技術領域

本發明涉及視頻監控領域，尤其涉及一種IP監控系統中穿越、協助穿越網絡隔離設備的方法和節點。

背景技術

基于IP網絡的視頻監控已經逐漸發展成為安防業的主流方案，成功應用于平安工程、高速公路、公安網、園區等大型項目。IP的標準性和開放性也使得各個網絡孤島的整合變得容易，使網絡規模的擴展變得輕松。考慮到IPv4地址資源緊張和現有各區域網絡地址段相互重疊的現實，以及各種網絡安全的需要，NAT、防火墻、安全隔離網閘等設備被大量的應用于大型網絡中。這就使得基于IP的視頻監控系統的信令和業務流程變得非常復雜，甚至導致某些業務在某些特定的組網中無法開展。下面簡單闡述下在視頻監控網絡存在NAT、防火墻、安全隔離網閘時，視頻監控網絡通信變得復雜困難的緣由。

在存在NAT設備的時候，由于IP報文穿過NAT設備之后其源IP地址或目的IP地址會發生改變，而一個業務信令內部通常也包含有源IP地址和目的IP地址，由此造成內、外部地址的不統一，這在很多時候會對視頻監控業務流程造成困擾。另外，如果NAT外網存在設備要首先發起通向內網的TCP/UDP連接，就必須先在NAT設備上為內網的那些設備分別配置內部服務器的地址/端口映射，這樣顯然會浪費大量公網地址，很多時候也是不允許的。當然，在控制服務器可以判斷出交互的兩臺設備誰處于NAT內網誰處于外網時，可以通知內網的設備主動向外網設備發起連接。但是這要求每個會話連接都實現兩種或甚至兩種以上的處理流程，對于一個包含了多個會話行為的業務流程這種組合會變得非常復雜。況且某些標準業務也不允許交互的雙方顛倒C/S的角色。

在存在防火墻時，需要防火墻開放相當數量的UDP/TCP端口以便防火墻外的終端，如視頻監控客戶端，能主動訪問防火墻內的服務器，如視頻管理服務器(VM)。這樣就給企業內網帶來了安全隱患。

在存在安全隔離網閘時，大量以IP代理方式實現的網閘(即來自外部的流量先發送到網閘的一個代理IP，網閘修改目的IP后再往內網轉發)，通常會要求網閘協助對業務信令的內部信息做出相應的修改，因為其中可能包含有IP地址信息。于是監控系統廠家每開發一個新特性可能都會要求網閘公司配合做出相應的特性開發。

另外，一些特殊用戶還有特殊的視頻監控網絡需求。比如說公安網絡等安全性要求較高的網絡需要：所有的會話連接都要求由內網發起，否則外部流量就進入不了內網。在一個典型的集中控制架構中，終端，如編碼設備，首先得向服務器，如視頻管理服務器，發起注冊信令，點播業務也是點播主機先向服務器發起申請，當終端和主機處于外網而服務器處于內網時業務就會遭遇困境。

發明內容

本發明提供了一種IP監控系統中穿越網絡隔離設備的方法和對應的監控節點。

本發明的技術方案是這樣實現的：

一種IP監控系統中穿越網絡隔離設備的方法，該方法應用于監控系統的監控節點上，其中所述監控系統中包括多個監控節點以及L2TP中繼，所述多個監控節點包括EC，VC以及至少一種服務器；其中所述至少一種服務器為VM，該方法包括：位于網絡隔離設備內側網絡內的第一監控節點作為LNS，接收作為LAC的L2TP中繼發起隧道連接請求，與該L2TP中繼建立L2TP隧道連接；L2TP隧道連接建立后，所述第一監控節點分配IP地址給所述L2TP中繼，第一監控節點激活自身L2TP虛接口IP地址；第一監控節點從L2TP中繼接收隧道報文并將隧道報文進行解封裝獲得內容為監控信令數據的內層IP報文，所述內層IP報文是網絡隔離設備外側網絡的監控節點發送的監控信令數據，所述隧道報文的目的地址為第一監控節點自身的IP地址，隧道報文的源地址為L2TP中繼自身的IP地址，所述內層IP報文的目的地址為第一監控節點L2TP虛接口的IP地址，所述內層IP報文的源地址為外側網絡中監控節點的IP地址；第一監控節點從內層IP報文中獲得監控信令數據并進行相應的信令處理；第一監控節點將自身生成的監控信令數據封裝到內層IP報文中，然后將所述內層IP報文封裝到隧道報文中發送給L2TP中繼，L2TP中繼將內層IP報文轉發到網絡隔離設備外側網絡的監控節點，其中該內層IP報文的源地址為第一監控節點L2TP虛接口的IP地址，目的地址為外側網絡監控節點的IP地址，該隧道報文的源地址為第一監控節點自身的IP地址，該隧道報文的目的IP地址為L2TP中繼自身的IP地址。