CN102571524B - Ip监控系统中穿越、协助穿越网络隔离设备的方法和节点 - Google Patents

Ip监控系统中穿越、协助穿越网络隔离设备的方法和节点 Download PDF

Info

Publication number
CN102571524B
CN102571524B CN201210030678.5A CN201210030678A CN102571524B CN 102571524 B CN102571524 B CN 102571524B CN 201210030678 A CN201210030678 A CN 201210030678A CN 102571524 B CN102571524 B CN 102571524B
Authority
CN
China
Prior art keywords
address
message
monitor node
l2tp
internal layer
Prior art date
Application number
CN201210030678.5A
Other languages
English (en)
Other versions
CN102571524A (zh
Inventor
周迪
王连朝
周斌
Original Assignee
浙江宇视科技有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 浙江宇视科技有限公司 filed Critical 浙江宇视科技有限公司
Priority to CN201210030678.5A priority Critical patent/CN102571524B/zh
Publication of CN102571524A publication Critical patent/CN102571524A/zh
Priority claimed from US14/377,814 external-priority patent/US9215215B2/en
Application granted granted Critical
Publication of CN102571524B publication Critical patent/CN102571524B/zh

Links

Abstract

本发明公开了一种IP监控系统中穿越网络隔离设备的方法,该方法包括:位于网络隔离设备内的第一监控节点作为LAC,使用自身的第一IP地址向作为LNS的L2TP中继发起隧道连接以与L2TP中继建立隧道连接;该第一监控节点从L2TP中继获其分配的第二IP地址;第一监控节点从L2TP中继接收隧道报文并将隧道报文进行解封装获得内层IP报文;第一监控节点将生成的监控信令数据封装到内层IP报文中,然后将该内层IP报文封装到隧道报文中发送给L2TP中继,由L2TP中继将内层IP报文转发到网络隔离设备外侧网络的监控节点,本发明能够在简单有效地穿越隔离设备的同时,避免了隔离设备对监控业务的困扰。

Description

IP监控系统中穿越、协助穿越网络隔离设备的方法和节点

技术领域

[0001] 本发明涉及视频监控领域,尤其涉及IP监控系统中穿越、协助穿越网络隔离设备 的方法和节点。

背景技术

[0002] 基于IP网络的视频监控已经逐渐发展成为安防业的主流方案,成功应用于平安 工程、高速公路、公安网、园区等大型项目。IP的标准性和开放性也使得各个网络孤岛的整 合变得容易,使网络规模的扩展变得轻松。考虑到IPv4地址资源紧张和现有各区域网络地 址段相互重叠的现实,以及各种网络安全的需要,NAT、防火墙、安全隔离网闸等设备被大量 的应用于大型网络中。这就使得基于IP的视频监控系统的信令和业务流程变得非常复杂, 甚至导致某些业务在某些特定的组网中无法开展。下面简单阐述下在视频监控网络存在 NAT、防火墙、安全隔离网闸时,视频监控网络通信变得复杂困难的缘由。

[0003] 在存在NAT设备的时候,由于IP报文穿过NAT设备之后其源IP地址或目的IP地 址会发生改变,而一个业务信令内部通常也包含有源IP地址和目的IP地址,由此造成内、 外部地址的不统一,这在很多时候会对视频监控业务流程造成困扰。另外,如果NAT外网存 在设备要首先发起通向内网的TCP/UDP连接,就必须先在NAT设备上为内网的那些设备分 别配置内部服务器的地址/端口映射,这样显然会浪费大量公网地址,很多时候也是不允 许的。当然,在控制服务器可以判断出交互的两台设备谁处于NAT内网谁处于外网时,可以 通知内网的设备主动向外网设备发起连接。但是这要求每个会话连接都实现两种或甚至两 种以上的处理流程,对于一个包含了多个会话行为的业务流程这种组合会变得非常复杂。 况且某些标准业务也不允许交互的双方颠倒C/S的角色。

[0004] 在存在防火墙时,需要防火墙开放相当数量的UDP/TCP端口以便防火墙外的终 端,如视频监控客户端,能主动访问防火墙内的服务器,如视频管理服务器(VM)。这样就给 企业内网带来了安全隐患。

[0005] 在存在安全隔离网闸时,大量以IP代理方式实现的网闸(即来自外部的流量先发 送到网闸的一个代理IP,网闸修改目的IP后再往内网转发),通常会要求网闸协助对业务 信令的内部信息做出相应的修改,因为其中可能包含有IP地址信息。于是监控系统厂家每 开发一个新特性可能都会要求网闸公司配合做出相应的特性开发。

[0006] 另外,一些特殊用户还有特殊的视频监控网络需求。比如说公安网络等安全性要 求较高的网络需要:所有的会话连接都要求由内网发起,否则外部流量就进入不了内网。在 一个典型的集中控制架构中,终端,如编码设备,首先得向服务器,如视频管理服务器,发起 注册信令,点播业务也是点播主机先向服务器发起申请,当终端和主机处于外网而服务器 处于内网时业务就会遭遇困境。

发明内容

[0007] 本发明提供了一种IP监控系统中穿越网络隔离设备的方法以及该方法对应的监 控节点。

[0008] 本发明的技术方案是这样实现的:

[0009] -种IP监控系统中穿越网络隔离设备的方法,该方法应用于监控系统的监控节 点上,其中该监控系统中包括多个监控节点以及L2TP中继,该多个监控节点包括EC,VC以 及至少一种服务器;其中该至少一种服务器为VM,该方法包括:位于网络隔离设备内侧网 络的第一监控节点作为LAC,使用自身的第一 IP地址向作为LNS的L2TP中继发起隧道连接 请求以与L2TP中继建立L2TP隧道连接;L2TP隧道连接建立后,该第一监控节点从L2TP中 继获取L2TP中继分配的第二IP地址;第一监控节点从L2TP中继接收隧道报文并将隧道报 文进行解封装获得内容为监控信令数据的内层IP报文,该内层IP报文是网络隔离设备外 侧网络监控节点发送的监控信令数据报文,该隧道报文的目的地址为该第一 IP地址,隧道 报文的源地址为L2TP中继自身的IP地址;该内层IP报文的目的地址为该第二IP地址,源 地址为该外侧网络监控节点的IP地址;第一监控节点从内层IP报文中获得监控信令数据 并进行相应的信令处理;第一监控节点将生成的监控信令数据封装到内层IP报文中,然后 将该内层IP报文封装到隧道报文中发送给L2TP中继,由L2TP中继将内层IP报文转发到 网络隔离设备外侧网络的监控节点,其中该内层IP报文的源地址为第二IP地址,内层报文 的目的地址为该外侧网络监控节点的IP地址,该隧道报文的源地址为第一监控节点自身 的IP地址,该隧道报文的目的地址为L2TP中继自身的IP地址。

[0010] 一种IP监控系统中穿越网络隔离设备的监控节点,其中该监控节点位于网络隔 离设备内侧网络,该监控系统中包括多个监控节点以及L2TP中继,该多个监控节点包括 EC,VC以及至少一种服务器;其中该至少一种服务器为VM,该监控节点包括隧道处理单元、 信令处理单元以及网络接口单元;其中该隧道处理单元包括连接处理子单元以及报文处理 子单元:其中,网络接口单元,用于在IP网络上收发报文;信令处理单元,用于处理监控信 令数据;连接处理子单元,用于使用监控节点自身的第一 IP地址向作为LNS的L2TP中继发 起隧道连接请求以与L2TP中继建立L2TP隧道连接;并在L2TP隧道连接建立后从L2TP中 继获取L2TP中继分配第二IP地址;报文处理子单元,用于将网络接口单元从L2TP中继接 收的隧道报文进行解封装获得内容为监控信令数据的内层IP报文,并将该监控信令数据 提交给信令处理单元;其中该内层IP报文是网络隔离设备外侧监控节点发送的报文,该隧 道报文的目的地址为该第一 IP地址,隧道报文的源地址为L2TP中继自身的IP地址;该内 层IP报文的目的地址为该第二IP地址,源IP地址为该外侧监控节点的IP地址;其中该 报文处理子单元进一步用于,将监控节点信令处理单元生成的监控信令数据封装到内层IP 报文中,然后将该内层IP报文封装到隧道报文中发送给网络接口单元,由网络接口单元发 送给L2TP中继,L2TP中继将内层IP报文转发到网络隔离设备外侧网络的监控节点,其中 该内层IP报文的源地址为第二IP地址,内层报文的目的地址为该外侧网络监控节点的IP 地址,该隧道报文的源地址为第一监控节点自身的IP地址,该隧道报文的目的地址为L2TP 中继自身的IP地址。

[0011] 本发明还提供了一种IP监控系统中协助穿越网络隔离设备的方法以及该方法对 应的L2TP中继。实现方案如下:

[0012] 一种IP监控系统中协助监控节点穿越网络隔离设备的方法,该方法应用于监控 系统的L2TP中继上,其中该监控系统中包括多个监控节点以及L2TP中继,该多个监控节 点包括EC,VC以及至少一种服务器;其中该至少一种服务器为VM,该方法包括:L2TP中继 作为LNS接收网络隔离设备内侧网络作为LAC的第一监控节点以自身第一 IP地址发出的 L2TP隧道连接请求;在与第一监控节点建立隧道连接后,为第一监控节点分配第二IP地 址;从第一监控节点接收隧道报文并将该隧道报文进行解封装获得内层IP报文,该内层IP 报文是第一监控节点发送给网络隔离设备外侧监控节点的监控信令数据或者业务数据,隧 道报文的源地址为第一监控节点的第一 IP地址,目的地址为该L2TP中继自身的IP地址, 该内层IP报文的目的地址为网络隔离设备外侧监控节点的IP地址,源地址为该第二IP地 址;根据内层IP报文的目的地址,将该报文转发给网络隔离设备外侧的监控节点;将网络 隔离设备外侧的监控节点发出的监控信令数据或者监控业务数据的IP报文进行隧道封装 后发送给该第一监控节点,其中该IP报文的目的地址为第二IP地址,源IP地址为外侧网 络监控节点的IP地址,封装后的隧道报文的目的IP地址为该第一 IP地址,隧道报文的源 地址为L2TP中继自身的IP地址。

[0013] 一种IP监控系统中协助监控节点穿越网络隔离设备的L2TP中继设备,其中该监 控系统中包括多个监控节点以及L2TP中继,该多个监控节点包括EC,VC以及至少一种服务 器;其中该至少一种服务器为VM,该方法包括:

[0014] 网络接口单元,用于通过IP网络收发报文;连接处理子单元,用于接收网络隔离 设备内侧的作为LAC的第一监控节点以自身第一 IP地址发出的L2TP隧道连接请求;在与 第一监控节点建立隧道连接后,为第一监控节点分配第二IP地址;报文处理子单元,用于 从第一监控节点接收隧道报文并将该隧道报文进行解封装获得内层IP报文,根据内层IP 报文的目的地址将该报文转发给网络隔离设备外侧的监控节点;该内层IP报文是第一监 控节点发送给网络隔离设备外侧的监控节点的监控信令数据或者监控数据,隧道报文的源 地址为第一监控节点的第一 IP地址,目的地址为该L2TP中继自身的IP地址,该内层IP报 文的目的地址为网络隔离设备外侧监控节点的IP地址,源地址为该第二IP地址;其中该报 文处理子单元,进一步用于将网络隔离设备外侧的监控节点发出的内容为监控信令数据或 者业务数据的IP报文进行隧道封装后发送给该第一监控节点,其中该IP报文的目的地址 为第二IP地址,源地址为网络隔离设备外侧监控节点的IP地址,封装后的隧道报文的目的 IP地址为该第一 IP地址,隧道报文源地址为L2TP中继自身的IP地址。

[0015] 与现有技术相比,本发明的方案解决了当前IP监控系统业务端口过多、NAT转换 或网闸穿越时内部消息转换的困扰,从而使监控系统内部的新特性开发只需要专注于业务 本身,而不必再为网络层面的转换而操心,而网闸公司也不必针对性的为监控系统这种业 务做出特定的开发,对客户的防火墙来说需要开放的端口或地址映射也更少,从而更加的 安全。

[0016] L2TP的接收端可以会对接收到的乱序报文进行缓存和调整,这对于音视频流量尤 为有意义,因为乱序会极大的影响音视频的解码和播放效果。L2TP之上的PPP协议具有会 话连接认证功能,这就提供一层安全防护;PPP可以对报文头或数据进行压缩,这样可以减 少数据的传输量。如果需要进一步的保密,只需要在L2TP隧道的基础上叠加 IPsec即可, 可以是 L2TP over IPsec,也可以是 IPsec over L2tp。

附图说明

[0017] 图1为实施例一的网络示意图;

[0018] 图2为实施例二的网络示意图;

[0019] 图2a为实施例二的另一网络示意图

[0020] 图3为实施例三的网络示意图;

[0021] 图4为实施例四的网络示意图;

[0022] 图4a为实施例四的另一网络示意图;

[0023] 图5是本发明监控节点或者L2TP中继设备的基本硬件架构;

[0024] 图6是本发明监控节点或者L2TP中继设备的逻辑结构图。

具体实施方式

[0025] 本发明的创作的思想为:

[0026] IP监控系统中监控节点穿越网络隔离设备时,位于网络隔离设备内侧网络的第一 监控节点作为LAC,使用自身的第一 IP地址向作为LNS的L2TP中继发起隧道连接请求以 与L2TP中继建立L2TP隧道连接;L2TP隧道连接建立后,该第一监控节点从L2TP中继获取 L2TP中继分配的第二IP地址;第一监控节点从L2TP中继接收隧道报文并将隧道报文进行 解封装获得内容为监控信令数据的内层IP报文,该内层IP报文是网络隔离设备外侧网络 监控节点发送的监控信令数据报文,该隧道报文的目的地址为该第一 IP地址,隧道报文的 源地址为L2TP中继自身的IP地址;该内层IP报文的目的地址为该第二IP地址,源地址为 该外侧网络监控节点的IP地址;第一监控节点从内层IP报文中获得监控信令数据并进行 相应的信令处理;第一监控节点将生成的监控信令数据封装到内层IP报文中,然后将该内 层IP报文封装到隧道报文中发送给L2TP中继,由L2TP中继将内层IP报文转发到网络隔 离设备外侧网络的监控节点,其中该内层IP报文的源地址为第二IP地址,内层报文的目的 地址为该外侧网络监控节点的IP地址,该隧道报文的源地址为第一监控节点自身的IP地 址,该隧道报文的目的地址为L2TP中继自身的IP地址。

[0027] 该第一监控节点还从L2TP中继接收隧道报文并将隧道报文进行解封装获得内容 为监控业务数据的内层IP报文,该内层IP报文是网络隔离设备外侧网络监控节点发送的 监控业务数据报文,该隧道报文的目的地址为该第一 IP地址,隧道报文的源地址为L2TP中 继自身的IP地址;该内层IP报文的目的地址为该第二IP地址,源地址为该外侧网络监控 节点的IP地址;或者

[0028] 第一监控节点还将生成的监控业务数据封装到内层IP报文中,然后将该内层IP 报文封装到隧道报文中发送给L2TP中继,由L2TP中继将内层IP报文转发到网络隔离设备 外侧网络的监控节点,其中该内层IP报文的源地址为第二IP地址,内层报文的目的地址为 该外侧网络监控节点的IP地址,该隧道报文的源地址为第一监控节点自身的IP地址,该隧 道报文的目的地址为L2TP中继自身的IP地址。

[0029] 该第一监控节点为VM,VM接收L2TP中继通过VM与L2TP中继建立的L2TP隧道发 送的封装在隧道报文中的监控信令数据,该监控信令数据是由EC或者VC发送的。

[0030] IP监控系统中L2TP中继协助监控节点穿越网络隔离设备时,L2TP中继作为LNS 接收网络隔离设备内侧网络作为LAC的第一监控节点以自身第一 IP地址发出的L2TP隧道 连接请求;在与第一监控节点建立隧道连接后,为第一监控节点分配第二IP地址;从第一 监控节点接收隧道报文并将该隧道报文进行解封装获得内层IP报文,该内层IP报文是第 一监控节点发送给网络隔离设备外侧监控节点的监控信令数据或者业务数据,隧道报文的 源地址为第一监控节点的第一 IP地址,目的地址为该L2TP中继自身的IP地址,该内层IP 报文的目的地址为网络隔离设备外侧监控节点的IP地址,源地址为该第二IP地址;根据内 层IP报文的目的地址,将该报文转发给网络隔离设备外侧的监控节点;将网络隔离设备外 侧的监控节点发出的监控信令数据或者监控业务数据的IP报文进行隧道封装后发送给该 第一监控节点,其中该IP报文的目的地址为第二IP地址,源IP地址为外侧网络监控节点 的IP地址,封装后的隧道报文的目的IP地址为该第一 IP地址,隧道报文的源地址为L2TP 中继自身的IP地址。

[0031] 第二IP地址属于L2TP中继分配的网络隔离设备外侧网络中规划的IP地址。或 者第二IP地址属于L2TP中继自身独立规划的IP地址,该L2TP中继与外侧监控节点建立 有L2TP隧道连接;其中该外侧监控节点发出的IP报文是封装在该隧道中的内层IP报文, L2TP中继将外侧监控节点发出的隧道报文解封装获得内层IP报文,该内层报文的源IP地 址是该外侧监控节点通过L2TP中继分配的IP地址,目的地址是第一监控节点分配到的第 二IP地址,该网络隔离设备外侧网络的监控节点包括VM和MS。

[0032] 该L2TP中继为该网络隔离设备外侧的MS。

[0033] 下面结合附图及具体实施例对本发明再作进一步详细的说明。实施例中涉及到的 各种节点或者设备定义如下:EC为编码终端或媒体终端,VC为监控客户端,VM为视频管理 服务器,DM为数据管理服务器,MS为媒体交换服务器,IPSAN为IP存储服务器,LNS为L2TP 服务端,本发明将其命名为L2TP中继设备,因为其还需要执行报文转发工作。

[0034] 实施例一

[0035] 图1显示实施例一的网络示意图。该网络是一个IP监控系统。该IP监控系统包 含多个监控节点。该图1中,监控节点EC11被网络隔离设备与另一网络隔离。网络隔离 设备可以是NAT,防火墙或者网闸等。本实施例中,如图1,该监控系统中的监控节点EC11 所在的网络为网络隔离设备内侧的网络,称为网络A,其被网络隔离设备隔离或者说保护; 将网络隔离设备外侧网络称为网络B。由于网络隔离设备的存在,导致网络A可以访问网 络B,而网络B在没有特殊配置的前提下无法访问网络A。该IP监控系统还包含一 L2TP中 继设备14。监控节点EC11自身的IP地址是10. 10. 10. 10,即属于网络A(网络A的地址: 10. 10. 10. 0/24)的IP地址是10. 10. 10. 10 ;该IP监控系统中其他监控节点自身的IP地址 和EC11作类似的解释。L2TP中继设备14的IP地址为12. 12. 10. 10,这个地址从网络A的 角度来看属于公网地址,即网络A可以直接访问;如果该地址不能被直接访问到,可以在本 网络出口的隔离设备上配置静态映射的对应公网地址。监控节点EC11需要和网络B中的 另一监控节点进行通信。

[0036] 监控节点EC11作为LAC,以自身IP地址10. 10. 10. 10向作为LNS的L2TP中继14发 起隧道连接请求以与L2TP中继建立L2TP隧道连接。L2TP中继14收到该隧道连接请求后, 与监控节点EC11建立隧道连接,并将地址池中的地址分配给EC 11。L2TP中继14地址池中 的地址属于网络B规划的IP地址,但是和网络B已经存在的设备的IP地址不同。L2TP中 继14的地址池中的IP地址属于12. 12. 11. 0/24,其分配给EC11的IP地址为12. 12. 11. 10。 EC11获得L2TP中继14分配的IP地址12. 12. 11. 10后,当与网络B中的监控节点进行通 信的时候将采用该分配的IP地址。比如说:EC11向网络B中的视频管理服务器VM13进行 注册的时候,将对注册报文进行隧道封装。这里VM13的IP地址为12. 12. 12. 10,其属于网 络12. 12. 12.0/24。EC11将监控信令数据,即注册报文的内容封装到内层IP报文中,然后 将该内层IP报文封装到隧道报文中发送给L2TP中继14,其中该内层IP报文的源地址为 12. 12. 11. 10,目的地址为VM13的IP地址12. 12. 12. 10 ;该隧道报文的源地址为EC11自身 的IP地址10. 10. 10. 10,目的地址为L2TP中继14的IP地址12. 12. 10. 10。L2TP中继14 从监控节点EC11接收到其发送的隧道报文后将该隧道报文进行解封装获得内层IP报文。 L2TP中继14根据自身的保存的路由信息将该内层IP报文根据其目的IP地址进行路由。 本例中L2TP中继的路由信息如下表所示 :

[0037]

Figure CN102571524BD00111

[0038] L2TP中继14根据目的IP地址12. 12. 12. 10将报文从Interface2接口发送出去。 网络A中的监控节点EC11的注册报文最终被路由到了网络B中的VM13。VM13收到该注 册报文后对该注册报文进行处理:将EC11的相关信息在本地进行保存。当有VC需要点播 EC11上的视频流量的时候,VM13指示EC11发送监控视频流的监控信令数据封装成IP报 文被路由到L2TP中继14, L2TP中继14将VM13发送的该IP报文进行隧道封装后发送给 EC11,该IP报文的目的地址为EC11分配到的IP地址12. 12. 11. 10,源地址为VM13的IP地 址12. 12. 12. 10,封装后的隧道报文的目的IP地址为EC11自身的IP地址10. 10. 10. 10,隧 道源IP地址为L2TP中继14的IP地址12. 12. 10. 10。EC11从L2TP中继接收隧道报文并 将隧道报文进行解封装获得内层IP报文。EC11从内层IP报文中获得监控信令数据并进行 相应的信令处理。EC11根据监控信令的指示将监控业务数据发给相应的监控节点。EC11根 据自身的路由表,通过隧道发送监控业务数据或者不经过隧道直接发送该监控业务数据。 EC11通过隧道发送监控业务数据时,EC11将生成的相应的监控业务数据封装到内层IP报 文中,然后将该内层IP报文封装到隧道报文中发送给L2TP中继14,其中该内层IP报文的 源地址为EC11分配到的IP地址12. 12. 11. 10,目的地址为接收监控业务数据的监控节点, 如VC或者MS的IP地址,该第三监控节点可以在任意网络中,包括但不限于网络A或者网 络B,比如说图1中位于A网络中的VC12和位于网络B中的VC15 ;该隧道报文的源地址为 EC11自身的IP地址10. 10. 10. 10,目的地址为L2TP中继14的IP地址。L2TP中继14从 EC11接收到隧道报文并将该隧道报文进行解封装获得内层IP报文。L2TP中继14根据该 内层IP报文的目的IP地址,即接收监控业务数据的监控节点将报文发送出去。

[0039] 网络A中的VC12点播EC11上的视频流量的时,VC12在VM13上进行注册。该注册 的过程和EC11相同。VC12先和L2TP中继14之间建立L2TP隧道。后续VC12点播EC11的 视频流量时,先将点播的监控信令通过VC12和L2TP中继14之间的L2TP隧道发送到VM13, 后续EC11发送的监控业务数据通过EC11和L2TP中继14之间的隧道到达L2TP中继14之 后,将再通过VC12和L2TP中继14之间的隧道发送到VC12。VC12接收到隧道报文后对其进 行解封装获得内容为监控业务数据的内层IP报文,该内层IP报文的源地址为EC11分配到 的IP地址12. 12. 11. 10,目的IP地址为VC12分配到的IP地址,隧道报文的源地址为L2TP 中继14自身的地址,目的地址为VC12自身的IP地址。

[0040] 网络B中的VC15点播EC11上的视频流量的时,VC15在VM13上进行注册。VC15 点播EC11的视频流量时,先将点播的监控信令直接发送到VM13,后续EC11发送的监控业务 数据可以不经过EC11和L2TP中继14之间的隧道直接到达VC15,也可以通过EC11和L2TP 中继14之间的隧道到达L2TP中继14之后,由L2TP中继14再发送到VC15。

[0041] 如果L2TP中继14单独由一个路由器或者其他网络设备充当的话,成本会比较高, 所以如果IP监控系统中的网络B存在MS转发设备的话,MS可以充当L2TP中继14。视频 流量点播时,VM13指示EC 11将视频业务数据发送到充当L2TP中继14的MS,再由MS根据 点播VC的地址进行视频业务数据的转发。

[0042] 实施例二

[0043] 图2显示了实施例二的网络示意图。图2网络示意图和图1的区别在于网络B中 的监控节点VM23自身也作为LAC向作为LNS的L2TP中继24发起隧道连接请求与L2TP中 继24建立L2TP隧道连接;网络B中还包括一个MS26,MS26也作为LAC向作为LNS的L2TP 中继24发起隧道连接请求与L2TP中继24建立L2TP隧道连接。网络A中的监控节点EC21 作为LAC向作为LNS的L2TP中继24发起隧道连接请求与L2TP中继24建立L2TP隧道连 接。L2TP中继24给监控节点EC21、VM23、MS26分配的IP地址可以是独立地址池中的IP地 址,即该地址池中的IP地址可以单独规划一个IP地址段,不需要占用网络B规划的IP地 址,比如14. 14. 14. 0/24、15. 15. 10. 0/24等等。以14. 14. 14. 0/24为例描述图2中监控节 点的通信过程。

[0044] EC21作为LAC,以自身IP地址10. 10. 10. 10向作为LNS的L2TP中继24发起隧道 连接请求以与L2TP中继24建立L2TP隧道连接。L2TP中继24收到该隧道连接请求后,与监 控节点EC21建立隧道连接,并将地址池中的地址14. 14. 14. 10分配给EC21。同样的,VM23 以自身的IP地址12. 12. 12. 10向L2TP中继24发起隧道连接请求以与L2TP中继24建立 L2TP隧道连接。L2TP中继24收到该隧道连接请求后,与监控节点VM23建立隧道连接,并 将地址池中的地址14. 14. 14. 12分配给VM23。同样地,MS26向L2TP中继24发起隧道连接 请求,获得分配到的IP地址14. 14. 14. 14。EC21向VM23进行注册时,将对注册报文进行隧 道封装。EC21将监控信令数据,即注册报文的内容封装到内层IP报文中,然后将该内层IP 报文封装到隧道报文中发送给L2TP中继24,其中该内层IP报文的源地址为14. 14. 14. 10, 目的地址为VM23的IP地址为14. 14. 14. 12 ;该隧道报文的源地址为EC21自身的IP地址 10. 10. 10. 10,目的地址为L2TP中继24的IP地址12. 12. 10. 10。L2TP中继24从监控节点 EC21接收到其发送的隧道报文后将该隧道报文进行解封装获得内层IP报文。L2TP中继24 根据自身的保存的路由信息将该内层IP报文根据其目的IP地址进行路由。本例中L2TP 中继的路由信息如下表所示:

[0045]

Figure CN102571524BD00131

[0046] L2TP中继24根据目的IP地址14. 14. 14. 12判断该注册报文需要进行隧道封装, 从L2TP VT1:2接口发送。L2TP中继24将源地址为14. 14. 14. 10,目的地址为14. 14. 14. 12 的内层IP报文进行隧道封装,隧道报文的源IP地址为L2TP中继24自身的IP地址 12. 12. 10. 10,隧道报文的目的IP地址为VM23自身的IP地址12. 12. 12. 10。封装完成的隧 道报文经过L2TP中继24和VM23之间的隧道到达了 VM23, VM23将该报文进行解封装得到 了内层IP报文,将EC的注册信息在本地进行保存。

[0047] 当VC点播EC21上的视频流量的时候,VM23指示EC21发送监控视频流的监控信令 数据封装成IP报文并进一步封装成隧道报文经由VM23和L2TP中继24之间的隧道被发送 到L2TP中继24,该监控信令数据的内层IP报文的源IP地址为14. 14. 14. 12,目的IP地址 为14. 14. 14. 10 ;隧道报文的源IP地址为VM23自身的IP地址12. 12. 12. 10,隧道报文的目 的IP地址为12. 12. 10. KLL2TP中继24接收到该隧道报文后进行解封装得到内层IP报文, 根据内层目的IP地址14. 14. 14. 10将内层报文进一步进行隧道封装,经由L2TP中继24和 EC21之间的隧道发送到EC21,隧道源IP地址为L2TP中继24自身的IP地址12. 12. 10. 10, 目的IP地址为EC21自身的IP地址10. 10. 10. 10。EC21接收隧道报文并将隧道报文进行 解封装获得内层IP报文。EC21从内层IP报文中获得监控信令数据并进行相应的信令处 理。该监控信令数据指示EC21将监控业务数据发送到MS26。类似地,VM23指示MS26接收 EC21发送的监控业务数据,并进一步将该监控业务数据发送给VC。EC21通过自身与L2TP 中继24之间的隧道将监控业务数据发送给L2TP中继24,该监控业务数据进行隧道封装, 其中该内层IP报文的源地址为EC21分配到的IP地址14. 14. 14. 10,目的地址为接收监控 业务数据的MS26的地址14. 14. 14. 14,封装的隧道报文的源地址为EC21自身的IP地址 10. 10. 10. 10,目的地址为L2TP中继24的IP地址。L2TP中继24从EC21接收到隧道报文 并将该隧道报文进行解封装获得内层IP报文,根据内层目的IP地址对报文进行隧道封装, 从L2TP中继24和MS26之间的隧道发送到MS26。隧道封装方式同前,不再赘述。MS26收 到隧道报文后进行解封装得到监控业务数据报文,MS26将监控业务数据根据VM23的指示 结合自身的路由表发送给对应的VC,比如VC25。

[0048] 如果L2TP中继24单独由一个路由器或者其他网络设备充当的话,成本会比较高, 所以实施例二中MS26充当L2TP中继是一种更优的实施方式,如图2a所示。视频流量点播 时,VM23指示EC21将视频业务数据发送到MS26,再由MS26根据点播VC的地址进行视频 业务数据的转发。如网络A中的VC22点播EC21上的视频流量的时,VC22首先在VM23上 进行注册。该注册的过程和EC21的注册过程相同。VC22和充当L2TP中继的MS26之间建 立L2TP隧道。后续VC22点播EC21的视频流量时,先将点播的监控信令通过VC22和MS26 之间的L2TP隧道以及MS26和VM23之间的L2TP隧道发送到VM23,隧道报文的封装方式和 EC21向VM23进行注册的注册报文的封装方式相同。后续EC21发送的监控业务数据通过 EC21和MS26之间的隧道到达MS26之后,将再通过VC22和MS26之间的隧道发送到VC22。

[0049] 实施例三

[0050] 图3显示实施例三的网络示意图。在图3中,该IP监控系统包含监控节点VM31, 该监控节点VM31被网络隔离设备与另一网络隔离。网络隔离设备可以是NAT,防火墙或者 网闸等。如图3,该监控系统中的监控节点VM31所在的网络为网络隔离设备内侧的网络,称 为网络A,其被网络隔离设备隔离或者说保护;将网络隔离设备外侧网络称为网络B。由于 网络隔离设备的存在,导致网络A可以访问网络B,而网络B在没有特殊配置的前提下无法 访问网络A。该IP监控系统还包含一 L2TP中继设备33。监控节点VM31自身的IP地址是 10. 10. 10. 10, L2TP中继设备33的一 IP地址为12. 12. 10. 10。监控节点VM31需要和网络 B中的另一监控节点进行通信,如EC36, VC37。

[0051] 监控节点VM31作为LAC以自身IP地址10. 10. 10. 10向作为LNS的L2TP中继33 发起隧道连接请求以与L2TP中继33建立L2TP隧道连接。L2TP中继33收到该隧道连接 请求后,与监控节点VM31建立隧道连接,并将地址池中的地址分配给VM31。L2TP中继33 地址池中的地址属于网络B规划的IP地址,但是和网络B已经存在的设备的IP地址不同。 L2TP中继33的地址池中的IP地址属于网络12. 12. 11. 0/24,其分配给VM31的IP地址为 12. 12. 11. 10。VM31获得L2TP中继33分配的IP地址12. 12. 11. 10后,该IP地址将被网络 B中的EC36, VC37获得以使他们能向VM31进行注册。以EC36为例,阐述其向VM31进行注册 的过程。EC36发送注册报文,该报文的目的IP地址为VM31分配到的IP地址12. 12. 11. 10, 该报文将被路由到L2TP中继33, L2TP中继33对注册报文进行隧道封装,即注册报文封装 到内层IP报文中,然后将该内层IP报文封装到隧道报文中发送给VM31,其中该内层报文的 目的地址为VM31的IP地址12. 12. 11. 10,源地址为EC36自身的地址,如12. 12. 12. 16 ;该 隧道报文的源地址为L2TP中继33自身的IP地址12. 12. 10. 10,隧道目的地址为VM31自 身的IP地址10. 10. 10. 10。VM31从隧道接收到该隧道报文后将该隧道报文进行解封装获 得内层IP报文。VM31将解封装后得到的EC36的相关信息在本地进行保存。VC37向VM31 注册的过程同EC36注册的过程。网络A中的EC34或者VC35向网络A中的VM31进行注册 时,直接发送目的地址为10. 10. 10. 10的注册报文向VM31进行注册。

[0052] 网络A中的监控节点MS32如同VM31 -样与L2TP中继33建立L2TP隧道连接,获 得L2TP中继33分配的IP地址。网络A中的EC34和VC35无需与L2TP中继33单独建立 L2TP隧道。如果网络A中不存在MS32, EC34和VC35与L2TP中继32建立L2隧道。

[0053] 当网络B中的VC37点播网络A中的EC34上的视频流量的时候,VC37的点播的监 控信令报文如同EC36的注册报文一样被发送到VM31。VM31的指示EC34发送监控视频流的 监控信令报文以EC34的IP地址10. 10. 10. 8为目的IP地址直接在网络A中发送给EC34。 该监控信令报文指示EC将监控业务数据发送给MS32。EC34根据监控信令的指示将监控业 务数据发给MS32。VM31指示MS32将该监控业务数据发送给VC37。MS32根据自身的路由 表,通过隧道发送监控业务数据或者不经过隧道直接发送该监控业务数据。MS32通过隧道 发送监控业务数据(之前MS32已经和L2TP中继33建立了 L2TP隧道)的方法和实施例一 相同,这里不再赘述。如果网络A中没有MS32,则EC34根据自身的路由表,通过隧道发送监 控业务数据或者不经过隧道直接发送该监控业务数据。

[0054] 当VC35点播EC36的视频监控流量时,VC35在内网以自身IP地址10. 10. 10. 6为 源IP向VM31的目的IP地址10. 10. 10. 10发送视频点播报文,VM31收到该点播报文后,向 EC36发送指示EC36发送监控视频流的监控信令报文,该监控信令数据可以通过隧道发送 或者不通过隧道发送,这主要由VM的路由表决定。该监控信令报文指示EC36发送监控业 务数据给MS32。EC36收到监控信令报文后,将相应的监控视频数据先路由到L2TP中继33, L2TP中继33根据目的IP地址对该监控业务数据报文进行隧道封装。封装后的隧道报文通 过L2TP中继33和MS32之间的隧道发送给MS32。MS32对该隧道报文进行解封装得到内层 报文。MS32按照VM31的指示将报文发送给VC35。

[0055] 如果L2TP中继33单独由一个路由器或者其他网络设备充当的话,成本会比较高, 所以可以由MS充当L2TP中继33。

[0056] 实施例四

[0057] 图4显示实施例四的网络示意图。图4网络示意图和图3的区别在于网络B中的 监控节点VM48自身向L2TP中继43发起隧道连接请求与L2TP中继43建立L2TP隧道连接; 网络B中还包括一个MS49,MS49也向L2TP中继43发起隧道连接请求与L2TP中继43建立 L2TP隧道连接。网络A中的监控节点VM41也向L2TP中继43发起隧道连接请求与L2TP中 继43建立L2TP隧道连接。在这种情况下,L2TP中继43给监控节点VM4UVM48和MS49分 配的IP地址可以是独立地址池中的IP地址,即该地址池中的IP地址可以单独规划一个IP 地址段,不需要占用网络B规划的IP地址,比如14. 14. 14. 0/24、15. 15. 10. 0/24等等。以 14. 14. 14. 0/24为例描述图2中监控节点的通信过程。

[0058] 图4是一个二级域,包括两个管理域。其中VM41、MS42、EC44、VC45组成一个监控 域X,VM48、MS49、EC46、VC47组成另一个监控域Y。其中监控管理域X是下级域,Y是上级 域,Y管理X。EC44、VC45和MS42向VM41进行,该注册报文不需要经过隧道,直接以VM41的 IP10. 10. 10. 10为目的IP地址进行发送,VM41保存注册信息。EC46、VC47和MS49向VM48 进行,该注册报文不需要经过隧道,直接以VM48的IP地址12. 12. 12. 10为目的IP地址进 行发送,VM48保存注册信息。VM41向VM48进行注册,VM41以自身IP地址10. 10. 10. 10向 L2TP中继43发起隧道连接请求以与L2TP中继43建立L2TP隧道连接。L2TP中继43收到 该隧道连接请求后,与监控节点VM41建立隧道连接,并将地址池中的地址14. 14. 14. 10/24 分配给VM41。VM48以自身的IP地址12. 12. 12. 10向L2TP中继43发起隧道连接请求以与 L2TP中继43建立L2TP隧道连接。L2TP中继43收到该隧道连接请求后,与监控节点VM48 建立隧道连接,并将地址池中的地址14. 14. 14. 12/24分配给VM48。同样地,MS42向L2TP 中继43发起隧道连接请求,获得分配到的IP地址14. 14. 14. 14。MS39向L2TP中继43发 起隧道连接请求,获得分配到的IP地址14. 14. 14. 15。

[0059] 当网络A中的VC点播网络B中的视频流量时,比如VC45点播EC46的监控视频数 据,VC45在网络A中直接将点播请求发送给VM41,VM41将该请求封装到内层IP报文中,然 后将该内层IP报文封装到隧道报文中发送给L2TP中继24,其中该内层IP报文的源地址为 14. 14. 14. 10,目的地址为VM48分配到的IP地址为14. 14. 14. 12 ;该隧道报文的源地址为 VM41自身的IP地址10. 10. 10. 10,目的地址为L2TP中继43的IP地址12. 12. 10. 10。L2TP 中继43接收到该隧道报文后将该隧道报文进行解封装获得内层IP报文。L2TP中继44根 据自身的保存的路由信息将该内层IP报文根据其目的IP地址进行路由。本例中L2TP中 继43的路由信息如下表所示:

[0060]

Figure CN102571524BD00161

[0061] L2TP中继24根据目的IP地址14. 14. 14. 12判断该注册报文需要进行隧道封装, 从L2TP VT1:2接口发送。L2TP中继43将源地址为14. 14. 14. 10,目的地址为14. 14. 14. 12 的内层IP报文进行隧道封装,隧道报文的源IP地址为L2TP中继43自身的IP地址 12. 12. 10. 10,隧道报文的目的IP地址为VM23自身的IP地址12. 12. 12. 10。封装完成的隧 道报文经过L2TP中继43和VM48之间的隧道到达了 VM48, VM48将该报文进行解封装得到 了内层IP报文。VM48通知EC46将监控视频业务数据发送到MS49,MS49再将该报文进行隧 道封装经过MS49和L2TP中继43之间的隧道发送到L2TP中继43, L2TP中继43将该隧道 报文进行解封装,判断需要再经过隧道发送,再对该监控业务数据进行隧道封装,经过L2TP 中继43和MS42之间的隧道发送到MS42, MS42再转发给VC45。这里监控业务数据经过两 个隧道封装转发的过程与前述监控信令或者监控数据经过两个隧道封装转发的过程类似。

[0062] VC47点播EC44的处理流程与VC45点播EC46的处理流程类似,在此不再赘述。

[0063] 如果L2TP中继43单独由一个路由器或者其他网络设备充当的话,成本会比较高, 所以实施例四中MS49充当L2TP中继是一种更优的实施方式,如图4a所示。视频监控业务 处理过程参考前文。

[0064] 前述4个实施方式均是以视频实况点播为例来说明具有网络隔离设备的IP监控 系统,网络隔离设备两侧的监控节点是如何通信的。监控业务数据存储,即IP监控系统进 一步包含DM、存储设备的情况,网络隔离设备两侧的监控节点可以参照上述视频实况点播 的流程进行需要的通信。

[0065] 请参考图5以及图6,图5是以上各种节点或者设备一种通用的基本硬件架构,各 个设备在业务硬件上略有差异。比如说L2TP中继有可能不需要业务硬件,当然如果使用MS 来充当L2TP中继,其可能存在业务硬件,同样VM可能没有业务硬件。图6是以上各个节点 或者设备的通用逻辑结构图,其通常是借助计算机程序来实现。同样地,各个设备的逻辑结 构可能略有差异,比如L2TP中继所在设备如果不涉及业务处理,那就可能没有业务及信令 处理单元。而VM属于管理服务器,其通常不包括业务处理单元。

[0066] 图6显示的通用逻辑结构包括:隧道处理单元、信令处理单元、业务处理单元以及 网络接口单元。其中隧道处理单元包括连接处理子单元以及报文处理子单元。其中信令处 理单元以及业务处理单元分别用于处理信令数据以及业务数据。网络接口单元负责收发报 文。连接处理子单元主要用于处理建立L2TP隧道连接以及隧道连接的维护。报文处理子 单元主要用户进行报文的封装以及解封装。

[0067] 以下参照图6描述本发明方法对应的装置。

[0068] 本发明IP监控系统中穿越网络隔离设备的监控节点,该监控节点包括隧道处理 单元、信令处理单元以及网络接口单元;其中该隧道处理单元包括连接处理子单元以及报 文处理子单元:网络接口单元,用于在IP网络上收发报文;信令处理单元,用于处理监控信 令数据;连接处理子单元,用于使用监控节点自身的第一 IP地址向作为LNS的L2TP中继发 起隧道连接请求以与L2TP中继建立L2TP隧道连接;并在L2TP隧道连接建立后从L2TP中 继获取L2TP中继分配第二IP地址;报文处理子单元,用于将网络接口单元从L2TP中继接 收的隧道报文进行解封装获得内容为监控信令数据的内层IP报文,并将该监控信令数据 提交给信令处理单元;其中该内层IP报文是网络隔离设备外侧监控节点发送的报文,该隧 道报文的目的地址为该第一 IP地址,隧道报文的源地址为L2TP中继自身的IP地址;该内 层IP报文的目的地址为该第二IP地址,源IP地址为该外侧监控节点的IP地址;该报文处 理子单元进一步用于,将监控节点信令处理单元生成的监控信令数据封装到内层IP报文 中,然后将该内层IP报文封装到隧道报文中发送给网络接口单元,由网络接口单元发送给 L2TP中继,L2TP中继将内层IP报文转发到网络隔离设备外侧网络的监控节点,其中该内层 IP报文的源地址为第二IP地址,内层报文的目的地址为该外侧网络监控节点的IP地址,该 隧道报文的源地址为第一监控节点自身的IP地址,该隧道报文的目的地址为L2TP中继自 身的IP地址。

[0069] 该监控节点还包括业务处理单元,该业务处理单元用于处理监控业务数据;

[0070] 该报文处理子单元,还用于将网络接口单元从L2TP中继接收的隧道报文进行解 封装获得内容为监控业务数据的内层IP报文,并将该监控业务数据提交给业务处理单元; 其中该内层IP报文是网络隔离设备外侧监控节点发送的报文,该隧道报文的目的地址为 该第一 IP地址,隧道报文的源地址为L2TP中继自身的IP地址;该内层IP报文的目的地址 为该第二IP地址,源IP地址为该外侧监控节点的IP地址;或者该报文处理子单元还用于, 将监控节点业务处理单元生成的监控业务数据封装到内层IP报文中,然后将该内层IP报 文封装到隧道报文中发送给网络接口单元,由网络接口单元发送给L2TP中继,L2TP中继将 内层IP报文转发到网络隔离设备外侧网络的监控节点,其中该内层IP报文的源地址为第 二IP地址,内层报文的目的地址为该外侧网络监控节点的IP地址,该隧道报文的源地址为 第一监控节点自身的IP地址,该隧道报文的目的地址为L2TP中继自身的IP地址。

[0071] 本发明该IP监控系统中协助监控节点穿越网络隔离设备的L2TP中继设备,该中 继设备包括:网络接口单元,用于通过IP网络收发报文;连接处理子单元,用于接收网络隔 离设备内侧的作为LAC的第一监控节点以自身第一 IP地址发出的L2TP隧道连接请求;在 与第一监控节点建立隧道连接后,为第一监控节点分配第二IP地址;报文处理子单元,用 于从第一监控节点接收隧道报文并将该隧道报文进行解封装获得内层IP报文,根据内层 IP报文的目的地址将该报文转发给网络隔离设备外侧的监控节点;该内层IP报文是第一 监控节点发送给网络隔离设备外侧的监控节点的监控信令数据或者监控数据,隧道报文的 源地址为第一监控节点的第一 IP地址,目的地址为该L2TP中继自身的IP地址,该内层IP 报文的目的地址为网络隔离设备外侧监控节点的IP地址,源地址为该第二IP地址;该报文 处理子单元,进一步用于将网络隔离设备外侧的监控节点发出的内容为监控信令数据或者 业务数据的IP报文进行隧道封装后发送给该第一监控节点,其中该IP报文的目的地址为 第二IP地址,源地址为网络隔离设备外侧监控节点的IP地址,封装后的隧道报文的目的IP 地址为该第一 IP地址,隧道报文源地址为L2TP中继自身的IP地址。

[0072] 以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精 神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。

Claims (18)

1. 一种IP监控系统中穿越网络隔离设备的方法,该方法应用于监控系统的监控节点 上,其中该监控系统中包括多个监控节点以及L2TP中继,所述多个监控节点包括编码终端 EC,监控客户端VC以及至少一种服务器;其中所述至少一种服务器为视频管理服务器VM, 该方法包括: 位于网络隔离设备内侧网络的第一监控节点作为L2TP访问集中器LAC,使用自身的第 一 IP地址向作为L2TP服务端LNS的L2TP中继发起隧道连接请求以与L2TP中继建立L2TP 隧道连接; L2TP隧道连接建立后,所述第一监控节点从L2TP中继获取L2TP中继分配的第二IP地 址; 第一监控节点从L2TP中继接收隧道报文并将隧道报文进行解封装获得内容为监控信 令数据的内层IP报文,所述内层IP报文是网络隔离设备外侧网络监控节点发送的监控信 令数据报文,所述隧道报文的目的地址为所述第一 IP地址,隧道报文的源地址为L2TP中继 自身的IP地址;所述内层IP报文的目的地址为所述第二IP地址,源地址为所述外侧网络 监控节点的IP地址; 第一监控节点从内层IP报文中获得监控信令数据并进行相应的信令处理; 第一监控节点将生成的监控信令数据封装到内层IP报文中,然后将所述内层IP报文 封装到隧道报文中发送给L2TP中继,由L2TP中继将内层IP报文转发到网络隔离设备外侧 网络的监控节点,其中该内层IP报文的源地址为第二IP地址,内层报文的目的地址为所述 外侧网络监控节点的IP地址,该隧道报文的源地址为第一监控节点自身的IP地址,该隧道 报文的目的地址为L2TP中继自身的IP地址。
2. 如权利要求1所述的方法,其特征在于,所述第一监控节点还从L2TP中继接收隧道 报文并将隧道报文进行解封装获得内容为监控业务数据的内层IP报文,该内层IP报文是 网络隔离设备外侧网络监控节点发送的监控业务数据报文,所述隧道报文的目的地址为所 述第一 IP地址,隧道报文的源地址为L2TP中继自身的IP地址;所述内层IP报文的目的地 址为所述第二IP地址,源地址为所述外侧网络监控节点的IP地址;或者 第一监控节点还将生成的监控业务数据封装到内层IP报文中,然后将所述内层IP报 文封装到隧道报文中发送给L2TP中继,由L2TP中继将内层IP报文转发到网络隔离设备外 侧网络的监控节点,其中该内层IP报文的源地址为第二IP地址,内层报文的目的地址为所 述外侧网络监控节点的IP地址,该隧道报文的源地址为第一监控节点自身的IP地址,该隧 道报文的目的地址为L2TP中继自身的IP地址。
3. 如权利要求1或2所述的方法,其特征在于,所述第二IP地址属于L2TP中继分配的 网络隔离设备外侧网络中规划的IP地址。
4. 如权利要求1或2所述的方法,其特征在于,所述第二IP地址属于L2TP中继为隧道 连接自身独立规划的IP地址,所述L2TP中继与网络隔离设备外侧网络的监控节点建立有 L2TP隧道连接,所述网络隔离设备外侧网络的监控节点包括VM和MS。
5. 如权利要求1所述的方法,其特征在于,所述第一监控节点为VM,VM接收L2TP中继 通过VM与L2TP中继建立的L2TP隧道发送的封装在隧道报文中的监控信令数据,该监控信 令数据是由EC或者VC发送的。
6. -种IP监控系统中穿越网络隔离设备的监控节点,其中该监控节点位于网络隔离 设备内侧网络,所述监控系统中包括多个监控节点以及L2TP中继,所述多个监控节点包括 编码终端EC,监控客户端VC以及至少一种服务器;其中所述至少一种服务器为视频管理服 务器VM,该监控节点包括隧道处理单元、信令处理单元以及网络接口单元;其中所述隧道 处理单元包括连接处理子单元以及报文处理子单元:其中, 网络接口单元,用于在IP网络上收发报文; 信令处理单元,用于处理监控信令数据; 连接处理子单元,用于使用监控节点自身的第一 IP地址向作为L2TP服务端LNS的 L2TP中继发起隧道连接请求以与L2TP中继建立L2TP隧道连接;并在L2TP隧道连接建立 后从L2TP中继获取L2TP中继分配第二IP地址; 报文处理子单元,用于将网络接口单元从L2TP中继接收的隧道报文进行解封装获得 内容为监控信令数据的内层IP报文,并将该监控信令数据提交给信令处理单元;其中所述 内层IP报文是网络隔离设备外侧监控节点发送的报文,所述隧道报文的目的地址为所述 第一 IP地址,隧道报文的源地址为L2TP中继自身的IP地址;所述内层IP报文的目的地址 为所述第二IP地址,源IP地址为所述外侧监控节点的IP地址; 其中该报文处理子单元进一步用于,将监控节点信令处理单元生成的监控信令数据封 装到内层IP报文中,然后将所述内层IP报文封装到隧道报文中发送给网络接口单元,由网 络接口单元发送给L2TP中继,L2TP中继将内层IP报文转发到网络隔离设备外侧网络的监 控节点,其中该内层IP报文的源地址为第二IP地址,内层报文的目的地址为所述外侧网络 监控节点的IP地址,该隧道报文的源地址为该监控节点自身的IP地址,该隧道报文的目的 地址为L2TP中继自身的IP地址。
7. 如权利要求6所述的监控节点,其特征在于,所述监控节点还包括业务处理单元,该 业务处理单元用于处理监控业务数据; 所述报文处理子单元,还用于将网络接口单元从L2TP中继接收的隧道报文进行解封 装获得内容为监控业务数据的内层IP报文,并将该监控业务数据提交给业务处理单元;其 中所述内层IP报文是网络隔离设备外侧监控节点发送的报文,所述隧道报文的目的地址 为所述第一 IP地址,隧道报文的源地址为L2TP中继自身的IP地址;所述内层IP报文的目 的地址为所述第二IP地址,源IP地址为所述外侧监控节点的IP地址;或者 所述报文处理子单元还用于,将监控节点业务处理单元生成的监控业务数据封装到内 层IP报文中,然后将所述内层IP报文封装到隧道报文中发送给网络接口单元,由网络接口 单元发送给L2TP中继,L2TP中继将内层IP报文转发到网络隔离设备外侧网络的监控节点, 其中该内层IP报文的源地址为第二IP地址,内层报文的目的地址为所述外侧网络监控节 点的IP地址,该隧道报文的源地址为该监控节点自身的IP地址,该隧道报文的目的地址为 L2TP中继自身的IP地址。
8. 如权利要求6或7所述的监控节点,其特征在于,所述第二IP地址属于L2TP中继分 配的网络隔离设备外侧网络中规划的IP地址。
9. 如权利要求6或7所述的监控节点,其特征在于,所述第二IP地址属于L2TP中继为 隧道连接自身独立规划的IP地址,所述L2TP中继与网络隔离设备外侧网络监控节点建立 有L2TP隧道连接,所述网络隔离设备外侧网络的监控节点包括VM和MS。
10. 如权利要求6所述的监控节点,其特征在于,所述该监控节点为VM,VM接收L2TP中 继通过VM与L2TP中继建立的L2TP隧道发送的封装在隧道报文中的监控信令数据,该监控 信令数据是由EC或者VC发送的。
11. 一种IP监控系统中协助监控节点穿越网络隔离设备的方法,该方法应用于监控系 统的L2TP中继上,其中所述监控系统中包括多个监控节点以及L2TP中继,所述多个监控节 点包括编码终端EC,监控客户端VC以及至少一种服务器;其中所述至少一种服务器为视频 管理服务器VM,该方法包括: L2TP中继作为L2TP服务端LNS接收网络隔离设备内侧网络作为L2TP访问集中器LAC 的第一监控节点以自身第一 IP地址发出的L2TP隧道连接请求; 在与第一监控节点建立隧道连接后,为第一监控节点分配第二IP地址; 从第一监控节点接收隧道报文并将该隧道报文进行解封装获得内层IP报文,所述内 层IP报文是第一监控节点发送给网络隔离设备外侧监控节点的监控信令数据或者业务数 据,隧道报文的源地址为第一监控节点的第一 IP地址,目的地址为所述L2TP中继自身的IP 地址,所述内层IP报文的目的地址为网络隔离设备外侧监控节点的IP地址,源地址为所述 第二IP地址; 根据内层IP报文的目的地址,将该报文转发给网络隔离设备外侧的监控节点; 将网络隔离设备外侧的监控节点发出的监控信令数据或者监控业务数据的IP报文进 行隧道封装后发送给所述第一监控节点,其中该IP报文的目的地址为第二IP地址,源IP 地址为外侧网络监控节点的IP地址,封装后的隧道报文的目的IP地址为所述第一 IP地 址,隧道报文的源地址为L2TP中继自身的IP地址。
12. 如权利要求11所述的方法,其特征在于,所述第二IP地址属于L2TP中继分配的网 络隔离设备外侧网络中规划的IP地址。
13. 如权利要求11所述的方法,其特征在于,所述第二IP地址属于L2TP中继自身独立 规划的IP地址,所述L2TP中继与外侧监控节点建立有L2TP隧道连接;其中所述外侧监控 节点发出的IP报文是封装在该隧道中的内层IP报文,L2TP中继将外侧监控节点发出的隧 道报文解封装获得内层IP报文,该内层报文的源IP地址是该外侧监控节点通过L2TP中继 分配的IP地址,目的地址是第一监控节点分配到的第二IP地址,所述网络隔离设备外侧网 络的监控节点包括VM和MS。
14. 如权利要求11所述的方法,其中所述L2TP中继为所述网络隔离设备外侧的MS。
15. -种IP监控系统中协助监控节点穿越网络隔离设备的L2TP中继设备,其中所述监 控系统中包括多个监控节点以及L2TP中继,所述多个监控节点包括编码终端EC,监控客户 端VC以及至少一种服务器;其中所述至少一种服务器为视频管理服务器VM,该设备包括: 网络接口单元,用于通过IP网络收发报文; 连接处理子单元,用于接收网络隔离设备内侧的作为L2TP访问集中器LAC的第一监控 节点以自身第一 IP地址发出的L2TP隧道连接请求;在与第一监控节点建立隧道连接后,为 第一监控节点分配第二IP地址; 报文处理子单元,用于从第一监控节点接收隧道报文并将该隧道报文进行解封装获得 内层IP报文,根据内层IP报文的目的地址将该报文转发给网络隔离设备外侧的监控节点; 所述内层IP报文是第一监控节点发送给网络隔离设备外侧的监控节点的监控信令数据或 者监控数据,隧道报文的源地址为第一监控节点的第一 IP地址,目的地址为所述L2TP中继 自身的IP地址,所述内层IP报文的目的地址为网络隔离设备外侧监控节点的IP地址,源 地址为所述第二IP地址; 其中该报文处理子单元,进一步用于将网络隔离设备外侧的监控节点发出的内容为监 控信令数据或者业务数据的IP报文进行隧道封装后发送给所述第一监控节点,其中该IP 报文的目的地址为第二IP地址,源地址为网络隔离设备外侧监控节点的IP地址,封装后的 隧道报文的目的IP地址为所述第一 IP地址,隧道报文源地址为L2TP中继自身的IP地址。
16. 如权利要求15所述的设备,其特征在于,所述第二IP地址属于L2TP中继分配的网 络隔离设备外侧网络中规划的IP地址。
17. 如权利要求15所述的设备,其特征在于,所述第二IP地址属于L2TP中继自身独立 规划的IP地址,所述L2TP中继与外侧监控节点建立有L2TP隧道连接; 其中所述外侧监控节点发出的IP报文是封装在隧道中的内层IP报文,所述报文处理 子单元进一步用于将外侧监控节点发出的隧道报文解封装获得内层IP报文,该内层报文 的源IP地址是该外侧监控节点通过L2TP中继分配的IP地址,目的地址是第一监控节点分 配到的第二IP地址,所述网络隔离设备外侧网络的监控节点包括VM和MS。
18. 如权利要求15所述的设备,其中所述L2TP中继为所述网络隔离设备外侧的MS。
CN201210030678.5A 2012-02-10 2012-02-10 Ip监控系统中穿越、协助穿越网络隔离设备的方法和节点 CN102571524B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201210030678.5A CN102571524B (zh) 2012-02-10 2012-02-10 Ip监控系统中穿越、协助穿越网络隔离设备的方法和节点

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN201210030678.5A CN102571524B (zh) 2012-02-10 2012-02-10 Ip监控系统中穿越、协助穿越网络隔离设备的方法和节点
US14/377,814 US9215215B2 (en) 2012-02-10 2013-02-05 Method and device for passing through isolation device in surveillance network
PCT/CN2013/071395 WO2013117154A1 (zh) 2012-02-10 2013-02-05 穿越监控网络中隔离设备的方法和设备

Publications (2)

Publication Number Publication Date
CN102571524A CN102571524A (zh) 2012-07-11
CN102571524B true CN102571524B (zh) 2015-01-07

Family

ID=46416043

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201210030678.5A CN102571524B (zh) 2012-02-10 2012-02-10 Ip监控系统中穿越、协助穿越网络隔离设备的方法和节点

Country Status (1)

Country Link
CN (1) CN102571524B (zh)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013117154A1 (zh) * 2012-02-10 2013-08-15 浙江宇视科技有限公司 穿越监控网络中隔离设备的方法和设备
CN102917071B (zh) * 2012-10-31 2016-06-08 浙江宇视科技有限公司 一种隧道连接请求分发方法及装置
CN103607345B (zh) * 2013-11-21 2018-01-05 浙江宇视科技有限公司 一种监控节点建立路由信息的方法和系统
CN104243261B (zh) * 2014-08-12 2018-05-01 福建富士通信息软件有限公司 一种私网资产的远程安全评估方法
CN105871521B (zh) * 2016-06-03 2019-04-30 浙江宇视科技有限公司 一种数据传输方法、装置及视频监控系统
CN109768933A (zh) * 2019-03-21 2019-05-17 杭州迪普科技股份有限公司 基于l2tp网络的报文转发方法和装置

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1781278A (zh) * 2003-05-21 2006-05-31 思科技术公司 用于在网络环境中提供端到端认证的系统和方法
CN101321383A (zh) * 2007-06-05 2008-12-10 华为技术有限公司 一种通信系统和方法、家用基站网关及归属用户服务器
CN102111311A (zh) * 2011-03-18 2011-06-29 杭州华三通信技术有限公司 通过二层隧道协议访问监控私网的方法及服务器

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070110072A1 (en) * 2005-11-16 2007-05-17 Mark Elias Digital subscriber link interconnection to a virtual private network
US8325615B2 (en) * 2006-09-08 2012-12-04 Cisco Technology, Inc. System and method for collapsed subscriber management and call control

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1781278A (zh) * 2003-05-21 2006-05-31 思科技术公司 用于在网络环境中提供端到端认证的系统和方法
CN101321383A (zh) * 2007-06-05 2008-12-10 华为技术有限公司 一种通信系统和方法、家用基站网关及归属用户服务器
CN102111311A (zh) * 2011-03-18 2011-06-29 杭州华三通信技术有限公司 通过二层隧道协议访问监控私网的方法及服务器

Also Published As

Publication number Publication date
CN102571524A (zh) 2012-07-11

Similar Documents

Publication Publication Date Title
US9787632B2 (en) Centralized configuration with dynamic distributed address management
US9143949B2 (en) Wireless communications network base station extension
US9491002B1 (en) Managing communications involving external nodes of provided computer networks
US9037691B1 (en) Managing use of intermediate destination computing nodes for provided computer networks
CN103747499B (zh) 用于针对有线和无线节点的公共控制协议的方法和设备
CN104919766B (zh) 用于设备到设备通信的路径切换方法和设备
US20160330045A1 (en) Packet tunneling method, switching device, and control device
US10111053B2 (en) Overlaying virtual broadcast domains on an underlying physical network
CN103270736B (zh) 一种网络设备
US9088546B2 (en) Establishing an IPSEC (internet protocol security) VPN (virtual private network) tunnel and encapsulating non-IP packets
CN103944768B (zh) 为受管计算机网络提供逻辑联网功能
CN105099779B (zh) 多租户云平台架构
CN103650427B (zh) 用于在互联网协议网络上路由以太网分组的集中式系统
US6640251B1 (en) Multicast-enabled address resolution protocol (ME-ARP)
CN104639414B (zh) 一种报文转发方法和设备
EP2569902B1 (en) Interconnecting members of a virtual network
EP2590368B1 (en) Method, equipment and network system for terminal communicating with ip multimedia subsystem(ims) core network server by traversing private network
EP2385660B1 (en) Method and system for offloading tunnel packet processing in cloud computing
ES2565827T3 (es) Método de control de enrutamiento, aparato y sistema de red privada virtual de capa 3
KR101029900B1 (ko) 이동 ip 동적 홈에이전트 할당을 위한 방법 및 장치
CN104396192B (zh) 不对称网络地址封装
CN104243269B (zh) 一种虚拟扩展局域网报文的处理方法及装置
KR100689500B1 (ko) 이동 네트워크에서 피기배킹을 이용한 경로 최적화 시스템및 방법
EP2579544B1 (en) Methods and apparatus for a scalable network with efficient link utilization
JP5602937B2 (ja) リレーノードと構成エンティティの間の接続性の確立

Legal Events

Date Code Title Description
PB01 Publication
C06 Publication
SE01 Entry into force of request for substantive examination
C10 Entry into substantive examination
GR01 Patent grant
C14 Grant of patent or utility model