在存在 NAT设备的时候， 由于 IP报文穿过 NAT设备之后其源 IP地址或 目的 IP地址会发生改变， 而一个业务信令内部通常也包含有源 IP地址和目 的 IP地址， 由此造成内、 外部地址的不统一， 这在很多时候会对视频监控业 务流程造成困扰。 另外， 如果 NAT 外网存在设备要首先发起通向内网的 TCP/UDP连接， 就必须先在 NAT设备上为内网的那些设备分别配置内部服务 器的地址 /端口映射，这样显然会浪费大量公网地址，� �多时候也是不允许的。 当然， 在控制服务器可以判断出交互的两台设备谁处 于 NAT内网谁处于外网 时， 可以通知内网的设备主动向外网设备发起连接 。 但是这要求每个会话连 接都实现两种或甚至两种以上的处理流程， 对于一个包含了多个会话行为的 业务流程这种组合会变得非常复杂。 况且某些标准业务也不允许交互的双方 颠倒 C/S的角色。

在存在防火墙时， 需要防火墙开放相当数量的 UDP/TCP端口以便防火墙 外的终端， 如视频监控客户端， 能主动访问防火墙内的服务器， 如视频管理 服务器 ( VM) 。 这样就给企业内网带来了安全隐患。

在存在安全隔离网闸时，大量以 IP代理方式实现的网闸（即来自外部的 流量先发送到网闸的一个代理 IP , 网闸修改目的 IP后再往内网转发） ， 通 常会要求网闸协助对业务信令的内部信息做出 相应的修改， 因为其中可能包 含有 IP地址信息。于是监控系统厂家每开发一个新� ��性可能都会要求网闸公 司配合做出相应的特性开发。 发明内容 本发明提供了一种 IP 监控系统中穿越网络隔离设备的方法以及该方 法 对应的监控节点。 其中该监控节点位于网络隔离设备内侧网络， 所述监控系 统中包括多个监控节点以及隧道服务器， 所述多个监控节点包括监控前端设 备、 监控后端设备以及至少一种监控服务器； 其中所述至少一种监控服务器 为视频管理服务器 VM, 该监控节点包括隧道处理单元、 信令处理单元以及 网络接口单元； 其中所述隧道处理单元， 其中：

网络接口单元， 用于在 IP网络上收发报文；

信令处理单元， 用于处理监控信令数据；

隧道处理单元， 用于使用监控节点自身的第一 IP 地址向隧道服务器发 起隧道连接请求以与隧道服务器建立隧道连接 ； 并在隧道连接建立后从隧道 服务器获取隧道服务器分配的第二 IP地址；

该隧道处理单元进一歩用于将网络接口单元从 隧道服务器接收的隧道报 文进行解封装获得内容为监控信令数据的内层 IP 报文， 并将该监控信令数 据提交给信令处理单元； 其中所述内层 IP 报文是网络隔离设备外侧监控节 点发送的报文， 所述隧道报文的目的地址为所述第一 IP 地址， 隧道报文的 源地址为隧道服务器自身的 IP地址； 所述内层 IP报文的目的地址为所述第 二 IP地址， 源 IP地址为所述外侧监控节点的 IP地址；

其中该隧道处理单元进一歩用于将监控节点信 令处理单元生成的监控信 令数据封装到内层 IP报文中， 然后将所述内层 IP报文封装到隧道报文中发 送给网络接口单元， 由网络接口单元发送给隧道服务器， 并由隧道服务器将 内层 IP报文转发到网络隔离设备外侧网络的监控节� ��， 其中该内层 IP报文 的源地址为第二 IP 地址， 内层报文的目的地址为所述外侧网络监控节点 的 IP地址， 该隧道报文的源地址为该监控节点自身的 IP地址， 该隧道报文的 目的地址为隧道服务器自身的 IP地址。

与现有技术相比， 本发明的方案解决了当前 IP监控系统业务端口过多、 NAT 转换或网闸穿越时内部消息转换的困扰， 从而使监控系统内部的应用开 发更加简单， 而制造网闸的厂商也不必针对性的为监控系统 这种业务做出特 定的开发， 对客户的防火墙来说需要开放的端口或地址映 射也更少。 附图说明 图 1为实施例一的网络示意图；

图 2为实施例二的网络示意图；

图 2a为实施例二的另一网络示意图

图 3为实施例三的网络示意图；

图 4为实施例四的网络示意图；

图 4a为实施例四的另一网络示意图；

图 5是本发明监控节点或者 L2TP中继设备的基本硬件架构；

图 6是本发明监控节点或者 L2TP中继设备的逻辑结构图。

图 7为一种通过 L2TP隧道穿越隔离设备的 IP监控系统组网图； 图 8为另一种通过 L2TP隧道穿越隔离设备的 IP监控系统组网图； 图 9是本发明一种实施方式中节约广域网带宽的� �理流程图。 具体实施方式

IP 监控系统中监控节点穿越网络隔离设备时， 位于网络隔离设备内侧 网络的第一监控节点作为 LAC, 使用自身的第一 IP地址向隧道服务器（比如 LNS服务端， 也称为 L2TP中继）发起隧道连接请求以与隧道服务器� �立 L2TP 隧道连接。 本发明以 L2TP 实现为例进行说明， 本领域普通技术人员可以参 考互联网工程任务组（IETF)发布的相关 RFC, 比如 PPTP、 GRE以及 MPLS VPN 等隧道技术来相应实施本发明。

在 L2TP隧道连接建立后， 该第一监控节点从 L2TP中继获取 L2TP中继分 配的第二 IP地址。 第一监控节点从 L2TP中继接收隧道报文并将隧道报文进 行解封装获得内容为监控信令数据的内层 IP报文， 该内层 IP报文是网络隔 离设备外侧网络监控节点发送的监控信令报文 ， 该隧道报文的目的地址为该 第一 IP地址， 隧道报文的源地址为 L2TP中继自身的 IP地址。 该内层 IP报 文的目的地址为该第二 IP地址， 源地址为该外侧网络监控节点的 IP地址； 第一监控节点从内层 IP 报文中获得监控信令数据并进行相应的信令处 理； 第一监控节点将生成的监控信令数据封装到内 层 IP 报文中， 然后将该内层 IP报文封装到隧道报文中发送给 L2TP中继， 由 L2TP中继将内层 IP报文转 发到网络隔离设备外侧网络的监控节点， 其中该内层 IP 报文的源地址为第 二 IP地址， 内层报文的目的地址为该外侧网络监控节点的 IP地址， 该隧道 报文的源地址为第一监控节点自身的 IP 地址， 该隧道报文的目的地址为 L2TP中继自身的 IP地址。

该第一监控节点还可以从 L2TP 中继接收隧道报文并将隧道报文进行解 封装获得内容为监控业务数据的内层 IP报文， 该内层 IP报文是网络隔离设 备外侧网络监控节点发送的监控业务数据报文 ， 该隧道报文的目的地址为该 第一 IP地址， 隧道报文的源地址为 L2TP中继自身的 IP地址； 该内层 IP报 文的目的地址为该第二 IP地址， 源地址为该外侧网络监控节点的 IP地址； 或者

第一监控节点还将生成的监控业务数据封装到 内层 IP 报文中， 然后将 该内层 IP报文封装到隧道报文中发送给 L2TP中继， 由 L2TP中继将内层 IP 报文转发到网络隔离设备外侧网络的监控节点 ， 其中该内层 IP 报文的源地 址为第二 IP地址， 内层报文的目的地址为该外侧网络监控节点的 IP地址， 该隧道报文的源地址为第一监控节点自身的 IP 地址， 该隧道报文的目的地 址为 L2TP中继自身的 IP地址。 当该第一监控节点为 VM时， VM接收 L2TP中 继通过 L2TP 隧道发送的封装在隧道报文中的监控信令数据 ， 该监控信令数 据是由 EC或者 VC发送的。

IP监控系统中 L2TP中继协助监控节点穿越网络隔离设备时， L2TP中继 作为 LNS接收网络隔离设备内侧网络作为 LAC的第一监控节点以自身第一 IP 地址发出的 L2TP 隧道连接请求； 在与第一监控节点建立隧道连接后， 为第 一监控节点分配第二 IP 地址； 从第一监控节点接收隧道报文并将该隧道报 文进行解封装获得内层 IP报文， 该内层 IP报文是第一监控节点发送给网络 隔离设备外侧监控节点的监控信令数据或者业 务数据， 隧道报文的源地址为 第一监控节点的第一 IP地址， 目的地址为该 L2TP中继自身的 IP地址， 该内 层 IP报文的目的地址为网络隔离设备外侧监控节� ��的 IP地址， 源地址为该 第二 IP地址； 根据内层 IP报文的目的地址， 将该报文转发给网络隔离设备 外侧的监控节点； 将网络隔离设备外侧的监控节点发出的监控信 令数据或者 监控业务数据的 IP报文进行隧道封装后发送给该第一监控节点� �� 其中该 IP 报文的目的地址为第二 IP地址， 源 IP地址为外侧网络监控节点的 IP地址， 封装后的隧道报文的目的 IP 地址为该第一 IP 地址， 隧道报文的源地址为 L2TP中继自身的 IP地址。

第二 IP地址属于 L2TP 中继分配的网络隔离设备外侧网络中规划的 IP 地址。 或者第二 IP地址属于 L2TP中继自身独立规划的 IP地址， 该 L2TP中 继与外侧监控节点建立有 L2TP隧道连接； 其中该外侧监控节点发出的 IP报 文是封装在该隧道中的内层 IP报文， L2TP中继将外侧监控节点发出的隧道 报文解封装获得内层 IP报文， 该内层报文的源 IP地址是该外侧监控节点通 过 L2TP中继分配的 IP地址， 目的地址是第一监控节点分配到的第二 IP地 址， 该网络隔离设备外侧网络的监控节点包括 VM和 MS。 在优选方式中， 该 L2TP中继为该网络隔离设备外侧的 MS。

下面结合附图及具体实施例对本发明再作进一 歩详细的说明。 实施例中 涉及到的各种节点或者设备定义如下： 监控前端设备： 比如 IPC( IP Camera) 或者 EC ( Encoder ) ， 后续以 EC 为例。 监控后端设备： 比如 VC ( Video Cl ient , 监控客户端） 。 VM 为视频管理服务器， DM 为数据管理服务器， MS 为媒体交换服务器， IPSAN为 IP存储服务器， 隧道服务器以 LNS为例， 本发 明中也称其为 L2TP中继， 因为其还需要执行报文转发工作。

实施例一

请参考图 1， 该 IP监控系统包含多个监控节点。 监控节点 ECU因网络 隔离设备而与另一网络隔离。 网络隔离设备可以是 NAT , 防火墙或者网闸 等。 本实施例中， 该监控系统中的监控节点 ECU 所在的网络为网络隔离设 备内侧的网络， 称为网络 A, 其被网络隔离设备隔离或者说被其所保护。 网 络隔离设备外侧网络称为网络 B。 由于网络隔离设备的存在， 导致网络 A可 以随时访问网络 B, 而网络 B在隔离设备没有特殊配置的前提下是无法访� � 网络 A的。 在本实施方式中， 该 IP监控系统还包括 L2TP中继设备 14。 监控 节点 EC11从网络 A ( 10. 10. 10. 0/24 ) 中获得的 IP地址是 10. 10. 10. 10， 。 L2TP中继设备 14的 IP地址为 12. 12. 10. 10， 这个地址从网络 A的角度来看 属于公网地址， 即网络 A可以直接访问； 如果该地址不能被直接访问到， 可 以在本网络出口的隔离设备上配置静态映射的 对应公网地址。

监控节点 EC11作为 LAC, 使用自身 IP地址 10. 10. 10. 10向作为 LNS的

L2TP中继 14发起隧道连接请求以与 L2TP中继建立 L2TP隧道连接。 L2TP中 继 14收到该隧道连接请求后， 与监控节点 EC11建立隧道连接， 并将地址池 中的地址分配给 EC11。 L2TP 中继 14地址池中的地址属于网络 B规划的 IP 地址， 但是和网络 B已经存在的设备的 IP地址不同。 L2TP中继 14的地址池 中的 IP地址属于 12. 12. 11. 0/24， 其分配给 EC11的 IP地址为 12. 12. 11. 10。

ECU获得 L2TP中继 14分配的 IP地址 12. 12. 11. 10后， 可以在与网络 B中 的监控节点进行通信的时候使用该 IP地址。 比如说： EC11 向网络 B中的视 频管理服务器 VM13 进行注册的时候， 将对注册报文进行隧道封装。 这里 VM13的 IP地址为 12. 12. 12. 10， 其属于网络 12. 12. 12. 0/24。 EC11将监控信 令数据， 即注册报文的内容封装到内层 IP报文中， 然后将该内层 IP报文封 装到隧道报文中发送给 L2TP 中继 14， 其中该内层 IP 报文的源地址为 12. 12. 11. 10， 目的地址为 VM13的 IP地址 12. 12. 12. 10 ; 该隧道报文的源地 址为 EC11 自身的 IP地址 10. 10. 10. 10， 目的地址为 L2TP中继 14的 IP地址 12. 12. 10. 10。 L2TP中继 14从监控节点 EC11接收到其发送的隧道报文后将 该隧道报文进行解封装获得内层 IP报文。 L2TP中继 14根据自身的保存的路 由信息将该内层 IP报文根据其目的 IP地址进行路由。 本例中 L2TP中继的路 由信息如表 1所示：

表 1

L2TP中继 14根据目的 IP地址 12. 12. 12. 10将报文从 Interface2接口 发送出去。 网络 A中的监控节点 EC11的注册报文最终被路由到了网络 B中的 VM13 o VM13收到该注册报文后对该注册报文进行处理� � 将 EC11 的相关信息 在本地进行保存。 当有 VC需要点播 ECU 上的视频流量的时候， VM13指示 EC11发送监控视频流的监控信令数据封装成 IP报文被路由到 L2TP中继 14， L2TP中继 14将 VM13发送的该 IP报文进行隧道封装后发送给 EC11 , 该 IP 报文的目的地址为 EC11分配到的 IP地址 12. 12. 11. 10， 源地址为 VM13的 IP 地址 12. 12. 12. 10， 封装后的隧道报文的目的 IP地址为 EC11自身的 IP地址 10. 10. 10. 10， 隧道源 IP地址为 L2TP中继 14的 IP地址 12. 12. 10. 10。 ECU 从 L2TP中继接收隧道报文并将隧道报文进行解封� �获得内层 IP报文。 EC11 从内层 IP报文中获得监控信令数据并进行相应的信令� ��理。 ECU根据监控 信令的指示将监控业务数据发给相应的监控节 点。 EC11 根据自身的路由 表， 通过隧道发送监控业务数据或者不经过隧道直 接发送该监控业务数据。 ECU 通过隧道发送监控业务数据时， EC11 将生成的相应的监控业务数据封 装到内层 IP报文中， 然后将该内层 IP报文封装到隧道报文中发送给 L2TP 中继 14， 其中该内层 IP 报文的源地址为 ECU 分配到的 IP 地址 12. 12. 11. 10， 目的地址为接收监控业务数据的监控节点， 如 VC或者 MS 的 IP地址， 该监控节点可以在任意网络中， 包括但不限于网络 A或者网络 B, 比如说图 1中位于 A网络中的 VC12和位于网络 B中的 VC15 ; 该隧道报文的 源地址为 EC11 自身的 IP地址 10. 10. 10. 10， 目的地址为 L2TP中继 14的 IP 地址。 L2TP中继 14从 EC11接收到隧道报文并将该隧道报文进行解封� �获得 内层 IP报文。 L2TP中继 14 根据该内层 IP报文的目的 IP地址将报文发送 出去。

网络 A中的 VC12点播 EC11上的视频流量的时， VC12在 VM13上进行注 册。 该注册的过程和 EC11相同。 VC12先和 L2TP中继 14之间建立 L2TP隧 道。 后续 VC12点播 EC11 的视频流量时， 先将点播的监控信令通过 VC12和 L2TP中继 14之间的 L2TP隧道发送到 VM13 , 后续 EC11发送的监控业务数据 通过 EC11和 L2TP中继 14之间的隧道到达 L2TP中继 14之后， 将再通过 VC12 和 L2TP中继 14之间的隧道发送到 VC12。

网络 B中的 VC15点播 EC11上的视频流量的时， VC15在 VM13上进行注 册。 VC15点播 EC11的视频流量时， 先将点播的监控信令直接发送到 VM13, 后续 EC11发送的监控业务数据可以不经过 EC11和 L2TP中继 14之间的隧道 直接到达 VC15 , 也可以通过 EC11和 L2TP中继 14之间的隧道到达 L2TP中继 14之后， 由 L2TP中继 14再发送到 VC15。

考虑到如果 L2TP中继 14使用额外的路由器或者其他网络设备实现， 实 现成本会比较高。 因此在优选的方式中， 如果 IP 监控系统中的网络 B存在 MS转发设备的话， MS可以充当 L2TP中继 14。 视频流量点播时， VM13指示 ECU将视频业务数据发送到充当 L2TP中继 14的 MS , 再由 MS根据点播 VC 的地址进行视频业务数据的转发。

实施例二

请参考图 2， 其与图 1的区别在于网络 B中的监控节点 VM23自身也作为

LAC向作为 LNS的 L2TP中继 24发起隧道连接请求与 L2TP中继 24建立 L2TP 隧道连接； 而网络 B中还包括一个 MS26， MS26也作为 LAC向作为 LNS的 L2TP 中继 24发起隧道连接请求与 L2TP中继 24建立 L2TP隧道连接。 网络 A中的 监控节点 EC21作为 LAC向作为 LNS的 L2TP中继 24发起隧道连接请求与 L2TP 中继 24建立 L2TP隧道连接。 L2TP中继 24给监控节点 EC21、 VM23、 MS26分 配的 IP地址可以是独立地址池中的 IP地址， 即该地址池中的 IP地址可以单 独规划一个 IP 地址段， 不需要占用网络 B 规划的 IP 地址， 比如 14. 14. 14. 0/24、 15. 15. 10. 0/24等等。 以 14. 14. 14. 0/24为例描述图 2中监 控节点的通信过程。

EC21作为 LAC, 以自身 IP地址 10. 10. 10. 10向作为 LNS的 L2TP中继 24 发起隧道连接请求以与 L2TP中继 24建立 L2TP隧道连接。 L2TP中继 24收到 该隧道连接请求后， 与监控节点 EC21 建立隧道连接， 并将地址池中的地址 14. 14. 14. 10分配给 EC21。 同样的， VM23以自身的 IP地址 12. 12. 12. 10向 L2TP中继 24发起隧道连接请求以与 L2TP中继 24建立 L2TP隧道连接。 L2TP 中继 24收到该隧道连接请求后， 与监控节点 VM23建立隧道连接， 并将地址 池中的地址 14. 14. 14. 12分配给 VM23。 同样地， MS26向 L2TP中继 24发起隧 道连接请求， 获得分配到的 IP地址 14. 14. 14. 14 EC21 向 VM23进行注册 时， 将对注册报文进行隧道封装。 EC21 将监控信令数据， 即注册报文的内 容封装到内层 IP 报文中， 然后将该内层 IP 报文封装到隧道报文中发送给 L2TP中继 24 L2TP中继 24从监控节点 EC21接收到其发送的隧道报文后将 该隧道报文进行解封装获得内层 IP报文。 L2TP中继 24根据自身的保存的路 由信息将该内层 IP报文根据其目的 IP地址进行路由。 本例中 L2TP中继的路 由信息如表 2所示：

表 2

L2TP中继 24根据目的 IP地址 14. 14. 14. 12判断该注册报文需要进行隧 道封装， 从 L2TP— VT1 : 2接口发送。 L2TP中继 24将源地址为 14. 14. 14. 10 目的地址为 14. 14. 14. 12的内层 IP报文进行隧道封装， 隧道报文的源 IP地 址为 L2TP中继 24自身的 IP地址 12. 12. 10. 10， 隧道报文的目的 IP地址为 VM23 自身的 IP地址 12. 12. 12. 10。 封装完成的隧道报文经过 L2TP 中继 24 和 VM23之间的隧道到达了 VM23 , VM23将该报文进行解封装得到了内层 IP 报文， 将 EC的注册信息在本地进行保存。

当 VC点播 EC21上的视频流量的时候， VM23指示 EC21发送监控视频流 的监控信令数据封装成 IP报文并进一歩封装成隧道报文经由 VM23和 L2TP 中继 24之间的隧道被发送到 L2TP中继 24， 该监控信令数据的内层 IP报文 的源 IP地址为 14. 14. 14. 12， 目的 IP地址为 14. 14. 14. 10 ; 隧道报文的源 IP地址为 VM23 自身的 IP地址 12. 12. 12. 10， 隧道报文的目的 IP地址为 12. 12. 10. 10。 L2TP中继 24接收到该隧道报文后进行解封装得到内层 IP报 文， 根据内层目的 IP地址 14. 14. 14. 10将内层报文进一歩进行隧道封装， 经 由 L2TP中继 24和 EC21之间的隧道发送到 EC21 , 隧道源 IP地址为 L2TP中 继 24 自身的 IP地址 12. 12. 10. 10， 目的 IP地址为 EC21 自身的 IP地址 10. 10. 10. 10 ο EC21 接收隧道报文并将隧道报文进行解封装获得内 层 IP 报 文。 EC21从内层 IP报文中获得监控信令数据并进行相应的信令� ��理。 该监 控信令数据指示 EC21将监控业务数据发送到 MS26。

类似地， VM23指示 MS26接收 EC21发送的监控业务数据， 并进一歩将该 监控业务数据发送给 VC。 EC21通过自身与 L2TP中继 24之间的隧道将监控业 务数据发送给 L2TP中继 24， 该监控业务数据进行隧道封装， 其中该内层 IP 报文的源地址为 EC21分配到的 IP地址 14. 14. 14. 10， 目的地址为接收监控 业务数据的 MS26的地址 14. 14. 14. 14， 封装的隧道报文的源地址为 EC21 自 身的 IP地址 10. 10. 10. 10， 目的地址为 L2TP中继 24的 IP地址。 L2TP中继 24从 EC21接收到隧道报文并将该隧道报文进行解封� �获得内层 IP报文， 根 据内层目的 IP地址对报文进行隧道封装， 从 L2TP中继 24和 MS26之间的隧 道发送到 MS26。 隧道封装方式同前， 不再赘述。 MS26 收到隧道报文后进行 解封装得到监控业务数据报文， MS26将监控业务数据根据 VM23的指示结合 自身的路由表发送给对应的 VC， 比如 VC25。

如图 2a所示。 视频流量点播时， VM23指示 EC21将视频业务数据发送到 MS26, 再由 MS26根据点播 VC的地址进行视频业务数据的转发。 如网络 A中 的 VC22点播 EC21上的视频流量的时， VC22首先在 VM23上进行注册。 该注 册的过程和 EC21的注册过程相同。 VC22和充当 L2TP中继的 MS26之间建立 L2TP隧道。 后续 VC22 点播 EC21 的视频流量时， 先将点播的监控信令通过 VC22和 MS26之间的 L2TP隧道以及 MS26和 VM23之间的 L2TP隧道发送到 VM23 , 隧道报文的封装方式和 EC21向 VM23进行注册的注册报文的封装方式 相同。 后续 EC21发送的监控业务数据通过 EC21和 MS26之间的隧道到达 MS26 之后， 将再通过 VC22和 MS26之间的隧道发送到 VC22。

实施例三

请参考图 3， 该 IP监控系统包括监控节点 VM31 , 该监控节点 VM31因网 络隔离设备与另一网络隔离。 VM31 所在的网络为网络隔离设备内侧的网 络， 称为网络 A, 而网络隔离设备外侧网络称为网络 B。 由于网络隔离设备 的存在， 导致网络 B在没有特殊配置的前提下无法访问网络 A。 该 IP监控系 统还包含一 L2TP 中继设备 33。 监控节点 VM31 自身的 IP 地址是 10. 10. 10. 10， L2TP中继设备 33的一 IP地址为 12. 12. 10. 10。 监控节点 VM31 需要和网络 B中的另一监控节点进行通信， 如 EC36， VC37 o

监控节点 VM31向 L2TP中继 33发起隧道连接请求以建立 L2TP隧道连接。

L2TP中继 33收到该隧道连接请求后， 与监控节点 VM31建立隧道连接， 并将 地址池中的地址分配给 VM31。 L2TP中继 33地址池中的地址属于网络 B规划 的 IP地址。 L2TP中继 33分配给 VM31的 IP地址为 12. 12. 11. 10。 VM31获得 L2TP中继 33分配的 IP地址后， 该 IP地址将被网络 B中的 EC36， VC37知晓 以使他们能向 VM31进行注册。

以 EC36为例， 阐述其向 VM31进行注册的过程。 EC36发送注册报文， 该 报文的目的 IP地址为 VM31分配到的 IP地址 12. 12. 11. 10， 该报文将被路由 到 L2TP中继 33， L2TP中继 33对注册报文进行隧道封装， 即注册报文封装到 内层 IP报文中， 然后将该内层 IP报文封装到隧道报文中发送给 VM31 , 其中 该内层报文的目的地址为 VM31的 IP地址 12. 12. 11. 10， 源地址为 EC36自身 的地址， 如 12. 12. 12. 16; 该隧道报文的源地址为 L2TP中继 33自身的 IP地 址 12. 12. 10. 10， 隧道目的地址为 VM31 自身的 IP地址 10. 10. 10. 10。 VM31 从隧道接收到该隧道报文后将该隧道报文进行 解封装获得内层 IP 报文。 VM31将解封装后得到的 EC36的相关信息在本地进行保存。 VC37向 VM31注册 的过程同 EC36注册的过程。 网络 A中的 EC34或者 VC35向网络 A中的 VM31 进行注册时， 直接发送目的地址为 10. 10. 10. 10 的注册报文向 VM31进行注 册。

网络 A中的监控节点 MS32如同 VM31—样与 L2TP中继 33建立 L2TP隧道 连接， 获得 L2TP中继 33分配的 IP地址。 网络 A中的 EC34和 VC35无需与 L2TP中继 33单独建立 L2TP隧道。 如果网络 A中不存在 MS32 , EC34和 VC35 与 L2TP中继 32建立 L2隧道。

当网络 B中的 VC37点播网络 A中的 EC34上的视频流量的时候， VC37的 点播的监控信令报文如同 EC36的注册报文一样被发送到 VM31。 VM31的指示 EC34发送监控视频流的监控信令报文以 EC34的 IP地址 10. 10. 10. 8为目的 IP地址直接在网络 A中发送给 EC34。 该监控信令报文指示 EC将监控业务数 据发送给 MS32。 EC34根据监控信令的指示将监控业务数据发给 MS32。 VM31 指示 MS32将该监控业务数据发送给 VC37。 MS32根据自身的路由表， 通过隧 道发送监控业务数据或者不经过隧道直接发送 该监控业务数据。 MS32 通过 隧道发送监控业务数据 （之前 MS32已经和 L2TP中继 33建立了 L2TP隧道） 的方法和实施例一相同， 这里不再赘述。 如果网络 A 中没有 MS32 , 则 EC34 根据自身的路由表， 通过隧道发送监控业务数据或者不经过隧道直 接发送该 监控业务数据。

当 VC35 点播 EC36 的视频监控流量时， VC35 在内网以自身 IP 地址 10. 10. 10. 6为源 IP向 VM31的目的 IP地址 10. 10. 10. 10发送视频点播报文，

VM31收到该点播报文后， 向 EC36发送指示 EC36发送监控视频流的监控信令 报文， 该监控信令数据可以通过隧道发送或者不通过 隧道发送， 这主要由 VM 的路由表决定。 该监控信令报文指示 EC36 发送监控业务数据给 MS32。 EC36收到监控信令报文后， 将相应的监控视频数据先路由到 L2TP中继 33， L2TP中继 33根据目的 IP地址对该监控业务数据报文进行隧道封装。 封装后 的隧道报文通过 L2TP中继 33和 MS32之间的隧道发送给 MS32。 MS32对该隧 道报文进行解封装得到内层报文。 MS32 按照 VM31 的指示将报文发送给 VC35 o 如果 L2TP中继 33单独由一个路由器或者其他网络设备充当的� ��， 成 本会比较高， 所以可以由 MS充当 L2TP中继 33。

实施例四

请参考图 4， 其和图 3 的区别在于网络 B 中的监控节点 VM48 自身向 L2TP中继 43发起隧道连接请求与 L2TP中继 43建立 L2TP隧道连接； 网络 B 中还包括一个 MS49， MS49也向 L2TP中继 43发起隧道连接请求与 L2TP中继 43建立 L2TP隧道连接。 网络 A中的监控节点 VM41也向 L2TP中继 43发起隧 道连接请求与 L2TP中继 43建立 L2TP隧道连接。 在这种情况下， L2TP中继 43给监控节点 VM41、 VM48和 MS49分配的 IP地址可以是独立地址池中的 IP 地址， 即该地址池中的 IP地址可以单独规划一个 IP地址段， 不需要占用网 络 B规划的 IP地址， 比如 14. 14. 14. 0/24、 15. 15. 10. 0/24等等。

图 4 是一个二级域， 包括两个管理域。 其中 VM41、 MS42、 EC44、 VC45 组成一个监控域 X， VM48、 MS49、 EC46、 VC47组成另一个监控域 Y。 其中监 控管理域 X是下级域， Υ是上级域， Υ管理 X。 EC44、 VC45和 MS42 向 VM41 进行， 该注册报文不需要经过隧道， 直接以 VM41 的 IP10. 10. 10. 10为目的 IP地址进行发送， VM41保存注册信息。 EC46、 VC47和 MS49向 VM48进行， 该注册报文不需要经过隧道， 直接以 VM48的 IP地址 12. 12. 12. 10为目的 IP 地址进行发送， VM48保存注册信息。 VM41向 VM48进行注册， VM41以自身 IP 地址 10. 10. 10. 10向 L2TP中继 43发起隧道连接请求以与 L2TP中继 43建立 L2TP隧道连接。 L2TP中继 43收到该隧道连接请求后， 与监控节点 VM41建立 隧道连接， 并将地址池中的地址 14. 14. 14. 10/24分配给 VM41。 VM48以自身 的 IP地址 12. 12. 12. 10向 L2TP中继 43发起隧道连接请求以与 L2TP中继 43 建立 L2TP隧道连接。 L2TP中继 43收到该隧道连接请求后， 与监控节点 VM48 建立隧道连接， 并将地址池中的地址 14. 14. 14. 12/24 分配给 VM48。 同样 地， MS42 向 L2TP 中继 43 发起隧道连接请求， 获得分配到的 IP 地址 14. 14. 14. 14 o MS39向 L2TP中继 43发起隧道连接请求， 获得分配到的 IP地 址 14. 14. 14. 15。 当网络 A中的 VC点播网络 B中的视频流量时， 比如 VC45点播 EC46的监 控视频数据， VC45在网络 A中直接将点播请求发送给 VM41 VM41将该请求 封装到内层 IP报文中， 然后将该内层 IP报文封装到隧道报文中发送给 L2TP 中继 24， 其中该内层 IP报文的源地址为 14. 14. 14. 10， 目的地址为 VM48分 配到的 IP地址为 14. 14. 14. 12 ; 该隧道报文的源地址为 VM41自身的 IP地址 10. 10. 10. 10， 目的地址为 L2TP中继 43的 IP地址 12. 12. 10. 10 L2TP中继 43接收到该隧道报文后将该隧道报文进行解封� ��获得内层 IP报文。 L2TP中 继 44根据自身的保存的路由信息将该内层 IP报文根据其目的 IP地址进行路 由。 本例中 L2TP中继 43的路由信息如表 3所示：

表 3

L2TP中继 24根据目的 IP地址 14. 14. 14. 12判断该注册报文需要进行隧 道封装， 从 L2TP— VT1 : 2接口发送。 L2TP中继 43将源地址为 14. 14. 14. 10 目的地址为 14. 14. 14. 12的内层 IP报文进行隧道封装， 隧道报文的源 IP地 址为 L2TP中继 43 自身的 IP地址 12. 12. 10. 10， 隧道报文的目的 IP地址为 VM23 自身的 IP地址 12. 12. 12. 10。 封装完成的隧道报文经过 L2TP 中继 43 和 VM48之间的隧道到达了 VM48 , VM48将该报文进行解封装得到了内层 IP 报文。 VM48通知 EC46将监控视频业务数据发送到 MS49 MS49再将该报文进 行隧道封装经过 MS49和 L2TP中继 43之间的隧道发送到 L2TP中继 43 L2TP 中继 43 将该隧道报文进行解封装， 判断需要再经过隧道发送， 再对该监控 业务数据进行隧道封装， 经过 L2TP中继 43和 MS42之间的隧道发送到 MS42 , MS42 再转发给 VC45。 这里监控业务数据经过两个隧道封装转发的过 程与前 述监控信令或者监控数据经过两个隧道封装转 发的过程类似。

VC47点播 EC44的处理流程与 VC45点播 EC46的处理流程类似， 在此不 再赘述。 如果 L2TP中继 43单独由一个路由器或者其他网络设备充当的� ��， 成本会比较高， 所以实施例四中 MS49 充当 L2TP 中继是一种更优的实施方 式， 如图 4a所示。 视频监控业务处理过程参考前文。

前述 4个实施方式均是以视频实况点播为例来说明� �有网络隔离设备的 IP 监控系统， 网络隔离设备两侧的监控节点是如何通信的。 监控业务数据 存储， 即 IP监控系统进一歩包含 DM、 存储设备的情况， 网络隔离设备两侧 的监控节点可以参照上述视频实况点播的流程 进行需要的通信。

请参考图 5以及图 6， 图 5是以上各种节点或者设备一种通用的基本硬 件架构， 各个设备在业务硬件上略有差异。 比如说 L2TP 中继有可能不需要 业务硬件， 当然如果使用 MS来充当 L2TP中继， 其可能存在业务硬件， 同样 VM可能没有业务硬件。 图 6是以上各个节点或者设备的通用逻辑结构图� � 其 通常是借助计算机程序来实现。 同样地， 各个设备的逻辑结构可能略有差 异， 比如 L2TP 中继所在设备如果不涉及业务处理， 那就可能没有业务及信 令处理单元。 而 VM属于管理服务器， 其通常不包括业务处理单元。

图 6显示的通用逻辑结构包括： 隧道处理单元、 信令处理单元、 业务处 理单元以及网络接口单元。 其中隧道处理单元包括连接处理子单元以及报 文 处理子单元。 其中信令处理单元以及业务处理单元分别用于 处理信令数据以 及业务数据。 网络接口单元负责收发报文。 连接处理子单元主要用于处理建 立 L2TP 隧道连接以及隧道连接的维护。 报文处理子单元主要用户进行报文 的封装以及解封装。

请参考图 6， 本发明 IP监控系统中穿越网络隔离设备的监控节点， 该监 控节点包括隧道处理单元、 信令处理单元以及网络接口单元； 其中该隧道处 理单元包括连接处理子单元以及报文处理子单 元： 网络接口单元， 用于在

IP 网络上收发报文； 信令处理单元， 用于处理监控信令数据； 连接处理子 单元， 用于使用监控节点自身的第一 IP地址向作为 LNS的 L2TP中继发起隧 道连接请求以与 L2TP中继建立 L2TP隧道连接； 并在 L2TP隧道连接建立后从 L2TP中继获取 L2TP中继分配第二 IP地址； 报文处理子单元， 用于将网络接 口单元从 L2TP 中继接收的隧道报文进行解封装获得内容为监 控信令数据的 内层 IP报文， 并将该监控信令数据提交给信令处理单元； 其中该内层 IP报 文是网络隔离设备外侧监控节点发送的报文， 该隧道报文的目的地址为该第 一 IP地址， 隧道报文的源地址为 L2TP中继自身的 IP地址； 该内层 IP报文 的目的地址为该第二 IP地址， 源 IP地址为该外侧监控节点的 IP地址； 该报 文处理子单元进一歩用于， 将监控节点信令处理单元生成的监控信令数据 封 装到内层 IP报文中， 然后将该内层 IP报文封装到隧道报文中发送给网络接 口单元， 由网络接口单元发送给 L2TP中继， L2TP中继将内层 IP报文转发到 网络隔离设备外侧网络的监控节点， 其中该内层 IP报文的源地址为第二 IP 地址， 内层报文的目的地址为该外侧网络监控节点的 IP 地址， 该隧道报文 的源地址为第一监控节点自身的 IP地址， 该隧道报文的目的地址为 L2TP中 继自身的 IP地址。

该监控节点还包括业务处理单元， 该业务处理单元用于处理监控业务数 据。 该报文处理子单元， 还用于将网络接口单元从 L2TP 中继接收的隧道报 文进行解封装获得内容为监控业务数据的内层 IP 报文， 并将该监控业务数 据提交给业务处理单元； 其中该内层 IP 报文是网络隔离设备外侧监控节点 发送的报文， 该隧道报文的目的地址为该第一 IP 地址， 隧道报文的源地址 为 L2TP中继自身的 IP地址； 该内层 IP报文的目的地址为该第二 IP地址， 源 IP地址为该外侧监控节点的 IP地址； 或者该报文处理子单元还用于， 将 监控节点业务处理单元生成的监控业务数据封 装到内层 IP 报文中， 然后将 该内层 IP 报文封装到隧道报文中发送给网络接口单元， 由网络接口单元发 送给 L2TP中继， L2TP中继将内层 IP报文转发到网络隔离设备外侧网络的监 控节点， 其中该内层 IP报文的源地址为第二 IP地址， 内层报文的目的地址 为该外侧网络监控节点的 IP 地址， 该隧道报文的源地址为第一监控节点自 身的 IP地址， 该隧道报文的目的地址为 L2TP中继自身的 IP地址。

本发明还提供 IP监控系统中协助监控节点穿越网络隔离设备� �� L2TP中 继设备， 该中继设备包括： 网络接口单元， 用于通过 IP 网络收发报文； 连 接处理子单元， 用于接收网络隔离设备内侧的作为 LAC的第一监控节点以自 身第一 IP地址发出的 L2TP隧道连接请求； 在与第一监控节点建立隧道连接 后， 为第一监控节点分配第二 IP 地址； 报文处理子单元， 用于从第一监控 节点接收隧道报文并将该隧道报文进行解封装 获得内层 IP 报文， 根据内层 IP 报文的目的地址将该报文转发给网络隔离设备 外侧的监控节点； 该内层 IP 报文是第一监控节点发送给网络隔离设备外侧 的监控节点的监控信令数 据或者监控数据， 隧道报文的源地址为第一监控节点的第一 IP 地址， 目的 地址为该 L2TP中继自身的 IP地址， 该内层 IP报文的目的地址为网络隔离设 备外侧监控节点的 IP地址， 源地址为该第二 IP地址； 该报文处理子单元， 进一歩用于将网络隔离设备外侧的监控节点发 出的内容为监控信令数据或者 业务数据的 IP报文进行隧道封装后发送给该第一监控节点� �� 其中该 IP报文 的目的地址为第二 IP 地址， 源地址为网络隔离设备外侧监控节点的 IP 地 址， 封装后的隧道报文的目的 IP地址为该第一 IP地址， 隧道报文源地址为 L2TP中继自身的 IP地址。

以上提供了一种通过隧道来穿越隔离设备的通 信模式 （以下简称隧道模 式） 。 然而在隧道模式下仍然有一些可以优化的地方 。 请参考图 7， 监控系 统包括了隔离设备、 EC、 VC、 VM、 DM、 MS以及 L2TP中继。 在图 7中， 分支 网络中的 EC与 VC位于自身网络出口隔离设备的内侧， 即被隔离或者说被保 护的一侧， 也称为内网侧。 而监控服务器相对于上述隔离设备来说自然是 位 于隔离设备的外侧， 也称为外网侧。 请参考图 6以及图 8， 此时， 内网监控节点（以 VC作为 LAC客户端为例） 被分配到的隧道内层 IP 地址是外网 IP 地址。 VC 在内网中的 IP 地址为 10. 10. 10. 10， 其作为 LAC向外网的 L2TP服务端发起拨号连接启动 L2TP隧道 获取隧道内层 IP 地址。 位于外网的 LNS 与内网连接接口的 IP 地址为 12. 12. 10. 10， 这个地址从内网的角度来看是一个公网地址， 也就是说是内 网可以直接访问的； 如果该地址不能被直接访问到， 可以在本网络出口的隔 离设备上配置静态映射的对应公网地址。 在隧道模式中， 它是隧道外层 IP 地址。 LNS与外网其他设备连接的接口 IP地址为 12. 12. 12. 9。 需要说明的 是， 公网地址及私网地址是相对而言的， 其取决于网络的规划， 比如互联网 上的公网 IP地址也可以被规划起来作为私网地址重复使� ��。

隧道模式虽然可以有效解决隔离设备的问题， 然而可能引发广域网带宽 消耗过多的问题， 如果两个监控节点本来可以直接进行非隧道模 式通信的 话， 如果再通过隧道模式绕道广域网， 显然是一种对广域网带宽的浪费。 请 参考图 6及图 9， 以下介绍本实施方式如何实现广域网带宽节约 的。 在以下 描述中， 与控制层面相关信令的业务处理由各个监控节 点的信令处理单元执 行， 信令处理单元与外部交互的报文称为信令报文 。 涉及到数据业务 （比如 监控视频流） 处理的由业务处理单元执行， 业务处理单元与外部交互的报文 称为数据报文； 涉及到隧道报文收发的则由隧道处理单元处理 然后再经过网 络接口单元发送到 IP网络上去。 如果通信过程不需要经过隧道处理单元（即 非隧道模式） ， 则业务处理单元或者信令处理单元可以根据内 部的路由表发 现当前报文需要提交给网络接口单元。 其中所述信令报文或者数据报文这两 个概念的区分， 主要是从报文承载的内容来看的， 前者主要是承载信令业 务， 后者主要承载数据业务。 请参考图 6 以及图 9， 本实施方式的处理流程 包括以下歩骤。

歩骤 201， VC和 EC通过隧道在 VM上进行注册， 注册报文可以将自身的 隧道内层 IP地址、 自身 IP地址以及自身的设备标识携带在注册报文 （信令 报文的一种） 的载荷中以通知 VM;

歩骤 202 : VM从隧道上接收到注册报文后， 将所述 VC和 EC的隧道内层 IP地址、 自身 IP地址以及设备标识记录在本地；

在正常的监控业务过程中， EC 以及 VC在上线以后都需要通过信令报文 向 VM发起注册。 注册报文可以通过隧道发送到 VM。 在本发明中， 注册报文 除了携带监控节点自身的 IP地址， 还需要携带隧道内层 IP地址， 在一些实 施方式中还可以进一歩携带自身的标识 （比如 MAC地址或 CPU序列号等） 。

VM将监控节点注册报文中携带的 IP地址与标识保存起来， 在后续的业务流 程中使用。

歩骤 203 : VC向 VM发送点播 EC的监控视频流的请求。

歩骤 204: VM通过信令报文响应 VC的点播请求， 并相应地通过信令报文 通知 EC向 VC发送监控视频流， VM在发送给 EC以及 VC的信令报文中携带隧 道内层 IP地址、 对端监控节点自身 IP地址以及唯一鉴权标识；

歩骤 205 : EC或 VC收到 VM的信令报文后， 从信令报文中获取对端监控 节点的隧道内层 IP地址、 对端监控节点自身 IP地址以及唯一鉴权标识并保 歩骤 206: EC在非隧道模式下向 VC发送探测报文， 其中该探测报文携带 有所述唯一鉴权标识。

歩骤 207: VC在非隧道模式下向 EC发送探测报文， 其中该探测报文携带 有所述唯一鉴权标识。

歩骤 208: EC或 VC接收到对端监控节点发送的探测报文， 并检查探测报 文携带的唯一鉴权标识是否与自身保存的唯一 鉴权标识相同， 如果是则向对 端监控节点发送探测响应报文， 否则丢弃该探测报文。

歩骤 209 : 如果 EC在预定时间内收到 VC在非隧道模式下发送的探测响 应报文， 则通知业务处理单元在非隧道模式下向 VC发送视频流； 如果 EC在 预定时间内没有收到 VC发送的探测回应报文但收到 VC发送的探测报文， 则 在承载 VC探测报文的 TCP或 UDP连接上在非隧道模式下发送视频流； 如果 EC在预定时间内既没有收到 VC发送的探测响应报文也没有收到 VC发送的探 测报文， 则通知业务处理单元通过隧道模式发送视频流 。

在一次视频流点播 （也称为实况业务） 过程中， EC与 VC互为对端监控 节点。 VM 为即将进行实况业务分配一个唯一的鉴权标识 ， 鉴权标识可以由 VM根据预定算法随机生成， 也可以由 VM根据两个正在进行实况业务的监控 节点的标识生成， 比如简单地将两个监控节点的 MAC地址串接起来形成一个 96位的标识。 而实况业务的参与者 EC或者 VC的信令处理单元会将所述唯一 鉴权标识保存在本地。 该唯一鉴权标识对于监控节点来说， 其主要作用是在 收到探测报文后确认发送该探测报文的监控节 点是不是本次实况业务的对端 监控节点。

在一次实况业务中， EC与 VC都与隧道服务端建立了隧道连接， 因此通 过隧道模式通信肯定是没有问题的。 但是 EC与 VC还有可能可以通过非隧道 模式进行通信。 如果能够进行非隧道模式通信， 则应该优先使用非隧道模 式， 这样可以避免采用隧道模式可能消耗广域网带 宽的问题。 因此 EC 在向 VC发送视频流之前， 可以先在通过非隧道模式向 VC发送探测报文来确认双 方是否可以在非隧道模式下通信。 EC与 VC能否进行非隧道模式通信取决与 双方的 NAT关系。 请参考表 4， 表 4中示出四种 NAT关系以及双方在非隧道 模式通信的前提。

表 4

在 EC或者 VC发送探测报文时， 并不知道与对端监控节点之间的 NAT关 系， 也无法确定双方的 NAT关系， 但是对于实况业务而言， 其天然的特点是 EC发送 VC接收， VC并不会向 EC发送视频流。 因此在一种基本的实施方式 中， 仅仅考虑情形 1和 2描述的 NAT关系。 对于情形 1， 双方都在同一个 NAT 设备的内部， 因此 VC肯定可以收到 EC发送的探测报文， 对于情形 2， 根据 NAT设备工作原理一内网设备先发起通信， 如果 VC在 NAT 1外部公网上 （相 遇于 NAT设备 1而言的公网）， 那么 EC发送的探测报文肯定可以被 VC收到。 因此在情形 1和 2中， VC只需要确认报文携带的唯一鉴权标识与本地� ��存的 唯一鉴权标识是否一致， 如果一直就向 EC发送探测回应报文。 在情形 1和 2 中 EC显然能够收到该探测回应报文。 EC可以在发送探测报文时先启动一个 定时器， 如果 EC 能够在定时器超时之前收到探测回应报文， 则确认可以与 该 VC 在非隧道模式下通信， 此时可以通知业务处理单元通过非隧道模式向 VC发送视频流。 如果定时器超时之前没有收到 VC发送的探测回应报文， 这 说明 EC直接通过非隧道模式发送视频流是无法被 VC接收到的， EC的信令处 理单元可以通知业务处理单元通过隧道模式向 VC发送视频流。

在一种优化的实施方式中， EC发送探测报文之后没有收到 VC的探测回 应报文并不代表双方完全没有机会在非隧道模 式下通信。 在情形 3中 EC发送 探测报文之后会被 NAT设备 1丢弃导致其无法到达 VC (因为不符合 NAT工作 原理一内部先发起） ， 此时 VC可以与 EC均通过非隧道模式向对方发送探测 报文； 此时虽然 EC在预定的时间内 （定时器超时时间） 无法收到 VC的探测 回应报文， 但是会收到 VC发送的探测报文， 此时 EC就可以通知业务处理单 元， 借用 VC发送探测报文所在的 TCP或 UDP连接来发送视频流。 借用所述 TCP或 UDP连接来发送视频流是巧妙利用了 NAT的工作原理， NAT的工作原理 是需要内部节点先发起通信， 然后在 NAT设备上形成地址转换流表， 流表的 示例性格式请参考表 5。

表 5 假设在情形 3中 EC及 VC自身 IP地址分别为 IP1及 IP2， VC向 EC发送 探测报文后， NAT设备上会形成如表 2所示的表项。 从 EC的角度说， 与其建 立 UDP会话的是 NAT设备， EC发送报文时， 目的地址及目的端口只有填写 IP3及端口 3001才能被 NAT设备通过地址转换后发送给 VC。 如果 EC发送报 文时随便填写目的端口或者目的地址， 那么报文将会被 NAT设备所丢弃。 因 此， 对于 EC而言， 其只有借用 VC发送探测报文所在的 TCP或 UDP连接才能 向 VC发送视频流。 需要说明的是， 在歩骤 108中， 对于 VC来说， 其收到对 端监控节点发送的探测报文并确定唯一鉴权标 识与本地保存的一致时必须要 回应探测响应报文。 对于 EC 来说则可以不发送探测回应报文 （对应于情形 3 ) ， EC收到 VC的探测报文并通过唯一鉴权标识确定了 VC就是当前实况业 务的对端监控节点时， 采用借用 TCP或 UDP连接的方式 EC肯定可以通过非隧 道模式向 VC发送视频流。 显然， 对于情形 4而言， EC和 VC均向对端发送探 测报文， 双方都无法接收到， EC启动的定时器显然会超时， 此时 EC可以通 知业务处理单元通过隧道模式发送视频流。

在以上的描述中， 本实施方式通过两种方式来解决不同场景下的 NAT关 系问题。 然而仍然需要考虑同一个 IP地址可能因为 NAT设备的合理规划而被 重复使用的问题。 比如在监控网络中， EC1自身 IP地址为 192. 168. 1. 2， VC1 自身 IP地址为 192. 168. 1. 3， VC2自身 IP地址也是 192. 168. 1. 3。 假设 EC1 与 VC2位于 NAT设备 1的内部， 而 VC1位于 NAT设备 2的内部， 此时 VC1与 EC1属于表 1所描述的情况 4， 双方肯定无法在非隧道模式下进行通信的。 当 EC1 向 VC1 发送探测报文时， 中间的网络设备会根据报文的目的地址 ( 192. 168. 1. 3 )进行转发， 报文实际上会被转发到 VC2。 假设 VC2在正在点 播 EC1 的视频流， 其会回应探测响应报文， EC1 收到后探测响应报文后， 会 认为自身与 VC1能够在隧道模式下通信， 于是通过非隧道模式发送视频流， 此时 VC2能够正确接收视频流， 但 VC1事实上没有收到 EC1发送的视频流。 前述唯一鉴权标识可以有效避免这样的情况， 由于 EC1发送的报文中携带了 唯一鉴权标识， VC2 收到以后发现该鉴权标识与自身保存的鉴权标 识不一 致， 因为即便 VC2也点播了 EC1 的请求， 但 VC2收到 VM下发的鉴权标识与 VC1收到的是不同的， 因此 VC2并不会向 EC1发送探测响应报文， 那么 EC1 在定时器超时后自然会通过隧道模式来发送视 频流。

以上描述了监控网络中监控节点 EC以及 VC之间在实况业务过程中实现 广域网带宽节约的方法。 然而对于监控网络来说， EC与 VC之间还可以存在 语音对讲业务， 处理过程基本类似， 唯一不同的是： 由于语音业务是双向发 送数据报文的， VC与 EC是对等的。 因此在发送探测报文以及回应探测回应 报文的处理上， 将更加灵活， 任何一方都可以先发起语音对讲。 比如说： VC 也可以启用定时器， 比如在预定时间内没有收到 EC 的探测回应报文但收到 EC的探测报文时也可以借用 EC这个探测报文所在的 TCP或 UDP连接通过非 隧道模式向 EC发送语音流。 此外， 在监控网络中， 除了 EC与 VC之间可以发 送视频流与语音流之外， 在多域的监控网络中， 两个域的 MS 之间也有交互 视频流与语音流的需求。 比如 VC1点播 EC1的视频流可能是需要经过 EC1所 在域的 MS1转发到达本域的 MS2 , 最终通过 MS2转发到 VC1。 此时两个 MS之 间转发视频流或语音流也可以采用上述方式， 不同的是： 两个 MS 是通过两 个域 VM在信令层面的交互来得知对方的自身 IP地址、 隧道内层 IP地址以及 设备标识。 同样的道理， 在视频流回放业务中， 不同域的 DM (数据管理服务 器）之间也可以向两个 MS那样去处理， 不同之处仅仅在于承载的业务不同， 前者是回放业务， 后者是实况业务或者语音对讲业务。 总之在监控网络中， 两个监控节点之间在不知道双方是否能够进行 非隧道模式互通的时候， 均可 以在进行数据报文交互前依照本实施方式描述 的方法来确定是否可以通过非 隧道模式进行通信。 本实施方式能够在隧道模式解决隔离设备引发 问题的基 础上进一歩实现对带宽的节约 （比如广域网带宽的节约） ， 避免隧道服务段 所在区域 （比如监控上级域） 的处理压力。

本发明还提供另一种实施方式来解决广域网带 宽消耗的问题。 请参考图 6， 以下介绍本实施方式如何实现广域网带宽节约 的。

歩骤 301， VC和 EC都通过 L2TP隧道在 VM上进行注册， VC和 EC除了使 用 LNS分配的隧道内层 IP地址进行注册之外， 再将本地设备的源 IP地址携 带入注册报文的载荷中以通知 VM;

如 EC客户端在内网中的源 IP地址为 10. 1. 1. 2 (可选项）， 申请的 L2TP 隧道内层 IP 地址为 192. 168. 1. 2 ; VC 在内网中的客户端源 IP 地址为 10. 1. 1. 3 (可选项） ， 申请的 L2TP隧道内层 IP地址为 192. 168. 1. 3。

歩骤 302 : VM从隧道上接收到注册消息后， 将设备在注册报文中携带的 地址信息记录下来；

歩骤 303 : VC通过隧道点播 EC的监控视频流： 此时 VC仍然按照前述隧 道模式向 VM发出点播请求；

歩骤 304: VM通知 EC进行发送监控视频流；

歩骤 305 : 在 EC和 VC之间通过隧道把业务传输通道建立起来之后� �� VM 主动向 EC和 VC设备发送非隧道模式尝试指令， 这个指令携带在监控终端节 点与 VM的保活消息中保活消息中。

需要说明的是， 在隧道模式下先把业务传输通道建立起来可以 保证业务 的流畅性， 开始时 EC和 VC按照隧道模式肯定能够建立业务传输通道， 有 助于保证 VC端用户的体验。

歩骤 306: EC接收到 VM的非隧道模式尝试指令后首先向对方发起非� ��道 模式通信； 本发明将正在非隧道模式尝试指令的 VC及 EC分别称为 T-VC及 T - EC。

T-EC和 T-VC可以通过私有协议发送报文来进行非隧道� �式通信； 比如 T-EC开始尝试使用 T-VC的内网 IP地址为目的地址发送特定的报文给 T-VC; 当然也可以由 VC侧先发起。

歩骤 307 : 若 VC若收到 EC发出的消息， 则将收到的结果报告给 VM; VC 可以采用 SIP消息进行报告。 歩骤 308 : 接收 VC发送的携带有非隧道模式尝试报告， 根据报告报文的 地址信息以及自身保存的地址信息判断 EC与 VC之间是否能够通过内网进行 通信， 如果是则向 EC发送通信模式切换指令以指示 EC从 L2TP隧道模式切 换到非隧道模式。

VM收到 VC发送的报告 （可以通过 SIP消息携带）后， 根据 VC的报告判 断 T-EC与 T-VC是否能够进行非隧道模式， 如果是通知 EC和 VC从隧道模式 切换到非隧道模式 （通常称为内网通信模式或者私网通信模式， 主要是将业 务流的目的 IP地址切换到 VC的内网 IP地址） ； 否则返回不做处理， T-EC 与 T-VC继续保持隧道模式。 本发明歩骤 107中 VM判定双方能否进行非隧道 模式的依据可以根据实际情况包括两个两种依 据， 这两个依据可以组合实施 也可以单独实施。

依据 1 : 发送报告的 VC的隧道内层 IP地址必须与 τ-vc是相同的。

VM检查发送报告的 VC隧道内层 IP地址与自身保存的 T-VC的是否相同， 如果是则判定为可以非隧道模式， 否则判定为无法非隧道模式。 考虑到 IP 地址可能在不同的内网中被重复使用， VM收到 VC发送的报告只能说明 EC通 过内网发送的通信报文被同样地址的 VC 收到了。 假设 T-EC 正在和地址为 10. 1. 1. 3的 T-VC通过隧道进行业务通信， 如果 T-VC确实和 EC处于相同的 内网， T-VC会收到这样的 EC的非隧道模式消息然后上报 VM。 但是假设 T-VC 和 EC 处于不同的内网， 而 T-EC 所在内网中刚好有一个 VC2 的地址也是 10. 1. 1. 3， VC2也会收到 EC的信息， 其也会向 VM上报， 此时如果 VM不进行 判断， 则可能导致出错。 VM检查发送该报告的 VC的隧道内层 IP地址与自身 保存的 T-VC 的隧道内层 IP地址是否相同， 如果是则说明报告确实是 T-VC 发送的， 否则说明发送报告的 VC是其他网络中的 VC, 只是双方的内网 IP地 址碰巧相同而已。 确定两个 IP地址已知的节点能够进行 IP通信时， 最常用 的机制的使用 Ping等检查技术。 但本发明考虑到 IP地址在不同内网中可能 出现重复的情况引入 VM进行判断避免了 IP地址重复导致的错误。 这也就是 为什么本发明不是简单采用较为常见的诸如 Ping等技术来检查 EC和 VC是否 可以进行非隧道模式的根本原因。

依据 2 : VC的报告中的 EC的隧道内层 IP地址与 T-EC是相同的。

如果 VC确实是 T-VC, 可以在很大程度上避免误判。 然而为更加严谨起 见， VM还可以检查 VC报告中的 EC是否为与 T-VC正在进行业务通信的 T-EC, 如果是则判定为可以非隧道模式， 否则判定为无法进行非隧道模式。 考虑在 同一时间段内可能有 T-EC1/T-VC1以及 T-EC2/T-VC2的组合当前都在执行非 隧道模式尝试的指令， 为了进一歩提高严谨性， 当 VC 被确定为 T-VC1 , VM 还可以进一歩检查 T-VC1的报告中的 EC的地址， 如果报告中携带的 EC的隧 道内层 IP地址与 T-EC2 的隧道内层 IP地址一样， 则说明 T-VC1 并不是从 T-EC1收到非隧道模式消息的， T-VC1与 T-EC1并在同一个内网中， 无法进行 非隧道模式， T-EC1/T-VC1继续保持隧道模式。 同样如果报告中携带的 EC的 隧道内层 IP地址与 T-EC2的隧道内层 IP地址一样， 则 VM通知 T-EC 1及 T_VC 1 切换到非隧道模式。

歩骤 309: EC收到 VM切换到非隧道模式的指令后， 从隧道模式切换到内 网 IP通信模式， 并将发送业务流 （即监控视频流） 的目的 IP地址修改 VC 的内网 IP地址发送出去。

请结合图 6， 从隧道模式切换到内网 IP通信模式， 也信令处理单元就是 控制业务处理单元将业务流的流向从隧道处理 单元切换出来， 使得业务流不 再经过隧道处理。 业务流从隧道切换到内网， 可以很大程度上节约广域网的 宝贵带宽， 合理有效地利用了既有的非隧道模式资源， 尤其是大型的监控网 络其意义更为重大。

以上所述仅为本发明的较佳实施例而已， 并不用以限制本发明， 凡在本 发明的精神和原则之内， 所做的任何修改、 等同替换、 改进等， 均应包含在 本发明保护的范围之内。