專利名稱:一種ip監(jiān)控系統(tǒng)中穿越隔離設(shè)備的方法及代理設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及視頻監(jiān)控領(lǐng)域,尤其涉及IP監(jiān)控系統(tǒng)中內(nèi)外網(wǎng)通信的代理方法和代
理設(shè)備����。
背景技術(shù):
基于IP網(wǎng)絡(luò)的視頻監(jiān)控已經(jīng)逐漸發(fā)展成為安防業(yè)的主流方案,成功應(yīng)用于平安工程����、高速公路、公安網(wǎng)����、園區(qū)等大型項(xiàng)目。IP的標(biāo)準(zhǔn)性和開放性也使得各個(gè)網(wǎng)絡(luò)孤島的整合變得容易�����,使網(wǎng)絡(luò)規(guī)模的擴(kuò)展變得輕松?��?紤]到IPv4地址資源緊張和現(xiàn)有各區(qū)域網(wǎng)絡(luò)地址段相互重疊的現(xiàn)實(shí),以及各種網(wǎng)絡(luò)安全的需要�,NAT、防火墻��、安全隔離網(wǎng)閘等隔離設(shè)備被大量的應(yīng)用于大型網(wǎng)絡(luò)中����。這就使得基于IP的視頻監(jiān)控系統(tǒng)的信令和業(yè)務(wù)流程變得非常復(fù)雜,甚至導(dǎo)致某些業(yè)務(wù)在某些特定的組網(wǎng)中無法開展�����。下面簡單闡述下在視頻監(jiān)控網(wǎng)絡(luò)存在NAT���、防火墻���、安全隔離網(wǎng)閘等隔離設(shè)備時(shí),視頻監(jiān)控網(wǎng)絡(luò)通信變得復(fù)雜困難的緣由���。以最典型的NAT為例�,在網(wǎng)絡(luò)中存在NAT設(shè)備的時(shí)候,由于IP報(bào)文穿過NAT設(shè)備之后其源IP地址或目的IP地址會(huì)發(fā)生改變�����,而一個(gè)監(jiān)控業(yè)務(wù)信令報(bào)文內(nèi)部通常也包攜帶有源IP地址和目的IP地址�����,由此造成報(bào)文內(nèi)部與外部(報(bào)文頭部)的地址不統(tǒng)一��,這在很多時(shí)候會(huì)對(duì)視頻監(jiān)控業(yè)務(wù)流程造成困擾����。另外,如果NAT外網(wǎng)存在設(shè)備要首先發(fā)起通向內(nèi)網(wǎng)的TCP/UDP連接�����,就必須先在NAT設(shè)備上為內(nèi)網(wǎng)的那些設(shè)備分別配置內(nèi)部服務(wù)器的靜態(tài)地址/端口映射��,這樣顯然會(huì)浪費(fèi)大量公網(wǎng)地址�����,很多時(shí)候也是不允許的。當(dāng)然���,在控制服務(wù)器可以判斷出交互的兩臺(tái)設(shè)備誰處于NAT內(nèi)網(wǎng)誰處于外網(wǎng)時(shí)�����,可以通知內(nèi)網(wǎng)的設(shè)備主動(dòng)向外網(wǎng)設(shè)備發(fā)起連接����。但是這要求每個(gè)會(huì)話連接都實(shí)現(xiàn)兩種或甚至兩種以上的處理流程��, 對(duì)于一個(gè)包含了多個(gè)會(huì)話行為的業(yè)務(wù)流程這種組合會(huì)變得非常復(fù)雜����。況且某些標(biāo)準(zhǔn)業(yè)務(wù)也不允許交互的雙方顛倒C/S的角色�����。再比如說��,在存在防火墻時(shí)��,需要防火墻開放相當(dāng)數(shù)量的UDP/TCP端口以便防火墻外的終端�,如視頻監(jiān)控客戶端,能主動(dòng)訪問防火墻內(nèi)的服務(wù)器,如視頻管理服務(wù)器(VM)��。 這樣就給企業(yè)內(nèi)網(wǎng)帶來了安全隱患�。在存在安全隔離網(wǎng)閘時(shí),大量以IP代理方式實(shí)現(xiàn)的網(wǎng)閘(即來自外部的流量先發(fā)送到網(wǎng)閘的一個(gè)代理IP��,網(wǎng)閘修改目的IP后再往內(nèi)網(wǎng)轉(zhuǎn)發(fā))��,通常會(huì)要求網(wǎng)閘協(xié)助對(duì)業(yè)務(wù)信令的內(nèi)部信息做出相應(yīng)的修改�����,因?yàn)槠渲锌赡馨蠭P地址信息�����。于是監(jiān)控系統(tǒng)廠家每開發(fā)一個(gè)新特性可能都會(huì)要求網(wǎng)閘公司配合做出相應(yīng)的特性開發(fā)�����。另外����,一些特殊用戶還有特殊的視頻監(jiān)控網(wǎng)絡(luò)需求。比如說公安網(wǎng)絡(luò)等安全性要求較高的網(wǎng)絡(luò)需要所有的會(huì)話連接都要求由內(nèi)網(wǎng)發(fā)起�,否則外部流量就進(jìn)入不了內(nèi)網(wǎng)�����。在一個(gè)典型的集中控制架構(gòu)中��,終端�����,如編碼設(shè)備��,首先得向服務(wù)器���,如視頻管理服務(wù)器��,發(fā)起注冊(cè)信令��,點(diǎn)播業(yè)務(wù)也是點(diǎn)播主機(jī)先向服務(wù)器發(fā)起申請(qǐng)�����,當(dāng)終端和主機(jī)處于外網(wǎng)而服務(wù)器處于內(nèi)網(wǎng)時(shí)業(yè)務(wù)就會(huì)遭遇困境
發(fā)明內(nèi)容
有鑒于此�����,本發(fā)明提供一種IP監(jiān)控系統(tǒng)中穿越隔離設(shè)備的方法,該方法應(yīng)用于監(jiān)控系統(tǒng)的分支網(wǎng)絡(luò)中的一個(gè)代理設(shè)備上��,其中所述監(jiān)控系統(tǒng)中包括多個(gè)監(jiān)控節(jié)點(diǎn)以及LNS����, 該方法包括向LNS發(fā)起隧道連接請(qǐng)求以與LNS建立L2TP隧道連接,并從LNS獲得隧道內(nèi)層IP 地址����;從分支網(wǎng)絡(luò)內(nèi)收到監(jiān)控節(jié)點(diǎn)向外發(fā)送的IP報(bào)文,將該IP報(bào)文的源IP地址修改為隧道內(nèi)層IP地址�����,并記錄下報(bào)文攜帶的該監(jiān)控節(jié)點(diǎn)標(biāo)識(shí)與監(jiān)控節(jié)點(diǎn)IP地址的對(duì)應(yīng)關(guān)系將修改后的IP報(bào)文封裝為隧道報(bào)文通過隧道發(fā)送出去�;從L2TP隧道接收到隧道報(bào)文,將該隧道報(bào)文進(jìn)行解封裝獲得隧道內(nèi)層IP報(bào)文����,根據(jù)隧道內(nèi)層IP報(bào)文攜帶監(jiān)控節(jié)點(diǎn)標(biāo)識(shí)以及所述對(duì)應(yīng)關(guān)系將該隧道內(nèi)層IP報(bào)文的目的地址修改為所述監(jiān)控節(jié)點(diǎn)的IP地址,將修改后的IP報(bào)文轉(zhuǎn)發(fā)給所述監(jiān)控節(jié)點(diǎn)�����。本發(fā)明還提供一種IP監(jiān)控系統(tǒng)中穿越隔離設(shè)備的代理設(shè)備�����,其中所述監(jiān)控系統(tǒng)中包括多個(gè)監(jiān)控節(jié)點(diǎn)以及LNS ;���,該設(shè)備包括隧道處理單元以及業(yè)務(wù)處理單元其中隧道處理單元����,用于向LNS發(fā)起隧道連接請(qǐng)求以與LNS建立L2TP隧道連接����,并從 LNS獲得隧道內(nèi)層IP地址;該隧道處理單元進(jìn)一步用于將隧道處理單元修改后的IP報(bào)文封裝為隧道報(bào)文發(fā)送出去或者將接收到的隧道報(bào)文解封裝得到隧道內(nèi)層IP報(bào)文提交給業(yè)務(wù)代理單元����;業(yè)務(wù)代理單元,用于在從分支網(wǎng)絡(luò)內(nèi)收到監(jiān)控節(jié)點(diǎn)向外發(fā)送的IP報(bào)文時(shí)�����,將該IP 報(bào)文的源IP地址修改為隧道內(nèi)層IP地址后提交給隧道處理單元��,并記錄報(bào)文攜帶的該監(jiān)控節(jié)點(diǎn)標(biāo)識(shí)與監(jiān)控節(jié)點(diǎn)IP地址的對(duì)應(yīng)關(guān)系��;其中該業(yè)務(wù)處理單元進(jìn)一步用于根據(jù)隧道處理單元解封裝獲得的隧道內(nèi)層IP報(bào)文中攜帶的監(jiān)控節(jié)點(diǎn)標(biāo)識(shí)以及所述對(duì)應(yīng)關(guān)系將該隧道內(nèi)層IP報(bào)文的目的地址修改為所述監(jiān)控節(jié)點(diǎn)的IP地址����,并將修改后的報(bào)文所述監(jiān)控節(jié)點(diǎn)。與現(xiàn)有技術(shù)相比���,本發(fā)明則不受這樣NAT流表老化機(jī)制這樣的限制��。更為重要的是��,現(xiàn)有技術(shù)中�����,監(jiān)控業(yè)務(wù)開發(fā)過程中可能需要為各種監(jiān)控業(yè)務(wù)都進(jìn)行NAT配置的考慮���,并且網(wǎng)絡(luò)管理員的管理任務(wù)更加復(fù)雜和繁瑣,而本發(fā)明通過隧道代理的方式有效地解決了這個(gè)問題����,隧道代理機(jī)制位于監(jiān)控業(yè)務(wù)的下層,對(duì)各種監(jiān)控業(yè)務(wù)基本是透明的����。另外,相對(duì)于傳統(tǒng)配置NAT等隔離設(shè)備的方式�����,本發(fā)明由于使用了 L2TP隧道,天然繼承L2TP隧道的VPN 安全性�����,認(rèn)證機(jī)制以及數(shù)據(jù)壓縮等優(yōu)勢(shì)����,在完成穿越隔離設(shè)備的同時(shí)保證了監(jiān)控系統(tǒng)的安全。最后�����,由于本發(fā)明還采用業(yè)務(wù)代理的方式��,大量內(nèi)網(wǎng)的監(jiān)控節(jié)點(diǎn)并不需要建立L2TP隧道��,避免了增加內(nèi)網(wǎng)監(jiān)控節(jié)點(diǎn)的處理負(fù)擔(dān)��。
圖1為本發(fā)明一種實(shí)施方式中監(jiān)控系統(tǒng)的組網(wǎng)示意圖���;圖2為本發(fā)明L2TP隧道建立的抽象組網(wǎng)圖;圖3為本發(fā)明代理設(shè)備的基本硬件架構(gòu)��;圖4為本發(fā)明代理設(shè)備的邏輯結(jié)構(gòu)圖。
具體實(shí)施例方式下面結(jié)合附圖及具體實(shí)施例對(duì)本發(fā)明再作進(jìn)一步詳細(xì)的說明�。
圖1顯示了一個(gè)IP監(jiān)控系統(tǒng)。該IP監(jiān)控系統(tǒng)指包括三個(gè)分支網(wǎng)絡(luò)����,三個(gè)分支網(wǎng)絡(luò)之間通過中間的公網(wǎng)相連。其中視頻管理服務(wù)器VM所在的分支網(wǎng)絡(luò)C是公網(wǎng)����,分支網(wǎng)絡(luò) A(192. 168. χ. χ,圖1中的區(qū)域A)及分支網(wǎng)絡(luò)B(10. χ. χ. x���,圖1中區(qū)域B)均是私網(wǎng)���。該監(jiān)控系統(tǒng)包括了網(wǎng)絡(luò)隔離設(shè)備(如NAT、防火墻����、網(wǎng)閘等)、EC�、VC、VM以及其他服務(wù)器(如IP 存儲(chǔ)服務(wù)器IPSAN�、媒體交換服務(wù)器MS、數(shù)據(jù)管理服務(wù)器DM等)�����。在本發(fā)明的監(jiān)控系統(tǒng)中, EC��、VC及各種服務(wù)器被稱為監(jiān)控節(jié)點(diǎn)�。在圖1中,分支網(wǎng)絡(luò)A中的EC與VC位于自身網(wǎng)絡(luò)出口網(wǎng)絡(luò)隔離設(shè)備的內(nèi)側(cè)����,即被隔離或者說被保護(hù)的一側(cè),也稱為內(nèi)網(wǎng)側(cè)���。而監(jiān)控服務(wù)器相對(duì)于上述隔離設(shè)備來說自然是位于隔離設(shè)備的外側(cè)�����,也稱為外網(wǎng)側(cè)�。隔離設(shè)備的存在導(dǎo)致內(nèi)網(wǎng)可以主動(dòng)訪問外網(wǎng)���,但是外網(wǎng)在隔離設(shè)備沒有特殊配置的前提下是無法訪問內(nèi)網(wǎng)的問題�����。本發(fā)明并不是從NAT等隔離設(shè)備入手���,而是從業(yè)務(wù)與通信結(jié)合入手來解決這個(gè)問題。在在本發(fā)明中���,首先由位于內(nèi)網(wǎng)的代理設(shè)備(L2TP Proxy,LP) 作為L2TP客戶端(LAC)向L2TP服務(wù)端(LNQ發(fā)起隧道連接請(qǐng)求���,隧道連接建立后內(nèi)網(wǎng)監(jiān)控終端將獲得由L2TP服務(wù)端分配的隧道內(nèi)層IP地址。然后LP開始代理內(nèi)部各種監(jiān)控節(jié)點(diǎn)與外網(wǎng)之間的監(jiān)控業(yè)務(wù)��。在圖2中LP位于分支網(wǎng)絡(luò)A的出口處����,比如通過軟/硬件技術(shù)集成在出口網(wǎng)絡(luò)設(shè)備上,這樣的部署相對(duì)簡單�,可以為分支網(wǎng)絡(luò)2內(nèi)所有需要代理服務(wù)的監(jiān)控節(jié)點(diǎn)提供服務(wù),當(dāng)然也可以部署在網(wǎng)絡(luò)中其他的位置��。圖2是圖1中LP建立L2TP隧道的抽象模型��,LNS為作為LAC客戶端的LP分配的隧道內(nèi)層IP地址是12. 12. 11. 10���。位于中心網(wǎng)絡(luò)的LNS與內(nèi)網(wǎng)連接接口的IP地址為 12. 12. 10. 10�,這個(gè)地址從內(nèi)網(wǎng)的角度來看是一個(gè)公網(wǎng)地址,也就是說是內(nèi)網(wǎng)可以直接訪問的����;如果該地址不能被直接訪問到,可以在本網(wǎng)絡(luò)出口的隔離設(shè)備上配置靜態(tài)映射的對(duì)應(yīng)公網(wǎng)地址�。在隧道通信模式中,它是隧道外層IP地址����。LNS與外網(wǎng)其他設(shè)備連接的接口 IP 地址為12. 12. 12.9/24。需要說明的是�����,公網(wǎng)地址及私網(wǎng)地址是相對(duì)而言的��,其取決于網(wǎng)絡(luò)的規(guī)劃�����,比如互聯(lián)網(wǎng)上的公網(wǎng)IP地址也可以被規(guī)劃起來作為私網(wǎng)地址重復(fù)使用�����。LP采用新分配到的IP地址12. 12. 11. 10/M通過隧道與外網(wǎng)的VM進(jìn)行通信��。隧道通信模式所使用的報(bào)文請(qǐng)參考表1所示的報(bào)文封裝模型。
權(quán)利要求
1.一種IP監(jiān)控系統(tǒng)中穿越隔離設(shè)備的方法�,該方法應(yīng)用于監(jiān)控系統(tǒng)的分支網(wǎng)絡(luò)中的一個(gè)代理設(shè)備上,其中所述監(jiān)控系統(tǒng)中包括多個(gè)監(jiān)控節(jié)點(diǎn)以及LNS�,該方法包括向LNS發(fā)起隧道連接請(qǐng)求以與LNS建立L2TP隧道連接,并從LNS獲得隧道內(nèi)層IP地址����;從分支網(wǎng)絡(luò)內(nèi)收到監(jiān)控節(jié)點(diǎn)向外發(fā)送的IP報(bào)文����,將該IP報(bào)文的源IP地址修改為隧道內(nèi)層IP地址,并記錄下報(bào)文攜帶的該監(jiān)控節(jié)點(diǎn)標(biāo)識(shí)與監(jiān)控節(jié)點(diǎn)IP地址的對(duì)應(yīng)關(guān)系���;將修改后的IP報(bào)文封裝為隧道報(bào)文通過隧道發(fā)送出去��;從L2TP隧道接收到隧道報(bào)文����,將該隧道報(bào)文進(jìn)行解封裝獲得隧道內(nèi)層IP報(bào)文���,根據(jù)隧道內(nèi)層IP報(bào)文攜帶監(jiān)控節(jié)點(diǎn)標(biāo)識(shí)以及所述對(duì)應(yīng)關(guān)系將該隧道內(nèi)層IP報(bào)文的目的地址修改為所述監(jiān)控節(jié)點(diǎn)的IP地址�����,將修改后的IP報(bào)文轉(zhuǎn)發(fā)給所述監(jiān)控節(jié)點(diǎn)���。
2.如權(quán)利要求1所述的方法���,其中所述監(jiān)控節(jié)點(diǎn)標(biāo)識(shí)是監(jiān)控節(jié)點(diǎn)的URL。
3.如權(quán)利要求1所述的方法�����,在將IP報(bào)文的源地址修改之前�,進(jìn)一步根據(jù)配置的服務(wù)范圍判斷是否需要為該監(jiān)控節(jié)點(diǎn)提供代理服務(wù),如果需要?jiǎng)t繼續(xù)���;否則跳過隧道封裝將該 IP報(bào)文轉(zhuǎn)發(fā)出去����。
4.如權(quán)利要求3所述的方法����,所述預(yù)設(shè)的服務(wù)范圍是預(yù)設(shè)的IP地址段或者符合預(yù)定規(guī)則的URL。
5.一種IP監(jiān)控系統(tǒng)中穿越隔離設(shè)備的代理設(shè)備�����,其中所述監(jiān)控系統(tǒng)中包括多個(gè)監(jiān)控節(jié)點(diǎn)以及LNS,該設(shè)備包括隧道處理單元以及業(yè)務(wù)處理單元隧道處理單元����,用于向LNS發(fā)起隧道連接請(qǐng)求以與LNS建立L2TP隧道連接,并從LNS 獲得隧道內(nèi)層IP地址�����;該隧道處理單元進(jìn)一步用于將隧道處理單元修改后的IP報(bào)文封裝為隧道報(bào)文發(fā)送出去或者將接收到的隧道報(bào)文解封裝得到隧道內(nèi)層IP報(bào)文提交給業(yè)務(wù)代理單元�;業(yè)務(wù)代理單元,用于在從分支網(wǎng)絡(luò)內(nèi)收到監(jiān)控節(jié)點(diǎn)向外發(fā)送的IP報(bào)文時(shí)��,將該IP報(bào)文的源IP地址修改為隧道內(nèi)層IP地址后提交給隧道處理單元��,并記錄報(bào)文攜帶的該監(jiān)控節(jié)點(diǎn)標(biāo)識(shí)與監(jiān)控節(jié)點(diǎn)IP地址的對(duì)應(yīng)關(guān)系�����;其中該業(yè)務(wù)處理單元進(jìn)一步用于根據(jù)隧道處理單元解封裝獲得的隧道內(nèi)層IP報(bào)文中攜帶的監(jiān)控節(jié)點(diǎn)標(biāo)識(shí)以及所述對(duì)應(yīng)關(guān)系將該隧道內(nèi)層 IP報(bào)文的目的地址修改為所述監(jiān)控節(jié)點(diǎn)的IP地址�����,并將修改后的報(bào)文所述監(jiān)控節(jié)點(diǎn)����。
6.如權(quán)利要求5所述的設(shè)備,其中所述監(jiān)控節(jié)點(diǎn)標(biāo)識(shí)是監(jiān)控節(jié)點(diǎn)的URL��。
7.如權(quán)利要求5所述的設(shè)備���,其中所述業(yè)務(wù)處理單元進(jìn)一步用于����,在將IP報(bào)文的源地址修改之前��,根據(jù)配置的服務(wù)范圍判斷是否需要為該監(jiān)控節(jié)點(diǎn)提供代理服務(wù)���,如果需要?jiǎng)t繼續(xù)����;否則跳過隧道封裝將該IP報(bào)文轉(zhuǎn)發(fā)出去�。
8.如權(quán)利要求7所述的設(shè)備,所述預(yù)設(shè)的服務(wù)范圍是預(yù)設(shè)的IP地址段或者符合預(yù)定規(guī)則的URL���。
全文摘要
本發(fā)明提供一種IP監(jiān)控系統(tǒng)中穿越隔離設(shè)備的方法及代理設(shè)備�,該方法應(yīng)用于監(jiān)控系統(tǒng)�����,該監(jiān)控系統(tǒng)中包括多個(gè)監(jiān)控節(jié)點(diǎn)以及LNS;該方法包括與LNS建立L2TP隧道連接��,從LNS獲得隧道內(nèi)層IP地址��;從分支網(wǎng)絡(luò)內(nèi)收到監(jiān)控節(jié)點(diǎn)向外發(fā)送的IP報(bào)文���,將該IP報(bào)文的源IP地址修改為隧道內(nèi)層IP地址��,并記錄下報(bào)文攜帶的該監(jiān)控節(jié)點(diǎn)標(biāo)識(shí)與監(jiān)控節(jié)點(diǎn)IP地址的對(duì)應(yīng)關(guān)系����;將修改后的IP報(bào)文通過隧道發(fā)送出去����;將收到的隧道報(bào)文進(jìn)行解封裝獲得隧道內(nèi)層IP報(bào)文�����,根據(jù)監(jiān)控節(jié)點(diǎn)標(biāo)識(shí)以及所述對(duì)應(yīng)關(guān)系將該隧道內(nèi)層IP報(bào)文的目的地址修改為所述監(jiān)控節(jié)點(diǎn)的IP地址轉(zhuǎn)發(fā)給所述監(jiān)控節(jié)點(diǎn)����。本發(fā)明能有效地協(xié)助分支網(wǎng)絡(luò)在存在隔離設(shè)備時(shí)能夠被外網(wǎng)的其他監(jiān)控節(jié)點(diǎn)訪問到。
文檔編號(hào)H04L29/06GK102571814SQ20121003033
公開日2012年7月11日 申請(qǐng)日期2012年2月10日 優(yōu)先權(quán)日2012年2月10日
發(fā)明者周迪, 王連朝 申請(qǐng)人:浙江宇視科技有限公司