.16.16.0/24中的地址等等。以14.14.14.0/24为例描述图2中监控节点的通信过程。
L2TP中继24向EC21发起隧道连接请求以与EC21建立L2TP隧道连接。EC21收到该隧道连接请求后,与L2TP中继建立隧道连接,并将地址池中的地址14.14.14.10分配给L2TP中继24,EC21的L2TP虚接口的IP为14.14.14.1;同样的,L2TP中继24向VM23发起隧道连接请求,VM23将地址池15.15.10.0/24中的地址分配给L2TP中继24,VM23虚接口的IP地址为15.15.10.1。同样地,L2TP中继24向MS26发起隧道连接请求,MS26将地址池16.16.16.0/24中的地址分配给L2TP中继24,MS26虚接口的IP地址为16.16.16.1。EC23向VM23进行注册时,将对注册报文进行隧道封装。EC21将监控信令数据,即注册报文的内容封装到内层IP报文中,然后将该内层IP报文封装到隧道报文中发送给L2TP中继24,其中该内层IP报文的源地址为EC21L2TP虚接口的IP地址14.14.14.1,目的地址为VM23虚接口的IP地址15.15.10.1;该隧道报文的源地址为EC21自身的IP地址10.10.10.10,目的地址为L2TP中继24的IP地址12.12.10.10。L2TP中继24从监控节点EC21接收到其发送的隧道报文后将该隧道报文进行解封装获得内层IP报文。L2TP中继24根据自身的保存的路由信息将该内层IP报文根据其目的IP地址进行路由。本例中L2TP中继的路由信息如下表所示:
目的IP地址 | 掩码 | 网关 | 出口 |
12.12.10.0 | 24 | 12.12.10.1 | Interface1 |
12.12.12.0 | 24 | 12.12.12.1 | Interface2 |
... | ... | ... | ... |
14.14.14.1 | 32 | 14.14.14.1 | L2TP_VT1 |
15.15.10.1 | 32 | 15.15.10.1 | L2TP_VT2 |
16.16.16.1 | 32 | 16.16.16.1 | L2TP_VT3 |
L2TP中继24根据目的IP地址15.15.10.1判断该注册报文需要进行隧道封装,从L2TP_VT2接口发送。L2TP中继24将源地址为14.14.14.1,目的地址为15.15.10.1的内层IP报文进行隧道封装,隧道报文的源IP地址为L2TP中继24自身的IP地址12.12.10.10,隧道报文的目的IP地址为VM23自身的IP地址12.12.12.10。封装完成的隧道报文经过L2TP中继24和VM23之间的隧道到达了VM23,VM23将该报文进行解封装得到了内层IP报文,将EC的注册信息在本地进行保存。
当VC点播EC21上的视频流量的时候,VM23指示EC21发送监控视频流的监控信令数据封装成IP报文并进一步封装成隧道报文经由VM23和L2TP中继24之间的隧道被发送到L2TP中继24,该监控信令数据的内层IP报文的源IP地址为15.15.10.1,目的地址为14.14.14.1;隧道报文的源IP地址为VM23自身的IP地址12.12.12.10,隧道报文的目的IP地址为12.12.10.10。L2TP中继24接收到该隧道报文后进行解封装得到内层IP报文,根据内层目的IP地址14.14.14.1将内层报文进一步进行隧道封装,经由L2TP中继24和EC21之间的隧道发送到EC21,隧道源IP地址为L2TP中继24自身的IP地址12.12.10.10,目的IP地址为EC21自身的IP地址10.10.10.10。EC21接收隧道报文并将隧道报文进行解封装获得内层IP报文。EC21从内层IP报文中获得监控信令数据并进行相应的信令处理。该监控信令数据指示EC21将监控业务数据发送到MS26。类似地,VM23指示MS26接收EC21发送的监控业务数据,并进一步将该监控业务数据发送给VC。EC21通过自身与L2TP中继24之间的隧道将监控业务数据发送给L2TP中继24,该监控业务数据进行隧道封装,其中该内层IP报文的源地址为EC21的L2TP虚接口的IP地址,目的地址为接收监控业务数据的MS26的虚接口的IP地址16.16.16.1,封装的隧道报文的源地址为EC21自身的IP地址10.10.10.10,目的地址为L2TP中继24自身的IP地址。L2TP中继24从EC21接收到隧道报文并将该隧道报文进行解封装获得内层IP报文,根据内层目的IP地址对报文进行隧道封装,从L2TP中继24和MS26之间的隧道发送到MS26。隧道封装方式同前,不再赘述。MS26收到隧道报文后进行解封装得到监控业务数据报文,MS26将监控业务数据根据VM23的指示结合自身的路由表发送给对应的VC,比如VC25。
如果L2TP中继24单独由一个路由器或者其他网络设备充当的话,成本会比较高,所以实施例二中MS26充当L2TP中继是一种更优的实施方式,如图2a所示。视频流量点播时,VM23指示EC21将视频业务数据发送到MS26,再由MS26根据点播VC的地址进行视频业务数据的转发。如网络A中的VC22点播EC21上的视频流量的时,VC22首先在VM23上进行注册。该注册的过程和EC21的注册过程相同。VC22和充当L2TP中继的MS26之间建立L2TP隧道。后续VC22点播EC21的视频流量时,先将点播的监控信令通过VC22和MS26之间的L2TP隧道以及MS26和VM23之间的L2TP隧道发送到VM23,隧道报文的封装方式和EC21向VM23进行注册的注册报文的封装方式相同。后续EC21发送的监控业务数据通过EC21和MS26之间的隧道到达MS26之后,将再通过VC22和MS26之间的隧道发送到VC22。
实施例三
图3显示实施例三的网络示意图。在图3中,该IP监控系统包含监控节点VM31,该监控节点VM31被网络隔离设备与另一网络隔离。网络隔离设备可以是NAT,防火墙或者网闸等。该监控系统中的监控节点EC11所在的网络为网络隔离设备内侧的网络,称为网络A,其被网络隔离设备隔离或者说保护;将网络隔离设备外侧网络称为网络B。由于网络隔离设备的存在,导致网络A可以访问网络B,而网络B在没有特殊配置的前提下无法访问网络A。该IP监控系统还包含一L2TP中继设备33。监控节点VM31自身的IP地址,即属于网络A的IP地址是10.10.10.10。L2TP中继设备33自身的IP地址,即非通过L2TP连接后分配的IP地址为12.12.10.10。监控节点VM31需要和网络B中的另一监控节点进行通信,如EC36,VC37。
L2TP中继33向监控节点VM31发起隧道连接请求以与VM31建立L2TP隧道连接。这里,L2TP中继33被网络隔离设备隔离,需要网络隔离设备进行相关处理才能使L2TP中继发起的隧道连接请求能够穿越网络隔离设备到达网络A监控节点,比如说配置静态映射的对应公网地址。VM31收到该隧道连接请求后,与L2TP中继33建立隧道连接,并将地址池中的地址分配给VM31。VM31地址池中的地址属于网络B规划的IP地址,但是和网络B已经存在的设备的IP地址不同。VM31的地址池中的IP地址属于12.12.11.0/24,其分配给L2TP中继33的IP地址为12.12.11.10,VM31的L2TP虚接口的IP地址为12.12.11.1。VM31的L2TP虚接口的IP地址12.12.11.1将被网络B中的EC36,VC37获得以使他们能向VM31进行注册。以EC36为例,阐述其向VM31进行注册的过程。EC36发送注册报文,该报文的目的IP地址为VM31L2TP虚接口的IP地址12.12.11.1,该报文将被路由到L2TP中继33,L2TP中继33对注册报文进行隧道封装,即注册报文封装到内层IP报文中,然后将该内层IP报文封装到隧道报文中发送给VM31,其中该内层报文的目的地址为VM31的IP地址12.12.11.1,源地址为EC36自身的地址,如12.12.12.16;该隧道报文的源地址为L2TP中继33自身的IP地址12.12.10.10,隧道目的地址为VM31自身的IP地址10.10.10.10。VM31从隧道接收到该隧道报文后将该隧道报文进行解封装获得内层IP报文。VM31将解封装后得到的EC36的相关信息在本地进行保存。VC37向VM31注册的过程同EC36注册的过程。网络A中的EC34或者VC35向网络A中的VM31进行注册时,直接发送目的地址为10.10.10.10的注册报文向VM31进行注册。
网络A中的监控节点MS32如同VM31一样与L2TP中继33建立L2TP隧道连接,MS32将IP地址分配给L2TP中继33。网络A中的EC34和VC35无需与L2TP中继33单独建立L2TP隧道。如果网络A中不存在MS32,EC34和VC35与L2TP中继32建立L2隧道。
当网络B中的VC37点播网络A中的EC34上的视频流量的时候,VC37的点播的监控信令报文如同EC36的注册报文一样被发送到VM31。VM31的指示EC34发送监控视频流的监控信令报文以EC34的IP地址10.10.10.8为目的IP地址直接在网络A中发送给EC34。该监控信令报文指示EC将监控业务数据发送给MS32。EC34根据监控信令的指示将监控业务数据发给MS32。VM31指示MS32将该监控业务数据发送给VC37。MS32根据自身的路由表,通过隧道发送监控业务数据或者不经过隧道直接发送该监控业务数据。MS32通过隧道发送监控业务数据(之前MS32已经和L2TP中继33建立了L2TP隧道)的方法和实施例一相同,这里不再赘述。如果网络A中没有MS32,则EC34根据自身的路由表,通过隧道发送监控业务数据或者不经过隧道直接发送该监控业务数据。
当VC35点播EC36的视频监控流量时,VC35在内网以自身IP地址10.10.10.6为源IP向VM31的目的IP地址10.10.10.10发送视频点播报文,VM31收到该点播报文后,向EC36发送指示EC36发送监控视频流的监控信令报文,该监控信令数据可以通过隧道发送或者不通过隧道发送,这主要由VM31的路由表决定。该监控信令报文指示EC36发送监控业务数据给MS32。EC36收到监控信令报文后,将相应的监控视频数据先路由到L2TP中继33,L2TP中继33根据目的IP地址对该监控业务数据报文进行隧道封装。封装后的隧道报文通过L2TP中继33和MS32之间的隧道发送给MS32。MS32对该隧道报文进行解封装得到内层报文。MS32按照VM31的指示将报文发送给VC35。
如果L2TP中继33单独由一个路由器或者其他网络设备充当的话,成本会比较高,所以可以由MS充当L2TP中继33。
实施例四
图4显示实施例四的网络示意图。图4网络示意图和图3的区别在于网络B中的L2TP中继43向监控节点VM48发起隧道连接请求与VM48建立L2TP隧道连接;网络B中还包括一个MS49,L2TP中继43向监控节点MS49发起隧道连接请求与MS49建立L2TP隧道连接。L2TP中继43也向网络A中的监控节点VM41发起隧道连接请求与VM41建立L2TP隧道连接。VM41、VM48和MS49分别给L2TP中继43分配IP地址,这些分配的IP地址可以是独立地址池中的IP地址,即地址池中的IP地址可以单独规划一个IP地址段,不需要占用网络B规划的IP地址,比如VM41分配14.14.14.0/24中的地址,VM41激活L2TP虚接口的IP地址14.14.14.1;VM48分配15.15.10.0/24中的地址,VM48激活L2TP虚接口的IP地址15.15.10.1;MS49分配16.16.16.0/24中的地址,MS49激活L2TP虚接口的IP地址16.16.16.1;MS42分配17.17.17.0/24中的地址,MS42激活L2TP虚接口的IP地址17.17.17.1
图4是一个二级域,包括两个管理域。其中VM41、MS42、EC44、VC45组成一个监控域X,VM48、MS49、EC46、VC47组成另一个监控域Y。其中监控管理域X是下级域,Y是上级域,Y管理X。EC44、VC45和MS42向VM41进行,该注册报文不需要经过隧道,直接以VM41的IP10.10.10.10为目的IP地址进行发送,VM41保存注册信息。EC46、VC47和MS49向VM48进行,该注册报文不需要经过隧道,直接以VM48的IP地址12.12.12.10为目的IP地址进行发送,VM48保存注册信息。VM41向VM48进行注册,L2TP中继43向VM41发起隧道连接请求以与VM41建立L2TP隧道连接。VM41收到该隧道连接请求后,与L2TP中继43建立隧道连接,并将地址池中的地址14.14.14.10分配给L2TP中继43。L2TP中继43向VM48发起隧道连接请求以与VM48建立L2TP隧道连接。VM48收到该隧道连接请求后,与L2TP中继43建立隧道连接,并将地址池中的地址15.15.10.12分配给L2TP中继43。同样地,L2TP中继43向MS49发起隧道连接请求,获得分配的IP地址16.16.16.14。L2TP中继43向MS42发起隧道连接请求,获得分配的IP地址17.17.17.16。L2TP中继43生成的路由表如下表示意:
目的IP地址 | 掩码 | 网关 | 出口 |
12.12.10.0 | 24 | 12.12.10.1 | Interface1 |
12.12.12.0 | 24 | 12.12.12.1 | Interface2 |
... | ... | ... | ... |
14.14.14.1 | 32 | 14.14.14.1 | L2TP_VT1 |
15.15.10.1 | 32 | 15.15.10.1 | L2TP_VT2 |
16.16.16.1 | 32 | 16.16.16.1 | L2TP_VT3 |
17.17.17.1 | 32 | 17.17.17.1 | L2TP_VT4 |
当网络A中的VC点播网络B中的视频流量时,比如VC45点播EC46的监控视频数据,VC45在网络A中直接将点播请求发送给VM41,VM41将该请求封装到内层IP报文中,然后将该内层IP报文封装到隧道报文中发送给L2TP中继24,其中该内层IP报文的源地址为VM41L2TP虚接口的IP地址14.14.14.1,目的地址为VM48L2TP接口的IP地址15.15.10.1;该隧道报文的源地址为VM41自身的IP地址10.10.10.10,目的地址为L2TP中继43的IP地址12.12.10.10。L2TP中继43接收到该隧道报文后将该隧道报文进行解封装获得内层IP报文。L2TP中继43根据自身的保存的路由信息(表二)将该内层IP报文根据其目的IP地址进行路由。L2TP中继24根据目的IP地址15.15.10.1判断该注册报文需要进行隧道封装,从L2TP_VT2接口发送。L2TP中继43将源地址为14.14.14.1,目的地址为15.15.10.1的内层IP报文进行隧道封装,隧道报文的源IP地址为L2TP中继43自身的IP地址12.12.10.10,隧道报文的目的IP地址为VM48自身的IP地址12.12.12.10。封装完成的隧道报文经过L2TP中继43和VM48之间的隧道到达了VM48,VM48将该报文进行解封装得到了内层IP报文。VM48通知EC46将监控视频业务数据发送到MS49,MS49再将该报文进行隧道封装经过MS49和L2TP中继43之间的隧道发送到L2TP中继43,L2TP中继43将该隧道报文进行解封装,判断需要再经过隧道发送,再对该监控业务数据进行隧道封装,经过L2TP中继43和MS42之间的隧道发送到MS42,MS42再转发给VC45。这里监控业务数据经过两个隧道封装转发的过程与前述监控信令或者监控数据经过两个隧道封装转发的过程类似。
VC47点播EC44的处理流程与VC45点播EC46的处理流程类似,在此不再赘述。
如果L2TP中继43单独由一个路由器或者其他网络设备充当的话,成本会比较高,所以实施例四中MS49充当L2TP中继是一种更优的实施方式,如图4a所示。视频监控业务处理过程参考前文。
前述4个实施方式均是以视频实况点播为例来说明具有网络隔离设备的IP监控系统,网络隔离设备两侧的监控节点是如何通信的。监控业务数据存储,即IP监控系统进一步包含数据管理服务器DM、IPSAN存储设备的情况,网络隔离设备两侧的监控节点可以参照上述视频实况点播的流程进行需要的通信。
请参考图5以及图6,图5是以上各种节点或者设备一种通用的基本硬件架构,各个设备在业务硬件上略有差异。比如说L2TP中继有可能不需要业务硬件,当然如果使用MS来充当L2TP中继,其可能存在业务硬件,同样VM可能没有业务硬件。图6是以上各个节点或者设备的通用逻辑结构图,其通常是借助计算机程序来实现。同样地,各个设备的逻辑结构可能略有差异,比如L2TP中继所在设备如果不涉及业务处理,那就可能没有业务及信令处理单元。而VM属于管理服务器,其通常不包括业务处理单元。
图6显示的通用逻辑结构包括:隧道处理单元、信令处理单元、业务处理单元以及网络接口单元。其中隧道处理单元包括连接处理子单元以及报文处理子单元。其中信令处理单元以及业务处理单元分别用于处理信令数据以及业务数据。网络接口单元负责收发报文。连接处理子单元主要用于处理建立L2TP隧道连接以及隧道连接的维护。报文处理子单元主要用户进行报文的封装以及解封装。
以下参照图6描述本发明方法对应的装置。
本发明IP监控系统中穿越网络隔离设备的监控节点,该监控节点位于网络隔离设备内侧网络,该监控系统中包括多个监控节点以及L2TP中继,该多个监控节点包括EC,VC以及至少一种服务器;其中该至少一种服务器为VM,该监控节点包括隧道处理单元、信令处理单元以及网络接口单元;其中该隧道处理单元包括连接处理子单元以及报文处理子单元:其中,网络接口单元,用于在IP网络上收发报文;信令处理单元,用于处理监控信令数据;连接处理子单元,用于接收作为LNS的L2TP中继发起隧道连接请求;并在L2TP隧道连接建立后分配IP地址给该L2TP中继,并激活自身L2TP虚接口IP地址;报文处理子单元,用于将网络接口单元从L2TP中继接收的隧道报文进行解封装获得内容为监控信令数据的内层IP报文,并将该监控信令数据提交给信令处理单元;其中该内层IP报文是网络隔离设备外侧监控节点发送的报文,该隧道报文的目的地址为该该监控节点自身的IP地址,隧道报文的源地址为L2TP中继自身的IP地址;该内层IP报文的目的地址为该L2TP虚接口IP地址,源IP地址为该外侧监控节点的IP地址;其中该报文处理子单元进一步用于,将监控节点信令处理单元生成的监控信令数据封装到内层IP报文中,然后将该内层IP报文封装到隧道报文中发送给网络接口单元,由网络接口单元发送给L2TP中继,L2TP中继将内层IP报文转发到网络隔离设备外侧网络的监控节点,其中该内层IP报文的源地址为该L2TP虚接口的IP地址,内层报文的目的地址为该外侧网络监控节点的IP地址,该隧道报文的源地址为该监控节点自身的IP地址,该隧道报文的目的地址为L2TP中继自身的IP地址。
该监控节点还包括业务处理单元,该业务处理单元用于处理监控业务数据;该报文处理子单元,还用于将网络接口单元从L2TP中继接收的隧道报文进行解封装获得内容为监控业务数据的内层IP报文,并将该监控业务数据提交给业务处理单元;其中该内层IP报文是网络隔离设备外侧监控节点发送的报文,该隧道报文的目的地址为该监控节点自身的IP地址,隧道报文的源地址为L2TP中继自身的IP地址;该内层IP报文的目的地址为该L2TP虚接口的IP地址,源IP地址为该外侧监控节点的IP地址;或者该报文处理子单元还用于,将监控节点业务处理单元生成的监控业务数据封装到内层IP报文中,然后将该内层IP报文封装到隧道报文中发送给网络接口单元,由网络接口单元发送给L2TP中继,L2TP中继将内层IP报文转发到网络隔离设备外侧网络的监控节点,其中该内层IP报文的源地址为该L2TP虚接口的IP地址,内层报文的目的地址为该外侧网络监控节点的IP地址,该隧道报文的源地址为该监控节点自身的IP地址,该隧道报文的目的地址为L2TP中继自身的IP地址。
本发明IP监控系统中协助监控节点穿越网络隔离设备的L2TP中继设备,该设备包括网络接口单元,用于通过IP网络收发报文;连接处理子单元,用于向作为LNS的网络隔离设备内侧的监控节点以L2TP中继自身的IP地址发出的L2TP隧道连接请求;在与该监控节点建立隧道连接后,接收内侧网络监控节点分配的IP地址;报文处理子单元,用于从该网络隔离设备内侧监控节点接收隧道报文并将该隧道报文进行解封装获得内层IP报文,根据内层IP报文的目的地址将该报文转发给网络隔离设备外侧的监控节点;该内层IP报文是网络隔离设备内侧的监控节点发送给网络隔离设备外侧的监控节点的报文,隧道报文的源地址为内侧监控节点自身的IP地址,目的地址为该L2TP中继自身的IP地址,该内层IP报文的目的地址为网络隔离设备外侧监控节点的IP地址,源地址为该内侧监控节点L2TP虚接口的IP地址;其中该报文处理子单元,进一步用于将网络隔离设备外侧的监控节点发出的IP报文进行隧道封装后发送给该内侧的监控节点,其中该IP报文的目的地址为内侧监控节点L2TP虚接口的IP地址,源地址为网络隔离设备外侧监控节点的IP地址,封装后的隧道报文的目的IP地址为该内侧节点自身的IP地址,隧道报文源地址为L2TP中继自身的IP地址。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (20)
1.一种IP监控系统中穿越网络隔离设备的方法,该方法应用于监控系统的监控节点上,其中所述监控系统中包括多个监控节点以及L2TP中继,所述多个监控节点包括EC,VC以及至少一种服务器;其中所述至少一种服务器为VM,该方法包括:
位于网络隔离设备内侧网络内的第一监控节点作为LNS,接收作为LAC的L2TP中继发起隧道连接请求,与该L2TP中继建立L2TP隧道连接;
L2TP隧道连接建立后,所述第一监控节点分配IP地址给所述L2TP中继,第一监控节点激活自身L2TP虚接口IP地址;
第一监控节点从L2TP中继接收隧道报文并将隧道报文进行解封装获得内容为监控信令数据的内层IP报文,所述内层IP报文是网络隔离设备外侧网络的监控节点发送的监控信令数据,所述隧道报文的目的地址为第一监控节点自身的IP地址,隧道报文的源地址为L2TP中继自身的IP地址,所述内层IP报文的目的地址为第一监控节点L2TP虚接口的IP地址,所述内层IP报文的源地址为外侧网络中监控节点的IP地址;
第一监控节点从内层IP报文中获得监控信令数据并进行相应的信令处理。
第一监控节点将自身生成的监控信令数据封装到内层IP报文中,然后将所述内层IP报文封装到隧道报文中发送给L2TP中继,L2TP中继将内层IP报文转发到网络隔离设备外侧网络的监控节点,其中该内层IP报文的源地址为第一监控节点L2TP虚接口的IP地址,目的地址为外侧网络监控节点的IP地址,该隧道报文的源地址为第一监控节点自身的IP地址,该隧道报文的目的IP地址为L2TP中继自身的IP地址。
2.如权利要求1所述的方法,其特征在于,所述第一监控节点还从L2TP中继接收隧道报文并将隧道报文进行解封装获得内容为监控业务数据的内层IP报文,该内层IP报文是网络隔离设备外侧网络监控节点发送的监控业务数据报文,所述隧道报文的目的地址为所述第一监控节点自身的IP地址,隧道报文的源地址为L2TP中继自身的IP地址;所述内层IP报文的目的地址为所述第一监控节点L2TP虚接口的,源地址为所述外侧网络监控节点的IP地址;或者
第一监控节点还将生成的监控业务数据封装到内层IP报文中,然后将所述内层IP报文封装到隧道报文中发送给L2TP中继,由L2TP中继将内层IP报文转发到网络隔离设备外侧网络的监控节点,其中该内层IP报文的源地址为第一监控节点L2TP虚接口IP地址,内层报文的目的地址为所述外侧网络监控节点的IP地址,该隧道报文的源地址为第一监控节点自身的IP地址,该隧道报文的目的地址为L2TP中继自身的IP地址。
3.如权利要求1或2所述的方法,其特征在于,所述第一监控节点L2TP虚接口的IP地址是网络隔离设备外侧网络规划的IP地址。
4.如权利要求1或2所述的方法,其特征在于,所述第一监控节点L2TP虚接口的IP地址是自身独立规划的IP地址,所述L2TP中继与网络隔离设备外侧的监控节点建立有L2TP隧道连接,所述网络隔离设备外的监控节点包括VM和MS。
5.如权利要求1所述的方法,其特征在于,所述第一监控节点为VM,VM接收L2TP中继通过VM与L2TP中继建立的L2TP隧道发送的封装在隧道报文中的监控信令数据,该监控信令数据由EC或者VC发送。
6.一种IP监控系统中穿越网络隔离设备的监控节点,其中该监控节点位于网络隔离设备内侧网络,所述监控系统中包括多个监控节点以及L2TP中继,所述多个监控节点包括EC,VC以及至少一种服务器;其中所述至少一种服务器为VM,该监控节点包括隧道处理单元、信令处理单元以及网络接口单元;其中所述隧道处理单元包括连接处理子单元以及报文处理子单元:其中,
网络接口单元,用于在IP网络上收发报文;
信令处理单元,用于处理监控信令数据;
连接处理子单元,用于接收作为LNS的L2TP中继发起隧道连接请求;并在L2TP隧道连接建立后分配IP地址给所述L2TP中继,并激活自身L2TP虚接口IP地址;
报文处理子单元,用于将网络接口单元从L2TP中继接收的隧道报文进行解封装获得内容为监控信令数据的内层IP报文,并将该监控信令数据提交给信令处理单元;其中所述内层IP报文是网络隔离设备外侧监控节点发送的报文,所述隧道报文的目的地址为所述该监控节点自身的IP地址,隧道报文的源地址为L2TP中继自身的IP地址;所述内层IP报文的目的地址为所述所述L2TP虚接口IP地址,源IP地址为所述外侧监控节点的IP地址;
其中该报文处理子单元进一步用于,将监控节点信令处理单元生成的监控信令数据封装到内层IP报文中,然后将所述内层IP报文封装到隧道报文中发送给网络接口单元,由网络接口单元发送给L2TP中继,L2TP中继将内层IP报文转发到网络隔离设备外侧网络的监控节点,其中该内层IP报文的源地址为所述L2TP虚接口的IP地址,内层报文的目的地址为所述外侧网络监控节点的IP地址,该隧道报文的源地址为该监控节点自身的IP地址,该隧道报文的目的地址为L2TP中继自身的IP地址。
7.如权利要求6所述的监控节点,其特征在于,所述监控节点还包括业务处理单元,该业务处理单元用于处理监控业务数据;
所述报文处理子单元,还用于将网络接口单元从L2TP中继接收的隧道报文进行解封装获得内容为监控业务数据的内层IP报文,并将该监控业务数据提交给业务处理单元;其中所述内层IP报文是网络隔离设备外侧监控节点发送的报文,所述隧道报文的目的地址为所述监控节点自身的IP地址,隧道报文的源地址为L2TP中继自身的IP地址;所述内层IP报文的目的地址为所述L2TP虚接口的IP地址,源IP地址为所述外侧监控节点的IP地址;或者
所述报文处理子单元还用于,将监控节点业务处理单元生成的监控业务数据封装到内层IP报文中,然后将所述内层IP报文封装到隧道报文中发送给网络接口单元,由网络接口单元发送给L2TP中继,L2TP中继将内层IP报文转发到网络隔离设备外侧网络的监控节点,其中该内层IP报文的源地址为所述L2TP虚接口的IP地址,内层报文的目的地址为所述外侧网络监控节点的IP地址,该隧道报文的源地址为该监控节点自身的IP地址,该隧道报文的目的地址为L2TP中继自身的IP地址。
8.如权利要求6或7所述的监控节点,其特征在于,所述监控节点的L2TP虚接口的IP地址是网络隔离设备外侧网络规划的IP地址。
9.如权利要求6或7所述的监控节点,其特征在于,所述监控节点的L2TP虚接口的IP地址是自身独立规划的IP地址,所述L2TP中继与网络隔离设备外侧的监控节点建立有L2TP隧道连接,所述网络隔离设备外的监控节点包括VM和MS。
10.如权利要求6所述的监控节点,其特征在于,所述该监控节点为VM,VM接收L2TP中继通过VM与L2TP中继建立的L2TP隧道发送的封装在隧道报文中的监控信令数据,该监控信令数据是由EC或者VC发送的。
11.一种IP监控系统中协助监控节点穿越网络隔离设备的方法,该方法应用于监控系统的L2TP中继上,其中所述监控系统中包括多个监控节点以及L2TP中继,所述多个监控节点包括EC,VC以及至少一种服务器;其中所述至少一种服务器为VM,该方法包括:
L2TP中继作为LAC向网络隔离设备内侧网络内的作为LNS的第一监控节点发出L2TP隧道连接请求;
在与第一监控节点建立隧道连接后,接收第一监控节点分配的IP地址,;
从第一监控节点接收隧道报文并将该隧道报文进行解封装获得内层IP报文,所述内层IP报文是第一监控节点发送给网络隔离设备外侧的监控节点的报文,隧道报文的源地址为第一监控节点自身的IP地址,目的地址为所述L2TP中继自身的IP地址,所述内层IP报文的目的地址为外侧网络中的监控节点的IP地址,源地址为所述第一监控节点L2TP虚接口的IP地址;
根据内层IP报文的目的地址,将该报文转发给网络隔离设备外侧的监控节点;
将网络隔离设备外侧的监控节点发出的IP报文进行隧道封装后发送给所述第一监控节点,其中该IP报文的目的地址为第一监控节点L2TP虚接口的IP地址,源地址为网络隔离设备外侧的监控节点的IP地址,封装后的隧道报文的目的IP地址为所述第一监控节点自身的IP地址,隧道源IP地址为L2TP中继自身的IP地址。
12.如权利要求11所述的方法,其特征在于,所述第一监控节点L2TP虚接口的IP地址是网络隔离设备外侧网络规划的IP地址。
13.如权利要求11所述的方法,其特征在于,所述第一监控节点L2TP虚接口的IP地址是自身独立规划的IP地址,所述L2TP中继与网络隔离设备外侧的监控节点建立有L2TP隧道连接,所述网络隔离设备外的监控节点包括VM和MS。
14.如权利要求13所述的方法,其特征在于,所述L2TP中继与网络隔离设备外侧的监控节点建立有L2TP隧道连接具体为:所述L2TP中继与VM和MS建立有L2TP隧道连接,L2TP中继接收网络隔离设备外侧的VM和MS发送的隧道报文后,先将该隧道报文进行解封装,然后重新进行隧道封装后发送给网络隔离设备内侧的第一监控节点。
15.如权利要求11所述的方法,其中所述L2TP中继为所述网络隔离设备外侧的MS。
16.一种IP监控系统中协助监控节点穿越网络隔离设备的L2TP中继设备,其中所述监控系统中包括多个监控节点以及L2TP中继,所述多个监控节点包括EC,VC以及至少一种服务器;其中所述至少一种服务器为VM,该方法包括:
网络接口单元,用于通过IP网络收发报文;
连接处理子单元,用于向作为LNS的网络隔离设备内侧的监控节点以L2TP中继自身的IP地址发出的L2TP隧道连接请求;在与所述监控节点建立隧道连接后,接收内侧网络监控节点分配的IP地址;
报文处理子单元,用于从所述网络隔离设备内侧监控节点接收隧道报文并将该隧道报文进行解封装获得内层IP报文,根据内层IP报文的目的地址将该报文转发给网络隔离设备外侧的监控节点;所述内层IP报文是网络隔离设备内侧的监控节点发送给网络隔离设备外侧的监控节点的报文,隧道报文的源地址为内侧监控节点自身的IP地址,目的地址为所述L2TP中继自身的IP地址,所述内层IP报文的目的地址为网络隔离设备外侧监控节点的IP地址,源地址为所述内侧监控节点L2TP虚接口的IP地址;
其中该报文处理子单元,进一步用于将网络隔离设备外侧的监控节点发出的IP报文进行隧道封装后发送给所述内侧的监控节点,其中该IP报文的目的地址为内侧监控节点L2TP虚接口的IP地址,源地址为网络隔离设备外侧监控节点的IP地址,封装后的隧道报文的目的IP地址为所述内侧节点自身的IP地址,隧道报文源地址为L2TP中继自身的IP地址。
17.如权利要求16所述的设备,其特征在于,所述网络隔离设备内侧的监控节点的L2TP虚接口的IP地址是网络隔离设备外侧网络规划的IP地址。
18.如权利要求16所述的设备,其特征在于,所述网络隔离设备内侧的监控节点的L2TP虚接口的IP地址是自身独立规划的IP地址,所述L2TP中继与网络隔离设备外侧的监控节点建立有L2TP隧道连接,所述网络隔离设备外的监控节点包括VM和MS。
19.如权利要求18所述的设备,其特征在于,所述L2TP中继与网络隔离设备外侧的监控节点建立有L2TP隧道连接具体为:所述L2TP中继与VM和MS建立有L2TP隧道连接,L2TP中继接收网络隔离设备外侧的VM和MS发送的隧道报文后,先将该隧道报文进行解封装,然后重新进行隧道封装后发送给网络隔离设备内侧的监控节点。
20.如权利要求16所述的设备,其中所述L2TP中继为所述网络隔离设备外侧的MS。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210030327.4A CN102546657B (zh) | 2012-02-10 | 2012-02-10 | Ip监控系统中穿越、协助穿越网络隔离设备的方法和节点 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210030327.4A CN102546657B (zh) | 2012-02-10 | 2012-02-10 | Ip监控系统中穿越、协助穿越网络隔离设备的方法和节点 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102546657A true CN102546657A (zh) | 2012-07-04 |
CN102546657B CN102546657B (zh) | 2015-02-11 |
Family
ID=46352615
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201210030327.4A Active CN102546657B (zh) | 2012-02-10 | 2012-02-10 | Ip监控系统中穿越、协助穿越网络隔离设备的方法和节点 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102546657B (zh) |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102917071A (zh) * | 2012-10-31 | 2013-02-06 | 浙江宇视科技有限公司 | 一种隧道连接请求分发方法及装置 |
CN102916865A (zh) * | 2012-11-08 | 2013-02-06 | 浙江宇视科技有限公司 | 一种监控业务管理方法及装置 |
WO2016019838A1 (en) * | 2014-08-04 | 2016-02-11 | Hangzhou H3C Technologies Co., Ltd. | Network management |
CN105871521A (zh) * | 2016-06-03 | 2016-08-17 | 浙江宇视科技有限公司 | 一种数据传输方法、装置及视频监控系统 |
CN106027508A (zh) * | 2016-05-11 | 2016-10-12 | 北京网御星云信息技术有限公司 | 一种认证加密的数据传输方法及装置 |
CN106559303A (zh) * | 2015-09-28 | 2017-04-05 | 瞻博网络公司 | 使用多播地址作为第2层隧道协议访问集中器中的隧道远程网关地址 |
CN107547251A (zh) * | 2017-06-28 | 2018-01-05 | 新华三技术有限公司 | 一种设备管理方法、装置及系统 |
CN108833435A (zh) * | 2018-07-03 | 2018-11-16 | 郑州云海信息技术有限公司 | 一种网络访问控制方法及装置、网络系统 |
CN109768933A (zh) * | 2019-03-21 | 2019-05-17 | 杭州迪普科技股份有限公司 | 基于l2tp网络的报文转发方法和装置 |
CN111385081A (zh) * | 2020-02-20 | 2020-07-07 | 视联动力信息技术股份有限公司 | 一种端到端的通信方法、装置、电子设备及介质 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1633100A (zh) * | 2003-12-24 | 2005-06-29 | 华为技术有限公司 | 多媒体业务网络地址转换穿越的方法及其系统 |
US20090138961A1 (en) * | 2007-11-23 | 2009-05-28 | D-Link Corporation | Portable ice proxy and method thereof |
-
2012
- 2012-02-10 CN CN201210030327.4A patent/CN102546657B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1633100A (zh) * | 2003-12-24 | 2005-06-29 | 华为技术有限公司 | 多媒体业务网络地址转换穿越的方法及其系统 |
US20090138961A1 (en) * | 2007-11-23 | 2009-05-28 | D-Link Corporation | Portable ice proxy and method thereof |
Non-Patent Citations (1)
Title |
---|
魏臻: "一种改进的IPSec穿越NAT方案", 《计算机技术与发展》 * |
Cited By (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102917071A (zh) * | 2012-10-31 | 2013-02-06 | 浙江宇视科技有限公司 | 一种隧道连接请求分发方法及装置 |
CN102917071B (zh) * | 2012-10-31 | 2016-06-08 | 浙江宇视科技有限公司 | 一种隧道连接请求分发方法及装置 |
CN102916865A (zh) * | 2012-11-08 | 2013-02-06 | 浙江宇视科技有限公司 | 一种监控业务管理方法及装置 |
CN102916865B (zh) * | 2012-11-08 | 2015-09-09 | 浙江宇视科技有限公司 | 一种监控业务管理方法及装置 |
WO2016019838A1 (en) * | 2014-08-04 | 2016-02-11 | Hangzhou H3C Technologies Co., Ltd. | Network management |
CN105471596A (zh) * | 2014-08-04 | 2016-04-06 | 杭州华三通信技术有限公司 | 网络管理的方法和装置 |
CN105471596B (zh) * | 2014-08-04 | 2019-05-07 | 新华三技术有限公司 | 网络管理的方法和装置 |
CN106559303A (zh) * | 2015-09-28 | 2017-04-05 | 瞻博网络公司 | 使用多播地址作为第2层隧道协议访问集中器中的隧道远程网关地址 |
CN106559303B (zh) * | 2015-09-28 | 2020-06-16 | 瞻博网络公司 | 用于第2层隧道协议的方法、访问集中器以及介质 |
CN106027508A (zh) * | 2016-05-11 | 2016-10-12 | 北京网御星云信息技术有限公司 | 一种认证加密的数据传输方法及装置 |
CN105871521A (zh) * | 2016-06-03 | 2016-08-17 | 浙江宇视科技有限公司 | 一种数据传输方法、装置及视频监控系统 |
CN107547251A (zh) * | 2017-06-28 | 2018-01-05 | 新华三技术有限公司 | 一种设备管理方法、装置及系统 |
CN107547251B (zh) * | 2017-06-28 | 2021-04-27 | 新华三技术有限公司 | 一种设备管理方法、装置及系统 |
CN108833435A (zh) * | 2018-07-03 | 2018-11-16 | 郑州云海信息技术有限公司 | 一种网络访问控制方法及装置、网络系统 |
CN109768933A (zh) * | 2019-03-21 | 2019-05-17 | 杭州迪普科技股份有限公司 | 基于l2tp网络的报文转发方法和装置 |
CN109768933B (zh) * | 2019-03-21 | 2021-03-23 | 杭州迪普科技股份有限公司 | 基于l2tp网络的报文转发方法和装置 |
CN111385081A (zh) * | 2020-02-20 | 2020-07-07 | 视联动力信息技术股份有限公司 | 一种端到端的通信方法、装置、电子设备及介质 |
CN111385081B (zh) * | 2020-02-20 | 2024-03-29 | 视联动力信息技术股份有限公司 | 一种端到端的通信方法、装置、电子设备及介质 |
Also Published As
Publication number | Publication date |
---|---|
CN102546657B (zh) | 2015-02-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102546657B (zh) | Ip监控系统中穿越、协助穿越网络隔离设备的方法和节点 | |
CN102571524B (zh) | Ip监控系统中穿越、协助穿越网络隔离设备的方法和节点 | |
CN102025591B (zh) | 虚拟专用网络的实现方法及系统 | |
CN104869042B (zh) | 报文转发方法和装置 | |
CN104243269B (zh) | 一种虚拟扩展局域网报文的处理方法及装置 | |
CN105933198B (zh) | 一种建立直连vpn隧道的装置 | |
CN102932254B (zh) | 报文转发方法及装置 | |
US10454880B2 (en) | IP packet processing method and apparatus, and network system | |
CN102546349B (zh) | 一种报文转发方法和设备 | |
CN102594711A (zh) | 一种在边缘设备上的报文转发方法和边缘设备 | |
CN110290093A (zh) | Sd-wan网络架构及组网方法、报文转发方法 | |
CN105591873B (zh) | 一种虚拟机隔离方法和装置 | |
CN102546350B (zh) | 一种ip监控系统中节约广域网带宽的方法及装置 | |
CN107995083A (zh) | 实现L2VPN与VxLAN互通的方法、系统及设备 | |
KR20140099598A (ko) | 모바일 vpn 서비스를 제공하는 방법 | |
CN103607345A (zh) | 一种监控节点建立路由信息的方法和系统 | |
CN103747116A (zh) | 一种基于二层隧道协议的业务访问方法及装置 | |
CN103685007B (zh) | 一种边缘设备报文转发时的mac学习方法及边缘设备 | |
CN104104749B (zh) | 一种隧道ip地址的分配方法及装置 | |
CN103716244B (zh) | 一种实现组播跨vpn转发的方法及装置 | |
CN102710644B (zh) | 一种ip监控系统中节约带宽的方法及装置 | |
CN107547403A (zh) | 报文转发方法、协助方法、装置、控制器及主机 | |
CN102571814B (zh) | 一种ip监控系统中穿越隔离设备的方法及代理设备 | |
CN109246016A (zh) | 跨vxlan的报文处理方法和装置 | |
CN103036761B (zh) | 一种隧道服务器和客户端装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |