CN107426346A - 一种二层报文安全穿越三层网络的方法及系统 - Google Patents
一种二层报文安全穿越三层网络的方法及系统 Download PDFInfo
- Publication number
- CN107426346A CN107426346A CN201710547283.5A CN201710547283A CN107426346A CN 107426346 A CN107426346 A CN 107426346A CN 201710547283 A CN201710547283 A CN 201710547283A CN 107426346 A CN107426346 A CN 107426346A
- Authority
- CN
- China
- Prior art keywords
- unp
- privately owned
- layers
- equipment
- frame
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
- H04L61/103—Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/2557—Translation policies or rules
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/2592—Translation of Internet protocol [IP] addresses using tunnelling or encapsulation
Abstract
本发明公开了一种二层报文安全穿越三层网络的方法及系统,UNP服务器接收作为UNP客户端的第一设备发起的拨号请求,与第一设备建立UNP隧道;UNP服务器通过UNP隧道接收第一设备以UNP报文封装的私有二层帧消息,所述私有二层帧消息携带有第一设备的设备ID,对接收到的UNP报文进行解封装,建立包括第一设备的设备ID、MAC地址与虚拟IP地址的映射表项,在私有二层网络中根据私有二层帧消息的目的MAC地址转发该私有二层帧消息;然后,接收第二设备的私有二层帧消息,采用UNP报文进行封装,根据建立的映射表项向目的设备发送。本发明的方法及系统,采用UNP技术,实现穿越三层网络,同时采用私有二层帧作为UNP的载荷传输音视频信息,安全性更高。
Description
技术领域
本发明属于网络通信技术领域,尤其涉及一种二层报文安全穿越三层网络的方法及系统。
背景技术
监控业务运用范围越来越广泛,随之而来的安全性问题也越来越被用户所重视,用户对于监控音视频信息的安全传输的需求也随之增加。因此,如何提高监控的安全性,建立一个安全且便于全网指挥融合的监控网络架构很重要。
为了构建安全的音视频传输网络系统,现有技术中存在采用私有二层帧的方式进行视频数据的传输方案,该方案对以太帧的结构进行扩展,该扩展以太帧为私有以太帧,采用扩展过的私有以太帧在二层网络中进行监控信息的传输。当网络摄像机IPC、网络硬盘录像机NVR以及视频监控服务器等都位于同一个二层网络中时,IPC、NVR以及视频监控服务器等之间的通信均采用该私有二层帧来传输信息。只有符合该私有以太帧协议的设备才能对该传输报文进行处理,并获取通信消息,该方式能实现安全可靠的信息传输。
然而经过扩展的二层以太帧不能跨三层进行传输,而且该二层以太帧由于经过扩展,可能会因为网络中的交换机的校验规则过于严苛,该二层以太帧不符合交换机的校验规则而被丢弃。所以,当IPC、NVR以及视频监控服务器不在同一个二层网络中,需要跨三层传输时,该私有二层帧的视频传输方式无法使用。而在当前监控产品的运用场景中,IPC基本上都是分布在家庭、门店等,很有可能与NVR、视频监控服务器不在同一个二层网络中,因此,采用私有二层帧传输音视频的技术方案应用范围受到很大的限制。
发明内容
本发明提出了一种二层报文安全穿越三层网络的方法及系统,用于解决现有技术采用私有二层帧传输音视频数据时无法穿越三层网络的问题。
为了实现上述目的,本发明技术方案如下:
一种二层报文安全穿越三层网络的方法,用于作为万能网络护照UNP客户端的第一设备通过三层网络访问位于私有二层网络中的第二设备,所述第二设备所在的私有二层网络中设置有万能网络护照UNP服务器,其特征在于,所述二层报文安全穿越三层网络的方法,包括:
UNP服务器接收作为UNP客户端的第一设备发起的拨号请求,与第一设备建立UNP隧道;
UNP服务器通过UNP隧道接收第一设备以UNP报文封装的私有二层帧消息,所述私有二层帧消息携带有第一设备的设备ID,对接收到的UNP报文进行解封装,建立包括第一设备的设备ID、MAC地址与虚拟IP地址的映射表项,在私有二层网络中根据私有二层帧消息的目的MAC地址转发该私有二层帧消息;
UNP服务器接收第二设备的私有二层帧消息,采用UNP报文进行封装,根据建立的映射表项向目的设备发送;
所述第一设备通过UNP隧道接收UNP服务器转发的以UNP报文封装的第二设备的私有二层帧消息,对接收到的UNP报文进行解封装,获取第二设备发送的私有二层帧消息。
进一步地,所述第一设备以UNP报文封装的私有二层帧消息为目的MAC地址为广播MAC地址的私有二层帧广播注册消息,所述二层报文安全穿越三层网络的方法,包括:
UNP服务器通过UNP隧道接收第一设备以UNP报文封装的私有二层帧广播注册消息,所述私有二层帧广播注册消息携带有第一设备的设备ID,对接收到的UNP报文进行解封装,建立包括第一设备的设备ID、MAC地址与虚拟IP地址的映射表项,在私有二层网络中广播该私有二层帧广播注册消息;
第二设备在接收到私有二层帧广播注册消息后返回私有二层帧注册响应消息;
所述UNP服务器接收私有二层帧注册响应消息,根据私有二层帧注册响应消息携带的第一设备ID,从映射表项中查找到对应的虚拟IP地址,采用UNP报文进行封装后向第一设备发送;
所述第一设备通过UNP隧道接收UNP服务器转发的以UNP报文封装的私有二层帧注册响应消息,对接收到的UNP报文进行解封装,获取第二设备的MAC地址和设备ID。
进一步地,所述第一设备以UNP报文封装的私有二层帧消息为目的MAC地址为第二设备MAC地址的私有二层帧单播消息,所述二层报文安全穿越三层网络的方法,包括:
UNP服务器通过UNP隧道接收第一设备以UNP报文封装的私有二层帧单播消息,所述私有二层帧单播消息携带有第一设备的设备ID,对接收到的UNP报文进行解封装,建立包括第一设备的设备ID、MAC地址与虚拟IP地址的映射表项,在私有二层网络中单播该私有二层帧单播消息;
第二设备在接收到私有二层帧单播消息后返回私有二层帧单播响应消息;
所述UNP服务器接收私有二层帧单播响应消息,根据私有二层帧单播响应消息携带的第一设备ID,从映射表项中查找到对应的虚拟IP地址,采用UNP报文进行封装后向第一设备发送;
所述第一设备通过UNP隧道接收UNP服务器转发的以UNP报文封装的私有二层帧单播响应消息,对接收到的UNP报文进行解封装,获取私有二层帧单播响应消息。
进一步地,所述UNP服务器在私有二层网络中广播所述私有二层帧广播注册消息时,将解封装后的私有二层帧的源MAC修改为自身MAC后在私有二层网络中广播;
或所述UNP服务器在私有二层网络中单播该私有二层帧单播消息时,将解封装后的私有二层帧的源MAC修改为自身MAC后在私有二层网络中单播。
所述UNP服务器在接收私有二层帧注册响应消息,根据私有二层帧注册响应消息携带的第一设备ID,从映射表项中查找到对应的虚拟IP地址,采用UNP报文进行封装后向第一设备发送时,将私有二层帧注册响应消息的目的MAC修改为第一设备的MAC后,采用UNP报文进行封装后向第一设备发送;
或所述UNP服务器在接收私有二层帧单播响应消息,根据私有二层帧单播响应消息携带的第一设备ID,从映射表项中查找到对应的虚拟IP地址,采用UNP报文进行封装后向第一设备发送时,将私有二层帧单播响应消息的目的MAC修改为第一设备的MAC后,采用UNP报文进行封装后向第一设备发送。
本发明还提出了一种二层报文安全穿越三层网络的系统,所述系统包括作为万能网络护照UNP客户端的第一设备,所述第一设备通过三层网络访问位于私有二层网络中的第二设备,所述第二设备所在的私有二层网络中设置有万能网络护照UNP服务器,所述二层报文安全穿越三层网络的系统,其中:
UNP服务器,用于接收作为UNP客户端的第一设备发起的拨号请求,与第一设备建立UNP隧道;
以及,通过UNP隧道接收第一设备以UNP报文封装的私有二层帧消息,所述私有二层帧消息携带有第一设备的设备ID,对接收到的UNP报文进行解封装,建立包括第一设备的设备ID、MAC地址与虚拟IP地址的映射表项,在私有二层网络中根据私有二层帧消息的目的MAC地址转发该私有二层帧消息;
以及,接收第二设备的私有二层帧消息,采用UNP报文进行封装,根据建立的映射表项向目的设备发送;
所述第一设备,用于通过UNP隧道接收UNP服务器转发的以UNP报文封装的第二设备的私有二层帧消息,对接收到的UNP报文进行解封装,获取第二设备发送的私有二层帧消息。
进一步地,所述第一设备以UNP报文封装的私有二层帧消息为目的MAC地址为广播MAC地址的私有二层帧广播注册消息,所述二层报文安全穿越三层网络的系统,其中:
UNP服务器,用于通过UNP隧道接收第一设备以UNP报文封装的私有二层帧广播注册消息,所述私有二层帧广播注册消息携带有第一设备的设备ID,对接收到的UNP报文进行解封装,建立包括第一设备的设备ID、MAC地址与虚拟IP地址的映射表项,在私有二层网络中广播该私有二层帧广播注册消息;
以及,接收私有二层帧注册响应消息,根据私有二层帧注册响应消息携带的第一设备ID,从映射表项中查找到对应的虚拟IP地址,采用UNP报文进行封装后向第一设备发送;
所述第二设备,用于在接收到私有二层帧广播注册消息后返回私有二层帧注册响应消息;
所述第一设备,用于通过UNP隧道接收UNP服务器转发的以UNP报文封装的私有二层帧注册响应消息,对接收到的UNP报文进行解封装,获取第二设备的MAC地址和设备ID。
进一步地,所述第一设备以UNP报文封装的私有二层帧消息为目的MAC地址为第二设备MAC地址的私有二层帧单播消息,所述二层报文安全穿越三层网络的系统,其中:
UNP服务器,用于通过UNP隧道接收第一设备以UNP报文封装的私有二层帧单播消息,所述私有二层帧单播消息携带有第一设备的设备ID,对接收到的UNP报文进行解封装,建立包括第一设备的设备ID、MAC地址与虚拟IP地址的映射表项,在私有二层网络中单播该私有二层帧单播消息;
以及,接收私有二层帧单播响应消息,根据私有二层帧单播响应消息携带的第一设备ID,从映射表项中查找到对应的虚拟IP地址,采用UNP报文进行封装后向第一设备发送;
所述第二设备,用于在接收到私有二层帧单播消息后返回私有二层帧单播响应消息;
所述第一设备,用于通过UNP隧道接收UNP服务器转发的以UNP报文封装的私有二层帧单播响应消息,对接收到的UNP报文进行解封装,获取私有二层帧单播响应消息。
进一步地,所述UNP服务器在私有二层网络中广播所述私有二层帧广播注册消息时,将解封装后的私有二层帧的源MAC修改为自身MAC后在私有二层网络中广播;
或所述UNP服务器在私有二层网络中单播该私有二层帧单播消息时,将解封装后的私有二层帧的源MAC修改为自身MAC后在私有二层网络中单播。
所述UNP服务器在接收私有二层帧注册响应消息,根据私有二层帧注册响应消息携带的第一设备ID,从映射表项中查找到对应的虚拟IP地址,采用UNP报文进行封装后向第一设备发送时,将私有二层帧注册响应消息的目的MAC修改为第一设备的MAC后,采用UNP报文进行封装后向第一设备发送;
或所述UNP服务器在接收私有二层帧单播响应消息,根据私有二层帧单播响应消息携带的第一设备ID,从映射表项中查找到对应的虚拟IP地址,采用UNP报文进行封装后向第一设备发送时,将私有二层帧单播响应消息的目的MAC修改为第一设备的MAC后,采用UNP报文进行封装后向第一设备发送。
本发明提出的一种二层报文安全穿越三层网络的方法及系统,通过采用UNP对私有二层帧进行封装,UNP服务器接收到IPC的UNP报文后,进行解封装,将私有二层以太帧的源MAC地址修改为UNPS服务器的MAC地址,并将解封装过的私有二层以太帧广播,并记录IPC的IP、MAC以及ID的映射表项。在接收到私有服务器的报文后,根据ID号找到IPC的映射表项,将该报文中的目的MAC地址改为ID号对应的IPC的MAC地址,并将该报文进行UNP封装,发往对应的IPC,实现二层报文跨越三层网络转发。本发明的方法解决了二层帧跨三层网络传输的问题,采用UNP技术,实现穿越三层网络,同时采用私有二层帧作为UNP的载荷传输音视频信息,安全性更高。
附图说明
图1为本发明实施例网络结构图;
图2为本发明二层报文安全穿越三层网络的方法流程图;
图3本发明UNP报文封装结构图。
具体实施方式
下面结合附图和实施例对本发明技术方案做进一步详细说明,以下实施例不构成对本发明的限定。
为了提高监控数据传输的安全性,在实际的应用中采用对以太帧的结构进行扩展,采用扩展过的以太帧在二层进行监控数据的传输,该扩展以太帧为私有以太帧。私有以太帧通常在基本以太网帧结构的数据部分进行扩展,例如包括扩展的DSAP(destinationservice access point,目的服务访问点)、SSAP(source service access point,源服务访问点)和控制字段。只有符合该私有以太帧协议的设备才能对该传输报文进行处理,并获取通信消息。
由于私有以太网帧不能跨三层网络进行传输,本实施例采用万能网络护照UNP(Universal Network Passport)技术来实现私有以太网帧跨三层网络传输。万能网络护照UNP技术即在视频监控系统的上级域建立UNP服务器(UNPS),视频监控系统的下级域建立UNP客户端(UNPC),UNP服务器与UNP客户端之间建立一条UNP通道,视频监控系统的所有信令和数据通过该UNP通道穿越NAT设备、防火墙、安全隔离网闸等地址转换设备。
本实施例以图1的视频监控网络为例来说明,前端的网络摄像机IPC与后端的管理服务器或客户端不在同一个私有二层网络中,而是通过三层网络连接。这种情况在实际的应用中比较常见,例如集团公司的视频监控网络,管理服务器(视频管理服务器和媒体管理服务器)、视频监控客户端等位于公司总部的局域网内,而网络摄像机不仅设置在总部,也设置在分部,设置在分部的网络摄像机IPC通过分部的局域网接入公网,总部与分部的局域网通过公网连接。又例如,位于各单位的网络摄像机IPC(商铺、店面、酒吧、超市、车站、酒店等)接入到公安的公共平台,一旦有案情发生,公安办案人员可以直接在公安内部调用事发地点的监控录像。
在通常情况下,是大量的外部网络摄像机IPC接入到私有服务器,因此本实施例在私有服务器所在的私有二层网络中设置UNPS。在图1中,网络摄像机IPC1、IPC2与私有服务器之间通过三层网络连接,私有服务器可以是视频管理服务器、媒体服务器。在私有服务器所在的私有二层网络中设置UNPS,私有服务器通过私有二层网络连接UNPS,该私有二层网络为私有服务器所在的局域网。在本实施例中,将网络摄像机IPC作为UNPC,向UNPS进行拨号,在IPC与UNPS之间建立一条UNP隧道。
容易理解的是,也可以将UNPS布置在网络摄像机一侧,此时由私有服务器作为UNPC,向UNPS进行拨号,在IPC与UNPS之间建立一条UNP隧道。
在本实施例中,以第二设备来表示与UNPS位于同一个二层网络的设备,以第一设备来表示通过三层网络接入的UNPC设备来进行后续的说明。具体地,还是以图1为例,即以第一设备为网络摄像机IPC,第二设备为私有服务器来进行说明。在将UNPS布置在网络摄像机一侧的情况下,同样适用,以下不再赘述。
本实施例中,对于私有以太帧的帧结构不再进行赘述,私有以太帧是在基本以太帧的基础上进行扩展,应用在很多采用私有协议进行二层通信的网络中,本实施例中源设备ID、目的设备ID均在扩展的字段中,这里不再赘述。
而万能网络护照UNP中的UNP报文封装结构如图3所示,私有二层帧作为净荷(payload)封装于内层IP头部之后。原始用户数据为IP报文,先经过PPP封装,然后链路层将PPP帧进行L2TP或open VPN或soft ether封装,再将其封装成UDP,并继续封装成可以在网络上传输的IP报文,最外层还封装了UNP的MAC头部。本发明把私有二层帧作为净荷封装于内部IP头部之后,将私有二层帧承载在UNP报文内进行传输。
如图2所示,本实施例一种二层报文安全穿越三层网络的方法,包括如下步骤:
步骤S1、UNP服务器接收作为UNP客户端的第一设备发起的拨号请求,与第一设备建立UNP隧道。
步骤S2、UNP服务器通过UNP隧道接收第一设备以UNP报文封装的私有二层帧消息,所述私有二层帧消息携带有第一设备的设备ID,对接收到的UNP报文进行解封装,建立包括第一设备的设备ID、MAC地址与虚拟IP地址的映射表项,在私有二层网络中根据私有二层帧消息的目的MAC地址转发该私有二层帧消息。
步骤S3、UNP服务器接收第二设备的私有二层帧消息,采用UNP报文进行封装,根据建立的映射表项向目的设备发送;
步骤S4、所述第一设备通过UNP隧道接收UNP服务器转发的以UNP报文封装的第二设备的私有二层帧消息,对接收到的UNP报文进行解封装,获取第二设备发送的私有二层帧消息。
本实施例在图1的组网中,下面以IPC1为例来说明交互的过程,第一设备为IPC1(作为UNP客户端),第二设备为私有服务器,UNP服务器与私有服务器位于同一个二层网络。
IPC1的自身实际IP地址:IP1,MAC地址:MAC1;
UNPS服务器自身实际IP地址:IP0,MAC地址:MAC0;
私有服务器MAC地址:MAC3。
其中,IPC1与私有服务器都有各自的ID号,用于标识唯一的设备,ID号位于私有二层协议帧报文中。
在建立UNP隧道时,IPC1通过IP地址IP1与UNPS服务器的IP地址IP0通信,经过UNP拨号流程建立隧道和路由,IPC1获得作为UNP客户端的虚拟IP地址:vIP1,UNPS作为服务器有虚拟的网关地址:vIP0。UNP拨号建立隧道的过程,与L2TP/OPEN VPN/SOFT ETHER建立隧道的过程类似,这里不再赘述。
本实施例第一设备通过私有二层帧广播注册消息来获取第二设备的设备ID和MAC地址,在获取到第二设备的设备ID和MAC地址后,就可以以私有二层帧单播消息来与第二设备进行通信,以下分别举例进行说明。
首先说明私有二层帧广播注册消息的交互过程:
UNP服务器通过UNP隧道接收第一设备以UNP报文封装的私有二层帧广播注册消息,所述私有二层帧广播注册消息携带有第一设备的设备ID,对接收到的UNP报文进行解封装,建立包括第一设备的设备ID、MAC地址与虚拟IP地址的映射表项,在私有二层网络中广播该私有二层帧广播注册消息;
第二设备在接收到私有二层帧广播注册消息后返回私有二层帧注册响应消息;
所述UNP服务器接收私有二层帧注册响应消息,根据私有二层帧注册响应消息携带的第一设备ID,从映射表项中查找到对应的虚拟IP地址,采用UNP报文进行封装后向第一设备发送;
所述第一设备通过UNP隧道接收UNP服务器转发的以UNP报文封装的私有二层帧注册响应消息,对接收到的UNP报文进行解封装,获取第二设备的MAC地址和设备ID。
当前端的网络摄像机IPC与后端的管理服务器需要通信时,本申请通过IPC向私有服务器发起注册,获得私有服务器的设备ID和MAC地址从而可以进行后续的正常通信。
具体地,IPC1发出目的MAC为广播地址的广播注册消息,并携带自身的ID号,向私有服务器进行注册。该注册消息是一私有二层帧,需要作为净荷封装为UNP报文,封装后的UNP报文中:
私有二层帧源MAC为IPC1自身MAC,私有二层帧目的MAC为广播MAC地址;
内层源IP为IPC1的虚拟地址,内层目的IP为UNPS的虚拟地址;
外层UNP隧道报文的源IP为IPC的实际IP地址,目的IP为UNPS的实际IP地址;
外层UNP隧道报文的源MAC地址为IPC1的MAC地址,目的MAC地址为UNPS的MAC地址。
以图1为例,IPC1发出的目的MAC为广播地址的广播注册消息,经过UNP封装后:
私有二层帧源MAC为MAC1,私有二层帧目的MAC为广播MAC;
内层源IP为vIP1,内层目的IP为vIP0;
外层UNP隧道报文的源IP为IP1,外层目的IP为IP0;
外层源MAC为MAC1,外层目的MAC为MAC0,其中MAC0在建立UNP隧道时得到。
因为UNP报文的目的IP是UNPS的实际IP地址,UNPS接收到UNP报文后,进行解封装,将解封装后的私有二层帧的源MAC修改为自身MAC,纪录IPC1的“设备ID-IP-MAC”映射表项(该处指的是IPC1的内层IP和MAC地址),在私有二层网络广播发送私有二层帧广播注册消息。
记录的映射表项如下:
设备ID | IP | MAC |
IPC1 | vIP1 | MAC1 |
表1
私有服务器接收到私有二层帧广播注册消息后,记录IPC1的注册信息,并回复注册响应消息进行确认,注册响应消息报文中目的设备ID为IPC1的设备ID,源设备ID为私有服务器的设备ID,源MAC地址为私有服务器的MAC地址,目的MAC为UNPS的MAC地址。
UNPS收到注册响应消息,根据报文中的IPC1的设备ID及映射表项找到IPC1的IP和MAC,修改报文中的私有二层帧目的MAC为IPC1的MAC,并对报文进行封装为UNP报文,该UNP报文中:
源设备ID为私有服务器的设备ID,目的设备ID为IPC1的设备ID;
私有二层帧源MAC为私有服务器的MAC地址,目的MAC为IPC1的MAC;
内层源IP为UNPS的虚拟地址,内层目的IP为IPC1的虚拟地址;
外层UNP隧道报文的源IP为UNPS的实际IP地址,目的IP为IPC1的实际IP地址;
外层UNP隧道报文的源MAC地址为UNPS的MAC地址,目的MAC地址为IPC1的MAC地址。
UNPS封装好的UNP报文,通过建立的UNP隧道发往对应IPC1。
以图1为例,UNP报文中:
私有二层帧源MAC为MAC3,目的MAC为MAC1;
内层源IP为vIP0,内层目的IP为vIP1;
外层UNP隧道报文的源IP为IP0,外层目的IP为IP1;
外层UNP隧道报文源MAC为MAC0,外层目的MAC为MAC1。
这里采用UNP报文进行封装,根据建立的映射表项向目的设备发送注册响应消息时,目的设备为第一设备。
IPC1接收到UNPS发送的UNP报文后,进行解封装,获取到私人服务器发送的私有二层帧注册响应消息,从中得到并得到私有服务器的设备ID和MAC,并记录下来。
例如记录如下表:
设备ID | MAC地址 |
SERVER | MAC3 |
表2
以后第一设备在发送信令和视频流时,就可以单播向私有服务器发送。
然后再说明私有二层帧单播消息的交互过程:
UNP服务器通过UNP隧道接收第一设备以UNP报文封装的私有二层帧单播消息,所述私有二层帧单播消息携带有第一设备的设备ID,对接收到的UNP报文进行解封装,建立包括第一设备的设备ID、MAC地址与虚拟IP地址的映射表项,在私有二层网络中单播该私有二层帧单播消息;
第二设备在接收到私有二层帧单播消息后返回私有二层帧单播响应消息;
所述UNP服务器接收私有二层帧单播响应消息,根据私有二层帧单播响应消息携带的第一设备ID,从映射表项中查找到对应的虚拟IP地址,采用UNP报文进行封装后向第一设备发送;
所述第一设备通过UNP隧道接收UNP服务器转发的以UNP报文封装的私有二层帧单播响应消息,对接收到的UNP报文进行解封装,获取私有二层帧单播响应消息。
第一设备在发送信令和视频流时,以单播向私有服务器发送。
IPC1发出目的MAC为私有服务器的MAC地址的私有二层帧单播消息报文。该私有二层帧单播消息报文,需要作为净荷封装为UNP报文,封装后的UNP报文中:
源设备ID为IPC1自身的ID,目的设备ID为私有服务器的ID;
私有二层帧源MAC为IPC1自身MAC,私有二层帧目的MAC为私有服务器的MAC地址;
内层源IP为IPC1的虚拟地址,内层目的IP为UNPS的虚拟地址;
外层UNP隧道报文的源IP为IPC1的实际IP地址,目的IP为UNPS的实际IP地址;
外层UNP隧道报文的源MAC地址为IPC1的MAC地址,目的MAC地址为UNPS的MAC地址。
以图1为例,IPC1发出的目的MAC为私有服务器的私有二层帧单播消息报文,经过UNP封装后:
源设备ID为IPC1,目的ID为私有服务器的设备ID(SERVER);
私有二层帧源MAC为MAC1,私有二层帧目的MAC为MAC3;
内层源IP为vIP1,内层目的IP为vIP0;
外层UNP隧道报文的源IP为IP1,外层目的IP为IP0;
外层源MAC为MAC1,外层目的MAC为MAC0。
同样,UNP报文的目的IP是UNPS的实际IP地址,UNPS接收到UNP报文后,进行解封装,解析到目的MAC为私有服务器的MAC地址,进行转发,且将源MAC修改为自身MAC,纪录IPC的“ID-IP-MAC”映射表项如表1(若已有该条记录则不再重复记录),在私有二层网络发送给私有服务器。
私有服务器接收到消息后,回复私有二层帧单播响应消息报文进行确认,报文中目的设备ID为IPC1,目的MAC为UNPS的MAC地址。
UNPS收到私有二层帧单播响应消息报文后,根据报文中IPC1的设备ID及映射表项找到IP和MAC,修改报文中的私有二层帧目的MAC为IPC1的MAC,并对报文进行封装:
源设备ID为私有服务器的ID(SERVER),目的设备ID为IPC1自身的ID(IPC1);
私有二层帧源MAC为私有服务器的MAC地址,目的MAC为IPC1的MAC;
内层源IP为UNPS的虚拟地址,内层目的IP为IPC1的虚拟地址;
外层UNP隧道报文的源IP为UNPS的实际IP地址,目的IP为IPC1的实际IP地址;
外层UNP隧道报文的源MAC地址为UNPS的MAC地址,目的MAC地址为IPC1的MAC地址。
UNPS封装好的UNP报文,通过建立的UNP隧道发往对应IPC1。
以图1为例,UNP报文中:
私有二层帧源MAC为MAC3,目的MAC为MAC1;
内层源IP为vIP0,内层目的IP为vIP1;
外层UNP隧道报文的源IP为IP0,外层目的IP为IP1;
外层UNP隧道报文源MAC为MAC0,外层目的MAC为MAC1。
同样,这里采用UNP报文进行封装,根据建立的映射表项向目的设备发送单播响应消息时,目的设备为第一设备。对于多个IPC的情况,UNPS选择目的设备ID对应的MAC地址,修改私有二层帧的目的MAC地址,向对应的目的设备发送。
IPC1接收到UNPS发送的UNP报文后,进行解封装,获取到私人服务器发送的私有二层帧响应消息报文,从而达到与私人服务器的通信目的。
本申请中,采用UNP拨号建立第一设备与UNP服务器之间的UNP隧道,二层报文跨越三层网络转发,由于UNP技术本身的高安全性,使得采用本技术方案的网络具有较高的安全性。
此外,与前述二层报文安全穿越三层网络的方法对应地,本申请还提供了二层报文安全穿越三层网络的系统的实施例,一种二层报文安全穿越三层网络的系统,该系统包括作为万能网络护照UNP客户端的第一设备,所述第一设备通过三层网络访问位于私有二层网络中的第二设备,所述第二设备所在的私有二层网络中设置有万能网络护照UNP服务器,所述二层报文安全穿越三层网络的系统,其中:
UNP服务器,用于接收作为UNP客户端的第一设备发起的拨号请求,与第一设备建立UNP隧道;
以及,通过UNP隧道接收第一设备以UNP报文封装的私有二层帧消息,所述私有二层帧消息携带有第一设备的设备ID,对接收到的UNP报文进行解封装,建立包括第一设备的设备ID、MAC地址与虚拟IP地址的映射表项,在私有二层网络中根据私有二层帧消息的目的MAC地址转发该私有二层帧消息;
以及,接收第二设备的私有二层帧消息,采用UNP报文进行封装,根据建立的映射表项向目的设备发送;
所述第一设备,用于通过UNP隧道接收UNP服务器转发的以UNP报文封装的第二设备的私有二层帧消息,对接收到的UNP报文进行解封装,获取第二设备发送的私有二层帧消息。
仍然以图1为例,本实施例二层报文安全穿越三层网络的系统中,第一设备为IPC,第二设备为私有服务器,在IPC1与UNP服务器间建立UNP隧道,在UNP服务器建立包括第一设备的设备ID、MAC地址与虚拟IP地址的映射表项,根据该映射表项向第一设备转发第二设备的响应消息。本实施例系统中各设备间的交互过程在对图2方法进行描述的时候已经进行了详细阐述,这里不再赘述。
此外,在图1的实施例中,IPC还需要与处于二层或三层网络中的客户端进行通信,依然可以将私有二层帧封装在UNP报文中进行通信,通信过程如下:
IPC通过UNP拨号流程,向UNPS服务器进行拨号,获取到虚拟地址;客户端通过UNP拨号流程,向UNPS服务器进行拨号,获取到虚拟地址;。
客户端需要访问IPC时,通过UNPS服务器往IPC发送私有二层帧消息,该消息经过PPP封装,其中内部IP地址封装源IP为客户端的虚拟IP,目的IP为IPC的虚拟IP地址,外部IP地址封装源IP地址为客户端的实际IP地址,目的IP地址为UNPS服务器的实际IP地址。
UNPS服务器收到该私有二层帧消息后,进行解封装,当解析到虚拟目的IP为IPC的虚拟IP地址时,重新对解封装过的报文进行封装,封装外部IP地址源IP地址为UNPS服务器的实际IP地址,目的IP地址为IPC的实际IP地址,将该报文转发给对应IPC进行处理。
可见,IPC与二层或三层网络中的客户端进行通信也很容易实现。至此利用UNP技术,实现私有二层帧跨三层网络传输的视频监控系统成为可能。同时,这样的视频监控系统部署容易,对现有网络中的设备无需做出大的变动就可以实现,具有重大的实用价值。
以上实施例仅用以说明本发明的技术方案而非对其进行限制,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。
Claims (10)
1.一种二层报文安全穿越三层网络的方法,用于作为万能网络护照UNP客户端的第一设备通过三层网络访问位于私有二层网络中的第二设备,所述第二设备所在的私有二层网络中设置有万能网络护照UNP服务器,其特征在于,所述二层报文安全穿越三层网络的方法,包括:
UNP服务器接收作为UNP客户端的第一设备发起的拨号请求,与第一设备建立UNP隧道;
UNP服务器通过UNP隧道接收第一设备以UNP报文封装的私有二层帧消息,所述私有二层帧消息携带有第一设备的设备ID,对接收到的UNP报文进行解封装,建立包括第一设备的设备ID、MAC地址与虚拟IP地址的映射表项,在私有二层网络中根据私有二层帧消息的目的MAC地址转发该私有二层帧消息;
UNP服务器接收第二设备的私有二层帧消息,采用UNP报文进行封装,根据建立的映射表项向目的设备发送;
所述第一设备通过UNP隧道接收UNP服务器转发的以UNP报文封装的第二设备的私有二层帧消息,对接收到的UNP报文进行解封装,获取第二设备发送的私有二层帧消息。
2.如权利要求1所述的二层报文安全穿越三层网络的方法,其特征在于,所述第一设备以UNP报文封装的私有二层帧消息为目的MAC地址为广播MAC地址的私有二层帧广播注册消息,所述二层报文安全穿越三层网络的方法,包括:
UNP服务器通过UNP隧道接收第一设备以UNP报文封装的私有二层帧广播注册消息,所述私有二层帧广播注册消息携带有第一设备的设备ID,对接收到的UNP报文进行解封装,建立包括第一设备的设备ID、MAC地址与虚拟IP地址的映射表项,在私有二层网络中广播该私有二层帧广播注册消息;
第二设备在接收到私有二层帧广播注册消息后返回私有二层帧注册响应消息;
所述UNP服务器接收私有二层帧注册响应消息,根据私有二层帧注册响应消息携带的第一设备ID,从映射表项中查找到对应的虚拟IP地址,采用UNP报文进行封装后向第一设备发送;
所述第一设备通过UNP隧道接收UNP服务器转发的以UNP报文封装的私有二层帧注册响应消息,对接收到的UNP报文进行解封装,获取第二设备的MAC地址和设备ID。
3.如权利要求1所述的二层报文安全穿越三层网络的方法,其特征在于,所述第一设备以UNP报文封装的私有二层帧消息为目的MAC地址为第二设备MAC地址的私有二层帧单播消息,所述二层报文安全穿越三层网络的方法,包括:
UNP服务器通过UNP隧道接收第一设备以UNP报文封装的私有二层帧单播消息,所述私有二层帧单播消息携带有第一设备的设备ID,对接收到的UNP报文进行解封装,建立包括第一设备的设备ID、MAC地址与虚拟IP地址的映射表项,在私有二层网络中单播该私有二层帧单播消息;
第二设备在接收到私有二层帧单播消息后返回私有二层帧单播响应消息;
所述UNP服务器接收私有二层帧单播响应消息,根据私有二层帧单播响应消息携带的第一设备ID,从映射表项中查找到对应的虚拟IP地址,采用UNP报文进行封装后向第一设备发送;
所述第一设备通过UNP隧道接收UNP服务器转发的以UNP报文封装的私有二层帧单播响应消息,对接收到的UNP报文进行解封装,获取私有二层帧单播响应消息。
4.如权利要求2或3所述的二层报文安全穿越三层网络的方法,其特征在于,所述UNP服务器在私有二层网络中广播所述私有二层帧广播注册消息时,将解封装后的私有二层帧的源MAC修改为自身MAC后在私有二层网络中广播;
或所述UNP服务器在私有二层网络中单播该私有二层帧单播消息时,将解封装后的私有二层帧的源MAC修改为自身MAC后在私有二层网络中单播。
5.如权利要求2或3所述的二层报文安全穿越三层网络的方法,其特征在于,所述UNP服务器在接收私有二层帧注册响应消息,根据私有二层帧注册响应消息携带的第一设备ID,从映射表项中查找到对应的虚拟IP地址,采用UNP报文进行封装后向第一设备发送时,将私有二层帧注册响应消息的目的MAC修改为第一设备的MAC后,采用UNP报文进行封装后向第一设备发送;
或所述UNP服务器在接收私有二层帧单播响应消息,根据私有二层帧单播响应消息携带的第一设备ID,从映射表项中查找到对应的虚拟IP地址,采用UNP报文进行封装后向第一设备发送时,将私有二层帧单播响应消息的目的MAC修改为第一设备的MAC后,采用UNP报文进行封装后向第一设备发送。
6.一种二层报文安全穿越三层网络的系统,所述系统包括作为万能网络护照UNP客户端的第一设备,所述第一设备通过三层网络访问位于私有二层网络中的第二设备,所述第二设备所在的私有二层网络中设置有万能网络护照UNP服务器,其特征在于,所述二层报文安全穿越三层网络的系统,其中:
UNP服务器,用于接收作为UNP客户端的第一设备发起的拨号请求,与第一设备建立UNP隧道;
以及,通过UNP隧道接收第一设备以UNP报文封装的私有二层帧消息,所述私有二层帧消息携带有第一设备的设备ID,对接收到的UNP报文进行解封装,建立包括第一设备的设备ID、MAC地址与虚拟IP地址的映射表项,在私有二层网络中根据私有二层帧消息的目的MAC地址转发该私有二层帧消息;
以及,接收第二设备的私有二层帧消息,采用UNP报文进行封装,根据建立的映射表项向目的设备发送;
所述第一设备,用于通过UNP隧道接收UNP服务器转发的以UNP报文封装的第二设备的私有二层帧消息,对接收到的UNP报文进行解封装,获取第二设备发送的私有二层帧消息。
7.如权利要求6所述的二层报文安全穿越三层网络的系统,其特征在于,所述第一设备以UNP报文封装的私有二层帧消息为目的MAC地址为广播MAC地址的私有二层帧广播注册消息,所述二层报文安全穿越三层网络的系统,其中:
UNP服务器,用于通过UNP隧道接收第一设备以UNP报文封装的私有二层帧广播注册消息,所述私有二层帧广播注册消息携带有第一设备的设备ID,对接收到的UNP报文进行解封装,建立包括第一设备的设备ID、MAC地址与虚拟IP地址的映射表项,在私有二层网络中广播该私有二层帧广播注册消息;
以及,接收私有二层帧注册响应消息,根据私有二层帧注册响应消息携带的第一设备ID,从映射表项中查找到对应的虚拟IP地址,采用UNP报文进行封装后向第一设备发送;
所述第二设备,用于在接收到私有二层帧广播注册消息后返回私有二层帧注册响应消息;
所述第一设备,用于通过UNP隧道接收UNP服务器转发的以UNP报文封装的私有二层帧注册响应消息,对接收到的UNP报文进行解封装,获取第二设备的MAC地址和设备ID。
8.如权利要求6所述的二层报文安全穿越三层网络的系统,其特征在于,所述第一设备以UNP报文封装的私有二层帧消息为目的MAC地址为第二设备MAC地址的私有二层帧单播消息,所述二层报文安全穿越三层网络的系统,其中:
UNP服务器,用于通过UNP隧道接收第一设备以UNP报文封装的私有二层帧单播消息,所述私有二层帧单播消息携带有第一设备的设备ID,对接收到的UNP报文进行解封装,建立包括第一设备的设备ID、MAC地址与虚拟IP地址的映射表项,在私有二层网络中单播该私有二层帧单播消息;
以及,接收私有二层帧单播响应消息,根据私有二层帧单播响应消息携带的第一设备ID,从映射表项中查找到对应的虚拟IP地址,采用UNP报文进行封装后向第一设备发送;
所述第二设备,用于在接收到私有二层帧单播消息后返回私有二层帧单播响应消息;
所述第一设备,用于通过UNP隧道接收UNP服务器转发的以UNP报文封装的私有二层帧单播响应消息,对接收到的UNP报文进行解封装,获取私有二层帧单播响应消息。
9.如权利要求7或8所述的二层报文安全穿越三层网络的系统,其特征在于,所述UNP服务器在私有二层网络中广播所述私有二层帧广播注册消息时,将解封装后的私有二层帧的源MAC修改为自身MAC后在私有二层网络中广播;
或所述UNP服务器在私有二层网络中单播该私有二层帧单播消息时,将解封装后的私有二层帧的源MAC修改为自身MAC后在私有二层网络中单播。
10.如权利要求7或8所述的二层报文安全穿越三层网络的系统,其特征在于,所述UNP服务器在接收私有二层帧注册响应消息,根据私有二层帧注册响应消息携带的第一设备ID,从映射表项中查找到对应的虚拟IP地址,采用UNP报文进行封装后向第一设备发送时,将私有二层帧注册响应消息的目的MAC修改为第一设备的MAC后,采用UNP报文进行封装后向第一设备发送;
或所述UNP服务器在接收私有二层帧单播响应消息,根据私有二层帧单播响应消息携带的第一设备ID,从映射表项中查找到对应的虚拟IP地址,采用UNP报文进行封装后向第一设备发送时,将私有二层帧单播响应消息的目的MAC修改为第一设备的MAC后,采用UNP报文进行封装后向第一设备发送。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710547283.5A CN107426346B (zh) | 2017-07-06 | 2017-07-06 | 一种二层报文安全穿越三层网络的方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710547283.5A CN107426346B (zh) | 2017-07-06 | 2017-07-06 | 一种二层报文安全穿越三层网络的方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107426346A true CN107426346A (zh) | 2017-12-01 |
CN107426346B CN107426346B (zh) | 2020-11-17 |
Family
ID=60427127
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710547283.5A Active CN107426346B (zh) | 2017-07-06 | 2017-07-06 | 一种二层报文安全穿越三层网络的方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107426346B (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111835736A (zh) * | 2020-06-29 | 2020-10-27 | 苏州雄立科技有限公司 | 一种报文传输方法及系统 |
CN114124867A (zh) * | 2021-11-18 | 2022-03-01 | 大连九锁网络有限公司 | 一种二三层混合网络结构下的群发即时消息传输方法 |
CN114465788A (zh) * | 2022-01-24 | 2022-05-10 | 山东梅格彤天电气有限公司 | 一种多融合网关信息加密发布方法及其装置 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20120263044A1 (en) * | 2011-04-18 | 2012-10-18 | Alaxala Networks Corporation | Relay device, network system, and network failure detection method |
CN102971992A (zh) * | 2010-06-29 | 2013-03-13 | 华为技术有限公司 | 跨过多个站点的二层 |
US20130308640A1 (en) * | 2008-10-22 | 2013-11-21 | Fortinet, Inc. | Mechanism for enabling layer two host addresses to be shielded from the switches in a network |
CN103546374A (zh) * | 2012-07-10 | 2014-01-29 | 杭州华三通信技术有限公司 | 一种边缘二层网络中转发报文的方法和装置 |
CN105704235A (zh) * | 2016-03-24 | 2016-06-22 | 武汉邮电科学研究院 | 基于大二层网络的云计算虚拟机位置解析prs系统及其工作方法 |
-
2017
- 2017-07-06 CN CN201710547283.5A patent/CN107426346B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20130308640A1 (en) * | 2008-10-22 | 2013-11-21 | Fortinet, Inc. | Mechanism for enabling layer two host addresses to be shielded from the switches in a network |
CN102971992A (zh) * | 2010-06-29 | 2013-03-13 | 华为技术有限公司 | 跨过多个站点的二层 |
US20120263044A1 (en) * | 2011-04-18 | 2012-10-18 | Alaxala Networks Corporation | Relay device, network system, and network failure detection method |
CN103546374A (zh) * | 2012-07-10 | 2014-01-29 | 杭州华三通信技术有限公司 | 一种边缘二层网络中转发报文的方法和装置 |
CN105704235A (zh) * | 2016-03-24 | 2016-06-22 | 武汉邮电科学研究院 | 基于大二层网络的云计算虚拟机位置解析prs系统及其工作方法 |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111835736A (zh) * | 2020-06-29 | 2020-10-27 | 苏州雄立科技有限公司 | 一种报文传输方法及系统 |
CN114124867A (zh) * | 2021-11-18 | 2022-03-01 | 大连九锁网络有限公司 | 一种二三层混合网络结构下的群发即时消息传输方法 |
CN114124867B (zh) * | 2021-11-18 | 2023-07-04 | 大连九锁网络有限公司 | 一种二三层混合网络结构下的群发即时消息传输方法 |
CN114465788A (zh) * | 2022-01-24 | 2022-05-10 | 山东梅格彤天电气有限公司 | 一种多融合网关信息加密发布方法及其装置 |
Also Published As
Publication number | Publication date |
---|---|
CN107426346B (zh) | 2020-11-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103944826B (zh) | Spbm网络中的表项聚合方法及设备 | |
CN101674249B (zh) | 运营商骨干桥pbb流量转发的方法及设备 | |
CN102932254B (zh) | 报文转发方法及装置 | |
CN103944867B (zh) | 动态主机配置协议报文的处理方法、装置和系统 | |
CN102413061A (zh) | 一种报文传输方法及设备 | |
CN106992917A (zh) | 报文转发方法和装置 | |
CN102035729A (zh) | 一种组播数据转发方法及其装置 | |
CN106559302A (zh) | 单播隧道建立方法、装置和系统 | |
CN108712520B (zh) | 一种基于lte无线专网的终端ip地址透传系统及方法 | |
CN102546349B (zh) | 一种报文转发方法和设备 | |
CN102694738B (zh) | 在虚拟专用网网关转发报文的方法以及虚拟专用网网关 | |
CN107426346A (zh) | 一种二层报文安全穿越三层网络的方法及系统 | |
CN102571524B (zh) | Ip监控系统中穿越、协助穿越网络隔离设备的方法和节点 | |
WO2011054263A1 (zh) | 一种三层虚拟专用网(vpn)的接入方法和接入系统 | |
CN101515859A (zh) | 一种因特网协议安全隧道传输组播的方法及设备 | |
CN102984175B (zh) | 一种无ip监控前端设备和一种代理装置 | |
CN109274588A (zh) | Ip报文的处理方法及装置 | |
CN107018076A (zh) | 一种报文监控方法和装置 | |
CN107547340A (zh) | 一种报文转发方法和装置 | |
CN105163062A (zh) | 一种将社会资源接入到公共平台的系统及方法 | |
CN102355402B (zh) | 一种基于vpn路由建立lsp的方法、系统和路由器 | |
CN206908612U (zh) | 一种外部社会资源安全接入公安视频专网的接入系统 | |
CN102244863A (zh) | 基于802.lx的接入认证方法、接入设备及汇聚设备 | |
WO2015131739A1 (zh) | 数据交互方法、基带处理单元、射频拉远单元及中继单元 | |
CN104009919B (zh) | 报文转发方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |