本发明专利技术提供一种隧道服务器以及隧道客户端。该隧道服务器处理第一监控节点发送的隧道建立请求,分配虚拟IP给第一监控节点;对第一监控节点发送的对第二监控节点进行访问的请求进行确认;在本地建立访问对应的隧道转发表项,该表项包括第一监控节点的真实IP,第一监控节点的虚拟IP,第二监控节点IP以及与该访问对应的标识;根据访问对应的隧道转发表项对第一监控节点发送的访问第二监控节点的报文的IP头进行重封装并发送给第二监控节点,重封装后的IP头包括:作为源IP的第一监控节点虚拟IP,作为目的IP地址的第二监控节点IP。本发明专利技术实现了对存在NAT的监控网络中的前端设备的流量控制和网络安全。
【技术实现步骤摘要】
本专利技术涉及视频监控领域,尤其涉及应用于视频监控网络的隧道服务器和客户端装直。
技术介绍
随着标准化且易扩展的IP网络技术的不断发展,基于IP网络的视频监控技术也得到了快速发展,IP监控已经成为目前监控的主流。通常用户根据自己对安全性的需求,在设计IP监控网络的时候会使用NAT技术,比如将监控中心的一些设备,如监控服务器,IPSAN设备等部署在NAT私网。存在有NAT的IP监控网络在实现互通互联的时候可以考虑隧道技术,申请人之前的一些专利申请记载过该技术的实现方案。但是隧道技术在实现网络互通的时候,无论是监控信令报文还是监控数据报文均被封装在隧道报文中,比如图1公网中的EC向处于NAT内部的监控服务器VM发送报文的时候,以L2TP隧道封装为例,封装的报文格式示意如图2。其中IP头I包含EC的地址(源IP地址),LNS设备的地址(目的IP地址);UDP头1、L2TP头以及PPP头为L2TP封装;IP头2、UDP头2和数据data是VM实际接收的报文,它们作为隧道报文的载荷在LNS处解封装后被发送给VM,其中IP头2中包含作为源IP的EC的虚拟IP地址(建隧道的时候由LNS分配给EC的),作为目的IP的VM的IP地址。由于监控前端设备经常处于公共区域,比如道路两旁,小区电梯中,所以有被攻击者替换的可能,如果能对其发送的流量进行控制会进一步增强网络的安全性。一种流量控制的方法为在监控前端设备的接入交换机上设置ACL规则,仅允许监控相关的业务通过。在设置ACL规则的时候UDP端口号是经常需要被使用的,但是对于隧道封装后的报文,其UDP端口号固定为1701 (如图2的UDP头I),普通的交换机无法对其进行ACL的流量监控,所以如何实现对存在NAT的监控网络中的监控前端设备进行流量控制是需要解决的问题。
技术实现思路
有鉴于此,本专利技术的目的是提供一种适于流量控制的隧道服务器和隧道客户端装置。为实现上述目的,本专利技术提供技术方案如下一种隧道服务器,该隧道服务器位于视频监控网络,该视频监控网络包括相互隔离的第一监控节点和第二监控节点,该隧道服务器包括隧道处理单元,用于处理第一监控节点发送的隧道建立请求,分配虚拟IP地址给第一监控节点,以建立和第一监控节点的隧道;访问处理单元,用于对第一监控节点发送的对第二监控节点进行访问的请求进行确认回复,并通知表项处理单元建立该访问对应的隧道转发表项;表项处理单元,用于在本地建立所述访问对应的隧道转发表项,该表项包括第一监控节点的真实IP地址,第一监控节点的虚拟IP地址,第二监控节点的IP地址以及与该访问对应的标识,该标识在所述访问第二监控节点的请求中携带或者由所述访问处理单元收到所述请求后分配;报文处理单元,用于根据所述访问对应的隧道转发表项对第一监控节点未经隧道发送的访问第二监控节点的报文的IP头进行重封装并发送给第二监控节点,重封装后的IP头包括作为源IP地址的第一监控节点的虚拟IP地址,作为目的IP地址的第二监控节点的IP地址。该未经隧道发送的访问第二监控节点的报文使用的端口号不同于通过隧道发送的报文的端口号。该报文处理单元,还用于根据所述访问对应的隧道转发表项对第二监控节点返回给第一监控节点的报文的IP头进行重封装并不经过隧道发送给第一监控节点,重封装后的IP头包括该访问对应的标识,作为源IP的隧道服务器的IP地址,作为目的IP的第一监控节点的真实IP地址。该访问处理单元,还用于对第一监控节点发送的访问撤销请求进行确认回复,该访问撤销请求携带该访问对应的标识,并通知表项处理单元删除该访问对应的隧道转发表项;表项处理单元,还用于收到所述通知时删除该访问对应的隧道转发表项。该隧道处理单元,还用于在判断第一监控节点和自身的隧道断开时通知表项处理单元;表项处理单元,还用于第一监控节点和自身的隧道断开时删除该隧道对应的所有隧道转发表项。与本专利技术的隧道服务器配合工作的一种隧道客户端装置,该装置应用于第一监控节点,该第一监控节点位于视频监控网络,该视频监控网络还包括隧道服务器,以及与第一监控节点网络隔离的第二监控节点,该装置包括隧道处理单元,用于向隧道服务器发送隧道建立请求,获取隧道服务器分配的虚拟IP地址,建立和隧道服务器的隧道;访问请求单元,用于向隧道服务器发送对第二监控节点进行访问的请求,并在收到隧道服务器的确认回复后通知表项处理单元建立该访问对应的隧道转发表项;表项处理单元,用于在本地建立所述访问对应的隧道转发表项,该表项包括第二监控节点的IP地址以及与该访问对应的标识,该标识在所述访问第二监控节点的请求中携带或者由所述隧道服务器收到所述请求后分配;报文处理单元,用于在访问第二监控节点时,根据所述访问对应的隧道转发表项对报文进行IP头封装并不经隧道发送到第一监控节点, 封装后的IP头包括该访问对应的标识,作为源IP地址的第一监控节点的真实IP地址,作为目的IP地址的隧道服务器的IP地址。该未经隧道发送的访问第二监控节点的报文使用的端口号不同于通过隧道发送的报文的端口号。该报文处理单元,还用于根据所述访问对应的隧道转发表项对隧道服务器未经隧道发送报文的IP头进行还原;还原后的IP头包括作为目的IP地址的第一监控节点的虚拟IP地址、作为源IP地址的第二监控节点的IP地址。该访问请求单元,还用于发送访问撤销请求,该访问撤销请求携带该访问对应的标识,并通知表项处理单元删除该访问对应的隧道转发表项;表项处理单元,还用于在收到所述删除通知后删除对应的隧道转发表项。该隧道处理单元,还用于在自身节点和隧道服务器的隧道断开时通知表项处理单元;表项处理单元,还用于自身节点和隧道服务器的隧道断开时删除该隧道对应的所有隧道转发表项。与现有技术相比,本专利技术实现了对存在NAT的监控网络中的前端设备的流量控制、网络安全等。附图说明图1是一种监控网络示意图。图2是现有的L2TP隧道封装报文示意图。图3是本专利技术实施例一种隧道服务器逻辑图。图4是本专利技术实施例一种隧道客户端装置逻辑图。图5是 图9是本专利技术实施例各种报文示意图。具体实施例方式针对上述提出的技术问题,本专利技术提供一种适于流控的隧道技术。以下结合具体实施例进行详细说明。图3为一种隧道服务器的逻辑结构图。该隧道服务器包括隧道处理单元31、访问处理单元32、表项处理单元33和报文处理单元34。图4为和图3隧道服务器配合工作的一隧道客户端装置的逻辑结构图,该客户端装置应用于第一监控节点,其包括隧道处理单元41、访问请求单元42、表项处理单元43和报文处理单元44。该隧道服务器可以集成在监控节点上,比如说媒体交换服务器MS ;也可以集成在路由器等网络设备上。第一监控节点一般是监控前端设备,比如编码器,网络摄像机,在一些应用中需要对其发送的流量进行控制。隧道服务器和第一监控节点的隧道客户端装置相互配合的处理流程如下步骤501、第一监控节点的隧道处理单元41向隧道服务器发送隧道建立请求,获取隧道服务器分配的虚拟IP地址,建立和隧道服务器的隧道。步骤502、隧道服务器的隧道处理单元31处理上述隧道建立请求,分配虚拟IP地址给第一监控节点,以建立和第一监控节点的隧道。上述两个步骤为隧道的建立过程,属于现有技术。本实施例设置这两个步骤主要为了使隧道服务器获得第一监控本文档来自技高网...
【技术保护点】
一种隧道服务器,该隧道服务器位于视频监控网络,该视频监控网络包括相互隔离的第一监控节点和第二监控节点,其特征在于,该隧道服务器包括:隧道处理单元,用于处理第一监控节点发送的隧道建立请求,分配虚拟IP地址给第一监控节点,以建立和第一监控节点的隧道;访问处理单元,用于对第一监控节点发送的对第二监控节点进行访问的请求进行确认回复,并通知表项处理单元建立该访问对应的隧道转发表项;表项处理单元,用于在本地建立所述访问对应的隧道转发表项,该表项包括第一监控节点的真实IP地址,第一监控节点的虚拟IP地址,第二监控节点的IP地址以及与该访问对应的标识,该标识在所述访问第二监控节点的请求中携带或者由所述访问处理单元收到所述请求后分配;报文处理单元,用于根据所述访问对应的隧道转发表项对第一监控节点未经隧道发送的访问第二监控节点的报文的IP头进行重封装并发送给第二监控节点,重封装后的IP头包括:作为源IP地址的第一监控节点的虚拟IP地址,作为目的IP地址的第二监控节点的IP地址。
【技术特征摘要】
1.一种隧道服务器,该隧道服务器位于视频监控网络,该视频监控网络包括相互隔离的第一监控节点和第二监控节点,其特征在于,该隧道服务器包括 隧道处理单元,用于处理第一监控节点发送的隧道建立请求,分配虚拟IP地址给第一监控节点,以建立和第一监控节点的隧道; 访问处理单元,用于对第一监控节点发送的对第二监控节点进行访问的请求进行确认回复,并通知表项处理单元建立该访问对应的隧道转发表项; 表项处理单元,用于在本地建立所述访问对应的隧道转发表项,该表项包括第一监控节点的真实IP地址,第一监控节点的虚拟IP地址,第二监控节点的IP地址以及与该访问对应的标识,该标识在所述访问第二监控节点的请求中携带或者由所述访问处理单元收到所述请求后分配; 报文处理单元,用于根据所述访问对应的隧道转发表项对第一监控节点未经隧道发送的访问第二监控节点的报文的IP头进行重封装并发送给第二监控节点,重封装后的IP头包括作为源IP地址的第一监控节点的虚拟IP地址,作为目的IP地址的第二监控节点的IP地址。2.如权利要求1所述的装置,其特征在于,未经隧道发送的访问第二监控节点的报文使用的端口号不同于通过隧道发送的报文的端口号。3.如权利要求1所述的装置,其特征在于,所述报文处理单元,还用于根据所述访问对应的隧道转发表项对第二监控节点返回给第一监控节点的报文的IP头进行重封装并不经过隧道发送给第一监控节点,重封装后的IP头包括该访问对应的标识,作为源IP的隧道服务器的IP地址,作为目的IP的第一监控节点的真实IP地址。4.如权利要求1所述的装置,其特征在于,所述访问处理单元,还用于对第一监控节点发送的访问撤销请求进行确认回复,该访问撤销请求携带该访问对应的标识,并通知表项处理单元删除该访问对应的隧道转发表项; 表项处理单元,还用于收到所述通知时删除该访问对应的隧道转发表项。5.如权利要求1所述的装置,其特征在于,隧道处理单元,还用于在判断第一监控节点和自身的隧道断开时通知表项处理单元; 表项处理单元,还用于第一监控节点和自身...
【专利技术属性】
技术研发人员:任俊峰,周迪,
申请(专利权)人:浙江宇视科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。