技術領域

本發明涉及數據通信領域，尤其一種在企業網環境下隧道連接請求分發的方法及裝置。

背景技術

隨著標準化且易擴展的網絡技術，尤其是IP技術不斷發展，基于IP網絡的智能視頻監控技術得到快速發展，IP監控已經成為目前監控的主流。而為了安全和成本，大部分的監控網絡都部署在私網內。很多移動用戶或者公網用戶使用解碼客戶端（比如VC）要訪問位于私網內的監控資源（比如編碼器EC上的實況資源），可能會通過L2TP撥號，通過隧道的方式接入到企業的私網進行訪問，圖1就是這樣典型的應用場景，利用隧道穿越監控網絡NAT的相關技術，可以參考本申請人先前提出的相關專利申請。

為了節省網絡建設上的投資，同時也為了便于網絡維護管理，視頻監控網絡和企業辦公數據網絡通常是合二為一的。請參考圖2所示，在企業網出口的NAT路由器提供LNS服務，使處于外網的用戶能夠通過L2TP撥號訪問企業內部的數據。同時在企業內網中還有專門為視頻監控業務服務的LNS設備。在這樣的應用場景下，需要采取正確的處理措施使處于外網的用戶訪問監控業務就撥號到內網的監控LNS服務器，訪問企業其他數據的用戶撥號到企業網的LNS服務器上。

一種容易想到的處理思路是通過修改端口號的方式來實現。比如說，需要撥號到企業網的時候用戶可以使用1701端口撥號，需要撥號到監控服務的時候用戶使用1801端口撥號，即用戶通過不同的端口號來區分自身想訪問的不同的網絡業務。然而IETF（互聯網工程任務組）發布的RFC2661標準文檔中規定了L2TP目的端口號只能是1701，如果進行上述改動，則意味著無法兼容標準方式，需要進行私有化的協議改造，不利于大規模商業應用。

發明內容

有鑒于此，本發明提供一種隧道連接請求分發的裝置，應用于NAT網關上用以調度來自NAT網關外部的用戶的L2TP連接請求，其中該裝置包括：

LNS服務單元，用于根據預定策略判斷來自用戶的L2TP連接請求報文是否需要在本地進行認證，如果是則處理該請求報文，否則向用戶返回認證失敗報文；

前置匹配單元，用于在接收到來自LNS服務單元返回的認證失敗報文時，將該報文的會話特征保存在前置會話表中，在接收到用戶的L2TP連接請求報文時，獲取該L2TP連接請求報文的會話特征，根據該會話特征查找前置會話表中是否有相應的表項，如果有，則將該L2TP連接請求報文轉發給NAT網關內部網絡中的LNS服務器；如果沒有，則將該L2TP連接請求報文發送給LNS服務單元；

其中所述LNS服務單元與LNS服務器分別為服務于不同的業務網絡。

本發明還提供一種隧道連接請求分發方法，應用于NAT網關上用以調度來自NAT網關外部的用戶的L2TP連接請求，其特征在于，該方法包括以下步驟：

步驟A、根據預定策略判斷來自用戶的L2TP連接請求報文是否需要在本地進行認證，如果是則在本地處理該請求報文，否則向用戶返回認證失敗報文；

步驟B、在接收到步驟A返回的認證失敗報文時，將該報文的會話特征保存在前置會話表中，在接收到用戶的L2TP連接請求報文時，獲取該L2TP連接請求報文的會話特征，根據該會話特征查找前置會話表中是否有相應的表項，如果有，則將該L2TP連接請求報文轉發給NAT網關內部網絡中的LNS服務器；如果沒有，則返回步驟A在本地處理L2TP連接請求報文；其中LNS服務器服務的業務網絡與本地業務網絡不同。

本發明能夠在遵循既有標準協議，不改變用戶終端軟件前提下，智能地識別用戶意圖連接的目的LNS服務器，完成用戶到不同業務網絡的隧道連接目標，并且不需要用戶過多手工干預。

附圖說明

圖1是現有技術一種典型的視頻監控組網示意圖。

圖2是一種典型的具有兩個LNS服務器的組網圖。

圖3是本發明一種實施方式中隧道連接請求分發裝置的邏輯結構圖。

圖4是本發明一種實施方式的處理流程圖。

具體實施方式

本發明通過在L2TP連接請求的認證階段進行特別處理，在基本保障用戶使用體驗的前提下，智能識別用戶的L2TP連接請求，將用戶的L2TP連接請求分發到不同的業務網絡前端的LNS服務器上處理。以下結合附圖對本發明較佳實施方式中的詳細實現進行描述。