[发明专利]一种隧道服务器和客户端装置

说明书

技术领域

本发明涉及视频监控领域，尤其涉及应用于视频监控网络的隧道服务器和客户端装置。

背景技术

随着标准化且易扩展的IP网络技术的不断发展，基于IP网络的视频监控技术也得到了快速发展，IP监控已经成为目前监控的主流。通常用户根据自己对安全性的需求，在设计IP监控网络的时候会使用NAT技术，比如将监控中心的一些设备，如监控服务器，IPSAN设备等部署在NAT私网。存在有NAT的IP监控网络在实现互通互联的时候可以考虑隧道技术，申请人之前的一些专利申请记载过该技术的实现方案。但是隧道技术在实现网络互通的时候，无论是监控信令报文还是监控数据报文均被封装在隧道报文中，比如图1公网中的EC向处于NAT内部的监控服务器VM发送报文的时候，以L2TP隧道封装为例，封装的报文格式示意如图2。其中IP头1包含EC的地址（源IP地址），LNS设备的地址（目的IP地址）；UDP头1、L2TP头以及PPP头为L2TP封装；IP头2、UDP头2和数据data是VM实际接收的报文，它们作为隧道报文的载荷在LNS处解封装后被发送给VM，其中IP头2中包含作为源IP的EC的虚拟IP地址（建隧道的时候由LNS分配给EC的），作为目的IP的VM的IP地址。

由于监控前端设备经常处于公共区域，比如道路两旁，小区电梯中，所以有被攻击者替换的可能，如果能对其发送的流量进行控制会进一步增强网络的安全性。一种流量控制的方法为：在监控前端设备的接入交换机上设置ACL规则，仅允许监控相关的业务通过。在设置ACL规则的时候UDP端口号是经常需要被使用的，但是对于隧道封装后的报文，其UDP端口号固定为1701（如图2的UDP头1），普通的交换机无法对其进行ACL的流量监控，所以如何实现对存在NAT的监控网络中的监控前端设备进行流量控制是需要解决的问题。

发明内容

有鉴于此，本发明的目的是提供一种适于流量控制的隧道服务器和隧道客户端装置。

为实现上述目的，本发明提供技术方案如下：

一种隧道服务器，该隧道服务器位于视频监控网络，该视频监控网络包括相互隔离的第一监控节点和第二监控节点，该隧道服务器包括：隧道处理单元，用于处理第一监控节点发送的隧道建立请求，分配虚拟IP地址给第一监控节点，以建立和第一监控节点的隧道；访问处理单元，用于对第一监控节点发送的对第二监控节点进行访问的请求进行确认回复，并通知表项处理单元建立该访问对应的隧道转发表项；表项处理单元，用于在本地建立所述访问对应的隧道转发表项，该表项包括第一监控节点的真实IP地址，第一监控节点的虚拟IP地址，第二监控节点的IP地址以及与该访问对应的标识，该标识在所述访问第二监控节点的请求中携带或者由所述访问处理单元收到所述请求后分配；报文处理单元，用于根据所述访问对应的隧道转发表项对第一监控节点未经隧道发送的访问第二监控节点的报文的IP头进行重封装并发送给第二监控节点，重封装后的IP头包括：作为源IP地址的第一监控节点的虚拟IP地址，作为目的IP地址的第二监控节点的IP地址。

该未经隧道发送的访问第二监控节点的报文使用的端口号不同于通过隧道发送的报文的端口号。

该报文处理单元，还用于根据所述访问对应的隧道转发表项对第二监控节点返回给第一监控节点的报文的IP头进行重封装并不经过隧道发送给第一监控节点，重封装后的IP头包括：该访问对应的标识，作为源IP的隧道服务器的IP地址，作为目的IP的第一监控节点的真实IP地址。

该访问处理单元，还用于对第一监控节点发送的访问撤销请求进行确认回复，该访问撤销请求携带该访问对应的标识，并通知表项处理单元删除该访问对应的隧道转发表项；表项处理单元，还用于收到所述通知时删除该访问对应的隧道转发表项。

该隧道处理单元，还用于在判断第一监控节点和自身的隧道断开时通知表项处理单元；表项处理单元，还用于第一监控节点和自身的隧道断开时删除该隧道对应的所有隧道转发表项。

与本发明的隧道服务器配合工作的一种隧道客户端装置，该装置应用于第一监控节点，该第一监控节点位于视频监控网络，该视频监控网络还包括隧道服务器，以及与第一监控节点网络隔离的第二监控节点，该装置包括：