CN102917071B - 一种隧道连接请求分发方法及装置 - Google Patents
一种隧道连接请求分发方法及装置 Download PDFInfo
- Publication number
- CN102917071B CN102917071B CN201210428576.9A CN201210428576A CN102917071B CN 102917071 B CN102917071 B CN 102917071B CN 201210428576 A CN201210428576 A CN 201210428576A CN 102917071 B CN102917071 B CN 102917071B
- Authority
- CN
- China
- Prior art keywords
- message
- connection request
- user
- lns
- request message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Computer And Data Communications (AREA)
Abstract
本发明提供一种隧道连接请求分发方法,应用于NAT网关上用以调度来自NAT网关外部的用户的L2TP连接请求,该方法:根据预定策略判断来自用户的L2TP连接请求报文是否需要在本地进行认证,如果是则在本地处理,否则向用户返回认证失败报文;在接收到认证失败报文时,将该报文的会话特征保存在会话表中;后续接收到请求报文时,获取该报文的会话特征,根据该会话特征查找前置会话表中是否有相应的表项,如果有,则将该报文转发给NAT内LNS服务器;如果没有,则在本地处理L2TP连接请求报文;其中LNS服务器服务的业务网络与本地业务网络不同。本发明能够在遵循既有标准协议智能地识别用户意图连接的目的LNS服务器。
Description
技术领域
本发明涉及数据通信领域,尤其一种在企业网环境下隧道连接请求分发的方法及装置。
背景技术
随着标准化且易扩展的网络技术,尤其是IP技术不断发展,基于IP网络的智能视频监控技术得到快速发展,IP监控已经成为目前监控的主流。而为了安全和成本,大部分的监控网络都部署在私网内。很多移动用户或者公网用户使用解码客户端(比如VC)要访问位于私网内的监控资源(比如编码器EC上的实况资源),可能会通过L2TP拨号,通过隧道的方式接入到企业的私网进行访问,图1就是这样典型的应用场景,利用隧道穿越监控网络NAT的相关技术,可以参考本申请人先前提出的相关专利申请。
为了节省网络建设上的投资,同时也为了便于网络维护管理,视频监控网络和企业办公数据网络通常是合二为一的。请参考图2所示,在企业网出口的NAT路由器提供LNS服务,使处于外网的用户能够通过L2TP拨号访问企业内部的数据。同时在企业内网中还有专门为视频监控业务服务的LNS设备。在这样的应用场景下,需要采取正确的处理措施使处于外网的用户访问监控业务就拨号到内网的监控LNS服务器,访问企业其他数据的用户拨号到企业网的LNS服务器上。
一种容易想到的处理思路是通过修改端口号的方式来实现。比如说,需要拨号到企业网的时候用户可以使用1701端口拨号,需要拨号到监控服务的时候用户使用1801端口拨号,即用户通过不同的端口号来区分自身想访问的不同的网络业务。然而IETF(互联网工程任务组)发布的RFC2661标准文档中规定了L2TP目的端口号只能是1701,如果进行上述改动,则意味着无法兼容标准方式,需要进行私有化的协议改造,不利于大规模商业应用。
发明内容
有鉴于此,本发明提供一种隧道连接请求分发的装置,应用于NAT网关上用以调度来自NAT网关外部的用户的L2TP连接请求,其中该装置包括:
LNS服务单元,用于根据预定策略判断来自用户的L2TP连接请求报文是否需要在本地进行认证,如果是则处理该请求报文,否则向用户返回认证失败报文;
前置匹配单元,用于在接收到来自LNS服务单元返回的认证失败报文时,将该报文的会话特征保存在前置会话表中,在接收到用户的L2TP连接请求报文时,获取该L2TP连接请求报文的会话特征,根据该会话特征查找前置会话表中是否有相应的表项,如果有,则将该L2TP连接请求报文转发给NAT网关内部网络中的LNS服务器;如果没有,则将该L2TP连接请求报文发送给LNS服务单元;
其中所述LNS服务单元与LNS服务器分别为服务于不同的业务网络。
本发明还提供一种隧道连接请求分发方法,应用于NAT网关上用以调度来自NAT网关外部的用户的L2TP连接请求,其特征在于,该方法包括以下步骤:
步骤A、根据预定策略判断来自用户的L2TP连接请求报文是否需要在本地进行认证,如果是则在本地处理该请求报文,否则向用户返回认证失败报文;
步骤B、在接收到步骤A返回的认证失败报文时,将该报文的会话特征保存在前置会话表中,在接收到用户的L2TP连接请求报文时,获取该L2TP连接请求报文的会话特征,根据该会话特征查找前置会话表中是否有相应的表项,如果有,则将该L2TP连接请求报文转发给NAT网关内部网络中的LNS服务器;如果没有,则返回步骤A在本地处理L2TP连接请求报文;其中LNS服务器服务的业务网络与本地业务网络不同。
本发明能够在遵循既有标准协议,不改变用户终端软件前提下,智能地识别用户意图连接的目的LNS服务器,完成用户到不同业务网络的隧道连接目标,并且不需要用户过多手工干预。
附图说明
图1是现有技术一种典型的视频监控组网示意图。
图2是一种典型的具有两个LNS服务器的组网图。
图3是本发明一种实施方式中隧道连接请求分发装置的逻辑结构图。
图4是本发明一种实施方式的处理流程图。
具体实施方式
本发明通过在L2TP连接请求的认证阶段进行特别处理,在基本保障用户使用体验的前提下,智能识别用户的L2TP连接请求,将用户的L2TP连接请求分发到不同的业务网络前端的LNS服务器上处理。以下结合附图对本发明较佳实施方式中的详细实现进行描述。
请参考图2、图3以及图4,本发明提供一种隧道连接请求分发装置。在优选的实施方式中,本发明采用计算机程序实现,该装置运行于NAT网关上,包括前置匹配单元以及LNS服务单元。以下描述该装置运行在NAT网关上与NAT网关既有的功能配合实现上述发明目的的处理流程。
步骤101,NAT网关在接收到L2TP连接请求报文后,将L2TP连接请求报文上送到前置匹配单元进行处理;
NAT网关在收到报文之后,如果是协议报文则需要上送软件层面进行处理,不同的协议报文上送到不同的功能单元或者说协议栈去处理。在现有技术中,L2TP连接请求报文是由集成在NAT网关内部作为LNS服务器的LNS服务单元进行处理的,L2TP连接请求报文会被直接上送到LNS服务单元去处理。但是本发明将这样的处理流程打破,先将这些L2TP连接请求报文上送到前置匹配单元处理。
步骤102,前置匹配单元提取L2TP连接请求报文的会话特征,查找前置会话表中是否有对应的表项;如果是转步骤103处理,否则转步骤104处理;
步骤103,前置匹配单元将该L2TP连接请求报文转发到内网的LNS服务器,转步骤108由该LNS服务器进行处理;
步骤104,前置匹配单元将该L2TP连接请求报文提交给本地的LNS服务单元,转步骤105由该LNS服务单元进行处理;
步骤105,LNS服务单元首先判断该L2TP连接请求报文是否满足预定策略;如果否则返回认证失败报文,转步骤106处理;如果是,则转步骤107处理;
步骤106,在会话的反方向上,前置匹配单元收到LNS服务单元返回的认证失败报文时,提取该认证失败报的文会话特征保存在前置会话表中;
步骤107,LNS服务单元对该L2TP连接请求报文中的用户名及密码进行认证,如果认证失败则返回认证失败报文;如果成功,则返回认证成功报文并与该用户建立L2TP隧道连接;
步骤108,LNS服务器对该L2TP连接请求报文中的用户名及密码进行认证,如果认证失败则返回认证失败报文;如果成功,则返回认证成功报文并与该用户建立L2TP隧道连接;
报文的会话特征有很多种,可以基于各种层级的特征组合来构建。本发明以最流行的五元组为例进行说明。报文五元组包括源IP地址、目的IP地址、源端口、目的端口以及协议类型。在本发明中,如果前置会话表被命中,则说明之前有同样会话特征的报文已经在步骤107中被LNS服务单元处理过,而且LNS服务单元的处理结果是认证失败或者是没有匹配到预定策略,此时前置匹配单元需要将该报文转发到内网中LNS服务器去处理。需要说明的是,前置会话表仅仅是一个逻辑上的概念,从功能上定义的,并不一定是一个单独的表项,完全可能整合在既有的各种会话表中。
本发明中,LNS服务单元也可以理解为逻辑意义上的一种LNS服务器,只不过与内网的LNS服务器所服务的业务网络不同。在优选的方式中LNS服务单元服务于非视频监控业务网络,比如各种办公业务网络,而内网LNS服务器服务于视频监控业务网络。本发明需要区分用户L2TP连接请求的意图,智能地判断出用户的连接请求到底是想发送到哪个LNS服务器上。这一判断由LNS服务单元来实现。
LNS服务单元收到L2TP连接请求报文时,并不是按照协议要求立刻着手处理该请求,而是先按照预定策略来判断这个报文是否要在本地处理。在优选的方式中,预定策略是根据报文携带的业务网络标识来判断,比如说报文中的用户名形式可能是userdomain,LNS服务单元可以根据domian这一业务网络标识来判定用户的意图。假设用户名的形式是“user办公业务网络”,也就是说用户名中包括“办公业务网络”这一示例性标识,这一业务网络标识说明用户希望连接到本地LNS服务单元上来,因为LNS服务单元对应服务的是本地业务网络(即本例中的办公业务网络),所以LNS服务单元按照协议要求继续处理即可。假设用户名是“user视频监控业务网络”,其中的业务网络标识说明用户希望连接到内网的LNS服务器上,此时LNS服务单元就可以返回一个认证失败报文。认证失败报文经过前置匹配单元时,认证失败报文的五元组会在步骤106被前置匹配单元添加到前置会话表中,这一动作的含义是,该用户的连接请求曾经被拒绝过。
用户终端收到认证失败报文后,很多时候用户终端会重新发起L2TP连接请求(比如用户本地配置了自动重传策略)。用户终端重新发送的L2TP连接请求报文在到达前置匹配单元时会自然在步骤102命中到前置会话表,然后被转去对应视频监控业务网络的内网LNS服务器上处理。这里的逻辑过程总结如下:如果用户想连接对应于视频监控业务网络的LNS服务器,则必然会被LNS服务单元拒绝,相应报文的会话特征会被添加到前置会话表中,再次连接必然会命中会话表,而导致新的L2TP连接请求被正确地转发到LNS服务器上处理。本发明通过一次返回失败处理,通过用户重新连接必然会匹配会话表项的方式将用户重新发送的L2TP连接请求正确地发送到到LNS服务器上。当然如果用户本来就是要连接到LNS服务单元的,就不会经历这样一次失败处理。
以上描述的一种相对理想的状况,或者说大部分情况下都可以适用的处理过程。然而上述处理过程中依然有特别情况需要考虑。假设用户本来是想向LNS服务器发起连接请求的,但是由于L2TP连接请求报文中没有任何业务网络标识(比如说用户名的形式就是“user”,没有“domain”),此时LNS服务单元显然视之为匹配预定策略因而会继续处理,如果用户报文中携带的用户名和密码正确,说明该L2TP连接请求就是发送到本地的,可以返回认证成功报文,用户的意图就是访问办公业务网络。但是如果用户报文中携带的用户名或密码错误,则分两种情况:第一,用户意图连接的是LNS服务单元,但用户输入用户名或密码时出错;第二,用户意图连接的是LNS服务器,用户名和密码在LNS服务单元认证肯定错误。
这两种情况下,LNS服务单元都会返回认证失败报文,对于第二种情况,经过前置匹配单元处理之后,用户重新连接到其希望连接的LNS服务器上,用户名和密码如果没有输错,自然会认证成功。然而对于第一种情况,即便用户在重新发送的L2TP连接请求报文中修改了用户名和密码,但由于前置匹配单元会根据之前添加到会话表的会话特征自动地将用户重新发起的L2TP连接请求报文发送到LNS服务器上,此时LNS服务器肯定会发现用户的用户名和密码错误;因为LNS服务器与LNS服务单元保存的用户名及密码组合通常是不同的。这样一来,在第一种情况下,无论用户如何处理,其重新发送的L2TP连接请求报文都会被送到LNS服务器上处理,结果始终都是认证失败。
为了规避上述特殊情况引发的问题,前置匹配单元在命中会话表时(也就是说明用户之前已经收到过认证失败报文了)除了做转发处理之外,还需要将当前被命中的表项删除掉,这样就避免了上述第一种情况中用户不断请求连接,不断失败的问题,当然前提是用户能够在后续的重新连接请求中将用户名和密码的组合修改为正确的组合才可以。本发明能够在遵循既有标准协议,不改变用户终端软件前提下,智能地识别用户意图连接的目的LNS服务器,完成用户到不同业务网络的隧道连接目标,并且不需要用户过多手工干预。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (8)
1.一种隧道连接请求分发的装置,应用于NAT网关上用以调度来自NAT网关外部的用户的L2TP连接请求,其特征在于,该装置包括:
LNS服务单元,用于根据预定策略判断来自用户的L2TP连接请求报文是否需要在本地进行认证,如果是则处理该请求报文,否则向用户返回认证失败报文;
前置匹配单元,用于在接收到来自LNS服务单元返回的认证失败报文时,将该报文的会话特征保存在前置会话表中,在接收到用户的L2TP连接请求报文时,获取该L2TP连接请求报文的会话特征,根据该会话特征查找前置会话表中是否有相应的表项,如果有,则将该L2TP连接请求报文转发给NAT网关内部网络中的LNS服务器,并将当前被命中的表项删除;如果没有,则将该L2TP连接请求报文发送给LNS服务单元;
其中,所述LNS服务器服务于视频监控业务网络,所述LNS服务单元服务于非视频监控业务网络。
2.如权利要求1所述的装置,其特征在于,所述预定策略包括:如果认证报文携带有LNS服务单元对应的业务网络的标识,则处理该认证请求;否则向用户返回认证失败报文。
3.如权利要求1所述的装置,其特征在于,其中该前置匹配单元进一步用于在确定前置会话表中存在与报文的会话特征对应的表项时,删除该对应的表项。
4.如权利要求1所述的装置,其特征在于,所述会话特征为报文的五元组。
5.一种隧道连接请求分发方法,应用于NAT网关上用以调度来自NAT网关外部的用户的L2TP连接请求,其特征在于,该方法包括以下步骤:
步骤A、根据预定策略判断来自用户的L2TP连接请求报文是否需要在本地进行认证,如果是则在本地处理该请求报文,否则向用户返回认证失败报文;
步骤B、在接收到步骤A返回的认证失败报文时,将该报文的会话特征保存在前置会话表中,在接收到用户的L2TP连接请求报文时,获取该L2TP连接请求报文的会话特征,根据该会话特征查找前置会话表中是否有相应的表项,如果有,则将该L2TP连接请求报文转发给NAT网关内部网络中的LNS服务器,并将当前被命中的表项删除;如果没有,则返回步骤A在本地处理L2TP连接请求报文;
其中,所述LNS服务器服务于视频监控业务网络,所述本地业务网络为非视频监控业务网络。
6.如权利要求5所述的方法,其特征在于,所述预定策略包括:如果认证报文携带有本地业务网络的标识,则处理该认证请求;否则向用户返回认证失败报文。
7.如权利要求5所述的方法,其特征在于,所述步骤B进一步包括:
在确定前置会话表中存在与报文的会话特征对应的表项时,删除该对应的表项。
8.如权利要求5所述的方法,其特征在于,所述会话特征为报文的五元组。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210428576.9A CN102917071B (zh) | 2012-10-31 | 2012-10-31 | 一种隧道连接请求分发方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210428576.9A CN102917071B (zh) | 2012-10-31 | 2012-10-31 | 一种隧道连接请求分发方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102917071A CN102917071A (zh) | 2013-02-06 |
| CN102917071B true CN102917071B (zh) | 2016-06-08 |
Family
ID=47615301
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210428576.9A Active CN102917071B (zh) | 2012-10-31 | 2012-10-31 | 一种隧道连接请求分发方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102917071B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111600832B (zh) * | 2019-07-25 | 2022-09-30 | 新华三技术有限公司 | 报文处理方法及装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1374537B1 (en) * | 2001-03-27 | 2010-01-20 | Ericsson AB | Tunneling through access networks |
| CN102546657A (zh) * | 2012-02-10 | 2012-07-04 | 浙江宇视科技有限公司 | Ip监控系统中穿越、协助穿越网络隔离设备的方法和节点 |
| CN102546350A (zh) * | 2012-02-10 | 2012-07-04 | 浙江宇视科技有限公司 | 一种ip监控系统中节约广域网带宽的方法及装置 |
| CN102571524A (zh) * | 2012-02-10 | 2012-07-11 | 浙江宇视科技有限公司 | Ip监控系统中穿越、协助穿越网络隔离设备的方法和节点 |
-
2012
- 2012-10-31 CN CN201210428576.9A patent/CN102917071B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1374537B1 (en) * | 2001-03-27 | 2010-01-20 | Ericsson AB | Tunneling through access networks |
| CN102546657A (zh) * | 2012-02-10 | 2012-07-04 | 浙江宇视科技有限公司 | Ip监控系统中穿越、协助穿越网络隔离设备的方法和节点 |
| CN102546350A (zh) * | 2012-02-10 | 2012-07-04 | 浙江宇视科技有限公司 | 一种ip监控系统中节约广域网带宽的方法及装置 |
| CN102571524A (zh) * | 2012-02-10 | 2012-07-11 | 浙江宇视科技有限公司 | Ip监控系统中穿越、协助穿越网络隔离设备的方法和节点 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102917071A (zh) | 2013-02-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9883010B2 (en) | Method, apparatus, device and system for generating DHCP snooping binding table | |
| CN103188680B (zh) | 无线网络的接入方法、装置与dhcp服务端 | |
| US20070101414A1 (en) | Method for stateful firewall inspection of ice messages | |
| CN102075537B (zh) | 一种实现虚拟机间数据传输的方法和系统 | |
| CN103327137B (zh) | 一种路由器域名访问方法 | |
| EP2512087B1 (en) | Method and system for accessing network through public device | |
| CN103051497B (zh) | 业务流镜像方法及镜像设备 | |
| US8514845B2 (en) | Usage of physical layer information in combination with signaling and media parameters | |
| CN102916949B (zh) | 一种Web认证方法及装置 | |
| CN1647451B (zh) | 用于在网络环境中监视信息的装置、方法和系统 | |
| CN102387083B (zh) | 网络访问控制方法和系统 | |
| CN103329091A (zh) | 交叉接入登录控制器 | |
| JP2002118562A (ja) | 認証拒否端末に対し特定条件でアクセスを許容するlan | |
| CN101834864B (zh) | 一种三层虚拟专用网中攻击防范的方法及装置 | |
| CN108200039B (zh) | 基于动态创建临时账号密码的无感知认证授权系统和方法 | |
| WO2012089039A1 (zh) | 向运营商级网络地址转换cgn设备提供用户信息的方法及装置 | |
| CN102984031B (zh) | 一种使编码设备安全接入监控网络的方法和装置 | |
| US8769623B2 (en) | Grouping multiple network addresses of a subscriber into a single communication session | |
| US7701956B2 (en) | Method and system for using a transfer agent for translating a configuration file | |
| CN102546533B (zh) | 经未注册驻地网关访问物联网业务服务器的方法及系统 | |
| CN108429773B (zh) | 认证方法及认证系统 | |
| US20120300776A1 (en) | Method for creating virtual link, communication network element, and ethernet network system | |
| CN102571817B (zh) | 访问应用服务器的方法及装置 | |
| CN104735050B (zh) | 一种融合mac认证和web认证的认证方法 | |
| WO2014135102A1 (zh) | Wlan用户管理方法、装置及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |