专利名称:一种在监控网络中穿越nat设备的方法和装置的制作方法
技术领域:
本发明涉及设计视频监控领域,尤其涉及监控网络中穿越NAT设备的方法和装置。
背景技术:
NAT (Network Address Translation,网络地址转换)是将IP数据报文头中的IP地址转换为另一个IP地址的过程。在实际应用中,NAT主要用于实现私有网络访问公共网络的功能。这种通过使用少量的公网IP地址代表较多的私网IP地址的方式,将有助于减缓可用IP地址空间的枯竭。其最初的设计目的是用于实现私有网络访问公共网络的功能,·后扩展到实现任意两个网络间进行访问时的地址转换应用,本申请文件将这两个网络分别称为内部网络(内网)和外部网络(外网),通常私网为内部网络,公网为外部网络。NAT技术是依靠NAT设备的NAT会话(NAT SESSION)表项来实现转发的。NAT设备只对从内网去往外网的流量才会建立NAT SESSION表项。而对从外网发往内网的报文,NAT设备会首先查找NAT SESSION表项,如果表项中没有相关记录,则直接丢弃该报文。而对于监控网络中,有些流程是需要首先由外网向内网中的设备发起连接,这样一来在NAT设备上就没有相关SESSION表项,导致报文会被丢弃。目前解决的是采用引流和隧道两种方案。引流方案的问题在于需要事先触发由内网设备向外网发送数据报文,以便在NAT设备上建立NAT SESSION表项,这在监控业务的流程存在繁琐,甚至有时候是不允许的。另外在安全性上也有不足,内网向外网发送数据报文打开的端口号越多,整个系统的安全性就越差。隧道方案的问题在于对设备和网络传输有一定的消耗。
发明内容
有鉴于此,本发明提供一种在监控网络中穿越NAT设备的方法,该监控网络包括内网设备、NAT设备以及管理服务器,其中管理服务器位于外网中,所述方法应用于NAT设备上,NAT设备接收管理服务器发送的回应报文,解析出回应报文中的Tag标签,并在相应的NAT会话表项中增加Tag标签信息形成Tag转发表;所述回应报文为管理服务器针对内网设备向其注册后反馈的报文,所述NAT会话表项为内网设备发送所述注册报文经过NAT设备时NAT设备创建的表项,所述Tag标签唯一对应一个内网设备;NAT设备收到外网设备发送给内网设备的报文时,根据报文中的Tag标签,查找Tag转发表,判断查找到的表项中的协议类型、全局IP地址和端口号和当前报文中的协议类型、目的IP地址、目的端口号是否一一对应,如果是,则将该报文的目的IP地址和目的端口号分别转换为该表项中的内网IP地址和端口号从内网接口转发出去;如果否,则将该报文的目的IP地址转换为该表项中的内网IP地址从内网接口转发出去。所述NAT设备接收到管理服务器和内网设备之间的保活报文后更新Tag转发表项的老化剩余时间。本发明还提供一种在监控网络中穿越NAT设备的方法,该监控网络包括内网设备,NAT设备,管理服务器,其中管理服务器位于外网中,所述方法应用于管理服务器上,该方法包括如下步骤管理服务器收到内网设备的注册报文后,在回应报文中添加该内网设备对应的Tag标签,本地记录该Tag标签与该内网设备的对应关系;管理服务器发送信令报文给内网设备,根据本地记录的Tag标签与内网设备的对应关系在该信令报文中携带该内网设备的Tag标签。该Tag标签添加在回应报文IP头部的目的IP地址之后。该管理服务器还将内网设备的Tag标签信息告知需要与内网设备进行通信的外网设备。本发明还提供一种NAT设备,该NAT设备位于监控网络中,该监控网络包括内网设备、以及位于外网的管理服务器,该NAT设备包括Tag转发表建立模块,用于解析出回应报文中的Tag标签,并在相应的NAT会话表项中增加Tag标签信息形成Tag转发表;所述回·应报文为管理服务器针对内网设备向其注册后反馈的报文,所述NAT会话表项为内网设备发送所述注册报文经过NAT设备时NAT设备创建的表项,所述Tag标签唯一对应一个内网设备;报文转发模块,用于在收到外网设备发送给内网设备的报文时,根据报文中的Tag标签,查找Tag转发表,判断查找到的表项中的协议类型、全局IP地址和端口号和当前报文中的协议类型、目的IP地址、目的端口号是否一一对应,如果是,则将该报文的目的IP地址和目的端口号分别转换为该表项中的内网IP地址和端口号从内网接口转发出去;如果否,则将该报文的目的IP地址转换为该表项中的内网IP地址从内网接口转发出去。该设备还包括Tag转发表更新模块,用于在接收到管理服务器和内网设备之间的保活报文后更新Tag转发表项的老化剩余时间。本发明还提供一种管理服务器,该管理服务器是监控网络的管理服务器,该监控网络包括还包括内网设备,NAT设备,其中管理服务器位于外网中,该管理服务器包括Tag标签添加模块,用于在收到内网设备的注册报文后,在回应报文中添加该内网设备对应的Tag标签,本地记录该Tag标签与该内网设备的对应关系;信令报文发送模块,用于发送信令报文给内网设备,根据本地记录的Tag标签和内网设备的对应关系,在信令报文中携带该内网设备对应的Tag标签。所述Tag标签添加在回应报文IP头部的目的IP地址之后。该管理服务器还包括Tag标签信息告知模块,用于将内网设备的Tag标签信息告知需要与内网设备进行通信的外网设备。本发明提供的外网报文穿越NAT设备到达内网设备的技术充分利用了当前监控技术的特点。由于监控网络都会存在管理服务器,并且其它监控设备在启动后都需要向该管理服务器进行注册,从而使得该管理服务器能在监控网络刚启动工作时将内网设备对应的唯一标签分发给内网设备而在NAT设备上留下Tag标签的记录,为后续监控业务的开展提供外网到内网报文的转发的依据。管理服务器管理着各种监控业务,所以在监控业务的信令报文中携带着Tag标签将变得非常方便。综上,本发明技术简单方便,易于实施。另外,安全性也比较好。
图I是本发明实施例网络示意图。
图2是本发明实施例流程图。图3是本发明实施例Tag标签位置设置图不。图4是应用本发明技术的监控网络图。图5是本发明一种NAT设备逻辑结构图。图6是本发明一种管理服务器逻辑结构图
具体实施例方式参考图f图2,具体介绍本发明实施方式。以图I的监控网络图为例,阐述本发明的具体实施方式
。NAT设备I将整个监控网·络分隔为内网10和外网11,视频监控的前端设备,如编码器EC101,网络摄像机IPC102位于内网10中,存储设备storagel03也可以位于内网10中,媒体转发设备MS104也可以位于内网10中,视频流请求设备105也可以位于内网10中。视频监控的管理服务器111位于外网11中。外网中还存在其它监控设备(未图示),比如其它EC、IPC、视频流请求设备、存储设备等等。前述位于内网10中的设备统称为内网设备。为了图示简洁,图I仅示意了单个的不同类别的监控设备,实际的监控网络中往往每个类别都具有多个监控设备,尤其是像监控前端设备,往往不同的地点要部署多个这样的前端设备。另外,还需要说明的是,外网设备与内网设备是相对而言的,比如两个被不同NAT设备隔开的内网设备,从两个不同的NAT角度去观察,彼此都是对方的外网设备。管理服务器管理监控系统的各监控设备,各监控设备启动后首先就要向管理服务器注册。管理服务器参与实况点播,视频回放等监控业务,通过信令报文指挥着各监控设备执行具体的操作。本发明充分利用了视频监控系统的管理服务器管理监控系统的内网设备,并且参与各种监控业务,应用视频监控系统的这些特点,巧妙地实现了外网设备便捷并且自由穿越NAT的目的,有别于现有技术中NAT穿越仅考虑网络层面不考虑业务特点的传统技术思维。图2是本发明实施例的流程图,详细介绍如下步骤21、内网设备向管理服务器进行注册。由于内网设备位于内网中,管理服务器位于外网中,所以内网设备向管理服务器的注册过程属于内网向外网发起的通信,采用现有的技术即可注册报文到达NAT设备后,NAT设备进行NAT转换,在本地建立NAT会话表项。例如,内网设备内网IP地址为100. I. 10. 3,管理服务器的IP地址为10. 220. 3. 54,经过NAT转换后的内网设备的IP地址为10. 220. 195. 93。NAT设备上建立的NAT会话表项如下表I :
protocol GlobalAddr:PortLocalAddr: PortDestAddr: Port Left
UDPTa 220. 195. 93:39131 100. I. 10. 3:60749 10. 220. 3. 54:53 00:09:00表IProtocol,协议类型,分为 UDP 和 TCP ;GlobalAddr:Port :全局IP地址和端口号,即NAT设备上外网接口的IP地址和端□号;LocalAddr: Port :内网IP地址和端口号,处于内网的设备的IP地址和端口号;DestAddr: Port :处于内网的设备需要访问的IP地址和端口号;Left :老化剩余时间。步骤22、管理服务器收到内网设备的注册报文后,在回应报文中添加该内网设备对应的Tag标签,本地记录该Tag标签与该内网设备的对应关系。每一个内网设备需要对应一个不同的Tag标签,管理服务器可以根据自身管辖的内网设备预先建立一个Tag标签池,在收到内网设备发来的注册报文后就从Tag标签池中分配一个标签给该内网设备,然后在本地生成该Tag标签和该内网设备对应的记录表项。表项的一个不例如下
权利要求
1.一种在监控网络中穿越NAT设备的方法,该监控网络包括内网设备、NAT设备以及管理服务器,其中管理服务器位于外网中,所述方法应用于NAT设备上,其特征在于,该方法包括 NAT设备接收管理服务器发送的回应报文,解析出回应报文中的Tag标签,并在相应的NAT会话表项中增加Tag标签信息形成Tag转发表;所述回应报文为管理服务器针对内网设备向其注册后反馈的报文,所述NAT会话表项为内网设备发送所述注册报文经过NAT设备时NAT设备创建的表项,所述Tag标签唯一对应一个内网设备; NAT设备收到外网设备发送给内网设备的报文时,根据报文中的Tag标签,查找Tag转发表,判断查找到的表项中的协议类型、全局IP地址和端口号和当前报文中的协议类型、目的IP地址、目的端口号是否一一对应,如果是,则将该报文的目的IP地址和目的端口号分别转换为该表项中的内网IP地址和端口号从内网接口转发出去;如果否,则将该报文的目的IP地址转换为该表项中的内网IP地址从内网接口转发出去。
2.如权利要求I所述的方法,其特征在于,所述NAT设备接收到管理服务器和内网设备之间的保活报文后更新Tag转发表项的老化剩余时间。
3.一种在监控网络中穿越NAT设备的方法,该监控网络包括内网设备,NAT设备,管理服务器,其中管理服务器位于外网中,所述方法应用于管理服务器上,其特征在于,该方法包括如下步骤 管理服务器收到内网设备的注册报文后,在回应报文中添加该内网设备对应的Tag标签,本地记录该Tag标签与该内网设备的对应关系; 管理服务器发送信令报文给内网设备,根据本地记录的Tag标签与内网设备的对应关系在该信令报文中携带该内网设备的Tag标签。
4.如权利要求3所述的方法,其特征在于,所述Tag标签添加在回应报文IP头部的目的IP地址之后。
5.如权利要求3所述的方法,其特征在于,所述管理服务器还将内网设备的Tag标签信息告知需要与内网设备进行通信的外网设备。
6.一种NAT设备,该NAT设备位于监控网络中,该监控网络包括内网设备、以及位于外网的管理服务器,其特征在于,该NAT设备包括 Tag转发表建立模块,用于解析出回应报文中的Tag标签,并在相应的NAT会话表项中增加Tag标签信息形成Tag转发表;所述回应报文为管理服务器针对内网设备向其注册后反馈的报文,所述NAT会话表项为内网设备发送所述注册报文经过NAT设备时NAT设备创建的表项,所述Tag标签唯一对应一个内网设备; 报文转发模块,用于在收到外网设备发送给内网设备的报文时,根据报文中的Tag标签,查找Tag转发表,判断查找到的表项中的协议类型、全局IP地址和端口号和当前报文中的协议类型、目的IP地址、目的端口号是否一一对应,如果是,则将该报文的目的IP地址和目的端口号分别转换为该表项中的内网IP地址和端口号从内网接口转发出去;如果否,则将该报文的目的IP地址转换为该表项中的内网IP地址从内网接口转发出去。
7.如权利要求6所述的设备,其特征在于,该设备还包括Tag转发表更新模块,用于在接收到管理服务器和内网设备之间的保活报文后更新Tag转发表项的老化剩余时间。
8.—种管理服务器,该管理服务器是监控网络的管理服务器,该监控网络包括还包括内网设备,NAT设备,其中管理服务器位于外网中,其特征在于,该管理服务器包括 Tag标签添加模块,用于在收到内网设备的注册报文后,在回应报文中添加该内网设备对应的Tag标签,本地记录该Tag标签与该内网设备的对应关系; 信令报文发送模块,用于发送信令报文给内网设备,根据本地记录的Tag标签和内网设备的对应关系,在信令报文中携带该内网设备对应的Tag标签。
9.如权利要求8所述的管理服务器,其特征在于,所述Tag标签添加在回应报文IP头部的目的IP地址之后。
10.如权利要求8所述的管理服务器,其特征在于,该管理服务器还包括Tag标签信息告知模块,用于将内网设备的Tag标签信息告知需要与内网设备进行通信的外网设备。
全文摘要
一种在监控网络中穿越NAT设备的方法,包括NAT设备接收管理服务器发送的回应报文,解析出回应报文中的Tag标签,并在相应的NAT会话表项中增加Tag标签信息形成Tag转发表;NAT设备收到外网发送给内网的报文时,根据Tag标签,查找Tag转发表,判断查找到的表项中的协议类型、全局IP地址和端口号和当前报文是否一一对应,如果是,则将该报文的目的IP地址和目的端口号分别转换为该表项中的内网IP地址和端口号从内网接口转发出去;否则将该报文的目的IP地址转换为该表项中的内网IP地址从内网接口转发出去。本发明充分结合监控业务的特点,实现了一种安全的、方便地穿越NAT的技术。
文档编号H04L29/06GK102790811SQ201210259900
公开日2012年11月21日 申请日期2012年7月25日 优先权日2012年7月25日
发明者周迪, 王军 申请人:浙江宇视科技有限公司