IP監控系統中穿越、協助穿越網路隔離設備的方法和節點

基於IP網路的視頻監控已經逐漸發展成為安防業的主流方案，成功套用於平安工程、高速公路、公安網、園區等大型項目。IP的標準性和開放性也使得各個網路孤島的整合變得容易，使網路規模的擴展變得輕鬆。考慮到IPv4地址資源緊張和2012年2月前各區域網路地址段相互重疊的現實，以及各種網路安全的需要，NAT、防火牆、安全隔離網閘等設備被大量的套用於大型網路中。這就使得基於IP的視頻監控系統的信令和業務流程變得非常複雜，甚至導致某些業務在某些特定的組網中無法開展。下面簡單闡述下在視頻監控網路存在NAT、防火牆、安全隔離網閘時，視頻監控網路通信變得複雜困難的緣由。

在存在NAT設備的時候，由於IP報文穿過NAT設備之後其源IP位址或目的IP位址會發生改變，而一個業務信令內部通常也包含有源IP位址和目的IP位址，由此造成內、外部地址的不統一，這在很多時候會對視頻監控業務流程造成困擾。另外，如果NAT外網存在設備要首先發起通向區域網路的TCP/UDP連線，就必須先在NAT設備上為區域網路的那些設備分別配置內部伺服器的地址/連線埠映射，這樣顯然會浪費大量公網地址，很多時候也是不允許的。當然，在控制伺服器可以判斷出互動的兩台設備誰處於NAT區域網路誰處於外網時，可以通知區域網路的設備主動向外網設備發起連線。但是這要求每個會話連線都實現兩種或甚至兩種以上的處理流程，對於一個包含了多個會話行為的業務流程這種組合會變得非常複雜。況且某些標準業務也不允許互動的雙方顛倒C/S的角色。

在存在防火牆時，需要防火牆開放相當數量的UDP/TCP連線埠以便防火牆外的終端，如視頻監控客戶端，能主動訪問防火牆內的伺服器，如視頻管理伺服器(VM)。這樣就給企業區域網路帶來了安全隱患。

在存在安全隔離網閘時，大量以IP代理方式實現的網閘(即來自外部的流量先傳送到網閘的一個代理IP，網閘修改目的IP後再往區域網路轉發)，通常會要求網閘協助對業務信令的內部信息做出相應的修改，因為其中可能包含有IP位址信息。於是監控系統廠家每開發一個新特性可能都會要求網閘公司配合做出相應的特性開發。

另外，一些特殊用戶還有特殊的視頻監控網路需求。比如說公安網路等安全性要求較高的網路需要：所有的會話連線都要求由區域網路發起，否則外部流量就進入不了區域網路。在一個典型的集中控制架構中，終端，如編碼設備，首先得向伺服器，如視頻管理伺服器，發起註冊信令，點播業務也是點播主機先向伺服器發起申請，當終端和主機處於外網而伺服器處於區域網路時業務就會遭遇困境。

《IP監控系統中穿越、協助穿越網路隔離設備的方法和節點》提供了一種IP監控系統中穿越網路隔離設備的方法以及該方法對應的監控節點。

一種IP監控系統中穿越網路隔離設備的方法，該方法套用於監控系統的監控節點上，其中該監控系統中包括多個監控節點以及L2TP中繼，該多個監控節點包括EC，VC以及至少一種伺服器；其中該至少一種伺服器為VM，該方法包括：位於網路隔離設備內側網路的第一監控節點作為LAC，使用自身的第一IP位址向作為LNS的L2TP中繼發起隧道連線請求以與L2TP中繼建立L2TP隧道連線；L2TP隧道連線建立後，該第一監控節點從L2TP中繼獲取L2TP中繼分配的第二IP位址；第一監控節點從L2TP中繼接收隧道報文並將隧道報文進行解封裝獲得內容為監控信令數據的內層IP報文，該內層IP報文是網路隔離設備外側網路監控節點傳送的監控信令數據報文，該隧道報文的目的地址為該第一IP位址，隧道報文的源地址為L2TP中繼自身的IP位址；該內層IP報文的目的地址為該第二IP位址，源地址為該外側網路監控節點的IP位址；第一監控節點從內層IP報文中獲得監控信令數據並進行相應的信令處理；第一監控節點將生成的監控信令數據封裝到內層IP報文中，然後將該內層IP報文封裝到隧道報文中傳送給L2TP中繼，由L2TP中繼將內層IP報文轉發到網路隔離設備外側網路的監控節點，其中該內層IP報文的源地址為第二IP位址，內層報文的目的地址為該外側網路監控節點的IP位址，該隧道報文的源地址為第一監控節點自身的IP位址，該隧道報文的目的地址為L2TP中繼自身的IP位址。

一種IP監控系統中穿越網路隔離設備的監控節點，其中該監控節點位於網路隔離設備內側網路，該監控系統中包括多個監控節點以及L2TP中繼，該多個監控節點包括EC，VC以及至少一種伺服器；其中該至少一種伺服器為VM，該監控節點包括隧道處理單元、信令處理單元以及網路接口單元；其中該隧道處理單元包括連線處理子單元以及報文處理子單元：其中，網路接口單元，用於在IP網路上收發報文；信令處理單元，用於處理監控信令數據；連線處理子單元，用於使用監控節點自身的第一IP位址向作為LNS的L2TP中繼發起隧道連線請求以與L2TP中繼建立L2TP隧道連線；並在L2TP隧道連線建立後從L2TP中繼獲取L2TP中繼分配第二IP位址；報文處理子單元，用於將網路接口單元從L2TP中繼接收的隧道報文進行解封裝獲得內容為監控信令數據的內層IP報文，並將該監控信令數據提交給信令處理單元；其中該內層IP報文是網路隔離設備外側監控節點傳送的報文，該隧道報文的目的地址為該第一IP位址，隧道報文的源地址為L2TP中繼自身的IP位址；該內層IP報文的目的地址為該第二IP位址，源IP位址為該外側監控節點的IP位址；其中該報文處理子單元進一步用於，將監控節點信令處理單元生成的監控信令數據封裝到內層IP報文中，然後將該內層IP報文封裝到隧道報文中傳送給網路接口單元，由網路接口單元傳送給L2TP中繼，L2TP中繼將內層IP報文轉發到網路隔離設備外側網路的監控節點，其中該內層IP報文的源地址為第二IP位址，內層報文的目的地址為該外側網路監控節點的IP位址，該隧道報文的源地址為第一監控節點自身的IP位址，該隧道報文的目的地址為L2TP中繼自身的IP位址。

《IP監控系統中穿越、協助穿越網路隔離設備的方法和節點》還提供了一種IP監控系統中協助穿越網路隔離設備的方法以及該方法對應的L2TP中繼。實現方案如下：

一種IP監控系統中協助監控節點穿越網路隔離設備的方法，該方法套用於監控系統的L2TP中繼上，其中該監控系統中包括多個監控節點以及L2TP中繼，該多個監控節點包括EC，VC以及至少一種伺服器；其中該至少一種伺服器為VM，該方法包括：L2TP中繼作為LNS接收網路隔離設備內側網路作為LAC的第一監控節點以自身第一IP位址發出的L2TP隧道連線請求；在與第一監控節點建立隧道連線後，為第一監控節點分配第二IP位址；從第一監控節點接收隧道報文並將該隧道報文進行解封裝獲得內層IP報文，該內層IP報文是第一監控節點傳送給網路隔離設備外側監控節點的監控信令數據或者業務數據，隧道報文的源地址為第一監控節點的第一IP位址，目的地址為該L2TP中繼自身的IP位址，該內層IP報文的目的地址為網路隔離設備外側監控節點的IP位址，源地址為該第二IP位址；根據內層IP報文的目的地址，將該報文轉發給網路隔離設備外側的監控節點；將網路隔離設備外側的監控節點發出的監控信令數據或者監控業務數據的IP報文進行隧道封裝後傳送給該第一監控節點，其中該IP報文的目的地址為第二IP位址，源IP位址為外側網路監控節點的IP位址，封裝後的隧道報文的目的IP位址為該第一IP位址，隧道報文的源地址為L2TP中繼自身的IP位址。

一種IP監控系統中協助監控節點穿越網路隔離設備的L2TP中繼設備，其中該監控系統中包括多個監控節點以及L2TP中繼，該多個監控節點包括EC，VC以及至少一種伺服器；其中該至少一種伺服器為VM，該方法包括：

網路接口單元，用於通過IP網路收發報文；連線處理子單元，用於接收網路隔離設備內側的作為LAC的第一監控節點以自身第一IP位址發出的L2TP隧道連線請求；在與第一監控節點建立隧道連線後，為第一監控節點分配第二IP位址；報文處理子單元，用於從第一監控節點接收隧道報文並將該隧道報文進行解封裝獲得內層IP報文，根據內層IP報文的目的地址將該報文轉發給網路隔離設備外側的監控節點；該內層IP報文是第一監控節點傳送給網路隔離設備外側的監控節點的監控信令數據或者監控數據，隧道報文的源地址為第一監控節點的第一IP位址，目的地址為該L2TP中繼自身的IP位址，該內層IP報文的目的地址為網路隔離設備外側監控節點的IP位址，源地址為該第二IP位址；其中該報文處理子單元，進一步用於將網路隔離設備外側的監控節點發出的內容為監控信令數據或者業務數據的IP報文進行隧道封裝後傳送給該第一監控節點，其中該IP報文的目的地址為第二IP位址，源地址為網路隔離設備外側監控節點的IP位址，封裝後的隧道報文的目的IP位址為該第一IP位址，隧道報文源地址為L2TP中繼自身的IP位址。

與2012年2月前技術相比，《IP監控系統中穿越、協助穿越網路隔離設備的方法和節點》的方案解決了當前IP監控系統業務連線埠過多、NAT轉換或網閘穿越時內部訊息轉換的困擾，從而使監控系統內部的新特性開發只需要專注於業務本身，而不必再為網路層面的轉換而操心，而網閘公司也不必針對性的為監控系統這種業務做出特定的開發，對客戶的防火牆來說需要開放的連線埠或地址映射也更少，從而更加的安全。

L2TP的接收端可以會對接收到的亂序報文進行快取和調整，這對於音視頻流量尤為有意義，因為亂序會極大的影響音視頻的解碼和播放效果。L2TP之上的PPP協定具有會話連線認證功能，這就提供一層安全防護；PPP可以對報文頭或數據進行壓縮，這樣可以減少數據的傳輸量。如果需要進一步的保密，只需要在L2TP隧道的基礎上疊加IPsec即可，可以是L2TPoverIPsec，也可以是IPsecoverL2tp。

圖1為實施例一的網路示意圖；

圖2為實施例二的網路示意圖；

圖2a為實施例二的另一網路示意圖

圖3為實施例三的網路示意圖；

圖4為實施例四的網路示意圖；

圖4a為實施例四的另一網路示意圖；

圖5是《IP監控系統中穿越、協助穿越網路隔離設備的方法和節點》監控節點或者L2TP中繼設備的基本硬體架構；

圖6是該發明監控節點或者L2TP中繼設備的邏輯結構圖。

《IP監控系統中穿越、協助穿越網路隔離設備的方法和節點》涉及視頻監控領域，尤其涉及IP監控系統中穿越、協助穿越網路隔離設備的方法和節點。

1.一種IP監控系統中穿越網路隔離設備的方法，該方法套用於監控系統的監控節點上，其中該監控系統中包括多個監控節點以及L2TP中繼，所述多個監控節點包括EC，VC以及至少一種伺服器；其中所述至少一種伺服器為VM，該方法包括：位於網路隔離設備內側網路的第一監控節點作為LAC，使用自身的第一IP位址向作為LNS的L2TP中繼發起隧道連線請求以與L2TP中繼建立L2TP隧道連線；L2TP隧道連線建立後，所述第一監控節點從L2TP中繼獲取L2TP中繼分配的第二IP位址；第一監控節點從L2TP中繼接收隧道報文並將隧道報文進行解封裝獲得內容為監控信令數據的內層IP報文，所述內層IP報文是網路隔離設備外側網路監控節點傳送的監控信令數據報文，所述隧道報文的目的地址為所述第一IP位址，隧道報文的源地址為L2TP中繼自身的IP位址；所述內層IP報文的目的地址為所述第二IP位址，源地址為所述外側網路監控節點的IP位址；第一監控節點從內層IP報文中獲得監控信令數據並進行相應的信令處理；第一監控節點將生成的監控信令數據封裝到內層IP報文中，然後將所述內層IP報文封裝到隧道報文中傳送給L2TP中繼，由L2TP中繼將內層IP報文轉發到網路隔離設備外側網路的監控節點，其中該內層IP報文的源地址為第二IP位址，內層報文的目的地址為所述外側網路監控節點的IP位址，該隧道報文的源地址為第一監控節點自身的IP位址，該隧道報文的目的地址為L2TP中繼自身的IP位址。

2.如權利要求1所述的方法，其特徵在於，所述第一監控節點還從L2TP中繼接收隧道報文並將隧道報文進行解封裝獲得內容為監控業務數據的內層IP報文，該內層IP報文是網路隔離設備外側網路監控節點傳送的監控業務數據報文，所述隧道報文的目的地址為所述第一IP位址，隧道報文的源地址為L2TP中繼自身的IP位址；所述內層IP報文的目的地址為所述第二IP位址，源地址為所述外側網路監控節點的IP位址；或者第一監控節點還將生成的監控業務數據封裝到內層IP報文中，然後將所述內層IP報文封裝到隧道報文中傳送給L2TP中繼，由L2TP中繼將內層IP報文轉發到網路隔離設備外側網路的監控節點，其中該內層IP報文的源地址為第二IP位址，內層報文的目的地址為所述外側網路監控節點的IP位址，該隧道報文的源地址為第一監控節點自身的IP位址，該隧道報文的目的地址為L2TP中繼自身的IP位址。

3.如權利要求1或2所述的方法，其特徵在於，所述第二IP位址屬於L2TP中繼分配的網路隔離設備外側網路中規劃的IP位址。

4.如權利要求1或2所述的方法，其特徵在於，所述第二IP位址屬於L2TP中繼為隧道連線自身獨立規劃的IP位址，所述L2TP中繼與網路隔離設備外側網路的監控節點建立有L2TP隧道連線，所述網路隔離設備外側網路的監控節點包括VM和MS。

5.如權利要求1所述的方法，其特徵在於，所述第一監控節點為VM，VM接收L2TP中繼通過VM與L2TP中繼建立的L2TP隧道傳送的封裝在隧道報文中的監控信令數據，該監控信令數據是由EC或者VC傳送的。

6.一種IP監控系統中穿越網路隔離設備的監控節點，其中該監控節點位於網路隔離設備內側網路，所述監控系統中包括多個監控節點以及L2TP中繼，所述多個監控節點包括EC，VC以及至少一種伺服器；其中所述至少一種伺服器為VM，該監控節點包括隧道處理單元、信令處理單元以及網路接口單元；其中所述隧道處理單元包括連線處理子單元以及報文處理子單元：其中，網路接口單元，用於在IP網路上收發報文；信令處理單元，用於處理監控信令數據；連線處理子單元，用於使用監控節點自身的第一IP位址向作為LNS的L2TP中繼發起隧道連線請求以與L2TP中繼建立L2TP隧道連線；並在L2TP隧道連線建立後從L2TP中繼獲取L2TP中繼分配第二IP位址；報文處理子單元，用於將網路接口單元從L2TP中繼接收的隧道報文進行解封裝獲得內容為監控信令數據的內層IP報文，並將該監控信令數據提交給信令處理單元；其中所述內層IP報文是網路隔離設備外側監控節點傳送的報文，所述隧道報文的目的地址為所述第一IP位址，隧道報文的源地址為L2TP中繼自身的IP位址；所述內層IP報文的目的地址為所述第二IP位址，源IP位址為所述外側監控節點的IP位址；其中該報文處理子單元進一步用於，將監控節點信令處理單元生成的監控信令數據封裝到內層IP報文中，然後將所述內層IP報文封裝到隧道報文中傳送給網路接口單元，由網路接口單元傳送給L2TP中繼，L2TP中繼將內層IP報文轉發到網路隔離設備外側網路的監控節點，其中該內層IP報文的源地址為第二IP位址，內層報文的目的地址為所述外側網路監控節點的IP位址，該隧道報文的源地址為該監控節點自身的IP位址，該隧道報文的目的地址為L2TP中繼自身的IP位址。

7.如權利要求6所述的監控節點，其特徵在於，所述監控節點還包括業務處理單元，該業務處理單元用於處理監控業務數據；所述報文處理子單元，還用於將網路接口單元從L2TP中繼接收的隧道報文進行解封裝獲得內容為監控業務數據的內層IP報文，並將該監控業務數據提交給業務處理單元；其中所述內層IP報文是網路隔離設備外側監控節點傳送的報文，所述隧道報文的目的地址為所述第一IP位址，隧道報文的源地址為L2TP中繼自身的IP位址；所述內層IP報文的目的地址為所述第二IP位址，源IP位址為所述外側監控節點的IP位址；或者所述報文處理子單元還用於，將監控節點業務處理單元生成的監控業務數據封裝到內層IP報文中，然後將所述內層IP報文封裝到隧道報文中傳送給網路接口單元，由網路接口單元傳送給L2TP中繼，L2TP中繼將內層IP報文轉發到網路隔離設備外側網路的監控節點，其中該內層IP報文的源地址為第二IP位址，內層報文的目的地址為所述外側網路監控節點的IP位址，該隧道報文的源地址為該監控節點自身的IP位址，該隧道報文的目的地址為L2TP中繼自身的IP位址。

8.如權利要求6或7所述的監控節點，其特徵在於，所述第二IP位址屬於L2TP中繼分配的網路隔離設備外側網路中規劃的IP位址。

9.如權利要求6或7所述的監控節點，其特徵在於，所述第二IP位址屬於L2TP中繼為隧道連線自身獨立規劃的IP位址，所述L2TP中繼與網路隔離設備外側網路監控節點建立有L2TP隧道連線，所述網路隔離設備外側網路的監控節點包括VM和MS。

10.如權利要求6所述的監控節點，其特徵在於，所述該監控節點為VM，VM接收L2TP中繼通過VM與L2TP中繼建立的L2TP隧道傳送的封裝在隧道報文中的監控信令數據，該監控信令數據是由EC或者VC傳送的。

11.一種IP監控系統中協助監控節點穿越網路隔離設備的方法，該方法套用於監控系統的L2TP中繼上，其中所述監控系統中包括多個監控節點以及L2TP中繼，所述多個監控節點包括EC，VC以及至少一種伺服器；其中所述至少一種伺服器為VM，該方法包括：L2TP中繼作為LNS接收網路隔離設備內側網路作為LAC的第一監控節點以自身第一IP位址發出的L2TP隧道連線請求；在與第一監控節點建立隧道連線後，為第一監控節點分配第二IP位址；從第一監控節點接收隧道報文並將該隧道報文進行解封裝獲得內層IP報文，所述內層IP報文是第一監控節點傳送給網路隔離設備外側監控節點的監控信令數據或者業務數據，隧道報文的源地址為第一監控節點的第一IP位址，目的地址為所述L2TP中繼自身的IP位址，所述內層IP報文的目的地址為網路隔離設備外側監控節點的IP位址，源地址為所述第二IP位址；根據內層IP報文的目的地址，將該報文轉發給網路隔離設備外側的監控節點；將網路隔離設備外側的監控節點發出的監控信令數據或者監控業務數據的IP報文進行隧道封裝後傳送給所述第一監控節點，其中該IP報文的目的地址為第二IP位址，源IP位址為外側網路監控節點的IP位址，封裝後的隧道報文的目的IP位址為所述第一IP位址，隧道報文的源地址為L2TP中繼自身的IP位址。

12.如權利要求11所述的方法，其特徵在於，所述第二IP位址屬於L2TP中繼分配的網路隔離設備外側網路中規劃的IP位址。

13.如權利要求11所述的方法，其特徵在於，所述第二IP位址屬於L2TP中繼自身獨立規劃的IP位址，所述L2TP中繼與外側監控節點建立有L2TP隧道連線；其中所述外側監控節點發出的IP報文是封裝在該隧道中的內層IP報文，L2TP中繼將外側監控節點發出的隧道報文解封裝獲得內層IP報文，該內層報文的源IP位址是該外側監控節點通過L2TP中繼分配的IP位址，目的地址是第一監控節點分配到的第二IP位址，所述網路隔離設備外側網路的監控節點包括VM和MS。

14.如權利要求11所述的方法，其中所述L2TP中繼為所述網路隔離設備外側的MS。

15.一種IP監控系統中協助監控節點穿越網路隔離設備的L2TP中繼設備，其中所述監控系統中包括多個監控節點以及L2TP中繼，所述多個監控節點包括EC，VC以及至少一種伺服器；其中所述至少一種伺服器為VM，該方法包括：網路接口單元，用於通過IP網路收發報文；連線處理子單元，用於接收網路隔離設備內側的作為LAC的第一監控節點以自身第一IP位址發出的L2TP隧道連線請求；在與第一監控節點建立隧道連線後，為第一監控節點分配第二IP位址；報文處理子單元，用於從第一監控節點接收隧道報文並將該隧道報文進行解封裝獲得內層IP報文，根據內層IP報文的目的地址將該報文轉發給網路隔離設備外側的監控節點；所述內層IP報文是第一監控節點傳送給網路隔離設備外側的監控節點的監控信令數據或者監控數據，隧道報文的源地址為第一監控節點的第一IP位址，目的地址為所述L2TP中繼自身的IP位址，所述內層IP報文的目的地址為網路隔離設備外側監控節點的IP位址，源地址為所述第二IP位址；其中該報文處理子單元，進一步用於將網路隔離設備外側的監控節點發出的內容為監控信令數據或者業務數據的IP報文進行隧道封裝後傳送給所述第一監控節點，其中該IP報文的目的地址為第二IP位址，源地址為網路隔離設備外側監控節點的IP位址，封裝後的隧道報文的目的IP位址為所述第一IP位址，隧道報文源地址為L2TP中繼自身的IP位址。

16.如權利要求15所述的設備，其特徵在於，所述第二IP位址屬於L2TP中繼分配的網路隔離設備外側網路中規劃的IP位址。

17.如權利要求15所述的設備，其特徵在於，所述第二IP位址屬於L2TP中繼自身獨立規劃的IP位址，所述L2TP中繼與外側監控節點建立有L2TP隧道連線；其中所述外側監控節點發出的IP報文是封裝在隧道中的內層IP報文，所述報文處理子單元進一步用於將外側監控節點發出的隧道報文解封裝獲得內層IP報文，該內層報文的源IP位址是該外側監控節點通過L2TP中繼分配的IP位址，目的地址是第一監控節點分配到的第二IP位址，所述網路隔離設備外側網路的監控節點包括VM和MS，

18.如權利要求15所述的設備，其中所述L2TP中繼為所述網路隔離設備外側的MS。

IP監控系統中監控節點穿越網路隔離設備時，位於網路隔離設備內側網路的第一監控節點作為LAC，使用自身的第一IP位址向作為LNS的L2TP中繼發起隧道連線請求以與L2TP中繼建立L2TP隧道連線；L2TP隧道連線建立後，該第一監控節點從L2TP中繼獲取L2TP中繼分配的第二IP位址；第一監控節點從L2TP中繼接收隧道報文並將隧道報文進行解封裝獲得內容為監控信令數據的內層IP報文，該內層IP報文是網路隔離設備外側網路監控節點傳送的監控信令數據報文，該隧道報文的目的地址為該第一IP位址，隧道報文的源地址為L2TP中繼自身的IP位址；該內層IP報文的目的地址為該第二IP位址，源地址為該外側網路監控節點的IP位址；第一監控節點從內層IP報文中獲得監控信令數據並進行相應的信令處理；第一監控節點將生成的監控信令數據封裝到內層IP報文中，然後將該內層IP報文封裝到隧道報文中傳送給L2TP中繼，由L2TP中繼將內層IP報文轉發到網路隔離設備外側網路的監控節點，其中該內層IP報文的源地址為第二IP位址，內層報文的目的地址為該外側網路監控節點的IP位址，該隧道報文的源地址為第一監控節點自身的IP位址，該隧道報文的目的地址為L2TP中繼自身的IP位址。

該第一監控節點還從L2TP中繼接收隧道報文並將隧道報文進行解封裝獲得內容為監控業務數據的內層IP報文，該內層IP報文是網路隔離設備外側網路監控節點傳送的監控業務數據報文，該隧道報文的目的地址為該第一IP位址，隧道報文的源地址為L2TP中繼自身的IP位址；該內層IP報文的目的地址為該第二IP位址，源地址為該外側網路監控節點的IP位址；或者第一監控節點還將生成的監控業務數據封裝到內層IP報文中，然後將該內層IP報文封裝到隧道報文中傳送給L2TP中繼，由L2TP中繼將內層IP報文轉發到網路隔離設備外側網路的監控節點，其中該內層IP報文的源地址為第二IP位址，內層報文的目的地址為該外側網路監控節點的IP位址，該隧道報文的源地址為第一監控節點自身的IP位址，該隧道報文的目的地址為L2TP中繼自身的IP位址。

該第一監控節點為VM，VM接收L2TP中繼通過VM與L2TP中繼建立的L2TP隧道傳送的封裝在隧道報文中的監控信令數據，該監控信令數據是由EC或者VC傳送的。

IP監控系統中L2TP中繼協助監控節點穿越網路隔離設備時，L2TP中繼作為LNS接收網路隔離設備內側網路作為LAC的第一監控節點以自身第一IP位址發出的L2TP隧道連線請求；在與第一監控節點建立隧道連線後，為第一監控節點分配第二IP位址；從第一監控節點接收隧道報文並將該隧道報文進行解封裝獲得內層IP報文，該內層IP報文是第一監控節點傳送給網路隔離設備外側監控節點的監控信令數據或者業務數據，隧道報文的源地址為第一監控節點的第一IP位址，目的地址為該L2TP中繼自身的IP位址，該內層IP報文的目的地址為網路隔離設備外側監控節點的IP位址，源地址為該第二IP位址；根據內層IP報文的目的地址，將該報文轉發給網路隔離設備外側的監控節點；將網路隔離設備外側的監控節點發出的監控信令數據或者監控業務數據的IP報文進行隧道封裝後傳送給該第一監控節點，其中該IP報文的目的地址為第二IP位址，源IP位址為外側網路監控節點的IP位址，封裝後的隧道報文的目的IP位址為該第一IP位址，隧道報文的源地址為L2TP中繼自身的IP位址。

第二IP位址屬於L2TP中繼分配的網路隔離設備外側網路中規劃的IP位址。或者第二IP位址屬於L2TP中繼自身獨立規劃的IP位址，該L2TP中繼與外側監控節點建立有L2TP隧道連線；其中該外側監控節點發出的IP報文是封裝在該隧道中的內層IP報文，L2TP中繼將外側監控節點發出的隧道報文解封裝獲得內層IP報文，該內層報文的源IP位址是該外側監控節點通過L2TP中繼分配的IP位址，目的地址是第一監控節點分配到的第二IP位址，該網路隔離設備外側網路的監控節點包括VM和MS。

該L2TP中繼為該網路隔離設備外側的MS。

下面結合附圖及具體實施例對《IP監控系統中穿越、協助穿越網路隔離設備的方法和節點》再作進一步詳細的說明。實施例中涉及到的各種節點或者設備定義如下：EC為編碼終端或媒體終端，VC為監控客戶端，VM為視頻管理伺服器，DM為數據管理伺服器，MS為媒體交換伺服器，IPSAN為IP存儲伺服器，LNS為L2TP服務端，該發明將其命名為L2TP中繼設備，因為其還需要執行報文轉發工作。

圖1顯示實施例一的網路示意圖。該網路是一個IP監控系統。該IP監控系統包含多個監控節點。該圖1中，監控節點EC11被網路隔離設備與另一網路隔離。網路隔離設備可以是NAT，防火牆或者網閘等。該實施例中，如圖1，該監控系統中的監控節點EC11所在的網路為網路隔離設備內側的網路，稱為網路A，其被網路隔離設備隔離或者說保護；將網路隔離設備外側網路稱為網路B。由於網路隔離設備的存在，導致網路A可以訪問網路B，而網路B在沒有特殊配置的前提下無法訪問網路A。該IP監控系統還包含一L2TP中繼設備14。監控節點EC11自身的IP位址是10.10.10.10，即屬於網路A(網路A的地址：10.10.10.0/24)的IP位址是10.10.10.10；該IP監控系統中其他監控節點自身的IP位址和EC11作類似的解釋。L2TP中繼設備14的IP位址為12.12.10.10，這個地址從網路A的角度來看屬於公網地址，即網路A可以直接訪問；如果該地址不能被直接訪問到，可以在本網路出口的隔離設備上配置靜態映射的對應公網地址。監控節點EC11需要和網路B中的另一監控節點進行通信。

監控節點EC11作為LAC，以自身IP位址10.10.10.10向作為LNS的L2TP中繼14發起隧道連線請求以與L2TP中繼建立L2TP隧道連線。L2TP中繼14收到該隧道連線請求後，與監控節點EC11建立隧道連線，並將地址池中的地址分配給EC11。L2TP中繼14地址池中的地址屬於網路B規劃的IP位址，但是和網路B已經存在的設備的IP位址不同。L2TP中繼14的地址池中的IP位址屬於12.12.11.0/24，其分配給EC11的IP位址為12.12.11.10。EC11獲得L2TP中繼14分配的IP位址12.12.11.10後，當與網路B中的監控節點進行通信的時候將採用該分配的IP位址。比如說：EC11向網路B中的視頻管理伺服器VM13進行註冊的時候，將對註冊報文進行隧道封裝。這裡VM13的IP位址為12.12.12.10，其屬於網路12.12.12.0/24。EC11將監控信令數據，即註冊報文的內容封裝到內層IP報文中，然後將該內層IP報文封裝到隧道報文中傳送給L2TP中繼14，其中該內層IP報文的源地址為12.12.11.10，目的地址為VM13的IP位址12.12.12.10；該隧道報文的源地址為EC11自身的IP位址10.10.10.10，目的地址為L2TP中繼14的IP位址12.12.10.10。L2TP中繼14從監控節點EC11接收到其傳送的隧道報文後將該隧道報文進行解封裝獲得內層IP報文。L2TP中繼14根據自身的保存的路由信息將該內層IP報文根據其目的IP位址進行路由。該例中L2TP中繼的路由信息如下表所示：

L2TP中繼14根據目的IP位址12.12.12.10將報文從Interface2接口傳送出去。網路A中的監控節點EC11的註冊報文最終被路由到了網路B中的VM13。VM13收到該註冊報文後對該註冊報文進行處理：將EC11的相關信息在本地進行保存。當有VC需要點播EC11上的視頻流量的時候，VM13指示EC11傳送監控視頻流的監控信令數據封裝成IP報文被路由到L2TP中繼14，L2TP中繼14將VM13傳送的該IP報文進行隧道封裝後傳送給EC11，該IP報文的目的地址為EC11分配到的IP位址12.12.11.10，源地址為VM13的IP位址12.12.12.10，封裝後的隧道報文的目的IP位址為EC11自身的IP位址10.10.10.10，隧道源IP位址為L2TP中繼14的IP位址12.12.10.10。EC11從L2TP中繼接收隧道報文並將隧道報文進行解封裝獲得內層IP報文。EC11從內層IP報文中獲得監控信令數據並進行相應的信令處理。EC11根據監控信令的指示將監控業務數據發給相應的監控節點。EC11根據自身的路由表，通過隧道傳送監控業務數據或者不經過隧道直接傳送該監控業務數據。EC11通過隧道傳送監控業務數據時，EC11將生成的相應的監控業務數據封裝到內層IP報文中，然後將該內層IP報文封裝到隧道報文中傳送給L2TP中繼14，其中該內層IP報文的源地址為EC11分配到的IP位址12.12.11.10，目的地址為接收監控業務數據的監控節點，如VC或者MS的IP位址，該第三監控節點可以在任意網路中，包括但不限於網路A或者網路B，比如說圖1中位於A網路中的VC12和位於網路B中的VC15；該隧道報文的源地址為EC11自身的IP位址10.10.10.10，目的地址為L2TP中繼14的IP位址。L2TP中繼14從EC11接收到隧道報文並將該隧道報文進行解封裝獲得內層IP報文。L2TP中繼14根據該內層IP報文的目的IP位址，即接收監控業務數據的監控節點將報文傳送出去。

網路A中的VC12點播EC11上的視頻流量的時，VC12在VM13上進行註冊。該註冊的過程和EC11相同。VC12先和L2TP中繼14之間建立L2TP隧道。後續VC12點播EC11的視頻流量時，先將點播的監控信令通過VC12和L2TP中繼14之間的L2TP隧道傳送到VM13，後續EC11傳送的監控業務數據通過EC11和L2TP中繼14之間的隧道到達L2TP中繼14之後，將再通過VC12和L2TP中繼14之間的隧道傳送到VC12。VC12接收到隧道報文後對其進行解封裝獲得內容為監控業務數據的內層IP報文，該內層IP報文的源地址為EC11分配到的IP位址12.12.11.10，目的IP位址為VC12分配到的IP位址，隧道報文的源地址為L2TP中繼14自身的地址，目的地址為VC12自身的IP位址。

網路B中的VC15點播EC11上的視頻流量的時，VC15在VM13上進行註冊。VC15點播EC11的視頻流量時，先將點播的監控信令直接傳送到VM13，後續EC11傳送的監控業務數據可以不經過EC11和L2TP中繼14之間的隧道直接到達VC15，也可以通過EC11和L2TP中繼14之間的隧道到達L2TP中繼14之後，由L2TP中繼14再傳送到VC15。

如果L2TP中繼14單獨由一個路由器或者其他網路設備充當的話，成本會比較高，所以如果IP監控系統中的網路B存在MS轉發設備的話，MS可以充當L2TP中繼14。視頻流量點播時，VM13指示EC11將視頻業務數據傳送到充當L2TP中繼14的MS，再由MS根據點播VC的地址進行視頻業務數據的轉發。

圖2顯示了實施例二的網路示意圖。圖2網路示意圖和圖1的區別在於網路B中的監控節點VM23自身也作為LAC向作為LNS的L2TP中繼24發起隧道連線請求與L2TP中繼24建立L2TP隧道連線；網路B中還包括一個MS26，MS26也作為LAC向作為LNS的L2TP中繼24發起隧道連線請求與L2TP中繼24建立L2TP隧道連線。網路A中的監控節點EC21作為LAC向作為LNS的L2TP中繼24發起隧道連線請求與L2TP中繼24建立L2TP隧道連線。L2TP中繼24給監控節點EC21、VM23、MS26分配的IP位址可以是獨立地址池中的IP位址，即該地址池中的IP位址可以單獨規劃一個IP位址段，不需要占用網路B規劃的IP位址，比如14.14.14.0/24、15.15.10.0/24等等。以14.14.14.0/24為例描述圖2中監控節點的通信過程。

EC21作為LAC，以自身IP位址10.10.10.10向作為LNS的L2TP中繼24發起隧道連線請求以與L2TP中繼24建立L2TP隧道連線。L2TP中繼24收到該隧道連線請求後，與監控節點EC21建立隧道連線，並將地址池中的地址14.14.14.10分配給EC21。同樣的，VM23以自身的IP位址12.12.12.10向L2TP中繼24發起隧道連線請求以與L2TP中繼24建立L2TP隧道連線。L2TP中繼24收到該隧道連線請求後，與監控節點VM23建立隧道連線，並將地址池中的地址14.14.14.12分配給VM23。同樣地，MS26向L2TP中繼24發起隧道連線請求，獲得分配到的IP位址14.14.14.14。EC21向VM23進行註冊時，將對註冊報文進行隧道封裝。EC21將監控信令數據，即註冊報文的內容封裝到內層IP報文中，然後將該內層IP報文封裝到隧道報文中傳送給L2TP中繼24，其中該內層IP報文的源地址為14.14.14.10，目的地址為VM23的IP位址為14.14.14.12；該隧道報文的源地址為EC21自身的IP位址10.10.10.10，目的地址為L2TP中繼24的IP位址12.12.10.10。L2TP中繼24從監控節點EC21接收到其傳送的隧道報文後將該隧道報文進行解封裝獲得內層IP報文。L2TP中繼24根據自身的保存的路由信息將該內層IP報文根據其目的IP位址進行路由。該例中L2TP中繼的路由信息如下表所示：

L2TP中繼24根據目的IP位址14.14.14.12判斷該註冊報文需要進行隧道封裝，從L2TPVT1:2接口傳送。L2TP中繼24將源地址為14.14.14.10，目的地址為14.14.14.12的內層IP報文進行隧道封裝，隧道報文的源IP位址為L2TP中繼24自身的IP位址12.12.10.10，隧道報文的目的IP位址為VM23自身的IP位址12.12.12.10。封裝完成的隧道報文經過L2TP中繼24和VM23之間的隧道到達了VM23，VM23將該報文進行解封裝得到了內層IP報文，將EC的註冊信息在本地進行保存。

當VC點播EC21上的視頻流量的時候，VM23指示EC21傳送監控視頻流的監控信令數據封裝成IP報文並進一步封裝成隧道報文經由VM23和L2TP中繼24之間的隧道被傳送到L2TP中繼24，該監控信令數據的內層IP報文的源IP位址為14.14.14.12，目的IP位址為14.14.14.10；隧道報文的源IP位址為VM23自身的IP位址12.12.12.10，隧道報文的目的IP位址為12.12.10.10。L2TP中繼24接收到該隧道報文後進行解封裝得到內層IP報文，根據內層目的IP位址14.14.14.10將內層報文進一步進行隧道封裝，經由L2TP中繼24和EC21之間的隧道傳送到EC21，隧道源IP位址為L2TP中繼24自身的IP位址12.12.10.10，目的IP位址為EC21自身的IP位址10.10.10.10。EC21接收隧道報文並將隧道報文進行解封裝獲得內層IP報文。EC21從內層IP報文中獲得監控信令數據並進行相應的信令處理。該監控信令數據指示EC21將監控業務數據傳送到MS26。類似地，VM23指示MS26接收EC21傳送的監控業務數據，並進一步將該監控業務數據傳送給VC。EC21通過自身與L2TP中繼24之間的隧道將監控業務數據傳送給L2TP中繼24，該監控業務數據進行隧道封裝，其中該內層IP報文的源地址為EC21分配到的IP位址14.14.14.10，目的地址為接收監控業務數據的MS26的地址14.14.14.14，封裝的隧道報文的源地址為EC21自身的IP位址10.10.10.10，目的地址為L2TP中繼24的IP位址。L2TP中繼24從EC21接收到隧道報文並將該隧道報文進行解封裝獲得內層IP報文，根據內層目的IP位址對報文進行隧道封裝，從L2TP中繼24和MS26之間的隧道傳送到MS26。隧道封裝方式同前，不再贅述。MS26收到隧道報文後進行解封裝得到監控業務數據報文，MS26將監控業務數據根據VM23的指示結合自身的路由表傳送給對應的VC，比如VC25。

如果L2TP中繼24單獨由一個路由器或者其他網路設備充當的話，成本會比較高，所以實施例二中MS26充當L2TP中繼是一種更優的實施方式，如圖2a所示。視頻流量點播時，VM23指示EC21將視頻業務數據傳送到MS26，再由MS26根據點播VC的地址進行視頻業務數據的轉發。如網路A中的VC22點播EC21上的視頻流量的時，VC22首先在VM23上進行註冊。該註冊的過程和EC21的註冊過程相同。VC22和充當L2TP中繼的MS26之間建立L2TP隧道。後續VC22點播EC21的視頻流量時，先將點播的監控信令通過VC22和MS26之間的L2TP隧道以及MS26和VM23之間的L2TP隧道傳送到VM23，隧道報文的封裝方式和EC21向VM23進行註冊的註冊報文的封裝方式相同。後續EC21傳送的監控業務數據通過EC21和MS26之間的隧道到達MS26之後，將再通過VC22和MS26之間的隧道傳送到VC22。

圖3顯示實施例三的網路示意圖。在圖3中，該IP監控系統包含監控節點VM31，該監控節點VM31被網路隔離設備與另一網路隔離。網路隔離設備可以是NAT，防火牆或者網閘等。如圖3，該監控系統中的監控節點VM31所在的網路為網路隔離設備內側的網路，稱為網路A，其被網路隔離設備隔離或者說保護；將網路隔離設備外側網路稱為網路B。由於網路隔離設備的存在，導致網路A可以訪問網路B，而網路B在沒有特殊配置的前提下無法訪問網路A。該IP監控系統還包含一L2TP中繼設備33。監控節點VM31自身的IP位址是10.10.10.10，L2TP中繼設備33的一IP位址為12.12.10.10。監控節點VM31需要和網路B中的另一監控節點進行通信，如EC36，VC37。

監控節點VM31作為LAC以自身IP位址10.10.10.10向作為LNS的L2TP中繼33發起隧道連線請求以與L2TP中繼33建立L2TP隧道連線。L2TP中繼33收到該隧道連線請求後，與監控節點VM31建立隧道連線，並將地址池中的地址分配給VM31。L2TP中繼33地址池中的地址屬於網路B規劃的IP位址，但是和網路B已經存在的設備的IP位址不同。L2TP中繼33的地址池中的IP位址屬於網路12.12.11.0/24，其分配給VM31的IP位址為12.12.11.10。VM31獲得L2TP中繼33分配的IP位址12.12.11.10後，該IP位址將被網路B中的EC36，VC37獲得以使他們能向VM31進行註冊。以EC36為例，闡述其向VM31進行註冊的過程。EC36傳送註冊報文，該報文的目的IP位址為VM31分配到的IP位址12.12.11.10，該報文將被路由到L2TP中繼33，L2TP中繼33對註冊報文進行隧道封裝，即註冊報文封裝到內層IP報文中，然後將該內層IP報文封裝到隧道報文中傳送給VM31，其中該內層報文的目的地址為VM31的IP位址12.12.11.10，源地址為EC36自身的地址，如12.12.12.16；該隧道報文的源地址為L2TP中繼33自身的IP位址12.12.10.10，隧道目的地址為VM31自身的IP位址10.10.10.10。VM31從隧道接收到該隧道報文後將該隧道報文進行解封裝獲得內層IP報文。VM31將解封裝後得到的EC36的相關信息在本地進行保存。VC37向VM31註冊的過程同EC36註冊的過程。網路A中的EC34或者VC35向網路A中的VM31進行註冊時，直接傳送目的地址為10.10.10.10的註冊報文向VM31進行註冊。

網路A中的監控節點MS32如同VM31一樣與L2TP中繼33建立L2TP隧道連線，獲得L2TP中繼33分配的IP位址。網路A中的EC34和VC35無需與L2TP中繼33單獨建立L2TP隧道。如果網路A中不存在MS32，EC34和VC35與L2TP中繼32建立L2隧道。

當網路B中的VC37點播網路A中的EC34上的視頻流量的時候，VC37的點播的監控信令報文如同EC36的註冊報文一樣被傳送到VM31。VM31的指示EC34傳送監控視頻流的監控信令報文以EC34的IP位址10.10.10.8為目的IP位址直接在網路A中傳送給EC34。該監控信令報文指示EC將監控業務數據傳送給MS32。EC34根據監控信令的指示將監控業務數據發給MS32。VM31指示MS32將該監控業務數據傳送給VC37。MS32根據自身的路由表，通過隧道傳送監控業務數據或者不經過隧道直接傳送該監控業務數據。MS32通過隧道傳送監控業務數據(之前MS32已經和L2TP中繼33建立了L2TP隧道)的方法和實施例一相同，這裡不再贅述。如果網路A中沒有MS32，則EC34根據自身的路由表，通過隧道傳送監控業務數據或者不經過隧道直接傳送該監控業務數據。

當VC35點播EC36的視頻監控流量時，VC35在區域網路以自身IP位址10.10.10.6為源IP向VM31的目的IP位址10.10.10.10傳送視頻點播報文，VM31收到該點播報文後，向EC36傳送指示EC36傳送監控視頻流的監控信令報文，該監控信令數據可以通過隧道傳送或者不通過隧道傳送，這主要由VM的路由表決定。該監控信令報文指示EC36傳送監控業務數據給MS32。EC36收到監控信令報文後，將相應的監控視頻數據先路由到L2TP中繼33，L2TP中繼33根據目的IP位址對該監控業務數據報文進行隧道封裝。封裝後的隧道報文通過L2TP中繼33和MS32之間的隧道傳送給MS32。MS32對該隧道報文進行解封裝得到內層報文。MS32按照VM31的指示將報文傳送給VC35。

如果L2TP中繼33單獨由一個路由器或者其他網路設備充當的話，成本會比較高，所以可以由MS充當L2TP中繼33。

圖4顯示實施例四的網路示意圖。圖4網路示意圖和圖3的區別在於網路B中的監控節點VM48自身向L2TP中繼43發起隧道連線請求與L2TP中繼43建立L2TP隧道連線；網路B中還包括一個MS49，MS49也向L2TP中繼43發起隧道連線請求與L2TP中繼43建立L2TP隧道連線。網路A中的監控節點VM41也向L2TP中繼43發起隧道連線請求與L2TP中繼43建立L2TP隧道連線。在這種情況下，L2TP中繼43給監控節點VM41、VM48和MS49分配的IP位址可以是獨立地址池中的IP位址，即該地址池中的IP位址可以單獨規劃一個IP位址段，不需要占用網路B規劃的IP位址，比如14.14.14.0/24、15.15.10.0/24等等。以14.14.14.0/24為例描述圖2中監控節點的通信過程。

圖4是一個二級域，包括兩個管理域。其中VM41、MS42、EC44、VC45組成一個監控域X，VM48、MS49、EC46、VC47組成另一個監控域Y。其中監控管理域X是下級域，Y是上級域，Y管理X。EC44、VC45和MS42向VM41進行，該註冊報文不需要經過隧道，直接以VM41的IP10.10.10.10為目的IP位址進行傳送，VM41保存註冊信息。EC46、VC47和MS49向VM48進行，該註冊報文不需要經過隧道，直接以VM48的IP位址12.12.12.10為目的IP位址進行傳送，VM48保存註冊信息。VM41向VM48進行註冊，VM41以自身IP位址10.10.10.10向L2TP中繼43發起隧道連線請求以與L2TP中繼43建立L2TP隧道連線。L2TP中繼43收到該隧道連線請求後，與監控節點VM41建立隧道連線，並將地址池中的地址14.14.14.10/24分配給VM41。VM48以自身的IP位址12.12.12.10向L2TP中繼43發起隧道連線請求以與L2TP中繼43建立L2TP隧道連線。L2TP中繼43收到該隧道連線請求後，與監控節點VM48建立隧道連線，並將地址池中的地址14.14.14.12/24分配給VM48。同樣地，MS42向L2TP中繼43發起隧道連線請求，獲得分配到的IP位址14.14.14.14。MS39向L2TP中繼43發起隧道連線請求，獲得分配到的IP位址14.14.14.15。

當網路A中的VC點播網路B中的視頻流量時，比如VC45點播EC46的監控視頻數據，VC45在網路A中直接將點播請求傳送給VM41，VM41將該請求封裝到內層IP報文中，然後將該內層IP報文封裝到隧道報文中傳送給L2TP中繼24，其中該內層IP報文的源地址為14.14.14.10，目的地址為VM48分配到的IP位址為14.14.14.12；該隧道報文的源地址為VM41自身的IP位址10.10.10.10，目的地址為L2TP中繼43的IP位址12.12.10.10。L2TP中繼43接收到該隧道報文後將該隧道報文進行解封裝獲得內層IP報文。L2TP中繼44根據自身的保存的路由信息將該內層IP報文根據其目的IP位址進行路由。該例中L2TP中繼43的路由信息如下表所示：

L2TP中繼24根據目的IP位址14.14.14.12判斷該註冊報文需要進行隧道封裝，從L2TPVT1:2接口傳送。L2TP中繼43將源地址為14.14.14.10，目的地址為14.14.14.12的內層IP報文進行隧道封裝，隧道報文的源IP位址為L2TP中繼43自身的IP位址12.12.10.10，隧道報文的目的IP位址為VM23自身的IP位址12.12.12.10。封裝完成的隧道報文經過L2TP中繼43和VM48之間的隧道到達了VM48，VM48將該報文進行解封裝得到了內層IP報文。VM48通知EC46將監控視頻業務數據傳送到MS49，MS49再將該報文進行隧道封裝經過MS49和L2TP中繼43之間的隧道傳送到L2TP中繼43，L2TP中繼43將該隧道報文進行解封裝，判斷需要再經過隧道傳送，再對該監控業務數據進行隧道封裝，經過L2TP中繼43和MS42之間的隧道傳送到MS42，MS42再轉發給VC45。這裡監控業務數據經過兩個隧道封裝轉發的過程與前述監控信令或者監控數據經過兩個隧道封裝轉發的過程類似。

VC47點播EC44的處理流程與VC45點播EC46的處理流程類似，在此不再贅述。

如果L2TP中繼43單獨由一個路由器或者其他網路設備充當的話，成本會比較高，所以實施例四中MS49充當L2TP中繼是一種更優的實施方式，如圖4a所示。視頻監控業務處理過程參考前文。

前述4個實施方式均是以視頻實況點播為例來說明具有網路隔離設備的IP監控系統，網路隔離設備兩側的監控節點是如何通信的。監控業務數據存儲，即IP監控系統進一步包含DM、存儲設備的情況，網路隔離設備兩側的監控節點可以參照上述視頻實況點播的流程進行需要的通信。

請參考圖5以及圖6，圖5是以上各種節點或者設備一種通用的基本硬體架構，各個設備在業務硬體上略有差異。比如說L2TP中繼有可能不需要業務硬體，當然如果使用MS來充當L2TP中繼，其可能存在業務硬體，同樣VM可能沒有業務硬體。圖6是以上各個節點或者設備的通用邏輯結構圖，其通常是藉助電腦程式來實現。同樣地，各個設備的邏輯結構可能略有差異，比如L2TP中繼所在設備如果不涉及業務處理，那就可能沒有業務及信令處理單元。而VM屬於管理伺服器，其通常不包括業務處理單元。

圖6顯示的通用邏輯結構包括：隧道處理單元、信令處理單元、業務處理單元以及網路接口單元。其中隧道處理單元包括連線處理子單元以及報文處理子單元。其中信令處理單元以及業務處理單元分別用於處理信令數據以及業務數據。網路接口單元負責收發報文。連線處理子單元主要用於處理建立L2TP隧道連線以及隧道連線的維護。報文處理子單元主要用戶進行報文的封裝以及解封裝。

以下參照圖6描述《IP監控系統中穿越、協助穿越網路隔離設備的方法和節點》方法對應的裝置。

《IP監控系統中穿越、協助穿越網路隔離設備的方法和節點》IP監控系統中穿越網路隔離設備的監控節點，該監控節點包括隧道處理單元、信令處理單元以及網路接口單元；其中該隧道處理單元包括連線處理子單元以及報文處理子單元：網路接口單元，用於在IP網路上收發報文；信令處理單元，用於處理監控信令數據；連線處理子單元，用於使用監控節點自身的第一IP位址向作為LNS的L2TP中繼發起隧道連線請求以與L2TP中繼建立L2TP隧道連線；並在L2TP隧道連線建立後從L2TP中繼獲取L2TP中繼分配第二IP位址；報文處理子單元，用於將網路接口單元從L2TP中繼接收的隧道報文進行解封裝獲得內容為監控信令數據的內層IP報文，並將該監控信令數據提交給信令處理單元；其中該內層IP報文是網路隔離設備外側監控節點傳送的報文，該隧道報文的目的地址為該第一IP位址，隧道報文的源地址為L2TP中繼自身的IP位址；該內層IP報文的目的地址為該第二IP位址，源IP位址為該外側監控節點的IP位址；該報文處理子單元進一步用於，將監控節點信令處理單元生成的監控信令數據封裝到內層IP報文中，然後將該內層IP報文封裝到隧道報文中傳送給網路接口單元，由網路接口單元傳送給L2TP中繼，L2TP中繼將內層IP報文轉發到網路隔離設備外側網路的監控節點，其中該內層IP報文的源地址為第二IP位址，內層報文的目的地址為該外側網路監控節點的IP位址，該隧道報文的源地址為第一監控節點自身的IP位址，該隧道報文的目的地址為L2TP中繼自身的IP位址。

該監控節點還包括業務處理單元，該業務處理單元用於處理監控業務數據；

該報文處理子單元，還用於將網路接口單元從L2TP中繼接收的隧道報文進行解封裝獲得內容為監控業務數據的內層IP報文，並將該監控業務數據提交給業務處理單元；其中該內層IP報文是網路隔離設備外側監控節點傳送的報文，該隧道報文的目的地址為該第一IP位址，隧道報文的源地址為L2TP中繼自身的IP位址；該內層IP報文的目的地址為該第二IP位址，源IP位址為該外側監控節點的IP位址；或者該報文處理子單元還用於，將監控節點業務處理單元生成的監控業務數據封裝到內層IP報文中，然後將該內層IP報文封裝到隧道報文中傳送給網路接口單元，由網路接口單元傳送給L2TP中繼，L2TP中繼將內層IP報文轉發到網路隔離設備外側網路的監控節點，其中該內層IP報文的源地址為第二IP位址，內層報文的目的地址為該外側網路監控節點的IP位址，該隧道報文的源地址為第一監控節點自身的IP位址，該隧道報文的目的地址為L2TP中繼自身的IP位址。

《IP監控系統中穿越、協助穿越網路隔離設備的方法和節點》該IP監控系統中協助監控節點穿越網路隔離設備的L2TP中繼設備，該中繼設備包括：網路接口單元，用於通過IP網路收發報文；連線處理子單元，用於接收網路隔離設備內側的作為LAC的第一監控節點以自身第一IP位址發出的L2TP隧道連線請求；在與第一監控節點建立隧道連線後，為第一監控節點分配第二IP位址；報文處理子單元，用於從第一監控節點接收隧道報文並將該隧道報文進行解封裝獲得內層IP報文，根據內層IP報文的目的地址將該報文轉發給網路隔離設備外側的監控節點；該內層IP報文是第一監控節點傳送給網路隔離設備外側的監控節點的監控信令數據或者監控數據，隧道報文的源地址為第一監控節點的第一IP位址，目的地址為該L2TP中繼自身的IP位址，該內層IP報文的目的地址為網路隔離設備外側監控節點的IP位址，源地址為該第二IP位址；該報文處理子單元，進一步用於將網路隔離設備外側的監控節點發出的內容為監控信令數據或者業務數據的IP報文進行隧道封裝後傳送給該第一監控節點，其中該IP報文的目的地址為第二IP位址，源地址為網路隔離設備外側監控節點的IP位址，封裝後的隧道報文的目的IP位址為該第一IP位址，隧道報文源地址為L2TP中繼自身的IP位址。

2016年12月7日，《IP監控系統中穿越、協助穿越網路隔離設備的方法和節點》獲得第十八屆中國專利優秀獎。