专利名称:一种ip监控系统中穿越隔离设备的方法及代理设备的制作方法
技术领域:
本发明涉及视频监控领域,尤其涉及IP监控系统中内外网通信的代理方法和代
理设备。
背景技术:
基于IP网络的视频监控已经逐渐发展成为安防业的主流方案,成功应用于平安工程、高速公路、公安网、园区等大型项目。IP的标准性和开放性也使得各个网络孤岛的整合变得容易,使网络规模的扩展变得轻松。考虑到IPv4地址资源紧张和现有各区域网络地址段相互重叠的现实,以及各种网络安全的需要,NAT、防火墙、安全隔离网闸等隔离设备被大量的应用于大型网络中。这就使得基于IP的视频监控系统的信令和业务流程变得非常复杂,甚至导致某些业务在某些特定的组网中无法开展。下面简单阐述下在视频监控网络存在NAT、防火墙、安全隔离网闸等隔离设备时,视频监控网络通信变得复杂困难的缘由。以最典型的NAT为例,在网络中存在NAT设备的时候,由于IP报文穿过NAT设备之后其源IP地址或目的IP地址会发生改变,而一个监控业务信令报文内部通常也包携带有源IP地址和目的IP地址,由此造成报文内部与外部(报文头部)的地址不统一,这在很多时候会对视频监控业务流程造成困扰。另外,如果NAT外网存在设备要首先发起通向内网的TCP/UDP连接,就必须先在NAT设备上为内网的那些设备分别配置内部服务器的静态地址/端口映射,这样显然会浪费大量公网地址,很多时候也是不允许的。当然,在控制服务器可以判断出交互的两台设备谁处于NAT内网谁处于外网时,可以通知内网的设备主动向外网设备发起连接。但是这要求每个会话连接都实现两种或甚至两种以上的处理流程, 对于一个包含了多个会话行为的业务流程这种组合会变得非常复杂。况且某些标准业务也不允许交互的双方颠倒C/S的角色。再比如说,在存在防火墙时,需要防火墙开放相当数量的UDP/TCP端口以便防火墙外的终端,如视频监控客户端,能主动访问防火墙内的服务器,如视频管理服务器(VM)。 这样就给企业内网带来了安全隐患。在存在安全隔离网闸时,大量以IP代理方式实现的网闸(即来自外部的流量先发送到网闸的一个代理IP,网闸修改目的IP后再往内网转发),通常会要求网闸协助对业务信令的内部信息做出相应的修改,因为其中可能包含有IP地址信息。于是监控系统厂家每开发一个新特性可能都会要求网闸公司配合做出相应的特性开发。另外,一些特殊用户还有特殊的视频监控网络需求。比如说公安网络等安全性要求较高的网络需要所有的会话连接都要求由内网发起,否则外部流量就进入不了内网。在一个典型的集中控制架构中,终端,如编码设备,首先得向服务器,如视频管理服务器,发起注册信令,点播业务也是点播主机先向服务器发起申请,当终端和主机处于外网而服务器处于内网时业务就会遭遇困境
发明内容
有鉴于此,本发明提供一种IP监控系统中穿越隔离设备的方法,该方法应用于监控系统的分支网络中的一个代理设备上,其中所述监控系统中包括多个监控节点以及LNS, 该方法包括向LNS发起隧道连接请求以与LNS建立L2TP隧道连接,并从LNS获得隧道内层IP 地址;从分支网络内收到监控节点向外发送的IP报文,将该IP报文的源IP地址修改为隧道内层IP地址,并记录下报文携带的该监控节点标识与监控节点IP地址的对应关系将修改后的IP报文封装为隧道报文通过隧道发送出去;从L2TP隧道接收到隧道报文,将该隧道报文进行解封装获得隧道内层IP报文,根据隧道内层IP报文携带监控节点标识以及所述对应关系将该隧道内层IP报文的目的地址修改为所述监控节点的IP地址,将修改后的IP报文转发给所述监控节点。本发明还提供一种IP监控系统中穿越隔离设备的代理设备,其中所述监控系统中包括多个监控节点以及LNS ;,该设备包括隧道处理单元以及业务处理单元其中隧道处理单元,用于向LNS发起隧道连接请求以与LNS建立L2TP隧道连接,并从 LNS获得隧道内层IP地址;该隧道处理单元进一步用于将隧道处理单元修改后的IP报文封装为隧道报文发送出去或者将接收到的隧道报文解封装得到隧道内层IP报文提交给业务代理单元;业务代理单元,用于在从分支网络内收到监控节点向外发送的IP报文时,将该IP 报文的源IP地址修改为隧道内层IP地址后提交给隧道处理单元,并记录报文携带的该监控节点标识与监控节点IP地址的对应关系;其中该业务处理单元进一步用于根据隧道处理单元解封装获得的隧道内层IP报文中携带的监控节点标识以及所述对应关系将该隧道内层IP报文的目的地址修改为所述监控节点的IP地址,并将修改后的报文所述监控节点。与现有技术相比,本发明则不受这样NAT流表老化机制这样的限制。更为重要的是,现有技术中,监控业务开发过程中可能需要为各种监控业务都进行NAT配置的考虑,并且网络管理员的管理任务更加复杂和繁琐,而本发明通过隧道代理的方式有效地解决了这个问题,隧道代理机制位于监控业务的下层,对各种监控业务基本是透明的。另外,相对于传统配置NAT等隔离设备的方式,本发明由于使用了 L2TP隧道,天然继承L2TP隧道的VPN 安全性,认证机制以及数据压缩等优势,在完成穿越隔离设备的同时保证了监控系统的安全。最后,由于本发明还采用业务代理的方式,大量内网的监控节点并不需要建立L2TP隧道,避免了增加内网监控节点的处理负担。
图1为本发明一种实施方式中监控系统的组网示意图;图2为本发明L2TP隧道建立的抽象组网图;图3为本发明代理设备的基本硬件架构;图4为本发明代理设备的逻辑结构图。
具体实施例方式下面结合附图及具体实施例对本发明再作进一步详细的说明。
图1显示了一个IP监控系统。该IP监控系统指包括三个分支网络,三个分支网络之间通过中间的公网相连。其中视频管理服务器VM所在的分支网络C是公网,分支网络 A(192. 168. χ. χ,图1中的区域A)及分支网络B(10. χ. χ. x,图1中区域B)均是私网。该监控系统包括了网络隔离设备(如NAT、防火墙、网闸等)、EC、VC、VM以及其他服务器(如IP 存储服务器IPSAN、媒体交换服务器MS、数据管理服务器DM等)。在本发明的监控系统中, EC、VC及各种服务器被称为监控节点。在图1中,分支网络A中的EC与VC位于自身网络出口网络隔离设备的内侧,即被隔离或者说被保护的一侧,也称为内网侧。而监控服务器相对于上述隔离设备来说自然是位于隔离设备的外侧,也称为外网侧。隔离设备的存在导致内网可以主动访问外网,但是外网在隔离设备没有特殊配置的前提下是无法访问内网的问题。本发明并不是从NAT等隔离设备入手,而是从业务与通信结合入手来解决这个问题。在在本发明中,首先由位于内网的代理设备(L2TP Proxy,LP) 作为L2TP客户端(LAC)向L2TP服务端(LNQ发起隧道连接请求,隧道连接建立后内网监控终端将获得由L2TP服务端分配的隧道内层IP地址。然后LP开始代理内部各种监控节点与外网之间的监控业务。在图2中LP位于分支网络A的出口处,比如通过软/硬件技术集成在出口网络设备上,这样的部署相对简单,可以为分支网络2内所有需要代理服务的监控节点提供服务,当然也可以部署在网络中其他的位置。图2是图1中LP建立L2TP隧道的抽象模型,LNS为作为LAC客户端的LP分配的隧道内层IP地址是12. 12. 11. 10。位于中心网络的LNS与内网连接接口的IP地址为 12. 12. 10. 10,这个地址从内网的角度来看是一个公网地址,也就是说是内网可以直接访问的;如果该地址不能被直接访问到,可以在本网络出口的隔离设备上配置静态映射的对应公网地址。在隧道通信模式中,它是隧道外层IP地址。LNS与外网其他设备连接的接口 IP 地址为12. 12. 12.9/24。需要说明的是,公网地址及私网地址是相对而言的,其取决于网络的规划,比如互联网上的公网IP地址也可以被规划起来作为私网地址重复使用。LP采用新分配到的IP地址12. 12. 11. 10/M通过隧道与外网的VM进行通信。隧道通信模式所使用的报文请参考表1所示的报文封装模型。
权利要求
1.一种IP监控系统中穿越隔离设备的方法,该方法应用于监控系统的分支网络中的一个代理设备上,其中所述监控系统中包括多个监控节点以及LNS,该方法包括向LNS发起隧道连接请求以与LNS建立L2TP隧道连接,并从LNS获得隧道内层IP地址;从分支网络内收到监控节点向外发送的IP报文,将该IP报文的源IP地址修改为隧道内层IP地址,并记录下报文携带的该监控节点标识与监控节点IP地址的对应关系;将修改后的IP报文封装为隧道报文通过隧道发送出去;从L2TP隧道接收到隧道报文,将该隧道报文进行解封装获得隧道内层IP报文,根据隧道内层IP报文携带监控节点标识以及所述对应关系将该隧道内层IP报文的目的地址修改为所述监控节点的IP地址,将修改后的IP报文转发给所述监控节点。
2.如权利要求1所述的方法,其中所述监控节点标识是监控节点的URL。
3.如权利要求1所述的方法,在将IP报文的源地址修改之前,进一步根据配置的服务范围判断是否需要为该监控节点提供代理服务,如果需要则继续;否则跳过隧道封装将该 IP报文转发出去。
4.如权利要求3所述的方法,所述预设的服务范围是预设的IP地址段或者符合预定规则的URL。
5.一种IP监控系统中穿越隔离设备的代理设备,其中所述监控系统中包括多个监控节点以及LNS,该设备包括隧道处理单元以及业务处理单元隧道处理单元,用于向LNS发起隧道连接请求以与LNS建立L2TP隧道连接,并从LNS 获得隧道内层IP地址;该隧道处理单元进一步用于将隧道处理单元修改后的IP报文封装为隧道报文发送出去或者将接收到的隧道报文解封装得到隧道内层IP报文提交给业务代理单元;业务代理单元,用于在从分支网络内收到监控节点向外发送的IP报文时,将该IP报文的源IP地址修改为隧道内层IP地址后提交给隧道处理单元,并记录报文携带的该监控节点标识与监控节点IP地址的对应关系;其中该业务处理单元进一步用于根据隧道处理单元解封装获得的隧道内层IP报文中携带的监控节点标识以及所述对应关系将该隧道内层 IP报文的目的地址修改为所述监控节点的IP地址,并将修改后的报文所述监控节点。
6.如权利要求5所述的设备,其中所述监控节点标识是监控节点的URL。
7.如权利要求5所述的设备,其中所述业务处理单元进一步用于,在将IP报文的源地址修改之前,根据配置的服务范围判断是否需要为该监控节点提供代理服务,如果需要则继续;否则跳过隧道封装将该IP报文转发出去。
8.如权利要求7所述的设备,所述预设的服务范围是预设的IP地址段或者符合预定规则的URL。
全文摘要
本发明提供一种IP监控系统中穿越隔离设备的方法及代理设备,该方法应用于监控系统,该监控系统中包括多个监控节点以及LNS;该方法包括与LNS建立L2TP隧道连接,从LNS获得隧道内层IP地址;从分支网络内收到监控节点向外发送的IP报文,将该IP报文的源IP地址修改为隧道内层IP地址,并记录下报文携带的该监控节点标识与监控节点IP地址的对应关系;将修改后的IP报文通过隧道发送出去;将收到的隧道报文进行解封装获得隧道内层IP报文,根据监控节点标识以及所述对应关系将该隧道内层IP报文的目的地址修改为所述监控节点的IP地址转发给所述监控节点。本发明能有效地协助分支网络在存在隔离设备时能够被外网的其他监控节点访问到。
文档编号H04L29/06GK102571814SQ20121003033
公开日2012年7月11日 申请日期2012年2月10日 优先权日2012年2月10日
发明者周迪, 王连朝 申请人:浙江宇视科技有限公司