Ip监控系统中穿越、协助穿越网络隔离设备的方法和节点的制作方法

专利名称：Ip监控系统中穿越、协助穿越网络隔离设备的方法和节点的制作方法
技术领域：
本发明涉及视频监控领域，尤其涉及一种IP监控系统中穿越、协助穿越网络隔离设备的方法和节点。
背景技术：
基于IP网络的视频监控已经逐渐发展成为安防业的主流方案，成功应用于平安工程、高速公路、公安网、园区等大型项目。IP的标准性和开放性也使得各个网络孤岛的整合变得容易，使网络规模的扩展变得轻松。考虑到IPv4地址资源紧张和现有各区域网络地址段相互重叠的现实，以及各种网络安全的需要，NAT、防火墙、安全隔离网闸等设备被大量的应用于大型网络中。这就使得基于IP的视频监控系统的信令和业务流程变得非常复杂， 甚至导致某些业务在某些特定的组网中无法开展。下面简单阐述下在视频监控网络存在 NAT、防火墙、安全隔离网闸时，视频监控网络通信变得复杂困难的缘由。在存在NAT设备的时候，由于IP报文穿过NAT设备之后其源IP地址或目的IP地址会发生改变，而一个业务信令内部通常也包含有源IP地址和目的IP地址，由此造成内、 外部地址的不统一，这在很多时候会对视频监控业务流程造成困扰。另外，如果NAT外网存在设备要首先发起通向内网的TCP/UDP连接，就必须先在NAT设备上为内网的那些设备分别配置内部服务器的地址/端口映射，这样显然会浪费大量公网地址，很多时候也是不允许的。当然，在控制服务器可以判断出交互的两台设备谁处于NAT内网谁处于外网时，可以通知内网的设备主动向外网设备发起连接。但是这要求每个会话连接都实现两种或甚至两种以上的处理流程，对于一个包含了多个会话行为的业务流程这种组合会变得非常复杂。 况且某些标准业务也不允许交互的双方颠倒C/S的角色。在存在防火墙时，需要防火墙开放相当数量的UDP/TCP端口以便防火墙外的终端，如视频监控客户端，能主动访问防火墙内的服务器，如视频管理服务器(VM)。这样就给企业内网带来了安全隐患。在存在安全隔离网闸时，大量以IP代理方式实现的网闸(即来自外部的流量先发送到网闸的一个代理IP，网闸修改目的IP后再往内网转发)，通常会要求网闸协助对业务信令的内部信息做出相应的修改，因为其中可能包含有IP地址信息。于是监控系统厂家每开发一个新特性可能都会要求网闸公司配合做出相应的特性开发。另外，一些特殊用户还有特殊的视频监控网络需求。比如说公安网络等安全性要求较高的网络需要所有的会话连接都要求由内网发起，否则外部流量就进入不了内网。在一个典型的集中控制架构中，终端，如编码设备，首先得向服务器，如视频管理服务器，发起注册信令，点播业务也是点播主机先向服务器发起申请，当终端和主机处于外网而服务器处于内网时业务就会遭遇困境。

发明内容
本发明提供了一种IP监控系统中穿越网络隔离设备的方法和对应的监控节点。
本发明的技术方案是这样实现的一种IP监控系统中穿越网络隔离设备的方法，该方法应用于监控系统的监控节点上，其中所述监控系统中包括多个监控节点以及L2TP中继，所述多个监控节点包括EC， VC以及至少一种服务器；其中所述至少一种服务器为VM，该方法包括位于网络隔离设备内侧网络内的第一监控节点作为LNS，接收作为LAC的L2TP中继发起隧道连接请求，与该 L2TP中继建立L2TP隧道连接；L2TP隧道连接建立后，所述第一监控节点分配IP地址给所述L2TP中继，第一监控节点激活自身L2TP虚接口 IP地址；第一监控节点从L2TP中继接收隧道报文并将隧道报文进行解封装获得内容为监控信令数据的内层IP报文，所述内层IP 报文是网络隔离设备外侧网络的监控节点发送的监控信令数据，所述隧道报文的目的地址为第一监控节点自身的IP地址，隧道报文的源地址为L2TP中继自身的IP地址，所述内层 IP报文的目的地址为第一监控节点L2TP虚接口的IP地址，所述内层IP报文的源地址为外侧网络中监控节点的IP地址；第一监控节点从内层IP报文中获得监控信令数据并进行相应的信令处理；第一监控节点将自身生成的监控信令数据封装到内层IP报文中，然后将所述内层IP报文封装到隧道报文中发送给L2TP中继，L2TP中继将内层IP报文转发到网络隔离设备外侧网络的监控节点，其中该内层IP报文的源地址为第一监控节点L2TP虚接口的IP地址，目的地址为外侧网络监控节点的IP地址，该隧道报文的源地址为第一监控节点自身的IP地址，该隧道报文的目的IP地址为L2TP中继自身的IP地址。一种IP监控系统中穿越网络隔离设备的监控节点，其中该监控节点位于网络隔离设备内侧网络，所述监控系统中包括多个监控节点以及L2TP中继，所述多个监控节点包括EC，VC以及至少一种服务器；其中所述至少一种服务器为VM，该监控节点包括隧道处理单元、信令处理单元以及网络接口单元；其中所述隧道处理单元包括连接处理子单元以及报文处理子单元其中，网络接口单元，用于在IP网络上收发报文；信令处理单元，用于处理监控信令数据；连接处理子单元，用于接收作为LNS的L2TP中继发起隧道连接请求；并在L2TP隧道连接建立后分配IP地址给所述L2TP中继，并激活自身L2TP虚接口 IP地址； 报文处理子单元，用于将网络接口单元从L2TP中继接收的隧道报文进行解封装获得内容为监控信令数据的内层IP报文，并将该监控信令数据提交给信令处理单元；其中所述内层 IP报文是网络隔离设备外侧监控节点发送的报文，所述隧道报文的目的地址为所述该监控节点自身的IP地址，隧道报文的源地址为L2TP中继自身的IP地址；所述内层IP报文的目的地址为所述所述L2TP虚接口 IP地址，源IP地址为所述外侧监控节点的IP地址；其中该报文处理子单元进一步用于，将监控节点信令处理单元生成的监控信令数据封装到内层IP 报文中，然后将所述内层IP报文封装到隧道报文中发送给网络接口单元，由网络接口单元发送给L2TP中继，L2TP中继将内层IP报文转发到网络隔离设备外侧网络的监控节点，其中该内层IP报文的源地址为所述L2TP虚接口的IP地址，内层报文的目的地址为所述外侧网络监控节点的IP地址，该隧道报文的源地址为该监控节点自身的IP地址，该隧道报文的目的地址为L2TP中继自身的IP地址。本发明还提供了一种IP监控系统中协助穿越网络隔离设备的方法和对应的L2TP 中继。该方案如下实现该方案一种IP监控系统中协助监控节点穿越网络隔离设备的方法，该方法应用于监控系统的L2TP中继上，其中所述监控系统中包括多个监控节点以及L2TP中继，所述多个监控节点包括EC，VC以及至少一种服务器；其中所述至少一种服务器为VM，该方法包括 L2TP中继作为LAC向网络隔离设备内侧网络内的作为LNS的第一监控节点发出L2TP隧道连接请求；在与第一监控节点建立隧道连接后，接收第一监控节点分配的IP地址；从第一监控节点接收隧道报文并将该隧道报文进行解封装获得内层IP报文，所述内层IP报文是第一监控节点发送给网络隔离设备外侧的监控节点的报文，隧道报文的源地址为第一监控节点自身的IP地址，目的地址为所述L2TP中继自身的IP地址，所述内层IP报文的目的地址为外侧网络中的监控节点的IP地址，源地址为所述第一监控节点L2TP虚接口的IP地址；根据内层IP报文的目的地址，将该报文转发给网络隔离设备外侧的监控节点；将网络隔离设备外侧的监控节点发出的IP报文进行隧道封装后发送给所述第一监控节点，其中该IP报文的目的地址为第一监控节点L2TP虚接口的IP地址，源地址为网络隔离设备外侧的监控节点的IP地址，封装后的隧道报文的目的IP地址为所述第一监控节点自身的IP地址，隧道源IP地址为L2TP中继自身的IP地址。一种IP监控系统中协助监控节点穿越网络隔离设备的L2TP中继设备，其中所述监控系统中包括多个监控节点以及L2TP中继，所述多个监控节点包括EC，VC以及至少一种服务器；其中所述至少一种服务器为VM，该方法包括网络接口单元，用于通过IP网络收发报文；连接处理子单元，用于向作为LNS的网络隔离设备内侧的监控节点以L2TP中继自身的IP地址发出的L2TP隧道连接请求；在与所述监控节点建立隧道连接后，接收内侧网络监控节点分配的IP地址；报文处理子单元，用于从所述网络隔离设备内侧监控节点接收隧道报文并将该隧道报文进行解封装获得内层IP报文，根据内层IP报文的目的地址将该报文转发给网络隔离设备外侧的监控节点；所述内层IP报文是网络隔离设备内侧的监控节点发送给网络隔离设备外侧的监控节点的报文，隧道报文的源地址为内侧监控节点自身的IP 地址，目的地址为所述L2TP中继自身的IP地址，所述内层IP报文的目的地址为网络隔离设备外侧监控节点的IP地址，源地址为所述内侧监控节点L2TP虚接口的IP地址；其中该报文处理子单元，进一步用于将网络隔离设备外侧的监控节点发出的IP报文进行隧道封装后发送给所述内侧的监控节点，其中该IP报文的目的地址为内侧监控节点L2TP虚接口的IP地址，源地址为网络隔离设备外侧监控节点的IP地址，封装后的隧道报文的目的IP 地址为所述内侧节点自身的IP地址，隧道报文源地址为L2TP中继自身的IP地址。与现有技术相比，本发明能够解决了当前IP监控系统业务端口过多、NAT转换或网闸穿越时内部消息转换的困扰，从而使监控系统内部的新特性开发只需要专注于业务本身，而不必再为网络层面的转换而操心，而网闸公司也不必针对性的为监控系统这种业务做出特定的开发，对客户的防火墙来说需要开放的端口或地址映射也更少，从而更加的安全。尤其是对于要求一个方向先发起会话的环境，L2TP中继可以作为LAC角色向网络隔离设备内侧网络发起连接，而不必要求监控业务层面做出调整。此外L2TP的接收端可以会对接收到的乱序报文进行缓存和调整，这对于音视频流量尤为有意义，因为乱序会极大的影响音视频的解码和播放效果。L2TP之上的PPP协议具有会话连接认证功能，这就提供一层安全防护；PPP可以对报文头或数据进行压缩，这样可以减少数据的传输量。如果需要进一步的保密，只需要在L2TP隧道的基础上叠加msec 即可，可以是 L2TP overlPsec，也可以是 IPsec over L2tp。


图1为实施例一的网络示意图；图2为实施例二的网络示意图；图加为实施例二的另一网络示意3为实施例三的网络示意图；图4为实施例四的网络示意图；图如为实施例四的另一网络示意图；图5是本发明监控节点或者L2TP中继设备的基本硬件架构；图6是本发明监控节点或者L2TP中继设备的逻辑结构图。
具体实施例方式本发明按如下思路进行创作IP监控系统中监控节点穿越网络隔离设备时，位于网络隔离设备内侧网络内的第一监控节点作为LNS，接收作为LAC的L2TP中继发起隧道连接请求，与该L2TP中继建立 L2TP隧道连接；L2TP隧道连接建立后，该第一监控节点分配IP地址给该L2TP中继，第一监控节点激活自身L2TP虚接口 IP地址；第一监控节点从L2TP中继接收隧道报文并将隧道报文进行解封装获得内容为监控信令数据的内层IP报文，该内层IP报文是网络隔离设备外侧网络的监控节点发送的监控信令数据，该隧道报文的目的地址为第一监控节点自身的IP 地址，隧道报文的源地址为L2TP中继自身的IP地址，该内层IP报文的目的地址为第一监控节点L2TP虚接口的IP地址，该内层IP报文的源地址为外侧网络中监控节点的IP地址； 第一监控节点从内层IP报文中获得监控信令数据并进行相应的信令处理；第一监控节点将自身生成的监控信令数据封装到内层IP报文中，然后将该内层IP报文封装到隧道报文中发送给L2TP中继，L2TP中继将内层IP报文转发到网络隔离设备外侧网络的监控节点， 其中该内层IP报文的源地址为第一监控节点L2TP虚接口的IP地址，目的地址为外侧网络监控节点的IP地址，该隧道报文的源地址为第一监控节点自身的IP地址，该隧道报文的目的IP地址为L2TP中继自身的IP地址。该第一监控节点还从L2TP中继接收隧道报文并将隧道报文进行解封装获得内容为监控业务数据的内层IP报文，该内层IP报文是网络隔离设备外侧网络监控节点发送的监控业务数据报文，该隧道报文的目的地址为该第一监控节点自身的IP地址，隧道报文的源地址为L2TP中继自身的IP地址；该内层IP报文的目的地址为该第一监控节点L2TP虚接口的，源地址为该外侧网络监控节点的IP地址；或者第一监控节点还将生成的监控业务数据封装到内层IP报文中，然后将该内层IP报文封装到隧道报文中发送给L2TP中继，由 L2TP中继将内层IP报文转发到网络隔离设备外侧网络的监控节点，其中该内层IP报文的源地址为第一监控节点L2TP虚接口 IP地址，内层报文的目的地址为该外侧网络监控节点的IP地址，该隧道报文的源地址为第一监控节点自身的IP地址，该隧道报文的目的地址为 L2TP中继自身的IP地址。该第一监控节点L2TP虚接口的IP地址是网络隔离设备外侧网络规划的IP地址。 或者该第一监控节点L2TP虚接口的IP地址是自身独立规划的IP地址，该L2TP中继与网络隔离设备外侧的监控节点建立有L2TP隧道连接，该网络隔离设备外的监控节点包括VM禾口 MS。该第一监控节点为VM，VM接收L2TP中继通过VM与L2TP中继建立的L2TP隧道发送的封装在隧道报文中的监控信令数据，该监控信令数据由EC或者VC发送。IP监控系统中L2TP中继协助监控节点穿越网络隔离设备时，L2TP中继作为LAC 向网络隔离设备内侧网络内的作为LNS的第一监控节点发出L2TP隧道连接请求；在与第一监控节点建立隧道连接后，接收第一监控节点分配的IP地址；从第一监控节点接收隧道报文并将该隧道报文进行解封装获得内层IP报文，该内层IP报文是第一监控节点发送给网络隔离设备外侧的监控节点的报文，隧道报文的源地址为第一监控节点自身的IP地址，目的地址为该L2TP中继自身的IP地址，该内层IP报文的目的地址为外侧网络中的监控节点的IP地址，源地址为该第一监控节点L2TP虚接口的IP地址；根据内层IP报文的目的地址，将该报文转发给网络隔离设备外侧的监控节点；将网络隔离设备外侧的监控节点发出的IP报文进行隧道封装后发送给该第一监控节点，其中该IP报文的目的地址为第一监控节点L2TP虚接口的IP地址，源地址为网络隔离设备外侧的监控节点的IP地址，封装后的隧道报文的目的IP地址为该第一监控节点自身的IP地址，隧道源IP地址为L2TP中继自身的IP地址。该L2TP中继与网络隔离设备外侧的监控节点建立有L2TP隧道连接具体为该 L2TP中继与VM和MS建立有L2TP隧道连接，L2TP中继接收网络隔离设备外侧的VM和MS 发送的隧道报文后，先将该隧道报文进行解封装，然后重新进行隧道封装后发送给网络隔离设备内侧的第一监控节点。该L2TP中继为该网络隔离设备外侧的MS。下面结合附图及具体实施例对本发明再作进一步详细的说明。实施例中涉及到的各种节点或者设备定义如下EC为编码终端或媒体终端，VC为监控客户端，VM为视频管理服务器，DM为数据管理服务器，MS为媒体交换服务器，IPSAN为IP存储服务器，LNS为L2TP 服务端，本发明将其命名为L2TP中继设备，因为其还需要执行报文转发工作。在下面实施例中L2TP中继在建立L2TP隧道的时候作为LAC角色存在。实施例一图1显示实施例一的网络示意图。该网络是一个IP监控系统。该IP监控系统包含多个监控节点。图1中，监控节点ECll被网络隔离设备与另一网络隔离。网络隔离设备可以是NAT，防火墙或者网闸等。本实施例中，如图1，该监控系统中的监控节点ECll所在的网络为网络隔离设备内侧的网络，这里称其为网络A，它被网络隔离设备隔离或者说保护， 这里将网络隔离设备外侧网络称为网络B。由于网络隔离设备的存在，导致网络A可以访问网络B，而网络B在没有特殊配置的前提下无法访问网络A。该IP监控系统还包含L2TP 中继14。监控节点ECll自身的IP地址是10. 10. 10. 10，即属于网络A(网络A的IP地址是10. 10. 10. 0/24)的IP地址是10. 10. 10. 10 ；监控网络中其他监控节点自身的IP地址和这里EC 11自身的IP地址作类似的解释。L2TP中继14自身的IP地址，即非通过LNS服务端分配的IP地址为12. 12. 10. 10，这个地址从网络A的角度来看属于公网地址，即网络A 可以直接访问；如果该地址不能被直接访问到，可以在本网络出口的隔离设备上配置静态映射的对应公网地址。监控节点ECll需要和网络B中的另一监控节点进行通信。L2TP中继14作为LAC，以自身IP地址12. 12. 10. 10向作为LNS的ECll发起隧道
10连接请求，以与ECll建立L2TP隧道连接。这里，L2TP中继14被网络隔离设备隔离，需要网络隔离设备进行相关处理才能使L2TP中继发起的隧道连接请求能够穿越网络隔离设备到达网络A监控节点，比如说配置静态映射的对应公网地址。ECll收到该隧道连接请求后，与 L2TP中继14建立隧道连接，并将地址池中的地址分配给L2TP中继14。ECll地址池中的地址属于网络B规划的IP地址，但是和网络B已经存在的设备的IP地址不同。ECll的地址池中的IP地址属于12. 12. 11. 0/24，其分配给L2TP中继14的IP地址为12. 12. 11. 10，ECll 激活L2TP虚接口的IP地址12. 12. 11. 1。ECll与网络B中的监控节点如视频管理服务器VM13进行通信时，比如ECll向VM13进行注册的时候，将对注册报文进行隧道封装，这里 VM13的IP地址为12. 12. 12. 10，属于网络12. 12. 12. 0/24。ECll将监控信令数据，即注册报文的内容封装到内层IP报文中，然后将该内层IP报文封装到隧道报文中发送给L2TP中继 14，其中该内层IP报文的源地址为ECll的L2TP虚接口的IP地址12. 12. 11. 1，目的地址为 VMl3的IP地址12. 12. 12. 10 ；该隧道报文的源地址为ECll自身的IP地址10. 10. 10. 10， 目的地址为L2TP中继14的IP地址12. 12. 10. 10。L2TP中继14从监控节点ECll接收到其发送的隧道报文后将该隧道报文进行解封装获得内层IP报文。ECll根据自身的保存的路由信息将该内层IP报文根据目的IP地址进行路由。本例中L2TP中继的路由信息如下表所示
权利要求
1.一种IP监控系统中穿越网络隔离设备的方法，该方法应用于监控系统的监控节点上，其中所述监控系统中包括多个监控节点以及L2TP中继，所述多个监控节点包括EC，VC 以及至少一种服务器；其中所述至少一种服务器为VM，该方法包括位于网络隔离设备内侧网络内的第一监控节点作为LNS，接收作为LAC的L2TP中继发起隧道连接请求，与该L2TP中继建立L2TP隧道连接；L2TP隧道连接建立后，所述第一监控节点分配IP地址给所述L2TP中继，第一监控节点激活自身L2TP虚接口 IP地址；第一监控节点从L2TP中继接收隧道报文并将隧道报文进行解封装获得内容为监控信令数据的内层IP报文，所述内层IP报文是网络隔离设备外侧网络的监控节点发送的监控信令数据，所述隧道报文的目的地址为第一监控节点自身的IP地址，隧道报文的源地址为 L2TP中继自身的IP地址，所述内层IP报文的目的地址为第一监控节点L2TP虚接口的IP 地址，所述内层IP报文的源地址为外侧网络中监控节点的IP地址；第一监控节点从内层IP报文中获得监控信令数据并进行相应的信令处理。第一监控节点将自身生成的监控信令数据封装到内层IP报文中，然后将所述内层IP 报文封装到隧道报文中发送给L2TP中继，L2TP中继将内层IP报文转发到网络隔离设备外侧网络的监控节点，其中该内层IP报文的源地址为第一监控节点L2TP虚接口的IP地址， 目的地址为外侧网络监控节点的IP地址，该隧道报文的源地址为第一监控节点自身的IP 地址，该隧道报文的目的IP地址为L2TP中继自身的IP地址。
2.如权利要求I所述的方法，其特征在于，所述第一监控节点还从L2TP中继接收隧道报文并将隧道报文进行解封装获得内容为监控业务数据的内层IP报文，该内层IP报文是网络隔离设备外侧网络监控节点发送的监控业务数据报文，所述隧道报文的目的地址为所述第一监控节点自身的IP地址，隧道报文的源地址为L2TP中继自身的IP地址；所述内层 IP报文的目的地址为所述第一监控节点L2TP虚接口的，源地址为所述外侧网络监控节点的IP地址；或者第一监控节点还将生成的监控业务数据封装到内层IP报文中，然后将所述内层IP报文封装到隧道报文中发送给L2TP中继，由L2TP中继将内层IP报文转发到网络隔离设备外侧网络的监控节点，其中该内层IP报文的源地址为第一监控节点L2TP虚接口 IP地址，内层报文的目的地址为所述外侧网络监控节点的IP地址，该隧道报文的源地址为第一监控节点自身的IP地址，该隧道报文的目的地址为L2TP中继自身的IP地址。
3.如权利要求I或2所述的方法，其特征在于，所述第一监控节点L2TP虚接口的IP地址是网络隔离设备外侧网络规划的IP地址。
4.如权利要求I或2所述的方法，其特征在于，所述第一监控节点L2TP虚接口的IP地址是自身独立规划的IP地址，所述L2TP中继与网络隔离设备外侧的监控节点建立有L2TP 隧道连接，所述网络隔离设备外的监控节点包括VM和MS。
5.如权利要求I所述的方法，其特征在于，所述第一监控节点为VM，VM接收L2TP中继通过VM与L2TP中继建立的L2TP隧道发送的封装在隧道报文中的监控信令数据，该监控信令数据由EC或者VC发送。
6.一种IP监控系统中穿越网络隔离设备的监控节点，其中该监控节点位于网络隔离设备内侧网络，所述监控系统中包括多个监控节点以及L2TP中继，所述多个监控节点包括EC, VC以及至少一种服务器；其中所述至少一种服务器为VM，该监控节点包括隧道处理单元、信令处理单元以及网络接口单元；其中所述隧道处理单元包括连接处理子单元以及报文处理子单元其中，网络接口单元，用于在IP网络上收发报文；信令处理单元，用于处理监控信令数据；连接处理子单元，用于接收作为LNS的L2TP中继发起隧道连接请求；并在L2TP隧道连接建立后分配IP地址给所述L2TP中继，并激活自身L2TP虚接口 IP地址；报文处理子单元，用于将网络接口单元从L2TP中继接收的隧道报文进行解封装获得内容为监控信令数据的内层IP报文，并将该监控信令数据提交给信令处理单元；其中所述内层IP报文是网络隔离设备外侧监控节点发送的报文，所述隧道报文的目的地址为所述该监控节点自身的IP地址，隧道报文的源地址为L2TP中继自身的IP地址；所述内层IP报文的目的地址为所述所述L2TP虚接口 IP地址，源IP地址为所述外侧监控节点的IP地址；其中该报文处理子单元进一步用于，将监控节点信令处理单元生成的监控信令数据封装到内层IP报文中，然后将所述内层IP报文封装到隧道报文中发送给网络接口单元，由网络接口单元发送给L2TP中继，L2TP中继将内层IP报文转发到网络隔离设备外侧网络的监控节点，其中该内层IP报文的源地址为所述L2TP虚接口的IP地址，内层报文的目的地址为所述外侧网络监控节点的IP地址，该隧道报文的源地址为该监控节点自身的IP地址，该隧道报文的目的地址为L2TP中继自身的IP地址。
7.如权利要求6所述的监控节点，其特征在于，所述监控节点还包括业务处理单元，该业务处理单元用于处理监控业务数据；所述报文处理子单元，还用于将网络接口单元从L2TP中继接收的隧道报文进行解封装获得内容为监控业务数据的内层IP报文，并将该监控业务数据提交给业务处理单元；其中所述内层IP报文是网络隔离设备外侧监控节点发送的报文，所述隧道报文的目的地址为所述监控节点自身的IP地址，隧道报文的源地址为L2TP中继自身的IP地址；所述内层 IP报文的目的地址为所述L2TP虚接口的IP地址，源IP地址为所述外侧监控节点的IP地址；或者所述报文处理子单元还用于，将监控节点业务处理单元生成的监控业务数据封装到内层IP报文中，然后将所述内层IP报文封装到隧道报文中发送给网络接口单元，由网络接口单元发送给L2TP中继，L2TP中继将内层IP报文转发到网络隔离设备外侧网络的监控节点， 其中该内层IP报文的源地址为所述L2TP虚接口的IP地址，内层报文的目的地址为所述外侧网络监控节点的IP地址，该隧道报文的源地址为该监控节点自身的IP地址，该隧道报文的目的地址为L2TP中继自身的IP地址。
8.如权利要求6或7所述的监控节点，其特征在于，所述监控节点的L2TP虚接口的IP 地址是网络隔离设备外侧网络规划的IP地址。
9.如权利要求6或7所述的监控节点，其特征在于，所述监控节点的L2TP虚接口的 IP地址是自身独立规划的IP地址，所述L2TP中继与网络隔离设备外侧的监控节点建立有 L2TP隧道连接，所述网络隔离设备外的监控节点包括VM和MS。
10.如权利要求6所述的监控节点，其特征在于，所述该监控节点为VM，VM接收L2TP中继通过VM与L2TP中继建立的L2TP隧道发送的封装在隧道报文中的监控信令数据，该监控信令数据是由EC或者VC发送的。
11.一种IP监控系统中协助监控节点穿越网络隔离设备的方法，该方法应用于监控系统的L2TP中继上，其中所述监控系统中包括多个监控节点以及L2TP中继，所述多个监控节点包括EC，VC以及至少一种服务器；其中所述至少一种服务器为VM，该方法包括L2TP中继作为LAC向网络隔离设备内侧网络内的作为LNS的第一监控节点发出L2TP 隧道连接请求；在与第一监控节点建立隧道连接后，接收第一监控节点分配的IP地址，；从第一监控节点接收隧道报文并将该隧道报文进行解封装获得内层IP报文，所述内层IP报文是第一监控节点发送给网络隔离设备外侧的监控节点的报文，隧道报文的源地址为第一监控节点自身的IP地址，目的地址为所述L2TP中继自身的IP地址，所述内层IP 报文的目的地址为外侧网络中的监控节点的IP地址，源地址为所述第一监控节点L2TP虚接口的IP地址；根据内层IP报文的目的地址，将该报文转发给网络隔离设备外侧的监控节点；将网络隔离设备外侧的监控节点发出的IP报文进行隧道封装后发送给所述第一监控节点，其中该IP报文的目的地址为第一监控节点L2TP虚接口的IP地址，源地址为网络隔离设备外侧的监控节点的IP地址，封装后的隧道报文的目的IP地址为所述第一监控节点自身的IP地址，隧道源IP地址为L2TP中继自身的IP地址。
12.如权利要求11所述的方法，其特征在于，所述第一监控节点L2TP虚接口的IP地址是网络隔离设备外侧网络规划的IP地址。
13.如权利要求11所述的方法，其特征在于，所述第一监控节点L2TP虚接口的IP地址是自身独立规划的IP地址，所述L2TP中继与网络隔离设备外侧的监控节点建立有L2TP 隧道连接，所述网络隔离设备外的监控节点包括VM和MS。
14.如权利要求13所述的方法，其特征在于，所述L2TP中继与网络隔离设备外侧的监控节点建立有L2TP隧道连接具体为所述L2TP中继与VM和MS建立有L2TP隧道连接，L2TP 中继接收网络隔离设备外侧的VM和MS发送的隧道报文后，先将该隧道报文进行解封装，然后重新进行隧道封装后发送给网络隔离设备内侧的第一监控节点。
15.如权利要求11所述的方法，其中所述L2TP中继为所述网络隔离设备外侧的MS。
16.一种IP监控系统中协助监控节点穿越网络隔离设备的L2TP中继设备，其中所述监控系统中包括多个监控节点以及L2TP中继，所述多个监控节点包括EC，VC以及至少一种服务器；其中所述至少一种服务器为VM，该方法包括网络接口单元，用于通过IP网络收发报文；连接处理子单元，用于向作为LNS的网络隔离设备内侧的监控节点以L2TP中继自身的 IP地址发出的L2TP隧道连接请求；在与所述监控节点建立隧道连接后，接收内侧网络监控节点分配的IP地址；报文处理子单元，用于从所述网络隔离设备内侧监控节点接收隧道报文并将该隧道报文进行解封装获得内层IP报文，根据内层IP报文的目的地址将该报文转发给网络隔离设备外侧的监控节点；所述内层IP报文是网络隔离设备内侧的监控节点发送给网络隔离设备外侧的监控节点的报文，隧道报文的源地址为内侧监控节点自身的IP地址，目的地址为所述L2TP中继自身的IP地址，所述内层IP报文的目的地址为网络隔离设备外侧监控节点的IP地址，源地址为所述内侧监控节点L2TP虚接口的IP地址；其中该报文处理子单元，进一步用于将网络隔离设备外侧的监控节点发出的IP报文进行隧道封装后发送给所述内侧的监控节点，其中该IP报文的目的地址为内侧监控节点 L2TP虚接口的IP地址，源地址为网络隔离设备外侧监控节点的IP地址，封装后的隧道报文的目的IP地址为所述内侧节点自身的IP地址，隧道报文源地址为L2TP中继自身的IP地址。
17.如权利要求16所述的设备，其特征在于，所述网络隔离设备内侧的监控节点的 L2TP虚接口的IP地址是网络隔离设备外侧网络规划的IP地址。
18.如权利要求16所述的设备，其特征在于，所述网络隔离设备内侧的监控节点的 L2TP虚接口的IP地址是自身独立规划的IP地址，所述L2TP中继与网络隔离设备外侧的监控节点建立有L2TP隧道连接，所述网络隔离设备外的监控节点包括VM和MS。
19.如权利要求18所述的设备，其特征在于，所述L2TP中继与网络隔离设备外侧的监控节点建立有L2TP隧道连接具体为所述L2TP中继与VM和MS建立有L2TP隧道连接，L2TP 中继接收网络隔离设备外侧的VM和MS发送的隧道报文后，先将该隧道报文进行解封装，然后重新进行隧道封装后发送给网络隔离设备内侧的监控节点。
20.如权利要求16所述的设备，其中所述L2TP中继为所述网络隔离设备外侧的MS。
全文摘要
本发明公开了IP监控系统中穿越网络隔离设备的方法，包括位于网络隔离设备内侧网络内的第一监控节点作为LNS，接收作为LAC的L2TP中继发起隧道连接请求；L2TP隧道连接建立后，该第一监控节点分配IP地址给该L2TP中继，第一监控节点激活自身L2TP虚接口IP地址；第一监控节点从L2TP中继接收隧道报文并将隧道报文进行解封装获得内容为监控信令数据的内层IP报文，第一监控节点从内层IP报文中获得监控信令数据并进行相应的信令处理；第一监控节点将自身生成的监控信令数据封装到内层IP报文中，然后将该内层IP报文封装到隧道报文中发送给L2TP中继。本发明能够在简单有效地穿越隔离设备的同时，避免了隔离设备对监控业务的困扰。
文档编号H04L29/08GK102546657SQ20121003032
公开日2012年7月4日 申请日期2012年2月10日 优先权日2012年2月10日
发明者周迪, 王连朝 申请人:浙江宇视科技有限公司