专利名称:Ip监控系统中穿越、协助穿越网络隔离设备的方法和节点的制作方法
技术领域:
本发明涉及视频监控领域,尤其涉及IP监控系统中穿越、协助穿越网络隔离设备的方法和节点。
背景技术:
基于IP网络的视频监控已经逐渐发展成为安防业的主流方案,成功应用于平安工程、高速公路、公安网、园区等大型项目。IP的标准性和开放性也使得各个网络孤岛的整合变得容易,使网络规模的扩展变得轻松。考虑到IPv4地址资源紧张和现有各区域网络地址段相互重叠的现实,以及各种网络安全的需要,NAT、防火墙、安全隔离网闸等设备被大量的应用于大型网络中。这就使得基于IP的视频监控系统的信令和业务流程变得非常复杂, 甚至导致某些业务在某些特定的组网中无法开展。下面简单阐述下在视频监控网络存在 NAT、防火墙、安全隔离网闸时,视频监控网络通信变得复杂困难的缘由。在存在NAT设备的时候,由于IP报文穿过NAT设备之后其源IP地址或目的IP地址会发生改变,而一个业务信令内部通常也包含有源IP地址和目的IP地址,由此造成内、 外部地址的不统一,这在很多时候会对视频监控业务流程造成困扰。另外,如果NAT外网存在设备要首先发起通向内网的TCP/UDP连接,就必须先在NAT设备上为内网的那些设备分别配置内部服务器的地址/端口映射,这样显然会浪费大量公网地址,很多时候也是不允许的。当然,在控制服务器可以判断出交互的两台设备谁处于NAT内网谁处于外网时,可以通知内网的设备主动向外网设备发起连接。但是这要求每个会话连接都实现两种或甚至两种以上的处理流程,对于一个包含了多个会话行为的业务流程这种组合会变得非常复杂。 况且某些标准业务也不允许交互的双方颠倒C/S的角色。在存在防火墙时,需要防火墙开放相当数量的UDP/TCP端口以便防火墙外的终端,如视频监控客户端,能主动访问防火墙内的服务器,如视频管理服务器(VM)。这样就给企业内网带来了安全隐患。在存在安全隔离网闸时,大量以IP代理方式实现的网闸(即来自外部的流量先发送到网闸的一个代理IP,网闸修改目的IP后再往内网转发),通常会要求网闸协助对业务信令的内部信息做出相应的修改,因为其中可能包含有IP地址信息。于是监控系统厂家每开发一个新特性可能都会要求网闸公司配合做出相应的特性开发。另外,一些特殊用户还有特殊的视频监控网络需求。比如说公安网络等安全性要求较高的网络需要所有的会话连接都要求由内网发起,否则外部流量就进入不了内网。在一个典型的集中控制架构中,终端,如编码设备,首先得向服务器,如视频管理服务器,发起注册信令,点播业务也是点播主机先向服务器发起申请,当终端和主机处于外网而服务器处于内网时业务就会遭遇困境。
发明内容
本发明提供了一种IP监控系统中穿越网络隔离设备的方法以及该方法对应的监控节点。本发明的技术方案是这样实现的一种IP监控系统中穿越网络隔离设备的方法,该方法应用于监控系统的监控节点上,其中该监控系统中包括多个监控节点以及L2TP中继,该多个监控节点包括EC,VC以及至少一种服务器;其中该至少一种服务器为VM,该方法包括位于网络隔离设备内侧网络的第一监控节点作为LAC,使用自身的第一 IP地址向作为LNS的L2TP中继发起隧道连接请求以与L2TP中继建立L2TP隧道连接;L2TP隧道连接建立后,该第一监控节点从L2TP中继获取L2TP中继分配的第二 IP地址;第一监控节点从L2TP中继接收隧道报文并将隧道报文进行解封装获得内容为监控信令数据的内层IP报文,该内层IP报文是网络隔离设备外侧网络监控节点发送的监控信令数据报文,该隧道报文的目的地址为该第一 IP地址,隧道报文的源地址为L2TP中继自身的IP地址;该内层IP报文的目的地址为该第二 IP地址,源地址为该外侧网络监控节点的IP地址;第一监控节点从内层IP报文中获得监控信令数据并进行相应的信令处理;第一监控节点将生成的监控信令数据封装到内层IP报文中,然后将该内层IP报文封装到隧道报文中发送给L2TP中继,由L2TP中继将内层IP报文转发到网络隔离设备外侧网络的监控节点,其中该内层IP报文的源地址为第二 IP地址,内层报文的目的地址为该外侧网络监控节点的IP地址,该隧道报文的源地址为第一监控节点自身的IP地址,该隧道报文的目的地址为L2TP中继自身的IP地址。一种IP监控系统中穿越网络隔离设备的监控节点,其中该监控节点位于网络隔离设备内侧网络,该监控系统中包括多个监控节点以及L2TP中继,该多个监控节点包括 EC, VC以及至少一种服务器;其中该至少一种服务器为VM,该监控节点包括隧道处理单元、 信令处理单元以及网络接口单元;其中该隧道处理单元包括连接处理子单元以及报文处理子单元其中,网络接口单元,用于在IP网络上收发报文;信令处理单元,用于处理监控信令数据;连接处理子单元,用于使用监控节点自身的第一 IP地址向作为LNS的L2TP中继发起隧道连接请求以与L2TP中继建立L2TP隧道连接;并在L2TP隧道连接建立后从L2TP中继获取L2TP中继分配第二 IP地址;报文处理子单元,用于将网络接口单元从L2TP中继接收的隧道报文进行解封装获得内容为监控信令数据的内层IP报文,并将该监控信令数据提交给信令处理单元;其中该内层IP报文是网络隔离设备外侧监控节点发送的报文,该隧道报文的目的地址为该第一 IP地址,隧道报文的源地址为L2TP中继自身的IP地址;该内层IP报文的目的地址为该第二 IP地址,源IP地址为该外侧监控节点的IP地址;其中该报文处理子单元进一步用于,将监控节点信令处理单元生成的监控信令数据封装到内层IP 报文中,然后将该内层IP报文封装到隧道报文中发送给网络接口单元,由网络接口单元发送给L2TP中继,L2TP中继将内层IP报文转发到网络隔离设备外侧网络的监控节点,其中该内层IP报文的源地址为第二 IP地址,内层报文的目的地址为该外侧网络监控节点的IP 地址,该隧道报文的源地址为第一监控节点自身的IP地址,该隧道报文的目的地址为L2TP 中继自身的IP地址。本发明还提供了一种IP监控系统中协助穿越网络隔离设备的方法以及该方法对应的L2TP中继。实现方案如下一种IP监控系统中协助监控节点穿越网络隔离设备的方法,该方法应用于监控系统的L2TP中继上,其中该监控系统中包括多个监控节点以及L2TP中继,该多个监控节点包括EC,VC以及至少一种服务器;其中该至少一种服务器为VM,该方法包括L2TP中继作为LNS接收网络隔离设备内侧网络作为LAC的第一监控节点以自身第一 IP地址发出的 L2TP隧道连接请求;在与第一监控节点建立隧道连接后,为第一监控节点分配第二 IP地址;从第一监控节点接收隧道报文并将该隧道报文进行解封装获得内层IP报文,该内层IP 报文是第一监控节点发送给网络隔离设备外侧监控节点的监控信令数据或者业务数据,隧道报文的源地址为第一监控节点的第一 IP地址,目的地址为该L2TP中继自身的IP地址, 该内层IP报文的目的地址为网络隔离设备外侧监控节点的IP地址,源地址为该第二 IP地址;根据内层IP报文的目的地址,将该报文转发给网络隔离设备外侧的监控节点;将网络隔离设备外侧的监控节点发出的监控信令数据或者监控业务数据的IP报文进行隧道封装后发送给该第一监控节点,其中该IP报文的目的地址为第二 IP地址,源IP地址为外侧网络监控节点的IP地址,封装后的隧道报文的目的IP地址为该第一 IP地址,隧道报文的源地址为L2TP中继自身的IP地址。一种IP监控系统中协助监控节点穿越网络隔离设备的L2TP中继设备,其中该监控系统中包括多个监控节点以及L2TP中继,该多个监控节点包括EC,VC以及至少一种服务器;其中该至少一种服务器为VM,该方法包括网络接口单元,用于通过IP网络收发报文;连接处理子单元,用于接收网络隔离设备内侧的作为LAC的第一监控节点以自身第一 IP地址发出的L2TP隧道连接请求;在与第一监控节点建立隧道连接后,为第一监控节点分配第二 IP地址;报文处理子单元,用于从第一监控节点接收隧道报文并将该隧道报文进行解封装获得内层IP报文,根据内层IP 报文的目的地址将该报文转发给网络隔离设备外侧的监控节点;该内层IP报文是第一监控节点发送给网络隔离设备外侧的监控节点的监控信令数据或者监控数据,隧道报文的源地址为第一监控节点的第一 IP地址,目的地址为该L2TP中继自身的IP地址,该内层IP报文的目的地址为网络隔离设备外侧监控节点的IP地址,源地址为该第二 IP地址;其中该报文处理子单元,进一步用于将网络隔离设备外侧的监控节点发出的内容为监控信令数据或者业务数据的IP报文进行隧道封装后发送给该第一监控节点,其中该IP报文的目的地址为第二 IP地址,源地址为网络隔离设备外侧监控节点的IP地址,封装后的隧道报文的目的 IP地址为该第一 IP地址,隧道报文源地址为L2TP中继自身的IP地址。与现有技术相比,本发明的方案解决了当前IP监控系统业务端口过多、NAT转换或网闸穿越时内部消息转换的困扰,从而使监控系统内部的新特性开发只需要专注于业务本身,而不必再为网络层面的转换而操心,而网闸公司也不必针对性的为监控系统这种业务做出特定的开发,对客户的防火墙来说需要开放的端口或地址映射也更少,从而更加的安全。L2TP的接收端可以会对接收到的乱序报文进行缓存和调整,这对于音视频流量尤为有意义,因为乱序会极大的影响音视频的解码和播放效果。L2TP之上的PPP协议具有会话连接认证功能,这就提供一层安全防护;PPP可以对报文头或数据进行压缩,这样可以减少数据的传输量。如果需要进一步的保密,只需要在L2TP隧道的基础上叠加IPsec即可, 可以是 L2TP over IPsec,也可以是 IPsec over L2tp。
图1为实施例一的网络示意图;图2为实施例二的网络示意图;图加为实施例二的另一网络示意3为实施例三的网络示意图;图4为实施例四的网络示意图;图如为实施例四的另一网络示意图;图5是本发明监控节点或者L2TP中继设备的基本硬件架构;图6是本发明监控节点或者L2TP中继设备的逻辑结构图。
具体实施例方式本发明的创作的思想为IP监控系统中监控节点穿越网络隔离设备时,位于网络隔离设备内侧网络的第一监控节点作为LAC,使用自身的第一 IP地址向作为LNS的L2TP中继发起隧道连接请求以与L2TP中继建立L2TP隧道连接;L2TP隧道连接建立后,该第一监控节点从L2TP中继获取 L2TP中继分配的第二 IP地址;第一监控节点从L2TP中继接收隧道报文并将隧道报文进行解封装获得内容为监控信令数据的内层IP报文,该内层IP报文是网络隔离设备外侧网络监控节点发送的监控信令数据报文,该隧道报文的目的地址为该第一 IP地址,隧道报文的源地址为L2TP中继自身的IP地址;该内层IP报文的目的地址为该第二 IP地址,源地址为该外侧网络监控节点的IP地址;第一监控节点从内层IP报文中获得监控信令数据并进行相应的信令处理;第一监控节点将生成的监控信令数据封装到内层IP报文中,然后将该内层IP报文封装到隧道报文中发送给L2TP中继,由L2TP中继将内层IP报文转发到网络隔离设备外侧网络的监控节点,其中该内层IP报文的源地址为第二 IP地址,内层报文的目的地址为该外侧网络监控节点的IP地址,该隧道报文的源地址为第一监控节点自身的IP地址,该隧道报文的目的地址为L2TP中继自身的IP地址。该第一监控节点还从L2TP中继接收隧道报文并将隧道报文进行解封装获得内容为监控业务数据的内层IP报文,该内层IP报文是网络隔离设备外侧网络监控节点发送的监控业务数据报文,该隧道报文的目的地址为该第一 IP地址,隧道报文的源地址为L2TP中继自身的IP地址;该内层IP报文的目的地址为该第二 IP地址,源地址为该外侧网络监控节点的IP地址;或者第一监控节点还将生成的监控业务数据封装到内层IP报文中,然后将该内层IP 报文封装到隧道报文中发送给L2TP中继,由L2TP中继将内层IP报文转发到网络隔离设备外侧网络的监控节点,其中该内层IP报文的源地址为第二 IP地址,内层报文的目的地址为该外侧网络监控节点的IP地址,该隧道报文的源地址为第一监控节点自身的IP地址,该隧道报文的目的地址为L2TP中继自身的IP地址。该第一监控节点为VM,VM接收L2TP中继通过VM与L2TP中继建立的L2TP隧道发送的封装在隧道报文中的监控信令数据,该监控信令数据是由EC或者VC发送的。IP监控系统中L2TP中继协助监控节点穿越网络隔离设备时,L2TP中继作为LNS 接收网络隔离设备内侧网络作为LAC的第一监控节点以自身第一 IP地址发出的L2TP隧道连接请求;在与第一监控节点建立隧道连接后,为第一监控节点分配第二 IP地址;从第一监控节点接收隧道报文并将该隧道报文进行解封装获得内层IP报文,该内层IP报文是第一监控节点发送给网络隔离设备外侧监控节点的监控信令数据或者业务数据,隧道报文的源地址为第一监控节点的第一 IP地址,目的地址为该L2TP中继自身的IP地址,该内层IP 报文的目的地址为网络隔离设备外侧监控节点的IP地址,源地址为该第二 IP地址;根据内层IP报文的目的地址,将该报文转发给网络隔离设备外侧的监控节点;将网络隔离设备外侧的监控节点发出的监控信令数据或者监控业务数据的IP报文进行隧道封装后发送给该第一监控节点,其中该IP报文的目的地址为第二 IP地址,源IP地址为外侧网络监控节点的IP地址,封装后的隧道报文的目的IP地址为该第一 IP地址,隧道报文的源地址为L2TP 中继自身的IP地址。第二 IP地址属于L2TP中继分配的网络隔离设备外侧网络中规划的IP地址。或者第二 IP地址属于L2TP中继自身独立规划的IP地址,该L2TP中继与外侧监控节点建立有L2TP隧道连接;其中该外侧监控节点发出的IP报文是封装在该隧道中的内层IP报文, L2TP中继将外侧监控节点发出的隧道报文解封装获得内层IP报文,该内层报文的源IP地址是该外侧监控节点通过L2TP中继分配的IP地址,目的地址是第一监控节点分配到的第二 IP地址,该网络隔离设备外侧网络的监控节点包括VM和MS。该L2TP中继为该网络隔离设备外侧的MS。下面结合附图及具体实施例对本发明再作进一步详细的说明。实施例中涉及到的各种节点或者设备定义如下EC为编码终端或媒体终端,VC为监控客户端,VM为视频管理服务器,DM为数据管理服务器,MS为媒体交换服务器,IPSAN为IP存储服务器,LNS为L2TP 服务端,本发明将其命名为L2TP中继设备,因为其还需要执行报文转发工作。实施例一图1显示实施例一的网络示意图。该网络是一个IP监控系统。该IP监控系统包含多个监控节点。该图1中,监控节点ECll被网络隔离设备与另一网络隔离。网络隔离设备可以是NAT,防火墙或者网闸等。本实施例中,如图1,该监控系统中的监控节点ECll 所在的网络为网络隔离设备内侧的网络,称为网络A,其被网络隔离设备隔离或者说保护; 将网络隔离设备外侧网络称为网络B。由于网络隔离设备的存在,导致网络A可以访问网络B,而网络B在没有特殊配置的前提下无法访问网络A。该IP监控系统还包含一 L2TP中继设备14。监控节点ECll自身的IP地址是10. 10. 10. 10,即属于网络A(网络A的地址 10. 10. 10. 0/24)的IP地址是10. 10. 10. 10 ;该IP监控系统中其他监控节点自身的IP地址和ECll作类似的解释。L2TP中继设备14的IP地址为12. 12. 10. 10,这个地址从网络A的角度来看属于公网地址,即网络A可以直接访问;如果该地址不能被直接访问到,可以在本网络出口的隔离设备上配置静态映射的对应公网地址。监控节点ECll需要和网络B中的另一监控节点进行通信。监控节点ECll作为LAC,以自身IP地址10. 10. 10. 10向作为LNS的L2TP中继14发起隧道连接请求以与L2TP中继建立L2TP隧道连接。L2TP中继14收到该隧道连接请求后, 与监控节点ECl 1建立隧道连接,并将地址池中的地址分配给EC 11。L2TP中继14地址池中的地址属于网络B规划的IP地址,但是和网络B已经存在的设备的IP地址不同。L2TP中继14的地址池中的IP地址属于12. 12. 11. 0/24,其分配给ECll的IP地址为12. 12. 11. 10。 ECll获得L2TP中继14分配的IP地址12. 12. 11. 10后,当与网络B中的监控节点进行通信的时候将采用该分配的IP地址。比如说EC11向网络B中的视频管理服务器VM13进行注册的时候,将对注册报文进行隧道封装。这里VM13的IP地址为12. 12. 12. 10,其属于网络12. 12. 12. 0/M。ECll将监控信令数据,即注册报文的内容封装到内层IP报文中,然后将该内层IP报文封装到隧道报文中发送给L2TP中继14,其中该内层IP报文的源地址为 12. 12. 11. 10,目的地址为VMl3的IP地址12. 12. 12. 10 ;该隧道报文的源地址为ECll自身的IP地址10. 10. 10. 10,目的地址为L2TP中继14的IP地址12. 12. 10. 10。L2TP中继14 从监控节点ECll接收到其发送的隧道报文后将该隧道报文进行解封装获得内层IP报文。 L2TP中继14根据自身的保存的路由信息将该内层IP报文根据其目的IP地址进行路由。 本例中L2TP中继的路由信息如下表所示
目的IP地址掩码网关出口12. 12. 10. 02412. 12. 10. 1Interfacel12. 12. 12. 02412. 12. 12. 1Interface212. 12. 11. 103212. 12. 11. 1L2TP—VT1L2TP中继14根据目的IP地址12. 12. 12. 10将报文从hterface2接口发送出去。 网络A中的监控节点ECll的注册报文最终被路由到了网络B中的VM13。VM13收到该注册报文后对该注册报文进行处理将ECll的相关信息在本地进行保存。当有VC需要点播 ECll上的视频流量的时候,VM13指示ECll发送监控视频流的监控信令数据封装成IP报文被路由到L2TP中继14,L2TP中继14将VM13发送的该IP报文进行隧道封装后发送给 EC11,该IP报文的目的地址为ECll分配到的IP地址12. 12. 11. 10,源地址为VM13的IP地址12. 12. 12. 10,封装后的隧道报文的目的IP地址为ECll自身的IP地址10. 10. 10. 10,隧道源IP地址为L2TP中继14的IP地址12. 12. 10. 10。ECll从L2TP中继接收隧道报文并将隧道报文进行解封装获得内层IP报文。ECll从内层IP报文中获得监控信令数据并进行相应的信令处理。ECll根据监控信令的指示将监控业务数据发给相应的监控节点。ECll根据自身的路由表,通过隧道发送监控业务数据或者不经过隧道直接发送该监控业务数据。 ECll通过隧道发送监控业务数据时,ECll将生成的相应的监控业务数据封装到内层IP报文中,然后将该内层IP报文封装到隧道报文中发送给L2TP中继14,其中该内层IP报文的源地址为ECll分配到的IP地址12. 12. 11. 10,目的地址为接收监控业务数据的监控节点, 如VC或者MS的IP地址,该第三监控节点可以在任意网络中,包括但不限于网络A或者网络B,比如说图1中位于A网络中的VC12和位于网络B中的VC15 ;该隧道报文的源地址为 ECll自身的IP地址10. 10. 10. 10,目的地址为L2TP中继14的IP地址。L2TP中继14从 ECll接收到隧道报文并将该隧道报文进行解封装获得内层IP报文。L2TP中继14根据该内层IP报文的目的IP地址,即接收监控业务数据的监控节点将报文发送出去。网络A中的VC12点播ECll上的视频流量的时,VC12在VM13上进行注册。该注册的过程和ECll相同。VC12先和L2TP中继14之间建立L2TP隧道。后续VC12点播ECll的视频流量时,先将点播的监控信令通过VC12和L2TP中继14之间的L2TP隧道发送到VM13, 后续ECll发送的监控业务数据通过ECll和L2TP中继14之间的隧道到达L2TP中继14之后,将再通过VC12和L2TP中继14之间的隧道发送到VC12。VC12接收到隧道报文后对其进行解封装获得内容为监控业务数据的内层IP报文,该内层IP报文的源地址为ECll分配到的IP地址12. 12. 11. 10,目的IP地址为VC12分配到的IP地址,隧道报文的源地址为L2TP 中继14自身的地址,目的地址为VC12自身的IP地址。网络B中的VC15点播ECll上的视频流量的时,VC15在VM13上进行注册。VC15 点播ECll的视频流量时,先将点播的监控信令直接发送到VM13,后续ECll发送的监控业务数据可以不经过ECl 1和L2TP中继14之间的隧道直接到达VC15,也可以通过ECl 1和L2TP 中继14之间的隧道到达L2TP中继14之后,由L2TP中继14再发送到VC15。如果L2TP中继14单独由一个路由器或者其他网络设备充当的话,成本会比较高, 所以如果IP监控系统中的网络B存在MS转发设备的话,MS可以充当L2TP中继14。视频流量点播时,VM13指示EC 11将视频业务数据发送到充当L2TP中继14的MS,再由MS根据点播VC的地址进行视频业务数据的转发。实施例二图2显示了实施例二的网络示意图。图2网络示意图和图1的区别在于网络B中的监控节点VM23自身也作为LAC向作为LNS的L2TP中继M发起隧道连接请求与L2TP中继M建立L2TP隧道连接;网络B中还包括一个MS^,MS^也作为LAC向作为LNS的L2TP 中继M发起隧道连接请求与L2TP中继M建立L2TP隧道连接。网络A中的监控节点EC21 作为LAC向作为LNS的L2TP中继M发起隧道连接请求与L2TP中继M建立L2TP隧道连接。L2TP中继M给监控节点EC21、VM23、MS^分配的IP地址可以是独立地址池中的IP地址,即该地址池中的IP地址可以单独规划一个IP地址段,不需要占用网络B规划的IP地址,比如14. 14. 14. 0/24,15. 15. 10. 0/24等等。以14. 14. 14. 0/24为例描述图2中监控节点的通信过程。EC21作为LAC,以自身IP地址10. 10. 10. 10向作为LNS的L2TP中继M发起隧道连接请求以与L2TP中继M建立L2TP隧道连接。L2TP中继M收到该隧道连接请求后,与监控节点EC21建立隧道连接,并将地址池中的地址14. 14. 14. 10分配给EC21。同样的,VM23 以自身的IP地址12. 12. 12. 10向L2TP中继24发起隧道连接请求以与L2TP中继M建立 L2TP隧道连接。L2TP中继M收到该隧道连接请求后,与监控节点VM23建立隧道连接,并将地址池中的地址14. 14. 14. 12分配给VM23。同样地,MS26向L2TP中继M发起隧道连接请求,获得分配到的IP地址14. 14. 14. 14。EC21向VM23进行注册时,将对注册报文进行隧道封装。EC21将监控信令数据,即注册报文的内容封装到内层IP报文中,然后将该内层IP 报文封装到隧道报文中发送给L2TP中继对,其中该内层IP报文的源地址为14. 14. 14. 10, 目的地址为VM23的IP地址为14. 14. 14. 12 ;该隧道报文的源地址为EC21自身的IP地址 10. 10. 10. 10,目的地址为L2TP中继24的IP地址12. 12. 10. 10。L2TP中继24从监控节点 EC21接收到其发送的隧道报文后将该隧道报文进行解封装获得内层IP报文。L2TP中继M 根据自身的保存的路由信息将该内层IP报文根据其目的IP地址进行路由。本例中L2TP 中继的路由信息如下表所示
权利要求
1.一种IP监控系统中穿越网络隔离设备的方法,该方法应用于监控系统的监控节点上,其中该监控系统中包括多个监控节点以及L2TP中继,所述多个监控节点包括EC,VC以及至少一种服务器;其中所述至少一种服务器为VM,该方法包括位于网络隔离设备内侧网络的第一监控节点作为LAC,使用自身的第一 IP地址向作为LNS的L2TP中继发起隧道连接请求以与L2TP中继建立L2TP隧道连接;L2TP隧道连接建立后,所述第一监控节点从L2TP中继获取L2TP中继分配的第二 IP地址;第一监控节点从L2TP中继接收隧道报文并将隧道报文进行解封装获得内容为监控信令数据的内层IP报文,所述内层IP报文是网络隔离设备外侧网络监控节点发送的监控信令数据报文,所述隧道报文的目的地址为所述第一 IP地址,隧道报文的源地址为L2TP中继自身的IP地址;所述内层IP报文的目的地址为所述第二 IP地址,源地址为所述外侧网络监控节点的IP地址;第一监控节点从内层IP报文中获得监控信令数据并进行相应的信令处理;第一监控节点将生成的监控信令数据封装到内层IP报文中,然后将所述内层IP报文封装到隧道报文中发送给L2TP中继,由L2TP中继将内层IP报文转发到网络隔离设备外侧网络的监控节点,其中该内层IP报文的源地址为第二 IP地址,内层报文的目的地址为所述外侧网络监控节点的IP地址,该隧道报文的源地址为第一监控节点自身的IP地址,该隧道报文的目的地址为L2TP中继自身的IP地址。
2.如权利要求1所述的方法,其特征在于,所述第一监控节点还从L2TP中继接收隧道报文并将隧道报文进行解封装获得内容为监控业务数据的内层IP报文,该内层IP报文是网络隔离设备外侧网络监控节点发送的监控业务数据报文,所述隧道报文的目的地址为所述第一 IP地址,隧道报文的源地址为L2TP中继自身的IP地址;所述内层IP报文的目的地址为所述第二 IP地址,源地址为所述外侧网络监控节点的IP地址;或者第一监控节点还将生成的监控业务数据封装到内层IP报文中,然后将所述内层IP报文封装到隧道报文中发送给L2TP中继,由L2TP中继将内层IP报文转发到网络隔离设备外侧网络的监控节点,其中该内层IP报文的源地址为第二 IP地址,内层报文的目的地址为所述外侧网络监控节点的IP地址,该隧道报文的源地址为第一监控节点自身的IP地址,该隧道报文的目的地址为L2TP中继自身的IP地址。
3.如权利要求1或2所述的方法,其特征在于,所述第二IP地址属于L2TP中继分配的网络隔离设备外侧网络中规划的IP地址。
4.如权利要求1或2所述的方法,其特征在于,所述第二IP地址属于L2TP中继为隧道连接自身独立规划的IP地址,所述L2TP中继与网络隔离设备外侧网络的监控节点建立有L2TP隧道连接,所述网络隔离设备外侧网络的监控节点包括VM和MS。
5.如权利要求1所述的方法,其特征在于,所述第一监控节点为VM,VM接收L2TP中继通过VM与L2TP中继建立的L2TP隧道发送的封装在隧道报文中的监控信令数据,该监控信令数据是由EC或者VC发送的。
6.一种IP监控系统中穿越网络隔离设备的监控节点,其中该监控节点位于网络隔离设备内侧网络,所述监控系统中包括多个监控节点以及L2TP中继,所述多个监控节点包括EC, VC以及至少一种服务器;其中所述至少一种服务器为VM,该监控节点包括隧道处理单元、信令处理单元以及网络接口单元;其中所述隧道处理单元包括连接处理子单元以及报文处理子单元其中,网络接口单元,用于在IP网络上收发报文;信令处理单元,用于处理监控信令数据;连接处理子单元,用于使用监控节点自身的第一 IP地址向作为LNS的L2TP中继发起隧道连接请求以与L2TP中继建立L2TP隧道连接;并在L2TP隧道连接建立后从L2TP中继获取L2TP中继分配第二 IP地址;报文处理子单元,用于将网络接口单元从L2TP中继接收的隧道报文进行解封装获得内容为监控信令数据的内层IP报文,并将该监控信令数据提交给信令处理单元;其中所述内层IP报文是网络隔离设备外侧监控节点发送的报文,所述隧道报文的目的地址为所述第一 IP地址,隧道报文的源地址为L2TP中继自身的IP地址;所述内层IP报文的目的地址为所述第二 IP地址,源IP地址为所述外侧监控节点的IP地址;其中该报文处理子单元进一步用于,将监控节点信令处理单元生成的监控信令数据封装到内层IP报文中,然后将所述内层IP报文封装到隧道报文中发送给网络接口单元,由网络接口单元发送给L2TP中继,L2TP中继将内层IP报文转发到网络隔离设备外侧网络的监控节点,其中该内层IP报文的源地址为第二 IP地址,内层报文的目的地址为所述外侧网络监控节点的IP地址,该隧道报文的源地址为该监控节点自身的IP地址,该隧道报文的目的地址为L2TP中继自身的IP地址。
7.如权利要求6所述的监控节点,其特征在于,所述监控节点还包括业务处理单元,该业务处理单元用于处理监控业务数据;所述报文处理子单元,还用于将网络接口单元从L2TP中继接收的隧道报文进行解封装获得内容为监控业务数据的内层IP报文,并将该监控业务数据提交给业务处理单元;其中所述内层IP报文是网络隔离设备外侧监控节点发送的报文,所述隧道报文的目的地址为所述第一 IP地址,隧道报文的源地址为L2TP中继自身的IP地址;所述内层IP报文的目的地址为所述第二 IP地址,源IP地址为所述外侧监控节点的IP地址;或者所述报文处理子单元还用于,将监控节点业务处理单元生成的监控业务数据封装到内层IP报文中,然后将所述内层IP报文封装到隧道报文中发送给网络接口单元,由网络接口单元发送给L2TP中继,L2TP中继将内层IP报文转发到网络隔离设备外侧网络的监控节点,其中该内层IP报文的源地址为第二 IP地址,内层报文的目的地址为所述外侧网络监控节点的IP地址,该隧道报文的源地址为该监控节点自身的IP地址,该隧道报文的目的地址为L2TP中继自身的IP地址。
8.如权利要求6或7所述的监控节点,其特征在于,所述第二IP地址属于L2TP中继分配的网络隔离设备外侧网络中规划的IP地址。
9.如权利要求6或7所述的监控节点,其特征在于,所述第二IP地址属于L2TP中继为隧道连接自身独立规划的IP地址,所述L2TP中继与网络隔离设备外侧网络监控节点建立有L2TP隧道连接,所述网络隔离设备外侧网络的监控节点包括VM和MS。
10.如权利要求6所述的监控节点,其特征在于,所述该监控节点为VM,VM接收L2TP中继通过VM与L2TP中继建立的L2TP隧道发送的封装在隧道报文中的监控信令数据,该监控信令数据是由EC或者VC发送的。
11.一种IP监控系统中协助监控节点穿越网络隔离设备的方法,该方法应用于监控系统的L2TP中继上,其中所述监控系统中包括多个监控节点以及L2TP中继,所述多个监控节点包括EC,VC以及至少一种服务器;其中所述至少一种服务器为VM,该方法包括L2TP中继作为LNS接收网络隔离设备内侧网络作为LAC的第一监控节点以自身第一IP地址发出的L2TP隧道连接请求;在与第一监控节点建立隧道连接后,为第一监控节点分配第二 IP地址;从第一监控节点接收隧道报文并将该隧道报文进行解封装获得内层IP报文,所述内层IP报文是第一监控节点发送给网络隔离设备外侧监控节点的监控信令数据或者业务数据,隧道报文的源地址为第一监控节点的第一 IP地址,目的地址为所述L2TP中继自身的IP地址,所述内层IP报文的目的地址为网络隔离设备外侧监控节点的IP地址,源地址为所述第二 IP地址;根据内层IP报文的目的地址,将该报文转发给网络隔离设备外侧的监控节点;将网络隔离设备外侧的监控节点发出的监控信令数据或者监控业务数据的IP报文进行隧道封装后发送给所述第一监控节点,其中该IP报文的目的地址为第二 IP地址,源IP地址为外侧网络监控节点的IP地址,封装后的隧道报文的目的IP地址为所述第一 IP地址,隧道报文的源地址为L2TP中继自身的IP地址。
12.如权利要求11所述的方法,其特征在于,所述第二IP地址属于L2TP中继分配的网络隔离设备外侧网络中规划的IP地址。
13.如权利要求11所述的方法,其特征在于,所述第二IP地址属于L2TP中继自身独立规划的IP地址,所述L2TP中继与外侧监控节点建立有L2TP隧道连接;其中所述外侧监控节点发出的IP报文是封装在该隧道中的内层IP报文,L2TP中继将外侧监控节点发出的隧道报文解封装获得内层IP报文,该内层报文的源IP地址是该外侧监控节点通过L2TP中继分配的IP地址,目的地址是第一监控节点分配到的第二 IP地址,所述网络隔离设备外侧网络的监控节点包括VM和MS。
14.如权利要求11所述的方法,其中所述L2TP中继为所述网络隔离设备外侧的MS。
15.一种IP监控系统中协助监控节点穿越网络隔离设备的L2TP中继设备,其中所述监控系统中包括多个监控节点以及L2TP中继,所述多个监控节点包括EC,VC以及至少一种服务器;其中所述至少一种服务器为VM,该方法包括网络接口单元,用于通过IP网络收发报文;连接处理子单元,用于接收网络隔离设备内侧的作为LAC的第一监控节点以自身第一IP地址发出的L2TP隧道连接请求;在与第一监控节点建立隧道连接后,为第一监控节点分配第二 IP地址;报文处理子单元,用于从第一监控节点接收隧道报文并将该隧道报文进行解封装获得内层IP报文,根据内层IP报文的目的地址将该报文转发给网络隔离设备外侧的监控节点;所述内层IP报文是第一监控节点发送给网络隔离设备外侧的监控节点的监控信令数据或者监控数据,隧道报文的源地址为第一监控节点的第一 IP地址,目的地址为所述L2TP中继自身的IP地址,所述内层IP报文的目的地址为网络隔离设备外侧监控节点的IP地址,源地址为所述第二 IP地址;其中该报文处理子单元,进一步用于将网络隔离设备外侧的监控节点发出的内容为监控信令数据或者业务数据的IP报文进行隧道封装后发送给所述第一监控节点,其中该IP报文的目的地址为第二 IP地址,源地址为网络隔离设备外侧监控节点的IP地址,封装后的隧道报文的目的IP地址为所述第一 IP地址,隧道报文源地址为L2TP中继自身的IP地址。
16.如权利要求15所述的设备,其特征在于,所述第二IP地址属于L2TP中继分配的网络隔离设备外侧网络中规划的IP地址。
17.如权利要求15所述的设备,其特征在于,所述第二IP地址属于L2TP中继自身独立规划的IP地址,所述L2TP中继与外侧监控节点建立有L2TP隧道连接;其中所述外侧监控节点发出的IP报文是封装在隧道中的内层IP报文,所述报文处理子单元进一步用于将外侧监控节点发出的隧道报文解封装获得内层IP报文,该内层报文的源IP地址是该外侧监控节点通过L2TP中继分配的IP地址,目的地址是第一监控节点分配到的第二 IP地址,所述网络隔离设备外侧网络的监控节点包括VM和MS,
18.如权利要求15所述的设备,其中所述L2TP中继为所述网络隔离设备外侧的MS。
全文摘要
本发明公开了一种IP监控系统中穿越网络隔离设备的方法,该方法包括位于网络隔离设备内的第一监控节点作为LAC,使用自身的第一IP地址向作为LNS的L2TP中继发起隧道连接以与L2TP中继建立隧道连接;该第一监控节点从L2TP中继获其分配的第二IP地址;第一监控节点从L2TP中继接收隧道报文并将隧道报文进行解封装获得内层IP报文;第一监控节点将生成的监控信令数据封装到内层IP报文中,然后将该内层IP报文封装到隧道报文中发送给L2TP中继,由L2TP中继将内层IP报文转发到网络隔离设备外侧网络的监控节点,本发明能够在简单有效地穿越隔离设备的同时,避免了隔离设备对监控业务的困扰。
文档编号H04L12/46GK102571524SQ201210030678
公开日2012年7月11日 申请日期2012年2月10日 优先权日2012年2月10日
发明者周斌, 周迪, 王连朝 申请人:浙江宇视科技有限公司