一种安全规则端口配置方法和设备与流程

文档序号：13763190阅读：112来源：国知局

本发明涉及通信技术领域，尤其涉及一种安全规则端口配置方法和设备。

背景技术：

网络管理(Network Management)包括对硬件、软件和人力的使用、综合与协调，以便对网络资源进行监视、测试、配置、分析、评价和控制。从技术角度触发，网络管理分为带外管理(out-of-band)和带内管理(in-band)两种管理模式。所谓带内管理，是指网络的管理控制信息与用户网络的承载业务信息通过同一个逻辑信道传送；而在带外管理模式中，网络的管理控制信息与用户网络的承载业务信息在不同的逻辑信道传送。

现有的视频监控技术普遍采用带外管理的模式，在缺省的情况下，接入设备只允许注册会话报文通过，视频管理服务器只能使用独立的配置报文向交换机发送该前端设备安全规则配置信息。在具体的应用场景中，前端设备如IP Camera首先向视频管理器发起注册，在注册成功后，视频管理服务器通过配置报文向接入设备如交换机发送配置信息。这样通过不同的物理通道来分别传输管理控制信息和数据信息，使两者之间互不影响。

申请人在实现本申请过程中发现，上述技术方案至少存在以下缺陷：

1、在会话建立之后，通过带外管理的方式需要通过单独的消息通知接入设备进行安全规则的配置，当前端设备的数量过大时，会造成安全控制配置延时大，额外消耗报文数量大。

2、对于某些业务来说，仅需要开放特定的端口关闭其他端口，采用带外管理的方式需要不断发送开放端口和关闭端口的信息，造成了额外的端口控制消息的下发。

3、服务器需要维护全网接入网络设备的拓扑信息(交换机IP地址、配置接口)。

由此可见，现有带外管理的方式通过接入设备进行前端视频设备的安全配置，在面对大量的前端设备时会造成额外配置报文资源的消耗以及端口配置消息的下发，导致报文和消息资源的浪费。因此，如何提供一种在实现前端设备安全配置的同时节约配置报文和消息资源的方法，成为了本领域技术人员亟待解决的问题。

技术实现要素：

本申请实施例提供一种安全规则端口配置方法，以实现针对数量巨大的前端设备，在完成安全配置的同时节约配置报文和消息资源的目的。

为了达到上述目的，本发明提供了一种安全规则端口配置方法，应用于端口配置系统中的接入设备，所述配置系统还包括前端设备和服务器，所述接入设备用于将所述服务器或所述前端设备发送的报文转发至其对端设备，该方法包括：

当所述接入设备接收到由所述服务器发送至所述前端设备的报文时，对所述报文进行解析，所述报文的类型至少包括注册响应报文、业务响应报文和业务请求报文；

若所述报文中携带有IP选项信息，则将所述报文作为特定报文并根据所述IP选项信息确定需要调整的服务器的业务端口，生成与所述业务端口对应的安全规则，所述IP选项信息为所述服务器在业务类型或业务端口发生变化时生成并添加至所述特定报文中的；

根据所述安全规则对所述前端设备的接入端口进行配置。

优选的，所述IP选项信息至少由IP地址、协议类型、端口标识以及指示字符组成，根据所述IP选项信息确定需要调整的服务器的业务端口，生成与所述业务端口对应的安全规则，具体为：

从所述IP选项信息中获取IP地址、协议类型、端口标识以及指示字符；

根据所述IP地址确定与当前业务类型对应的服务器；

根据所述协议类型确定当前业务类型所要遵从的协议；

根据所述端口标识确定当前业务类型需要调整的业务端口信息；

根据所述指示字符与业务操作信息之间预设的对应关系以及确定的服务器IP地址、协议类型和端口标识信息确定安全规则；

其中，所述业务操作信息为所述业务端口在调整时对应的业务操作。

优选的，根据所述指示字符与业务操作信息之间预设的对应关系以及确定的服务器IP地址、协议类型和端口标识信息确定安全规则，具体为：

若当前业务操作信息包括放开端口，则根据与所述指示字符相应的IP地址信息、端口标识信息以及协议类型信息，下发用于放开所述前端设备的接入端口的安全规则；

若当前业务操作信息包括关闭端口，则根据与所述指示字符相应的IP地址信息、端口标识信息以及协议类型信息，下发用于关闭所述前端设备的接入端口的安全规则；

若当前业务操作信息包括修改端口，则根据与所述指示字符相应的IP地址信息、端口标识信息以及协议类型信息，下发用于修改所述前端设备的接入端口的安全规则。

本发明另一方面还提供了一种安全规则端口配置方法，所述方法应用于系统中的服务器，所述系统还包括前端设备和接入设备，所述接入设备用于将所述服务器或所述前端设备发送的报文转发至其对端设备，该方法包括：

当所述服务器需要向前端设备发送特定报文时，服务器确定需要调整的业务端口以及与所述业务端口对应的业务操作信息；

根据所述业务端口、IP地址、协议类型以及业务操作信息确定IP选项信息；

将所述IP选项信息添加至IP头部信息，根据所述IP头部信息构造所述特定报文；

所述服务器通过所述接入设备发送所述特定报文，所述特定报文的类型至少包括注册响应报文、业务响应报文和业务请求报文。

此外，本申请还提供了一种安全规则端口配置方法，应用于系统中的前端设备，所述系统还包括接入设备和服务器，所述接入设备用于将所述服务器或所述前端设备发送的报文转发至其对端设备，该方法包括：

当所述前端设备通过所述接入设备接收到所述服务器发送的报文时，获取所述报文的IP头部信息；

判断所述报文的IP头部信息中是否存在IP选项信息；

若所述报文的IP头部信息中存在IP选项信息，则所述报文为特定报文，获取所述IP选项信息中携带的进行调整的业务端口以及所述业务端口对应的业务操作信息；

其中，所述IP选项信息为所述服务器在业务类型或业务端口发生变化时生成并添加至所述特定报文中的。

相应地，本申请还提出了一种接入设备，所述接入设备应用于系统中，所述系统还包括前端设备和服务器，所述接入设备用于将所述服务器或所述前端设备发送的报文转发至其对端设备，该设备包括：

所述接入设备位于所述前端设备和服务器之间，该设备包括：

解析模块：当所述接入设备接收到由所述服务器发送至所述前端设备的报文时，对所述报文进行解析，所述报文的类型至少包括注册响应报文、业务响应报文和业务请求报文；

生成模块：若所述报文中携带有IP选项信息，则将所述报文作为特定报文并根据所述IP选项信息确定需要调整的服务器的业务端口，生成与所述业务端口对应的安全规则，所述IP选项信息为所述服务器在业务类型或业务端口发生变化时生成并添加至所述特定报文中的；

配置模块：根据所述安全规则对所述前端设备的接入端口进行配置。

优选的，所述IP选项信息至少由IP地址、协议类型、端口标识以及指示字符组成，所述生成模块具体用于：

从所述IP选项信息中获取IP地址、协议类型、端口标识以及指示字符；

根据所述IP地址确定与当前业务类型对应的服务器；

根据所述协议类型确定当前业务类型所要遵从的协议；

根据所述端口标识确定当前业务类型需要调整的端口标识信息；

根据所述指示字符与业务操作信息之间预设的对应关系以及确定的服务器IP地址、协议类型和端口标识信息确定安全规则；

其中，所述业务操作信息为所述业务端口在调整时对应的业务操作。

优选的，根据所述指示字符与业务操作信息之间预设的对应关系以及确定的服务器IP地址、协议类型和端口标识信息确定安全规则，具体为：

相应地，本申请还提出了一种服务器，所述服务器应用于系统中，所述系统还包括前端设备和接入设备，所述接入设备用于将所述服务器或所述前端设备发送的报文转发至其对端设备，该服务器包括：

第一确定模块：当所述服务器需要向前端设备发送特定报文时，服务器确定需要调整的业务端口以及与所述业务端口对应的业务操作信息；

第二确定模块：根据所述业务端口、IP地址、协议类型以及业务操作信息确定IP选项信息；

构造模块：将所述IP选项信息添加至IP头部信息，根据所述IP头部信息构造所述特定报文；

发送模块：所述服务器通过所述接入设备发送所述特定报文，所述特定报文的类型至少包括注册响应报文、业务响应报文和业务请求报文。

本申请同时还提出了一种前端设备，所述前端设备应用于系统中，所述系统还包括接入设备和服务器，所述接入设备用于将所述服务器或所述前端设备发送的报文转发至其对端设备，该前端设备包括：

接收模块：当所述前端设备通过所述接入设备接收到所述服务器发送的报文时，获取所述报文的IP头部信息；

判断模块：判断所述报文的IP头部信息中是否存在IP选项信息；

获取模块：若所述报文的IP头部信息中存在IP选项信息，则所述报文为特定报文，获取所述IP选项信息中携带的进行调整的业务端口以及所述业务端口对应的业务操作信息；

其中，所述IP选项信息为所述服务器在业务类型或业务端口发生变化时生成并添加至所述特定报文中的。

与现有技术相比，本申请实施例所提出的技术方案的有益技术效果包括：

本申请实施例提出了一种安全规则端口配置方法及设备，通过应用本申请所提出的方案，在前端设备通过服务器认证之后，通过接入设备侦听服务器发送给前端设备的报文，获取报文中的业务信息，并根据业务信息为前端设备的接入端口配置安全规则，而且在一个业务报文中可同时控制多个端口的开关，从而减少了在前端设备认证成功之后服务器单独发送消息通知接入设备进行安全规则配置所消耗的报文，同时由于接入设备用于侦听解析报文IP头和二三层转发，不参与报文的应用层转发，进而减少了网络维护的工作量，有效提高了网络维护效率。

附图说明

为了更清楚地说明本申请的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本申请实施例提出的一种安全规则端口配置方法方法的流程示意图；

图2为本申请实施例提出的一种安全规则端口配置方法方法的流程示意图；

图3为本申请实施例提出的一种安全规则端口配置方法方法的流程示意图；

图4为本申请实施例中提出的一种IP放开方法的流程示意图；

图5为在具体的应用场景中，VM接收注册报文并对已添加设备进行鉴权的流程示意图；

图6为在具体的应用场景中，客户端需要查看IPC1的UDP实况业务的流程示意图；

图7为在具体的应用场景中，客户端结束查看实况时删除端口的流程示意图；

图8为本申请实施例提出的一种接入设备的结构示意图；

图9为本申请实施例提出的一种服务器的结构示意图；

图10为本申请实施例提出的一种前端设备的结构示意图。

具体实施方式

有鉴于本申请背景技术中所提到的问题，当存在大量的前端设备时，通过接入设备以带外管理的方式实现前端设备的安全配置会造成额外的配置报文和消息资源的浪费。

本申请提出了一种安全规则端口配置方法，通过接入设备侦听服务器发送给前端设备的报文，并根据获取到的业务信息为前端设备的接入端口配置安全规则，以此减少了服务器单独发送消息通知接入设备进行配置安全规则所消耗的报文，同时由于接入设备用于侦听解析报文IP头和二三层转发，不参与报文的应用层转发，进而减少了网络维护的工作量，有效提高了网络维护效率。

如图1所示，为本申请实施例提出的一种安全规则端口配置方法方法的流程示意图，该方法应用于系统中的接入设备，所述系统还包括前端设备和服务器，其中，接入设备用于将服务器或前端设备发送的报文转发至其对端设备，该方法具体包括以下步骤：

步骤S101：当所述接入设备接收到由所述服务器发送至所述前端设备的报文时，对所述报文进行解析。

由于一些客观因素，通过现有的带外管理方式对前端设备进行安全配置时，在前端设备通过认证后，会消耗额外的报文资源来通知接入设备对前端设备进行安全规则的配置，并且通过带外管理的方式会不可避免的需要在配置过程中获取接入设备的相关信息，进一步的造成了消息资源的浪费。因此，需要提供一种新的配置方式来降低报文及消息资源不必要的消耗。

在具体的应用场景中，接入设备需要对由服务器发送至前端设备的报文进行侦听，通过侦听报文，解析报文中的IP选项信息，以便可以根据解析出的选项信息来确定与当前业务相关的信息。其中，报文的类型至少包括注册响应报文、业务响应报文和业务请求报文，需要说明的是，这里所说的报文并不限制报文的类型，指的是特定方向的报文，也就是说只要是由服务器发送至前端设备的报文都可以。

在本申请优选的实施例中，对报文进行解析具体可以通过以下步骤实现：

a、获取报文的IP头部信息，判断IP头部信息中是否存在IP选项信息；

b、若IP头部信息中存在IP选项信息，则根据IP选项信息中的内容生成安全规则，并将报文进行转发；

c、若IP头部信息中不存在IP选项信息，则将报文直接进行转发。

步骤S102：若所述报文中携带有IP选项信息，则将所述报文作为特定报文并根据所述IP选项信息确定需要调整的服务器的业务端口，生成与所述业务端口对应的安全规则。

接入设备在对特定报文进行解析之后，判断报文中是否携带有IP选项信息，其中，IP选项信息是在业务类型或者业务端口发生变化时，服务器根据具体的业务相关信息添加到所述特定报文中的。IP选项信息由代表不同含义的字符串组成，其组成部分至少包括：IP地址、协议类型、端口标识以及指示字符，不同的组成部分其对应的作用也各不相同，具体如下：

1)、IP地址为服务器对应的IP地址，通过该IP地址可以确定当前业务类型对应的服务器具体是哪个服务器。

2)、协议类型为当前业务所支持的协议类型，根据具体需要可以包括但不限于TCP协议(在具体实施例中可以通过IP选项信息对应的字符串中的字符“t”来表示)、UDP协议(在具体实施例中可以通过IP选项信息对应的字符串中的字符“u”来表示)等一些常见协议。

3)、端口标识用于表明与当前业务相关的业务端口具体是哪个端口，该业务端口为服务器上用于实现当前业务的端口。

4)、指示字符用于表明当前业务的具体操作信息，每个指示字符都与业务操作信息具有一一对应的关系。例如：字符“a”表示增加，则其对应的业务操作信息为放开业务端口；字符“d”表示删除，则其对应的业务操作信息为关闭相应的业务端口。

在确定了上述信息之后，接入设备根据确定出来的服务器的IP地址、当前业务对应的协议类型、与当前业务相关的业务端口以及指示字符与业务操作信息之间的对应关系，进一步确定用于配置前端设备接入端口的安全规则，其中，业务操作信息为业务端口在调整时对应的业务操作。具体可以通过如下步骤来实现：

a、若当前业务操作信息包括放开端口，则根据与所述指示字符相应的IP地址信息、端口标识信息以及协议类型信息，下发用于放开所述前端设备的接入端口的安全规则；

b、若当前业务操作信息包括关闭端口，则根据与所述指示字符相应的IP地址信息、端口标识信息以及协议类型信息，下发用于关闭所述前端设备的接入端口的安全规则；

c、若当前业务操作信息包括修改端口，则根据与所述指示字符相应的IP地址信息、端口标识信息以及协议类型信息，下发用于修改所述前端设备的接入端口的安全规则。

需要强调的是，这里所说的接入端口是接入设备上前端设备接入的端口，这里所说的安全规则是前端设备的接入端口对应于调整后的业务端口进行相应配置的规则。

由此可见，在前端设备通过服务器认证之后，通过接入设备侦听服务器发送给前端设备的报文，获取报文中具体的IP选项信息，并根据IP选项信息为前端设备的接入端口配置安全规则，从而减少了在前端设备认证成功之后服务器单独发送消息通知接入设备对前端设备接入端口进行配置安全规则所消耗的报文，同时由于接入设备用于侦听解析报文IP头和二三层转发，不参与报文的应用层转发，进而减少了网络维护的工作量，有效提高了网络维护效率。

本发明还提供了一种安全规则端口配置方法，所述方法应用于系统中的服务器，所述系统还包括前端设备和接入设备，其中，接入设备用于将服务器或前端设备发送的报文转发至其对端设备。如图2所示，为所述方法的流程示意图，具体包括以下步骤：

步骤S201：当所述服务器需要向前端设备发送特定报文时，服务器确定需要调整的业务端口以及与所述业务端口对应的业务操作信息。

由于前端设备通过接入设备与服务器相连接，当用户想要增加或修改前端设备对应可以访问的业务时，需要放开服务器上对应业务的业务端口，并对前端设备进行安全规则的配置。

在本申请优选实施例中，当服务器需要向前端设备发送特定报文时，也就是在业务类型或者业务端口发生变化时，需要首先确定当前业务的变化所对应的业务端口，以及该业务端口对应的业务操作信息具体是什么，其中，业务操作信息至少包括：放开端口、关闭端口以及修改端口。

步骤S202：根据所述业务端口、IP地址、协议类型以及业务操作信息确定IP选项信息。

在本申请优选实施例中，在确定了当前业务变化对应要调整的业务端口以及业务端口对应的业务操作信息之后，确定业务端口对应的端口标识、服务器对应的IP地址、调整后的业务支持的协议类型以及业务操作信息对应的指示字符生成对应的IP选项信息。

步骤S203：将所述IP选项信息添加至IP头部信息，根据所述IP头部信息构造所述特定报文。

在本申请优选实施例中，在生成IP选项信息之后，将所述IP选项信息添加至IP头部信息中，通过添加了IP选项信息的IP头部信息构造相应的特定报文，特定报文的类型至少包括：注册响应报文、业务响应报文以及业务请求报文。

步骤S204：所述服务器通过所述接入设备发送所述特定报文。

通过应用本申请实施例所提出的方案，通过服务器确定需要调整的业务端口，并根据与业务端口相关的IP地址信息、协议类型以及业务操作信息生成对应的IP选项并添加至由服务器通过接入设备发送的特定报文中，从而有效减少了在前端设备认证成功之后及业务变化时服务器单独发送消息通知接入设备进行安全规则配置所消耗的报文，同时该特定报文用于指示接入设备侦听解析报文IP头中的IP选项信息，进而减少了网络维护的工作量，有效提高了网络维护效率。

本发明还提供了一种安全规则端口配置方法，所述方法应用于系统中的前端设备，所述系统还包括接入设备和服务器，其中，接入设备用于将服务器或前端设备发送的报文转发至其对端设备。如图3所示，为所述方法的流程示意图，具体包括以下步骤：

步骤301：当所述前端设备通过所述接入设备接收到所述服务器发送的报文时，获取所述报文的IP头部信息。

由于一些客观因素，通过现有的带外管理方式对前端设备进行安全配置时，在前端设备通过认证后，会消耗额外的报文资源来通知接入设备对前端设备进行安全规则的配置，并且通过带外管理的方式会不可避免的需要在配置过程中获取接入设备的相关信息，进一步的造成了消息资源的浪费。

在本申请优选实施例中，前端设备通过接入设备接收服务器发送的报文，这样在报文的传输过程中，接入设备即可对

步骤302：判断所述报文的IP头部信息中是否存在IP选项信息。

由于在一些普通的响应报文或业务请求报文中，其IP头部并不会存在IP选项信息，所以在本申请优选实施例中，当前端设备接收到服务器发送的报文时，会首先判断报文的IP头部信息中是否存在IP选项信息，IP选项信息是服务器在业务类型或业务端口发生变化时生成并添加至特定报文中的。具体判断IP头部信息中是否存在IP选项信息的方法同前述对报文进行解析的方法，在此便不再赘述。

步骤303：若所述报文的IP头部信息中存在IP选项信息，则所述报文为特定报文，获取所述IP选项信息中携带的进行调整的业务端口以及所述业务端口对应的业务操作信息。

在确定接收到的报文中携带有IP选项信息之后，根据IP选项信息中包含的具体业务端口信息以及业务操作信息确定进行调整的业务端口，并与调整后的业务端口建立相应的业务；如果报文中不存在IP选项信息，则证明当前业务端口没有进行调整，前端设备与服务器继续当前的业务，发送相应的业务报文。

在确定了调整的业务端口以及业务端口对应的业务操作信息之后，前端设备将通过由接入设备上根据相同的IP选项信息进行安全规则配置之后的接入端口与服务器调整后的业务端口进行业务交互，以实现调整后的业务可以正常进行。

下面将结合本申请中的附图，对本申请中的技术方案进行清楚、完整的描述，显然，所描述的实施例是本申请的一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本申请保护的范围。

如图4所示，为本申请实施例中提出的一种IP放开方法的流程示意图，该方法应用于视频监控管理系统中，该方法具体包括如下步骤：

步骤401：前端设备向VM(视频管理服务器)发送注册报文。

在本申请优选实施例中，前端设备IPC1的IP地址为192.168.2.22，视频管理服务器(VM)的IP地址为192.168.1.11，二者之间的交换机(SW1)的IP地址为192.168.2.1。

安全交换机在缺省的情况下只允许注册会话报文通过，VM缺省情况下发至交换机的ACL规则如下，VM接收前端设备国标注册端口为5061。

以交换机SW1为例配置如下：

若交换机收到前端设备的注册报文则允许通过，若交换机收到前端设备的其他报文则丢弃。

步骤402：VM收到前端设备的注册报文后，根据已添加的设备信息进行注册报文的鉴权，确认为合法设备，在注册响应消息IP头部带上option选项A。

在本申请优选实施例中，VM在接收到前端设备的注册报文后，对已经添加的设备进行注册报文的鉴权操作，如图5所示，为VM接收注册报文并对已添加设备进行鉴权的流程示意图。

在得知需要放开视频管理服务器的ftp 21端口业务后，在选项A中就带上ftp 21端口信息，注册响应报文的选项A的内容如下表1所示：

表1

步骤403：网络接入设备专门侦听选项，收到VM的注册响应报文，获取解析选项，根据选项中的业务端口信息，在前端设备的物理接入端口配置ACL规则，允许与业务端口之间的通信报文通过。

在本申请优选实施例中，SW1接收到VM发往IPC1的报文时，获取解析IP头选项内容，得到需要放开的端口为TCP 21，则配置ACL规则如下：

步骤404：某个业务建立后，需要进一步打开新的业务端口，则在发送给前端设备的业务请求或确认消息中带上选项B，网络接入设备侦听到则进一步放开新的业务所需IP和端口。

在本申请优选实施例中，客户端想要查看IPC1的UDP实况业务需要通过媒体转发服务器来实现，其中媒体转发服务器的IP地址为192.168.1.21，对应的服务器业务端口的端口号为UDP端口10001，客户端对应的IP地址为192.168.2.150。

如图6所示，为客户端需要查看IPC1的UDP实况业务的流程示意图，VM与媒体转发服务器协商转发IPC1实况媒体流的UDP接收端口为10001，VM在实况请求中增加IP选项B内容如下表2所示：

表2

SW1接收到VM发往IPC1的实况请求报文，获取解析IP头选项内容，得到需要放开的端口为UDP 10001，目的IP为媒体转发服务器的IP地址，进一步对前端设备的物理接入端口配置ACL规则如下。

如图7所示，为客户端结束查看实况时删除端口的流程示意图，在客户端结束查看实况是，需要关闭媒体转发服务器对应的UDP端口，VM在发送给IPC1的结束实况请求报文选项中增加IP选项C，选项内容如下表3所示：

表3

SW1接收到VM发往IPC1的释放实况请求报文，获取解析IP头选项内容，确认目的IP192.168.1.21和UDP端口10001ACL规则需要删除，则进一步对前端设备的物理接入端口配置ACL规则如下，禁止发往该目的IP和UDP端口的报文通过。

步骤405：某业务建立时可通过其业务建立消息中选项内容控制接入设备关闭已结束的业务端口，同时打开多个新业务所需端口。

在本申请优选实施例中，多个复杂业务处理流程：阶段A，需要仅放开端口A；阶段B仅需要放开端口B，关闭A；阶段C仅需要放开端口AC，关闭B。

如阶段A：客户端先实况IPC主流，阶段B：客户在同一窗格实况IPC辅流(此时VM会自动关闭主流实况)，阶段C：VM按计划自动调度IPC连接VM ftp端口进行升级，同时客户在阶段B的同一窗格实况IPC主流(VM会自动关闭辅流实况)。对应于不同的阶段，需要在VM发送给IPC的请求中增加不同的IP选项，具体情况如下：

1、如下表4所示，为在阶段A对应建立IPC主流实况时，仅放开MS主流接收UDP端口10001，VM在向IPC发送的实况请求中增加IP选项内容具体如下：

表4

此时，SW1接收到VM发往IPC的实况请求报文，获取解析IP头选项内容，得到需要放开的端口为UDP 10001，则进一步对前端设备的物理接入端口配置ACL规则如下：

2、如下表5所示，为在阶段B对应建立IPC辅流实况时，需关闭主流10001端口，放开辅流端口10002。VM在向IPC实况请求中增加IP选项内容如下：

表5

在这种情况下，同样的SW1接收到VM发往IPC的实况请求报文，获取解析IP头选项内容，得到需要放开的端口为UDP 10002，关闭的端口为10001，则进一步对前端设备的物理接入端口配置ACL规则如下：

3、如下表6所示，为在阶段C对应建立IPC主流实况时，需关闭媒体转发服务器接收辅流的10002端口，放开主流端口10001，同时也需放开VM ftp升级端口21。VM在向IPC实况请求中增加IP选项内容如下：

表6

此时，SW1接收到VM发往IPC的实况请求报文，获取解析IP头选项内容，得到需要放开的端口为媒体转发服务器端口UDP 10001，VM端口TCP21，关闭的端口为媒体转发服务器端口UDP 10001，则进一步对前端设备的物理接入端口配置ACL规则如下：

本申请实施例在接入设备管理上的思路明显不同于现有技术中的带外管理方式。通过应用本申请实施例提出的方案，在注册响应报文或者业务请求报文的IP头部添加携带有业务端口信息的IP选项，通过接入设备侦听注册响应报文中或者业务请求报文，获取报文中IP选项并解析选项中的业务端口，根据选项中的业务端口在前端设备的物理接入端口配置安全规则，从而有效减少了服务器单独发送消息通知接入设备进行安全规则所消耗的报文，同时由于接入设备用于侦听报文不参与报文转发，进而减少了网络维护的工作量，有效提高了网络维护效率。

为更清楚地说明本申请前述实施例提供的方案，基于与上述方法同样的发明构思，本申请实施例还提出了一种接入设备，应用于包括接入设备、前端设备以及服务器的系统中，其中，接入设备用于将服务器或前端设备发送的报文转发至其对端设备。该接入设备的结构示意图如图8所示，具体包括：

解析模块810：当所述接入设备接收到由所述服务器发送至所述前端设备的报文时，对所述报文进行解析，所述报文的类型至少包括注册响应报文、业务响应报文和业务请求报文；

生成模块820：若所述报文中携带有IP选项信息，则将所述报文作为特定报文并根据所述IP选项信息确定需要调整的服务器的业务端口，生成与所述业务端口对应的安全规则，所述IP选项信息为所述服务器在业务类型或业务端口发生变化时生成并添加至所述特定报文中的；

配置模块830：根据所述安全规则对所述前端设备的接入端口进行配置。

在具体的应用场景中，所述IP选项信息至少由IP地址、协议类型、端口标识以及指示字符组成，所述生成模块820具体用于：

从所述IP选项信息中获取IP地址、协议类型、端口标识以及指示字符；

根据所述IP地址确定与当前业务类型对应的服务器；

根据所述协议类型确定当前业务类型所要遵从的协议；

根据所述端口标识确定当前业务类型需要调整的端口标识信息；

根据所述指示字符与业务操作信息之间预设的对应关系以及确定的服务器IP地址、协议类型和端口标识信息确定安全规则；

其中，所述业务操作信息为所述业务端口在调整时对应的业务操作。

在具体的应用场景中，根据所述指示字符与业务操作信息之间预设的对应关系以及确定的服务器IP地址、协议类型和端口标识信息确定安全规则，具体为：

与现有技术相比，本申请实施例所提出的技术方案的有益技术效果包括：

通过应用本申请实施例提出的方案，在前端设备通过服务器认证之后，通过接入设备侦听服务器发送给前端设备的报文，获取报文中具体的IP选项信息，并根据IP选项信息为前端设备的接入端口配置安全规则，从而减少了在前端设备认证成功之后服务器单独发送消息通知接入设备对前端设备接入端口进行配置安全规则所消耗的报文，同时由于接入设备用于侦听解析报文IP头和二三层转发，不参与报文的应用层转发，进而减少了网络维护的工作量，有效提高了网络维护效率。

本发明另外还提供了一种服务器，应用于包括服务器、前端设备以及接入设备的系统中，其中，接入设备用于将服务器或前端设备发送的报文转发至其对端设备。该服务器的结构示意图如图9所示，具体包括：

第一确定模块910：当所述服务器需要向前端设备发送特定报文时，服务器确定需要调整的业务端口以及与所述业务端口对应的业务操作信息；

第二确定模块920：根据所述业务端口、IP地址、协议类型以及业务操作信息确定IP选项信息；

构造模块930：将所述IP选项信息添加至IP头部信息，根据所述IP头部信息构造所述特定报文；

发送模块940：所述服务器通过所述接入设备发送所述特定报文，所述报文的类型至少包括注册响应报文、业务响应报文和业务请求报文。

与现有技术相比，本申请实施例所提出的技术方案的有益技术效果包括：

本发明同时还提出了一种前端设备，所述前端设备应用于系统中，所述系统还包括接入设备和服务器，其中，接入设备用于将服务器或前端设备发送的报文转发至其对端设备。该前端设备的结构示意图如图10所示，具体包括：

接收模块101：当所述前端设备通过所述接入设备接收到所述服务器发送的报文时，获取所述报文的IP头部信息；

判断模块102：判断所述报文的IP头部信息中是否存在IP选项信息；

获取模块103：若所述报文的IP头部信息中存在IP选项信息，则所述报文为特定报文，获取所述IP选项信息中携带的进行调整的业务端口以及所述业务端口对应的业务操作信息；

其中，所述IP选项信息为所述服务器在业务类型或业务端口发生变化时生成并添加至所述特定报文中的。

通过应用本申请实施例所提出的方案，在前端设备通过服务器认证之后，通过接入设备侦听服务器发送给前端设备的报文，获取报文中具体的IP选项信息，并根据IP选项信息为前端设备的接入端口配置安全规则，从而减少了在前端设备认证成功之后服务器单独发送消息通知接入设备对前端设备接入端口进行配置安全规则所消耗的报文，同时由于接入设备用于侦听解析报文IP头和二三层转发，不参与报文的应用层转发，进而减少了网络维护的工作量，有效提高了网络维护效率。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到本发明可以通过硬件实现，也可以借助软件加必要的通用硬件平台的方式来实现。基于这样的理解，本发明的技术方案可以以软件产品的形式体现出来，该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM，U盘，移动硬盘等)中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者接入设备等)执行本发明各个实施场景所述的方法。

本领域技术人员可以理解附图只是一个优选实施场景的示意图，附图中的模块或流程并不一定是实施本发明所必须的。

本领域技术人员可以理解实施场景中的装置中的模块可以按照实施场景描述进行分布于实施场景的装置中，也可以进行相应变化位于不同于本实施场景的一个或多个装置中。上述实施场景的模块可以合并为一个模块，也可以进一步拆分成多个子模块。

上述本发明序号仅仅为了描述，不代表实施场景的优劣。

以上公开的仅为本发明的几个具体实施场景，但是，本发明并非局限于此，任何本领域的技术人员能思之的变化都应落入本发明的保护范围。

完整全部详细技术资料下载

当前第1页1 2 3

该技术已申请专利。仅供学习研究，如用于商业用途，请联系技术所有人。
技术研发人员：周迪;赵晖;
技术所有人：浙江宇视科技有限公司;
我是此专利的发明人

上一篇：一种自动切换线路的无线传输系统及方法与流程
上一篇：一种IT资源池智能优化配置系统的制作方法

该领域下的技术专家
如您需求助技术专家，请点此查看客服电话进行咨询。
1、王老师：1.数字信号处理 2.传感器技术及应用 3.机电一体化产品开发 4.机械工程测试技术 5.逆向工程技术研究
2、王老师：1.机器人 2.嵌入式控制系统开发
3、孙老师：1.振动信号时频分析理论与测试系统设计 2.汽车检测系统设计 3.汽车电子控制系统设计
4、毕老师：机构动力学与控制
5、袁老师：1.计算机视觉 2.无线网络及物联网
如您是高校老师，可以点此联系我们加入专家库。