CN105978780A - 一种端口切换方法及装置 - Google Patents
一种端口切换方法及装置 Download PDFInfo
- Publication number
- CN105978780A CN105978780A CN201610307405.9A CN201610307405A CN105978780A CN 105978780 A CN105978780 A CN 105978780A CN 201610307405 A CN201610307405 A CN 201610307405A CN 105978780 A CN105978780 A CN 105978780A
- Authority
- CN
- China
- Prior art keywords
- tunnel
- port
- server
- connects
- client end
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
- H04L69/161—Implementation details of TCP/IP or UDP/IP stack architecture; Specification of modified or new header fields
- H04L69/162—Implementation details of TCP/IP or UDP/IP stack architecture; Specification of modified or new header fields involving adaptations of sockets based mechanisms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/24—Negotiation of communication capabilities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种端口切换方法及装置,所述方法包括:监测与隧道服务器之间的第一隧道连接;当所述第一隧道连接从负载非零状态变为负载为零状态或所述第一隧道连接保持的时间超过预设时间阈值时,向所述隧道服务器发送端口切换请求;当接收到所述隧道服务器发送的端口切换确认应答时,向所述隧道服务器发起针对目标端口号的第二隧道连接;其中,所述目标端口号为所述隧道服务器接收到端口切换请求后,与隧道客户端协商确定的;当第二隧道连接建立成功时,进行隧道连接切换,使用所述第二隧道连接承载上层业务。应用本发明实施例可以提高视频监控业务的安全性。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种端口切换方法及装置。
背景技术
随着标准化且易扩展的网络技术和IP(Internet Protocol,互联网协议)技术不断发展,基于IP和网络的智能监控技术得到快速发展,IP监控已经成为目前监控的主流。
在IP监控组网中,两个私网内的用户一般通过VPN(Virtual PrivateNetwork,虚拟专用网络)隧道相互连接,以屏蔽NAT(Network AddressTranslation,网络地址转换)穿越等因素对实际监控业务的影响。目前常见的实现方案为:媒体服务器(如监控服务器)作为隧道服务器,视频监控编码设备作为隧道客户端,隧道客户端向隧道服务器映射出来的端口发起VPN隧道连接。
然而实践发现,在现有IP监控组网中,隧道服务器与隧道客户端建立VPN隧道连接后,隧道服务器对外映射的端口号保持不变,存在被攻击的风险,安全性较低。
发明内容
本发明提供一种端口切换方法及装置,以解决现有IP监控组网中VPN隧道连接建立后,由于隧道服务器对外映射的端口号保持不变导致存在被攻击的风险,安全性低的问题。
根据本发明的第一方面,提供一种端口切换方法,包括:
监测与隧道服务器之间的第一隧道连接;
当所述第一隧道连接从负载非零状态变为负载为零状态或所述第一隧道连接保持的时间超过预设时间阈值时,向所述隧道服务器发送端口切换请求;
当接收到所述隧道服务器发送的端口切换确认应答时,向所述隧道服务器发起针对目标端口号的第二隧道连接;其中,所述目标端口号为所述隧道服务器接收到端口切换请求后,与隧道客户端协商确定的;
当第二隧道连接建立成功时,进行隧道连接切换,使用所述第二隧道连接承载上层业务。
根据本发明的第二方面,提供一种端口切换方法,包括:
接收隧道客户端发送的端口切换请求;其中,所述端口切换请求是所述隧道客户端在确定与隧道服务器之间的第一隧道连接从负载非零状态变为负载为零状态或所述第一隧道连接保持的时间超过预设时间阈值时向所述隧道服务器发送的;
向所述隧道客户端发送端口切换确认应答,并与所述隧道客户端进行端口协商,确定目标端口号;
将所述目标端口号发送给出口路由器,以使所述出口路由器建立隧道服务器的互联网协议IP地址与所述目标端口号的映射关系;
当接收所述隧道客户端发起的针对目标端口号的第二隧道连接请求时,与所述隧道客户端建立第二隧道连接,并对目标端口进行业务监听;其中,所述目标端口为所述目标端口号对应的端口。
根据本发明的第三方面,提供一种端口切换装置,包括:
监测单元,用于监测与隧道服务器之间的第一隧道连接;
发送单元,用于当所述第一隧道连接从负载非零状态变为负载为零状态或所述第一隧道连接保持的时间超过预设时间阈值时,向所述隧道服务器发送端口切换请求;
接收单元,用于接收所述隧道服务器发送的端口切换确认应答;
所述发送单元,还用于当所述接收单元接收到所述隧道服务器发送的端口切换确认应答时,向所述隧道服务器发起针对目标端口号的第二隧道连接;其中,所述目标端口号为所述隧道服务器接收到端口切换请求后,与隧道客户端协商确定的;
切换单元,用于当第二隧道连接建立成功时,进行隧道连接切换,使用所述第二隧道连接承载上层业务。
根据本发明的第四方面,提供一种端口切换装置,包括:
接收单元,用于接收隧道客户端发送的端口切换请求;其中,所述端口切换请求是所述隧道客户端在确定与隧道服务器之间的第一隧道连接从负载非零状态变为负载为零状态或所述第一隧道连接保持的时间超过预设时间阈值时向所述隧道服务器发送的;
发送单元,用于向所述隧道客户端发送端口切换确认应答,并与所述隧道客户端进行端口协商,确定目标端口号;
所述发送单元,还用于将所述目标端口号发送给出口路由器,以使所述出口路由器建立隧道服务器的互联网协议IP地址与所述目标端口号的映射关系;
建立单元,用于当所述接收单元接收所述隧道客户端发起的针对目标端口号的第二隧道连接请求时,与所述隧道客户端建立第二隧道连接;
监听单元,用于对目标端口进行业务监听;其中,所述目标端口为所述目标端口号对应的端口。
应用本发明公开的技术方案,通过隧道客户端监测与隧道服务器之间的第一隧道连接,当该第一隧道连接从负载非零状态变为负载为零状态或第一隧道连接的保持时间超过预设时间阈值时,向隧道服务器发送端口切换请求;当接收到隧道服务器发送的端口切换确认应答时,向隧道服务器发送针对协商确定的目标端口号的第二隧道连接,并在隧道连接建立成功时,进行隧道连接切换,使用第二隧道连接承载上层业务,避免了VPN隧道连接长期固定使用一个端口号带来的安全风险,提高了视频监控业务的安全性。
附图说明
图1是本发明实施例提供的一种端口切换的方法流程示意图;
图2是本发明实施例提供的另一种端口切换的方法流程示意图;
图3是本发明实施例提供的一种具体应用场景的架构示意图;
图4是本发明实施例提供的一种端口切换装置的结构示意图;
图5是本发明实施例提供的另一种端口切换装置的结构示意图;
图6是本发明实施例提供的一种端口切换装置的结构示意图;
图7是本发明实施例提供的另一种端口切换装置的结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明实施例的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明实施例中技术方案作进一步详细的说明。
请参见图1,图1为本发明实施例提供的一种端口切换方法的流程示意图,如图1所示,该端口切换方法可以包括以下步骤:
需要说明的是,在本发明实施例中,步骤101~步骤104的执行主体可以为隧道客户端,如视频监控编码设备,或隧道客户端中的处理器,如CPU(Center Process Unit,中央处理单元),为便于说明,以下以步骤101~步骤104的执行主体为隧道客户端为例进行描述。
步骤101、监测与隧道服务器之间的第一隧道连接。
步骤102、当第一隧道连接从负载非零状态变为负载为零状态或第一隧道连接保持的时间超过预设时间阈值时,向隧道服务器发送端口切换请求。
本发明实施例中,第一隧道连接并不特指某一固定隧道连接,而是可以指代隧道客户端与隧道服务器之间已建立的任一隧道连接。其中,若未特殊说明,本文中提及的隧道连接均指VPN隧道连接,本发明后续不再复述。
本发明实施例中,考虑到VPN隧道建立之后,若隧道服务器对外映射的端口长时间保持不变会存在被攻击的风险,安全性较低,因而,可以动态变更隧道服务器对外映射的端口,避免长期固定使用一个端口号所带来的安全风险。
相应地,在本发明实施例中,可以预先设定一个时间阈值(该预设时间阈值可以根据具体场景设定,如800秒、1000秒、1500秒等),隧道客户端与隧道服务器建立隧道连接之后,隧道客户端可以监测与隧道服务器之间的第一隧道连接,并统计与隧道服务器之间建立的隧道连接上的负载状态以及隧道连接保持的时间,当与隧道服务器之间的隧道连接从负载非零状态变为负载为零状态或隧道连接保持的时间超过预设时间阈值时,确定需要进行端口切换,可以向隧道服务器发送端口切换请求。
其中,在本发明实施例中,隧道连接上的负载状态是指隧道连接上是否承载有上层业务(如视频监控邻域的实施图像查看业务、录像回放业务等);当隧道连接上承载有上层业务时,隧道连接的负载状态为负载非零状态;当隧道连接上未承载有上层业务时,隧道连接的负载状态为负载为零状态。
可选地,在本发明实施例中,该端口切换请求可以基于SIP(SessionInitiation Protocol,会话初始协议)标准消息扩展得到,也可以为隧道客户端与隧道服务器之间预先协商的私有协议消息,本发明对此不做限定。
步骤103、当接收到隧道服务器发送的端口切换确认应答时,向隧道服务器发起针对目标端口号的第二隧道连接,其中,该目标端口号为隧道服务器接收到端口切换请求后,与隧道客户端协商确定的。
本发明实施例中,隧道服务器接收到隧道客户端发送的端口切换请求之后,可以确定是否进行端口切换。当隧道服务器确定进行端口切换时,隧道服务器一方面可以向隧道客户端发送端口切换确认应答,如OK消息;另一方面,隧道服务器可以与隧道客户端协商确定端口切换的目标端口号。
例如,隧道服务器可以向隧道客户端发送携带有目标端口号的端口协商消息;隧道客户端接收到该端口协商消息时,记录该目标端口号,并返回确认消息,实现目标端口号的协商。
本发明实施例中,当隧道客户端接收到隧道服务器发送的端口切换确认应答时,隧道客户端可以向隧道服务器发起针对目标端口号的隧道连接(本文中称为第二隧道连接)。其中,隧道客户端与隧道服务器之间建立针对目标端口号的隧道连接的具体实现可以参见现有相关协议中的相关描述,本发明实施例在此不再赘述。
值得说明的是,在本发明实施例中,当隧道服务器确定不进行端口切换时,隧道服务器可以向隧道客户端发发送拒绝端口切换应答;隧道客户端接收到隧道服务器发送的拒绝端口切换应答时,可以结束端口切换流程,或按照其它策略进行处理,本发明对此不做限定。
步骤104、当第二隧道连接建立成功时,进行隧道连接切换,使用第二隧道连接承载上层业务。
本发明实施例中,当隧道客户端与隧道服务器建立第二隧道连接成功时,隧道客户端可以判断第一隧道连接上是否承载有上层业务(如视频监控领域的实时图像查看业务,录像回放业务等);若是,则隧道客户端可以将第一隧道连接上承载的上层业务切换到第二隧道连接,由第二隧道连接对该上层业务进行承载;否则,隧道客户端可以不用进行业务切换。
本发明实施例中,隧道客户端与隧道服务器建立第二隧道连接成功之后,隧道客户端与隧道服务器之间的新的上层业务均通过该第二隧道连接承载。
作为一种可选的实施方式,上述步骤104中,进行隧道连接切换可以包括:
当第一隧道连接上承载有上层业务时,将第一隧道连接上承载的上层业务切换到第二隧道连接;
当第一隧道连接未承载上层业务时,释放第一隧道连接。
在该实施方式中,隧道客户端与隧道服务器建立第二隧道连接之后,在进行隧道连接切换时,隧道客户端需要判断第一隧道连接上是否承载有上层业务,若第一隧道连接上承载有上层业务,则将第一隧道连接上承载的上层业务切换到第二隧道连接;若第一隧道连接上未承载有上层业务(包括建立第二隧道连接时第一隧道连接为负载为零状态或第一隧道连接上承载的上层业务均被切换到第二隧道连接),则释放该第一隧道连接,以实现端口切换。
可见,在图1所示的方法流程中,通过在隧道客户端与隧道服务器之间的隧道连接由负载非零状态变为负载为零状态或隧道连接保持时间超过预设时间阈值时,发起端口切换,建立针对新的端口号的隧道连接,并在新的隧道连接建立成功时,进行隧道连接切换,使用新建立的隧道连接承载上层业务,从而,避免了VPN隧道连接长期固定使用一个端口号带来的安全风险,提高了视频监控业务的安全性。
请参见图2,图2为本发明实施例提供的另一种端口切换方法的流程示意图,如图2所示,该端口切换方法可以包括以下步骤:
需要说明的是,在本发明实施例中,步骤201~步骤204的执行主体可以为隧道服务器,如视频监控服务器,或隧道服务器中的处理器,如CPU,为便于说明,以下以步骤201~步骤204的执行主体为隧道服务器为例进行描述。
步骤201、接收隧道客户端发送的端口切换请求。
本发明实施例中,隧道客户端向隧道服务器发送端口切换请求的具体实现可以参见上述步骤101~步骤102中的相关描述,本发明实施例在此不再赘述。
步骤202、向隧道客户端发送端口切换确认应答,并与隧道客户端进行端口协商,确定目标端口号。
本发明实施例中,隧道服务器接收到隧道客户端发送的端口切换请求时,隧道服务器可以确定是否进行端口切换,当隧道服务器确定进行端口切换时,隧道服务器一方面可以向隧道客户端发送端口切换确认应答,另一方面,隧道服务器可以与隧道客户端进行端口协商,以确定进行端口切换的目标端口号。
步骤203、将目标端口号发送给出口路由器,以使出口路由器建立隧道服务器的IP地址与目标端口号的映射关系。
本发明实施例中,隧道服务器与服务器客户端协商确定了端口切换到目标端口号之后,可以将该目标端口号发送给出口路由器;出口路由器接收到隧道服务器发送的目标端口号之后,可以建立隧道服务器的IP地址与目标端口号的映射关系,进而,当出口路由器接收到目的端口号为该目标端口号的报文时,可以根据该映射关系将其转发给隧道服务器。
可选地,在本发明实施例中,隧道服务器将目标端口号通知给出口路由器可以通过标准的UPnP(Universal Plug and Play,通用即插即用)协议实现,也可以通过预先协商的私有协议实现,本发明实对此不做限定。
步骤204、当接收到隧道客户端发起的针对目标端口号的第二隧道连接请求时,与隧道客户端建立第二隧道连接,并对目标端口进行业务监听;其中,目标端口为目标端口号对应的端口。
本发明实施例中,隧道客户端与隧道服务器协商好端口切换的目标端口号之后,隧道客户端可以向隧道服务器发起针对该目标端口号的隧道连接(本文中称为第二隧道连接)。
隧道服务器接收到隧道客户端发起的针对目标端口号的第二隧道连接之后,隧道服务器可以与隧道客户端建立第二隧道连接;其中,隧道服务器与隧道客户端建立基于目标端口号的隧道连接可以参见现有相关协议中的相关描述,本发明实施例在此不再赘述。
隧道服务器与隧道客户端建立第二隧道连接之后,可以对目标端口号对应的端口(本文中称为目标端口)进行业务监听。
进一步地,在本发明实施例中,隧道服务器与隧道客户端建立第二隧道连接之后,还可以包括以下步骤:
11)、判断第一隧道连接对应的端口上是否存在活动的隧道连接;
12)、若存在,则保持对该第一隧道连接对应的端口进行业务监听;
13)、若不存在,则通知出口路由器撤销第一隧道连接对应的端口与隧道服务器的IP地址的映射关系。
本发明实施例中,当隧道服务器与隧道客户端建立第二隧道连接之后,隧道服务器还可以判断第一隧道连接对应的端口上是否存在活动的隧道连接,如判断是否通过第一隧道连接对应的端口接收到隧道保活报文。
若隧道服务器判断第一隧道连接对应的端口上存在活动的隧道连接,如通过第一隧道连接对应的端口接收到隧道保活报文,则隧道服务器可以认为该第一隧道连接对应的端口还存在与其它隧道客户端的有效隧道连接,隧道服务器可以保持对该第一隧道连接对应的端口进行业务监听。
若隧道服务器判断第一隧道连接对应的端口上不存在活动的隧道连接,如在连续预设数量的保活周期内未通过第一隧道连接对应的端口接收到隧道保活报文,则隧道服务器可以认为该第一隧道连接对应的端口不存在有效隧道连接,隧道服务器可以向出口路由器发送通知消息,通知出口路由器撤销第一隧道连接对应的端口与隧道服务器IP地址的映射关系,从而,当出口路由器接收到目的端口为该第一隧道连接对应的端口的报文时,不会再将其转发给隧道服务器。
为了使本领域技术人员更好地理解本发明实施例提供的技术方案,下面结合具体应用场景对本发明实施例提供的技术方案进行描述。
请参见图3,图3为本发明实施例提供的一种具体应用场景的架构示意图,如图3所示,该应用场景中可以包括VPN隧道服务器、VPN隧道客户端、路由器A(出口路由器)和路由器B;其中,VPN隧道服务器的私网IP地址为10.2.2.2,初始状态时,VPN隧道服务器与VPN隧道客户端建立第一VPN隧道连接,对于该第一VPN隧道连接,VPN隧道服务器侧的端口号为2016,隧道接口地址为60.1.2.3,基于该应用场景,本发明实施例提供的端口切换流程实现如下:
1、VPN隧道客户端监测第一隧道连接,当第一隧道连接从负载非零状态变为负载为零状态或第一隧道连接保持的时间超过预设时间阈值(假设为1000秒)时,VPN隧道客户端向VPN隧道服务器发送端口切换请求;
2、VPN隧道服务器接收VPN隧道客户端发送的端口切换请求,向VPN隧道客户端发送端口切换确认应答,并与VPN隧道客户端协商目标端口号(假设为3016);
3、VPN隧道服务器将目标端口号发送给路由器A;路由器A建立隧道服务器的IP地址与目标端口号的映射关系,即建立61.3.2.3与3016的映射关系;
4、VPN隧道客户端向VPN隧道服务器发起针对目标端口号(3016)的第二隧道连接;
其中,隧道连接请求报文的目的端口号为3016,路由器A接收到该隧道连接请求报文后,根据自身存储的映射关系,将其转发给VPN隧道服务器。
5、VPN隧道服务器接收VPN隧道客户端发起的第二隧道连接,与VPN隧道客户端建立第二隧道连接;
6、第二隧道连接建立成功后,VPN隧道客户端将第一隧道连接上承载的上层业务切换到第二隧道连接,并业务切换完成后,释放第一隧道连接;其中,若第一隧道连接为负载为零状态,则不需要进行业务切换,直接释放第一隧道连接;
7、第二隧道连接建立成功后,VPN隧道服务器新启用一个进程,对端口号3016对应的端口进行业务监听;同时,VPN隧道服务器还需要判断端口号2016对应端口上是否存在活动的连接;若存在,保持对端口号2016对应的端口的业务监听;否则,VPN隧道服务器可以放弃对端口号2016对应的端口进行业务监听,并向路由器A发送通知消息,通知路由器A撤销端口号2016与VPN隧道服务器的隧道接口地址61.3.2.3的映射关系。
通过以上描述可以看出,在本发明实施例提供的技术方案中,通过隧道客户端监测与隧道服务器之间的第一隧道连接,当该第一隧道连接从负载非零状态变为负载为零状态或第一隧道连接的保持时间超过预设时间阈值时,向隧道服务器发送端口切换请求;当接收到隧道服务器发送的端口切换确认应答时,向隧道服务器发送针对协商确定的目标端口号的第二隧道连接,并在隧道连接建立成功时,进行隧道连接切换,使用第二隧道连接承载上层业务,避免了VPN隧道连接长期固定使用一个端口号带来的安全风险,提高了视频监控业务的安全性。
请参见图4,为本发明实施例提供的一种端口切换装置的结构示意图,如图4所示,该端口切换装置可以包括:
监测单元410,用于监测与隧道服务器之间的第一隧道连接;
发送单元420,用于当所述第一隧道连接从负载非零状态变为负载为零状态或所述第一隧道连接保持的时间超过预设时间阈值时,向所述隧道服务器发送端口切换请求;
接收单元430,用于接收所述隧道服务器发送的端口切换确认应答;
所述发送单元420,还用于当所述接收单元430接收到所述隧道服务器发送的端口切换确认应答时,向所述隧道服务器发起针对目标端口号的第二隧道连接;其中,所述目标端口号为所述隧道服务器接收到端口切换请求后,与隧道客户端协商确定的;
切换单元440,用于当第二隧道连接建立成功时,进行隧道连接切换,使用所述第二隧道连接承载上层业务。
请一并参阅图5,为本发明实施例提供的另一种端口切换装置的结构示意图,图5所示的端口切换装置在图4所示端口切换装置的基础上进行优化得到,如图5所示,切换单元440可以包括:
切换子单元441,用于当所述第一隧道连接上承载有上层业务时,将所述第一隧道连接上承载的上层业务切换到所述第二隧道连接;
释放子单元442,用于当所述第一隧道连接上未承载上层业务时,释放所述第一隧道连接。
请参见图6,为本发明实施例提供的一种端口切换装置的结构示意图,如图6所示,该端口切换装置可以包括:
接收单元610,用于接收隧道客户端发送的端口切换请求;其中,所述端口切换请求是所述隧道客户端在确定与隧道服务器之间的第一隧道连接从负载非零状态变为负载为零状态或所述第一隧道连接保持的时间超过预设时间阈值时向所述隧道服务器发送的;
发送单元620,用于向所述隧道客户端发送端口切换确认应答,并与所述隧道客户端进行端口协商,确定目标端口号;
所述发送单元620,还用于将所述目标端口号发送给出口路由器,以使所述出口路由器建立隧道服务器的互联网协议IP地址与所述目标端口号的映射关系;
建立单元630,用于当所述接收单元610接收所述隧道客户端发起的针对目标端口号的第二隧道连接请求时,与所述隧道客户端建立第二隧道连接;
监听单元640,用于对目标端口进行业务监听;其中,所述目标端口为所述目标端口号对应的端口。
请一并参阅图7,为本发明实施例提供的另一种端口切换装置的结构示意图,图7所示的端口切换装置在图6所示端口切换装置的基础上进行优化得到,如图7所示,该端口切换装置可以包括:
判断单元650,用于在与隧道客户端建立第二隧道连接之后,判断所述第一隧道连接对应的端口上是否存在活动的隧道连接;
相应地,所述监听单元640,可以具体用于当所述判断单元650的判断结果为存在时,保持对所述第一隧道连接对应的端口进行业务监听。
在可选实施例中,所述发送单元620,还可以用于当所述判断单元650的判断结果为不存在时,通知所述出口路由器撤销所述第一隧道连接对应的端口与隧道服务器的IP地址的映射关系。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本发明方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
由上述实施例可见,通过隧道客户端监测与隧道服务器之间的第一隧道连接,当该第一隧道连接从负载非零状态变为负载为零状态或第一隧道连接的保持时间超过预设时间阈值时,向隧道服务器发送端口切换请求;当接收到隧道服务器发送的端口切换确认应答时,向隧道服务器发送针对协商确定的目标端口号的第二隧道连接,并在隧道连接建立成功时,进行隧道连接切换,使用第二隧道连接承载上层业务,避免了VPN隧道连接长期固定使用一个端口号带来的安全风险,提高了视频监控业务的安全性。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本发明的其它实施方案。本申请旨在涵盖本发明的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本发明的一般性原理并包括本发明未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本发明的真正范围和精神由下面的权利要求指出。
应当理解的是,本发明并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本发明的范围仅由所附的权利要求来限制。
Claims (10)
1.一种端口切换方法,其特征在于,包括:
监测与隧道服务器之间的第一隧道连接;
当所述第一隧道连接从负载非零状态变为负载为零状态或所述第一隧道连接保持的时间超过预设时间阈值时,向所述隧道服务器发送端口切换请求;
当接收到所述隧道服务器发送的端口切换确认应答时,向所述隧道服务器发起针对目标端口号的第二隧道连接;其中,所述目标端口号为所述隧道服务器接收到端口切换请求后,与隧道客户端协商确定的;
当第二隧道连接建立成功时,进行隧道连接切换,使用所述第二隧道连接承载上层业务。
2.根据权利要求1所述的方法,其特征在于,所述进行隧道连接切换,包括:
当所述第一隧道连接上承载有上层业务时,将所述第一隧道连接上承载的上层业务切换到所述第二隧道连接;
当所述第一隧道连接上未承载上层业务时,释放所述第一隧道连接。
3.一种端口切换方法,其特征在于,包括:
接收隧道客户端发送的端口切换请求;其中,所述端口切换请求是所述隧道客户端在确定与隧道服务器之间的第一隧道连接从负载非零状态变为负载为零状态或所述第一隧道连接保持的时间超过预设时间阈值时向所述隧道服务器发送的;
向所述隧道客户端发送端口切换确认应答,并与所述隧道客户端进行端口协商,确定目标端口号;
将所述目标端口号发送给出口路由器,以使所述出口路由器建立隧道服务器的互联网协议IP地址与所述目标端口号的映射关系;
当接收所述隧道客户端发起的针对目标端口号的第二隧道连接请求时,与所述隧道客户端建立第二隧道连接,并对目标端口进行业务监听;其中,所述目标端口为所述目标端口号对应的端口。
4.根据权利要求3所述的方法,其特征在于,所述与所述隧道客户端建立第二隧道连接之后,还包括:
判断所述第一隧道连接对应的端口上是否存在活动的隧道连接;
若存在,则保持对所述第一隧道连接对应的端口进行业务监听。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:
若不存在,则通知所述出口路由器撤销所述第一隧道连接对应的端口与隧道服务器的IP地址的映射关系。
6.一种端口切换装置,其特征在于,包括:
监测单元,用于监测与隧道服务器之间的第一隧道连接;
发送单元,用于当所述第一隧道连接从负载非零状态变为负载为零状态或所述第一隧道连接保持的时间超过预设时间阈值时,向所述隧道服务器发送端口切换请求;
接收单元,用于接收所述隧道服务器发送的端口切换确认应答;
所述发送单元,还用于当所述接收单元接收到所述隧道服务器发送的端口切换确认应答时,向所述隧道服务器发起针对目标端口号的第二隧道连接;其中,所述目标端口号为所述隧道服务器接收到端口切换请求后,与隧道客户端协商确定的;
切换单元,用于当第二隧道连接建立成功时,进行隧道连接切换,使用所述第二隧道连接承载上层业务。
7.根据权利要求6所述的装置,其特征在于,所述切换单元包括:
切换子单元,用于当所述第一隧道连接上承载有上层业务时,将所述第一隧道连接上承载的上层业务切换到所述第二隧道连接;
释放子单元,用于当所述第一隧道连接上未承载上层业务时,释放所述第一隧道连接。
8.一种端口切换装置,其特征在于,包括:
接收单元,用于接收隧道客户端发送的端口切换请求;其中,所述端口切换请求是所述隧道客户端在确定与隧道服务器之间的第一隧道连接从负载非零状态变为负载为零状态或所述第一隧道连接保持的时间超过预设时间阈值时向所述隧道服务器发送的;
发送单元,用于向所述隧道客户端发送端口切换确认应答,并与所述隧道客户端进行端口协商,确定目标端口号;
所述发送单元,还用于将所述目标端口号发送给出口路由器,以使所述出口路由器建立隧道服务器的互联网协议IP地址与所述目标端口号的映射关系;
建立单元,用于当所述接收单元接收所述隧道客户端发起的针对目标端口号的第二隧道连接请求时,与所述隧道客户端建立第二隧道连接;
监听单元,用于对目标端口进行业务监听;其中,所述目标端口为所述目标端口号对应的端口。
9.根据权利要求8所述的装置,其特征在于,所述装置还包括:
判断单元,用于在与隧道客户端建立第二隧道连接之后,判断所述第一隧道连接对应的端口上是否存在活动的隧道连接;
所述监听单元,具体用于当所述判断单元的判断结果为存在时,保持对所述第一隧道连接对应的端口进行业务监听。
10.根据权利要求9所述的装置,其特征在于,
所述发送单元,还用于当所述判断单元的判断结果为不存在时,通知所述出口路由器撤销所述第一隧道连接对应的端口与隧道服务器的IP地址的映射关系。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610307405.9A CN105978780B (zh) | 2016-05-10 | 2016-05-10 | 一种端口切换方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610307405.9A CN105978780B (zh) | 2016-05-10 | 2016-05-10 | 一种端口切换方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105978780A true CN105978780A (zh) | 2016-09-28 |
| CN105978780B CN105978780B (zh) | 2020-01-14 |
Family
ID=56992112
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610307405.9A Active CN105978780B (zh) | 2016-05-10 | 2016-05-10 | 一种端口切换方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105978780B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109688124A (zh) * | 2018-12-20 | 2019-04-26 | 高新兴国迈科技有限公司 | 一种基于视频边界的数据交换方法 |
| CN110958128A (zh) * | 2018-09-26 | 2020-04-03 | 浙江宇视科技有限公司 | 告警上报调度方法及装置 |
| CN111064650A (zh) * | 2019-12-23 | 2020-04-24 | 浙江宇视科技有限公司 | 一种动态变更隧道连接服务端口号的方法及装置 |
| CN112448949A (zh) * | 2020-11-12 | 2021-03-05 | 武汉空格信息技术有限公司 | 一种计算机网络监控系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101232510A (zh) * | 2008-02-28 | 2008-07-30 | 中兴通讯股份有限公司 | 一种多网口设备组播的实现方法及系统 |
| CN101309207A (zh) * | 2007-05-15 | 2008-11-19 | 华为技术有限公司 | 通信代理的方法及装置及系统 |
| CN102082729A (zh) * | 2011-01-30 | 2011-06-01 | 瑞斯康达科技发展股份有限公司 | 接入层交换机端口安全控制方法及交换机 |
| US20140219100A1 (en) * | 2013-02-05 | 2014-08-07 | Shardendu Pandey | Mobile User Identification And Tracking For Load Balancing In Packet Processing Systems |
| CN104426763A (zh) * | 2013-08-21 | 2015-03-18 | 中兴通讯股份有限公司 | 隧道切换方法、装置及交换机 |
-
2016
- 2016-05-10 CN CN201610307405.9A patent/CN105978780B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101309207A (zh) * | 2007-05-15 | 2008-11-19 | 华为技术有限公司 | 通信代理的方法及装置及系统 |
| CN101232510A (zh) * | 2008-02-28 | 2008-07-30 | 中兴通讯股份有限公司 | 一种多网口设备组播的实现方法及系统 |
| CN102082729A (zh) * | 2011-01-30 | 2011-06-01 | 瑞斯康达科技发展股份有限公司 | 接入层交换机端口安全控制方法及交换机 |
| US20140219100A1 (en) * | 2013-02-05 | 2014-08-07 | Shardendu Pandey | Mobile User Identification And Tracking For Load Balancing In Packet Processing Systems |
| CN104426763A (zh) * | 2013-08-21 | 2015-03-18 | 中兴通讯股份有限公司 | 隧道切换方法、装置及交换机 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110958128A (zh) * | 2018-09-26 | 2020-04-03 | 浙江宇视科技有限公司 | 告警上报调度方法及装置 |
| CN110958128B (zh) * | 2018-09-26 | 2022-11-25 | 浙江宇视科技有限公司 | 告警上报调度方法及装置 |
| CN109688124A (zh) * | 2018-12-20 | 2019-04-26 | 高新兴国迈科技有限公司 | 一种基于视频边界的数据交换方法 |
| CN109688124B (zh) * | 2018-12-20 | 2021-08-24 | 高新兴国迈科技有限公司 | 一种基于视频边界的数据交换方法 |
| CN111064650A (zh) * | 2019-12-23 | 2020-04-24 | 浙江宇视科技有限公司 | 一种动态变更隧道连接服务端口号的方法及装置 |
| CN112448949A (zh) * | 2020-11-12 | 2021-03-05 | 武汉空格信息技术有限公司 | 一种计算机网络监控系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105978780B (zh) | 2020-01-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9661082B2 (en) | Token related apparatuses for deep packet inspection and policy handling | |
| US10587498B2 (en) | Methods and arrangements for multipath traffic aggregation | |
| US7623530B2 (en) | Indication of service flow termination by network control to policy decision function | |
| KR101343018B1 (ko) | 터널 식별자 할당을 제어하는 방법, 장치, 및 시스템 | |
| US7483989B2 (en) | Method and apparatus for establishing a protocol proxy for a mobile host terminal in a multimedia session | |
| CN105978780A (zh) | 一种端口切换方法及装置 | |
| CN103986638B (zh) | Advpn隧道绑定多公网链路的方法和装置 | |
| US9935778B2 (en) | Selection of a policy and charging control unit by a diameter routing unit | |
| JPH11355271A (ja) | 移動ポイント・ツ―・ポイント・プロトコル | |
| CA2423276A1 (en) | Method and system for establishing a connection between network elements | |
| CN105516640B (zh) | 一种视频通讯会话异常的检测方法及系统 | |
| US9668176B2 (en) | Method for selecting shunt gateway and controller | |
| KR20060049510A (ko) | 3gpp 시스템과 상호작용하는 무선 근거리 통신망 내의사용자 장비의 상태를 제공하는 방법 및 시스템 | |
| EP2226974A1 (en) | A method for resource and admission control | |
| US10575165B2 (en) | Routing based on access point name (APN) information | |
| KR20180051621A (ko) | 전기통신 네트워크와 적어도 하나의 사용자 장비 간의 적어도 하나의 통신 교환의 개선된 핸들링을 위한 방법, 전기통신 네트워크, 사용자 장비, 시스템, 프로그램 및 컴퓨터 프로그램 제품 | |
| WO2016004583A1 (zh) | 在线计费方法、网关设备及在线计费设备 | |
| JP7398251B2 (ja) | ビデオカメラを遠隔制御する方法およびビデオ監視システム | |
| US7974206B2 (en) | Method for establishing a secured connection, corresponding SFC apparatus, MFC apparatus, requesting terminal and computer program product | |
| JP4433206B2 (ja) | コネクションを確立し維持する方法 | |
| KR20160001569A (ko) | 웹 기반 실시간 통신을 위한 서비스품질 제공 방법 및 장치 | |
| CN109600277B (zh) | 基于NAT设备的IPSec隧道保活方法和装置 | |
| CN107124478A (zh) | 网络通信方法、装置及服务器 | |
| US11432121B2 (en) | Service function chain interworking | |
| WO2019141171A1 (zh) | 一种业务数据流处理方法及其相关设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |