CN105933198A

CN105933198A - 一种建立直连vpn隧道的装置

Info

Publication number: CN105933198A
Application number: CN201610251272.8A
Authority: CN
Inventors: 周迪; 赵晖
Original assignee: Zhejiang Uniview Technologies Co Ltd
Current assignee: Zhejiang Uniview Technologies Co Ltd
Priority date: 2016-04-21
Filing date: 2016-04-21
Publication date: 2016-09-07
Anticipated expiration: 2036-04-21
Also published as: CN105933198B

Abstract

本发明公开了一种建立直连VPN隧道的装置，包括VPN中继服务模块、NAT打洞服务模块和配置模块，VPN中继服务模块用于与客户端和监控设备分别建立VPN隧道，NAT打洞服务模块获取客户端和监控设备的公网映射IP地址和端口号，客户端和监控设备根据收到的对端公网映射IP地址和端口号通过打洞建立UDP连接，客户端和监控设备建立UDP连接后，配置模块分配监控设备为VPN隧道服务器，分配客户端为VPN隧道客户端，下发配置信息给客户端和监控设备，使得客户端和监控设备通过UDP连接建立直连VPN隧道，客户端通过该VPN隧道直接访问监控设备来获取监控设备上的监控视频。

Description

一种建立直连VPN隧道的装置

技术领域

本发明属于数据通讯领域，尤其涉及一种建立直连VPN隧道的装置。

背景技术

视频监控系统在公网应用的网络环境复杂，客户端和视频监控设备通常位于不同的私网内，需要在NAT设备上对视频监控的不同业务数据进行公网IP地址和私网IP地址映射，才能使客户端能访问和接收NVR/IPC的监控视频，整个视频监控系统实现复杂，配置繁琐；并且当NAT设备上使用的公网IP地址出现变化时，需要重新配置，使用不便。另外有些设备位于经过多层NAT转换的私网之内，无法直接将这些设备使用的私网IP地址映射成公网IP地址。

为了应对各种各样的NAT组网应用环境，客户端和视频监控设备分别通过VPN连接到位于公网的视频监控服务器，客户端和视频监控设备通过视频监控服务器在公网进行数据转发来通信，但是这种方式需要大量占用视频服务器的带宽和处理能力，并且客户端和视频服务器之间的通信通过视频服务器进行转发会带来额外的数据丢包和时延。

为了解决上述问题，公开号为CN104506802A的发明专利申请，公开了在客户端侧增加客户端代理模块和在视频监控设备侧增加监控设备代理模块，客户端代理模块和监控设备代理模块在视频监控服务器的协助下，通过VPN隧道技术建立UDP通道，客户端和视频监控设备通过各自的代理模块经过该UDP通道直接进行通信，从而解决了客户端和视频监控设备之间的通信要经过视频服务器进行转发带来的问题。但是该方案中客户端和视频监控设备之间的通信都要通过各自的代理模块进行处理和转发，存在代理模块消耗资源多，传输效率不高，信令协商和业务控制复杂等问题。

发明内容

本发明的目的是提供一种建立直连VPN隧道的装置，在管理服务器的协助下，客户端和视频监控设备直接建立VPN隧道进行通信，以解决现有技术中客户端和视频监控设备的通信需要由客户端代理和监控设备代理进行处理和转发，代理模块消耗资源多，传输效率不高，信令协商和业务控制复杂的问题。

为了实现上述目的，本发明技术方案如下：

一种建立直连VPN隧道的装置，应用于视频监控系统中的管理服务器，所述视频监控系统包括位于不同私网内的客户端和监控设备，以及位于公网的管理服务器，所述建立直连VPN隧道的装置，包括：

VPN中继服务模块，用于与客户端和监控设备分别建立VPN隧道；

NAT打洞服务模块，用于获取客户端的公网映射IP地址、端口号，以及监控设备的公网映射IP地址、端口号，将客户端的公网映射IP地址和端口号发送给监控设备，将监控设备的公网映射IP地址和端口号发送给客户端，以使客户端和监控设备利用各自收到的IP地址和端口号信息进行打洞穿越NAT设备，建立并保持客户端和监控设备之间的UDP连接；

配置模块，用于分配监控设备和客户端分别为VPN隧道服务器角色和VPN隧道客户端角色，下发配置信息给客户端和监控设备，使得客户端和监控设备通过UDP连接建立直连VPN隧道。

进一步地，所述配置模块分配监控设备和客户端分别为VPN隧道服务器角色和VPN隧道客户端角色，下发配置信息给客户端和监控设备，使得客户端和监控设备通过UDP连接建立直连VPN隧道时，执行如下操作：

分配监控设备为VPN隧道服务器，下发VPN隧道服务器使用的虚拟网卡地址和VPN隧道客户端使用的虚拟网卡地址给监控设备，下发进行鉴权的用户名和密码给监控设备，以便监控设备完成VPN隧道服务器的配置，然后在监控设备的私网IP地址及私网端口号上启动侦听进程，侦听VPN隧道客户端的VPN隧道连接请求，在侦听到VPN隧道连接请求后进行用户鉴权和响应，在监控设备上生成PPP虚拟网卡接口，并将分配给VPN隧道客户端的虚拟网卡地址下发给客户端；

分配客户端为VPN隧道客户端，通知客户端VPN隧道服务器的IP地址和端口号为监控设备的公网映射IP地址和端口号，并下发进行鉴权的用户名和密码给客户端，以便客户端向监控设备发送建立VPN隧道连接请求，接收监控设备下发的VPN隧道客户端使用的虚拟网卡地址，在客户端上生成PPP虚拟网卡接口。

进一步地，所述配置模块还用于：

通知客户端和监控设备分别生成以对方的虚拟网卡地址为目的地址的主机路由。

其中，所述客户端的主机路由的目的IP地址为分配给VPN隧道服务器的虚拟网卡地址，出接口为客户端上的PPP虚拟网卡接口，所述监控设备的主机路由的目的IP地址为分配给VPN隧道客户端的虚拟网卡地址，出接口为监控设备上的PPP虚拟网卡接口。

本发明还提出了一种建立直连VPN隧道的装置，应用于视频监控系统中的客户端，所述视频监控系统包括位于不同私网内的客户端和监控设备，以及位于公网的管理服务器，所述建立直连VPN隧道的装置，包括：

客户端中继VPN模块，用于向管理服务器发送建立VPN隧道请求消息，与管理服务器建立VPN隧道；

客户端打洞模块，用于接收管理服务器下发的监控设备的公网映射IP地址和端口号，与监控设备间通过打洞穿越NAT设备，建立与监控设备之间的UDP连接；

客户端直连VPN模块，用于接收管理服务器下发的配置信息，与监控设备通过UDP连接建立直连的VPN隧道。

进一步地，所述客户端直连VPN模块在接收管理服务器下发的配置信息，与监控设备通过UDP连接建立直连的VPN隧道时，执行如下操作：

根据管理服务器的分配设置自身为VPN隧道客户端，接收管理服务器下发的VPN隧道服务器的IP地址和端口号为监控设备的公网映射IP地址和端口号，以及进行鉴权的用户名和密码，向监控设备发送建立VPN隧道连接请求；

接收监控设备下发的VPN隧道客户端使用的虚拟网卡地址，生成PPP虚拟网卡接口。

进一步地，所述客户端直连VPN模块还用于：

接收管理服务器的通知，生成以监控设备的虚拟网卡地址为目的地址的主机路由，所述主机路由的目的IP地址为分配给VPN隧道服务器的虚拟网卡地址，出接口为自身的PPP虚拟网卡接口。

本发明还提出了一种建立直连VPN隧道的装置，应用于视频监控系统中的监控设备，所述视频监控系统包括位于不同私网内的客户端和监控设备，以及位于公网的管理服务器，所述建立直连VPN隧道的装置，包括：

监控设备中继VPN模块，用于向管理服务器发送建立VPN隧道请求消息，与管理服务器建立VPN隧道；

监控设备打洞模块，用于接收管理服务器下发的客户端的公网映射IP地址和端口号，与客户端间通过打洞穿越NAT设备，建立与客户端之间的UDP连接；

监控设备直连VPN模块，用于接收管理服务器下发的配置信息，与客户端通过UDP连接建立直连的VPN隧道。

进一步地，所述监控设备直连VPN模块在接收管理服务器下发的配置信息，与客户端通过UDP连接建立直连的VPN隧道时，执行如下操作：

根据管理服务器的分配设置自身为VPN隧道服务器，接收管理服务器下发的VPN隧道服务器使用的虚拟网卡地址和VPN隧道客户端使用的虚拟网卡地址，以及进行鉴权的用户名和密码，在自身的私网IP地址及私网端口号上启动侦听进程，侦听VPN隧道客户端的VPN隧道连接请求，在侦听到VPN隧道连接请求后进行用户鉴权和响应，在自身上生成PPP虚拟网卡接口，并将分配给VPN隧道客户端的虚拟网卡地址下发给客户端。

进一步地，所述监控设备直连VPN模块还用于：

接收管理服务器的通知，生成以客户端的虚拟网卡地址为目的地址的主机路由，所述主机路由的目的IP地址为分配给VPN隧道客户端的虚拟网卡地址，出接口为自身的PPP虚拟网卡接口。

本发明提出了一种建立直连VPN隧道的装置，在管理服务器的协助下，客户端和监控设备先进行打洞建立UDP连接，穿越NAT设备，然后通过UDP连接完成直连VPN隧道的建立，客户端和监控设备之间建立直连的VPN隧道后，客户端可以直接访问监控设备获取视频，解决了现有技术中客户端和视频监控设备的通信需要由客户端代理和监控设备代理进行处理和转发，代理模块消耗资源多，传输效率不高，信令协商和业务控制复杂的问题。

附图说明

图1为本发明实施例一建立直连VPN隧道的装置结构示意图；

图2为本发明实施例视频监控系统的网络结构示意图；

图3为本发明实施例二建立直连VPN隧道的装置结构示意图；

图4为本发明实施例三建立直连VPN隧道的装置结构示意图；

图5为本发明实施例四建立直连VPN隧道的方法流程图。

具体实施方式

下面结合附图和实施例对本发明技术方案做进一步详细说明，以下实施例不构成对本发明的限定。

在视频监控网络中，客户端需要访问监控设备来获取监控视频，但客户端和监控设备常常位于不同的私网内，客户端和监控设备都使用私网IP地址，因此客户端无法直接访问监控设备。本发明提供了一种在管理服务器的协助下，客户端和监控设备建立直连VPN隧道的装置，直连VPN隧道建立后，客户端可以直接访问监控设备，获取所需的监控视频。

实施例一、

如图1所示，本实施例一种建立直连VPN隧道的装置，应用于管理服务器，包括：

VPN中继服务模块，用于与客户端和监控设备分别建立VPN隧道。

在现有的视频监控网络中，客户端和监控设备通过分别和公网中的管理服务器建立VPN隧道来穿越客户端和监控设备的NAT设备，通过公网中的管理服务器将监控设备中的监控视频流转发给客户端。本实施例管理服务器为视频监控系统的视频管理服务器。监控设备/客户端在与管理服务器建立VPN隧道时，监控设备/客户端的NAT设备上会生成该监控设备的私网IP地址及端口号和公网映射IP地址及端口号的映射关系表，监控设备/客户端使用私网IP地址及端口号向管理服务器VPN中继服务模块发送建立VPN隧道请求消息，NAT设备将建立VPN隧道请求消息中监控设备/客户端的私网IP地址及端口号转换为监控设备/客户端的公网映射IP地址和端口号后发送给管理服务器VPN中继服务模块，管理服务器VPN中继服务模块响应监控设备/客户端的建立VPN隧道请求消息，完成VPN隧道的建立。

客户端/监控设备分别与管理服务器建立VPN隧道，可用于后续客户端/监控设备与管理服务器之间的消息交互，同时在客户端与监控设备之间的直连VPN隧道故障时，客户端会使用自身与管理服务器建立的VPN隧道来访问管理服务器，管理服务器通过与监控设备的VPN隧道来通信，通过管理服务器的转发获取监控设备的监控视频。

NAT打洞服务模块，用于获取客户端的公网映射IP地址、端口号，以及监控设备的公网映射IP地址、端口号，将客户端的公网映射IP地址和端口号发送给监控设备，将监控设备的公网映射IP地址和端口号发送给客户端，以便客户端和监控设备利用各自收到的IP地址和端口号信息进行打洞穿越NAT设备，建立并保持客户端和监控设备之间的UDP连接。

客户端与监控设备之间通过NAT穿越协议STUN(Simple Traversal ofUDP Through NAT)来打洞穿越NAT设备，建立两者之间的UDP连接。

假设客户端为STUN ClientA，客户端侧的NAT为NA，监控设备为STUN ClientB，监控设备侧的NAT为NB，管理服务器为STUN Server，客户端与监控设备打洞穿越NAT设备建立UDP连接的过程如下：

(1)STUN ClientA通过NA向STUN Server发送UDP请求STUN消息询问并注册自身的转换后地址；

(2)STUN Server收到请求消息，产生响应消息，响应消息中携带请求消息的源端口，即STUN ClientA在NA上对应的外部端口，然后响应消息通过NA发送给STUN ClientA；

(3)STUN ClientB通过NB向STUN Server发送UDP请求STUN消息询问并注册自身的转换后地址；

(4)STUN Server收到请求消息，产生响应消息，响应消息中携带请求消息的源端口，即STUN ClientB在NB上对应的外部端口，然后响应消息通过NB发送给STUN ClientB；

(5)STUN ClientA将其在NA上对应的外部地址和端口信息包含在消息中，发送给STUN Server请求要和STUN ClientB通讯；

(6)STUN Server收到请求信息后，查询STUN ClientB的注册地址，并通过NB将请求转发给STUN ClientB；

(7)STUN ClientB通过消息体中的内容得知STUN ClientA在的外部地址和端口，并将其在NB上对应的外部地址和端口信息包含在响应消息中，然后将响应信息发送给STUN ClientA，STUN ClientA收到响应信息后也知道了STUN ClientB的外部地址和端口，这样就在STUN ClientA和STUN ClientB之间建立了UDP连接，解决了打洞穿越NAT的通信建立问题。

需要说明的是，设置监控设备为STUN ClientA，客户端为STUNClientB，同样能够实现打洞穿越NAT，这里不再赘述。

本实施例管理服务器NAT打洞服务模块在获取到客户端的公网映射IP地址、端口号，以及监控设备的公网映射IP地址、端口号后，通过VPN中继服务模块建立的VPN隧道将客户端的公网映射IP地址和端口号发送给监控设备，将监控设备的公网映射IP地址和端口号发送给客户端，客户端和监控设备利用各自收到的公网映射IP地址和端口号信息进行打洞。

打洞完成后客户端和监控设备之间建立了一个穿越NAT设备的UDP连接，具体包括:在客户端的NAT设备上生成一个内网地址和端口号为客户端的私网IP地址和端口号，外网地址和端口号为客户端的公网映射IP地址和端口号的会话连接，该会话连接只接受监控设备的公网映射IP地址的访问，同时在监控设备的NAT设备上生成一个内网地址和端口号为监控设备的私网IP地址和端口号，外网地址和端口号为监控设备的公网映射IP地址和端口号的会话连接，该会话连接只接受客户端的公网映射IP地址的访问。

客户端通过监控设备的公网映射IP地址和端口号向监控设备发送消息，消息中的源IP地址和端口号为客户端的私网IP地址和端口号，客户端的NAT设备将消息中的源IP地址和端口号转换为客户端的公网映射IP地址和端口号后发送给监控设备的NAT设备，监控设备的NAT设备收到消息后将消息中的目的IP地址和端口号由监控设备的公网映射IP地址和端口号转换为监控设备的私网IP地址和端口号后发送给监控设备。监控设备通过客户端的公网映射IP地址和端口号向客户端发送消息，消息中的源IP地址和端口号为监控设备的私网IP地址和端口号，监控设备的NAT设备将消息中的源IP地址和端口号转换为监控设备的公网映射IP地址和端口号后发送给监控设备的NAT设备，监控设备的NAT设备收到消息后将消息中的目的IP地址和端口号由客户端的公网映射IP地址和端口号转换为客户端的私网IP地址和端口号后发送给客户端。通过这种方式客户端和监控设备就可以利用打洞建立的UDP连接直接互相发送消息。

需要说明的是，由于客户端和监控设备的NAT设备上的会话连接都有过期时间，客户端和监控设备通过发送周期性的保活报文对通过打洞建立的UPD连接进行保活。

客户端和监控设备在打洞成功，建立UDP连接后，将打洞成功的消息发送给管理服务器。管理服务器配置模块收到打洞成功的消息后，分配监控设备为VPN隧道服务器，下发VPN隧道服务器使用的虚拟网卡地址和VPN隧道客户端使用的虚拟网卡地址给监控设备，下发进行鉴权用户名和密码给监控设备，监控设备根据管理服务器配置模块下发的消息完成VPN隧道服务器的配置，然后在监控设备的私网IP地址及私网端口号上启动侦听进程，侦听VPN隧道客户端的VPN隧道连接请求。在侦听到VPN隧道连接请求后进行用户鉴权和响应，随后在监控设备上生成PPP虚拟网卡接口，该虚拟网卡接口为管理服务器下发的VPN隧道服务器使用的虚拟网卡地址。

管理服务器配置模块分配客户端为VPN隧道客户端，通知客户端VPN隧道服务器的IP地址和端口号为监控设备的公网映射IP地址和公网端口号，并下发进行鉴权的用户名和密码给客户端，客户端向监控设备发送建立VPN隧道连接请求，监控设备侦听到该建立VPN隧道连接请求后进行用户鉴权和响应，并将管理服务器配置模块分配给VPN隧道客户端的虚拟网卡地址下发给客户端，客户端接收监控设备下发的VPN隧道客户端使用的虚拟网卡地址，在客户端上生成PPP虚拟网卡接口，完成VPN隧道的建立。

客户端和监控设备之间的VPN隧道建立后，在客户端和监控设备上都会生成一个新的PPP虚拟网卡接口，监控设备上的PPP虚拟网卡接口的IP地址为管理服务器分配给VPN隧道服务器的虚拟网卡地址，客户端上的PPP虚拟网卡接口的IP地址为管理服务器分配给VPN隧道客户端的虚拟网卡地址。

然后管理服务器配置模块通知客户端和监控设备分别生成以对方的虚拟网卡地址为目的地址的主机路由，或分别下发一条主机路由到客户端和监控设备。其中客户端的主机路由的目的IP地址为管理服务器分配给VPN隧道服务器的虚拟网卡地址，出接口为客户端上新建立的PPP虚拟网卡接口，监控设备的主机路由的目的IP地址为管理服务器分配给VPN隧道客户端的虚拟网卡地址，出接口为监控设备上新建立的PPP虚拟网卡接口。

需要说明的是，本实施例分配监控设备为VPN隧道服务器，分配客户端为VPN隧道客户端，由客户端发起建立VPN隧道连接请求。同样地，也可以分配客户端为VPN隧道服务器，分配监控设备为VPN隧道客户端，由监控设备发起建立VPN隧道连接请求。本发明不限于具体的实现形式。

从而客户端和监控设备在管理服务器配置模块的协助下建立了直连的VPN隧道，使用管理服务器配置模块分配给VPN隧道服务器的虚拟网卡地址和管理服务器配置模块分配给VPN隧道客户端的虚拟网卡地址直接进行通信，客户端直接从监控设备上获取监控视频。

需要说明的是，当客户端和监控设备建立的直连VPN隧道出现故障时，由于客户端与管理服务器、监控设备与管理服务器都建立有VPN隧道，客户端会使用它和管理服务器建立的VPN隧道来访问管理服务器，通过管理服务器的转发获取监控设备的监控视频。

下面通过举例对本实施例进行说明，本实施例中的VPN隧道并不局限于使用某种特殊的协议，可以是L2TP、PPTP、IPSec或GRE，本实例采用L2TP进行说明。如图2所示，管理服务器的公网IP地址为：202.110.110.25，管理服务器为L2TP服务器，L2TP服务器的IP地址为10.10.10.1。监控设备的IP地址为：192.168.1.110，客户端的IP地址为192.168.2.220，监控设备的NAT设备的公网IP地址为：202.100.100.11，客户端的NAT设备的公网IP地址为：202.200.200.22。监控设备向管理服务器VPN中继服务模块发送建立L2TP隧道请求消息，VPN中继服务模块响应该建立L2TP隧道请求，给监控设备分配10.10.10.2的私网IP地址作为L2TP客户端的IP地址，并通知监控设备，L2TP服务器的IP地址为10.10.10.1，监控设备根据收到的响应消息建立IP地址为10.10.10.2的PPP0接口，并生成如下路由表：

表1

客户端向管理服务器VPN中继服务模块发送建立L2TP隧道请求消息，VPN中继服务模块响应该建立L2TP隧道请求，给客户端分配10.10.10.3的私网IP地址作为L2TP客户端的IP地址，并通知客户端，L2TP服务器的IP地址为10.10.10.1，客户端根据收到的响应消息建立IP地址为10.10.10.3的PPP0接口，并生成如下路由表：

目的地址	子网掩码	网关	出口网卡
				10.10.10.1	32	*	PPP0
192.168.2.0	24	192.168.2.1	Eth1
				10.10.0.0	16	10.10.10.1	PPP0
…	…	…	…
				0.0.0.0	0.0.0.0	192.168.1.1	Eth1

表2

客户端要访问监控设备建立UDP连接时，通过NAT穿越协议STUN，管理服务器NAT打洞服务模块获得监控设备的公网映射IP地址202.100.100.11和端口号10001，以及客户端的公网映射IP地址202.200.200.22和端口号10021，管理服务器NAT打洞服务模块将监控设备的公网映射IP地址202.100.100.11和端口号10001发送给客户端，同时管理服务器NAT打洞服务模块将客户端的公网映射IP地址202.200.200.22和端口号10021发送给监控设备，客户端和监控设备根据收到的信息进行打洞，打洞完成后监控设备通过私网地址192.168.1.110，端口15000来收发报文，此地址端口在本地NAT设备映射外网地址为202.100.100.11，端口10001。客户端通过私网地址192.168.2.200，端口11000来收发报文，此地址端口在本地NAT设备映射外网地址为202.200.200.22，端口10021。

客户端和监控设备建立连接后发送保活报文，避免NAT设备上会话表项老化。监控设备和客户端将打洞成功的消息都上报给管理服务器，管理服务器NAT打洞服务模块确定两者已打洞成功。

此时监控设备发往202.200.200.22，端口10021的报文，将被客户端侧NAT设备转发给客户端192.168.2.200，端口11000。客户端发往202.100.100.11，端口10001的报文，将被监控设备侧NAT设备转发给监控设备192.168.1.110，端口15000。

管理服务器配置模块收到客户端和监控设备打洞成功的消息后，通知监控设备作为L2TP服务器，L2TP服务器IP地址为10.10.10.4，L2TP客户端IP地址为10.10.10.5，L2TP鉴权用户名为XXX，密码为YYY，监控设备根据配置模块下发的信息完成L2TP的相关配置后，在192.168.1.110，端口15000启动L2TP Server侦听，准备接受L2TP客户端拨入。

然后，配置模块通知客户端，分配其为L2TP Client,L2TP Server地址为202.100.100.11，端口为10001，L2TP鉴权用户为XXX，密码为YYY。客户端收到通知消息后，向202.100.100.11，端口10001发起L2TP拨号连接请求，鉴权用户为XXX，密码为YYY，监控设备侧的NAT设备收到L2TP拨号连接请求消息后将目的IP地址和端口号由202.100.100.11和10001转换为192.168.2.220和11000后发送给监控设备，监控设备在IP地址192.168.1.110和端口号15000上侦听到该L2TP拨号连接请求消息后进行鉴权和响应。鉴权通过后，L2TP服务器通知L2TP客户端，分配给L2TP客户端的IP地址为10.10.10.5，L2TP服务器的IP地址为10.10.10.4。L2TP隧道建立后视频服务器上会生成一个新的IP地址为10.10.10.4的PPP接口，接口编号为PPP1，客户端上会生成一个新的IP地址为10.10.10.5的PPP接口，接口编号为PPP1。

然后配置模块分别给客户端和监控设备下发一条路由，其中客户端的路由的目的IP地址为10.10.10.4，出接口为PPP1，监控设备的路由的目的IP地址为10.10.10.5，出接口为PPP1。

此时，监控设备的路由表如下：

表3

客户端的路由表如下：

目的地址	子网掩码	网关	出口网卡
				10.10.10.1	32	*	PPP0
10.10.10.4	32	*	PPP1
				192.168.1.0	24	192.168.1.1	Eth1
10.10.0.0	16	10.10.10.1	PPP0
				…	…	…	…
0.0.0.0	0.0.0.0	192.168.1.1	Eth1

表4

客户端访问监控设备时优先使用监控设备IP地址10.10.10.4，路由匹配客户端路由表中第二条路由，通过客户端和监控设备之间的直连L2TP隧道访问监控设备。当客户端和监控设备之间的直连L2TP隧道故障时，则使用监控设备的IP地址10.10.10.2，路由匹配客户端路由表中第四条路由，通过管理服务器进行中转来访问监控设备。

实施例二、

如图3所示，本实施例一种建立直连VPN隧道的装置，应用于视频监控系统中的客户端，包括：

本实施例客户端直连VPN模块在接收管理服务器下发的配置信息，与监控设备通过UDP连接建立直连的VPN隧道时，执行如下操作：

需要说明的是，本实施例还可以分配监控设备为VPN隧道客户端，而分配客户端为VPN隧道服务器，这里不再赘述。

本实施例客户端直连VPN模块还用于：

需要说明的是，管理服务器配置模块通知客户端和监控设备分别生成以对方的虚拟网卡地址为目的地址的主机路由，或分别下发一条主机路由到客户端和监控设备，本发明不限于具体的实现方式。

实施例三、

如图4所示，本实施例一种建立直连VPN隧道的装置，应用于视频监控系统中的监控设备，包括：

本实施例监控设备直连VPN模块在接收管理服务器下发的配置信息，与客户端通过UDP连接建立直连的VPN隧道时，执行如下操作：

本实施例监控设备直连VPN模块还用于：

同样地，本实施例还可以分配监控设备为VPN隧道客户端，而分配客户端为VPN隧道服务器；管理服务器配置模块通知客户端和监控设备分别生成以对方的虚拟网卡地址为目的地址的主机路由，或分别下发一条主机路由到客户端和监控设备，本发明不限于具体的实现方式。

实施例四、

如图5所示，本实施例描述了建立直连VPN隧道的方法，包括：

步骤S1、管理服务器与客户端和监控设备分别建立VPN隧道。

本实施例管理服务器为视频监控系统的视频管理服务器，监控设备/客户端在与管理服务器建立VPN隧道时，监控设备/客户端的NAT设备上会生成该监控设备的私网IP地址及端口号和公网映射IP地址及端口号的映射关系表，监控设备/客户端使用私网IP地址及端口号向管理服务器发送建立VPN隧道请求消息，NAT设备将建立VPN隧道请求消息中监控设备/客户端的私网IP地址及端口号转换为监控设备/客户端的公网映射IP地址和端口号后发送给管理服务器，管理服务器响应监控设备/客户端的建立VPN隧道请求消息，完成VPN隧道的建立。

客户端/监控设备分别与管理服务器建立VPN隧道，可用于发送后续步骤中客户端/监控设备与管理服务器之间的交互消息，同时在客户端与监控设备之间的直连VPN隧道故障时，客户端会使用自身与管理服务器建立的VPN隧道来访问管理服务器，管理服务器通过与监控设备的VPN隧道来通信，通过管理服务器的转发获取监控设备的监控视频。

步骤S2、管理服务器获取客户端的公网映射IP地址、端口号，以及监控设备的公网映射IP地址、端口号，将客户端的公网映射IP地址和端口号发送给监控设备，将监控设备的公网映射IP地址和端口号发送给客户端，以便客户端和监控设备利用各自收到的IP地址和端口号信息进行打洞穿越NAT设备，建立并保持客户端和监控设备之间的UDP连接。

本实施例管理服务器在获取到客户端的公网映射IP地址、端口号，以及监控设备的公网映射IP地址、端口号后，通过步骤S1中建立的VPN隧道将客户端的公网映射IP地址和端口号发送给监控设备，将监控设备的公网映射IP地址和端口号发送给客户端，客户端和监控设备利用各自收到的公网映射IP地址和端口号信息进行打洞。

步骤S3、管理服务器分配监控设备和客户端分别为VPN隧道服务器角色和VPN隧道客户端角色，下发配置信息给客户端和监控设备，使得客户端和监控设备通过UDP连接建立直连VPN隧道。

客户端和监控设备在打洞成功，建立UDP连接后，将打洞成功的消息发送给管理服务器。管理服务器收到打洞成功的消息后，分配监控设备为VPN隧道服务器，下发VPN隧道服务器使用的虚拟网卡地址和VPN隧道客户端使用的虚拟网卡地址给监控设备，下发进行鉴权用户名和密码给监控设备，监控设备根据管理服务器下发的消息完成VPN隧道服务器的配置，然后在监控设备的私网IP地址及私网端口号上启动侦听进程，侦听VPN隧道客户端的VPN隧道连接请求。在侦听到VPN隧道连接请求后进行用户鉴权和响应，随后在监控设备上生成PPP虚拟网卡接口，该虚拟网卡接口为管理服务器下发的VPN隧道服务器使用的虚拟网卡地址

管理服务器分配客户端为VPN隧道客户端，通知客户端VPN隧道服务器的IP地址和端口号为监控设备的公网映射IP地址和公网端口号，并下发进行鉴权的用户名和密码给客户端，客户端向监控设备发送建立VPN隧道连接请求，监控设备侦听到该建立VPN隧道连接请求后进行用户鉴权和响应，并将管理服务器分配给VPN隧道客户端的虚拟网卡地址下发给客户端，客户端接收监控设备下发的VPN隧道客户端使用的虚拟网卡地址，在客户端上生成PPP虚拟网卡接口，完成VPN隧道的建立。

然后管理服务器通知客户端和监控设备分别生成以对方的虚拟网卡地址为目的地址的主机路由，或分别下发一条主机路由到客户端和监控设备。其中客户端的主机路由的目的IP地址为管理服务器分配给VPN隧道服务器的虚拟网卡地址，出接口为客户端上新建立的PPP虚拟网卡接口，监控设备的主机路由的目的IP地址为管理服务器分配给VPN隧道客户端的虚拟网卡地址，出接口为监控设备上新建立的PPP虚拟网卡接口。

通过上述方法，客户端和监控设备在管理服务器的协助下建立了直连的VPN隧道，使用管理服务器分配给VPN隧道服务器的虚拟网卡地址和管理服务器分配给VPN隧道客户端的虚拟网卡地址直接进行通信，客户端直接从监控设备上获取监控视频。

以上实施例仅用以说明本发明的技术方案而非对其进行限制，在不背离本发明精神及其实质的情况下，熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形，但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。

Claims

1.一种建立直连VPN隧道的装置，应用于视频监控系统中的管理服务器，所述视频监控系统包括位于不同私网内的客户端和监控设备，以及位于公网的管理服务器，其特征在于，所述建立直连VPN隧道的装置，包括：

2.根据权利要求1所述的建立直连VPN隧道的装置，其特征在于，所述配置模块分配监控设备和客户端分别为VPN隧道服务器角色和VPN隧道客户端角色，下发配置信息给客户端和监控设备，使得客户端和监控设备通过UDP连接建立直连VPN隧道时，执行如下操作：

3.根据权利要求1所述的建立直连VPN隧道的装置，其特征在于，所述配置模块还用于：

4.根据权利要求3所述的建立直连VPN隧道的装置，其特征在于，所述客户端的主机路由的目的IP地址为分配给VPN隧道服务器的虚拟网卡地址，出接口为客户端上的PPP虚拟网卡接口，所述监控设备的主机路由的目的IP地址为分配给VPN隧道客户端的虚拟网卡地址，出接口为监控设备上的PPP虚拟网卡接口。

5.一种建立直连VPN隧道的装置，应用于视频监控系统中的客户端，所述视频监控系统包括位于不同私网内的客户端和监控设备，以及位于公网的管理服务器，其特征在于，所述建立直连VPN隧道的装置，包括：

6.根据权利要求5所述的建立直连VPN隧道的装置，其特征在于，所述客户端直连VPN模块在接收管理服务器下发的配置信息，与监控设备通过UDP连接建立直连的VPN隧道时，执行如下操作：

7.根据权利要求5所述的建立直连VPN隧道的装置，其特征在于，所述客户端直连VPN模块还用于：

8.一种建立直连VPN隧道的装置，应用于视频监控系统中的监控设备，所述视频监控系统包括位于不同私网内的客户端和监控设备，以及位于公网的管理服务器，其特征在于，所述建立直连VPN隧道的装置，包括：

9.根据权利要求8所述的建立直连VPN隧道的装置，其特征在于，所述监控设备直连VPN模块在接收管理服务器下发的配置信息，与客户端通过UDP连接建立直连的VPN隧道时，执行如下操作：

10.根据权利要求8所述的建立直连VPN隧道的装置，其特征在于，所述监控设备直连VPN模块还用于：