消防部隊IP地址不足問題解決方案

福建省公安消防總隊　章瑞斌

?

消防部隊IP地址不足問題解決方案

福建省公安消防總隊章瑞斌

【摘要】本文通過對消防部隊計算機網(wǎng)絡(luò)特點的分析，從重新規(guī)劃互聯(lián)IP地址、減少局域網(wǎng)IP需求和實現(xiàn)向IPv6的轉(zhuǎn)換等方面，力求破解IP地址不足這個課題。

【關(guān)鍵詞】消防；IP；方案；公安網(wǎng)；NAT

近年以來，隨著《武警消防部隊信息化建設(shè)項目總體實施方案》的頒布實施，消防信息化建設(shè)迎來了跨越式發(fā)展的重大機遇。全國消防部隊先后推廣部署了電視電話會議系統(tǒng)、視頻指揮調(diào)度系統(tǒng)、3G圖像傳輸系統(tǒng)、營區(qū)監(jiān)控系統(tǒng)、IP電話系統(tǒng)等一大批業(yè)務(wù)系統(tǒng)，為部隊管理和正規(guī)化建設(shè)注入了新鮮活力。然而，隨著消防部隊對計算機和網(wǎng)絡(luò)的依存度越來越高，對網(wǎng)絡(luò)IP資源的需求也就越來越大，各地消防部隊IP資源不足問題逐漸突顯出來，已有部份地區(qū)已出現(xiàn)IP地址無法滿足建設(shè)需要的情況。那么，如何合理地管理好有限的IP地址資源，減緩和避免IP耗竭?

1　消防部隊計算機網(wǎng)絡(luò)特點

（1）根據(jù)《全國消防部隊計算機通信網(wǎng)絡(luò)建設(shè)指導(dǎo)意見》，全國消防部隊計算機網(wǎng)絡(luò)，以公安信息網(wǎng)為依托，建設(shè)消防信息網(wǎng)和指揮調(diào)度網(wǎng)，分別形成三級網(wǎng)絡(luò)結(jié)構(gòu)。其IP地址采用傳統(tǒng)的32位編碼方案(IPv4)，由各級消防部隊向本級公安機關(guān)申請獲取。在此IP分配模式下，眾多的消防分支機構(gòu)僅能擁有很小的IP空間，且IP段大多較為零散、不連續(xù)。

（2）消防信息網(wǎng)和指揮調(diào)度網(wǎng)間采用邏輯隔離，兩個網(wǎng)絡(luò)間數(shù)據(jù)無法直接交互，僅有部份經(jīng)授權(quán)的主機，通過雙網(wǎng)卡或接入交換機TRUNK口的方式實現(xiàn)對兩網(wǎng)的訪問。

（3）消防部隊具體點多、面廣、人員相對分散的特點，因此在計算機網(wǎng)絡(luò)建設(shè)之初，就將IP地址段拆分成小段盡能夠多地分配給分支機構(gòu)，這也造成了子網(wǎng)絡(luò)過多、過細，可用IP數(shù)大量減少，有些單位甚至只分配到了8個IP。

（4）進入2000年以后，消防部隊廣泛開展了規(guī)范化建設(shè)，在辦公室、網(wǎng)絡(luò)考場、網(wǎng)絡(luò)閱覽室等場所配置了大量計算機，這此計算機都分別配置了固定IP地址，且平時僅瀏覽公安信息網(wǎng)主頁，不對外提供服務(wù)。

2　傳統(tǒng)緩解IP地址不足問題的幾種方法

（1）可變長子網(wǎng)掩碼技術(shù)(VLSM)。該技術(shù)在傳統(tǒng)的IP地址的基礎(chǔ)上，引入了子網(wǎng)掩碼的概念，通過IP地址與子網(wǎng)掩碼進行“與”運算區(qū)分不同的子網(wǎng)，從而將傳統(tǒng)的網(wǎng)絡(luò)拆分成為容納不同主機數(shù)量的更小的子網(wǎng)，滿足不同網(wǎng)絡(luò)的需要。

（2）動態(tài)IP地址分配技術(shù)(DHCP)。在傳統(tǒng)的網(wǎng)絡(luò)中，通常為每個主機分配固定的IP地址。而采用DHCP技術(shù)，系統(tǒng)根據(jù)實際的需要動態(tài)地分配IP地址，這樣采取IP復(fù)用的方式，在同樣IP數(shù)量的情況下，可以容納更多數(shù)量的主機。

（3）網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)(NAT)。該技術(shù)在網(wǎng)絡(luò)的邊界處建立了網(wǎng)段間地址關(guān)系對應(yīng)池，網(wǎng)絡(luò)主機根據(jù)其對應(yīng)關(guān)系偽裝成另一個網(wǎng)段的IP地址從而實現(xiàn)跨網(wǎng)訪問。由于該技術(shù)允許多個主機共享共一IP地址，從而大大增加了網(wǎng)絡(luò)主機的數(shù)量。

3　重新規(guī)劃指揮調(diào)度網(wǎng)互聯(lián)IP地址

我們知道，計算機網(wǎng)絡(luò)除正常配置在主機上的IP地址外，為了實現(xiàn)網(wǎng)絡(luò)互通，往往還需要互聯(lián)IP，互聯(lián)IP必須同屬于一個網(wǎng)段，并分別配置在路由器直連端口上。為了盡可能地加以利用，通常采用30位掩碼細分網(wǎng)段，取其中間的2個IP作為互聯(lián)IP。

圖1為消防部隊計算機網(wǎng)絡(luò)示意圖。在公安信息網(wǎng)中，為了實現(xiàn)互聯(lián)互通，必須根據(jù)公安金盾網(wǎng)的規(guī)劃，在路由器R3與R4的接口A3、A4上分別配置互聯(lián)IP：3.3.3.X/30、4.4.4.X/30。而在指揮調(diào)度網(wǎng)中，由于沒有與公安信息網(wǎng)的直連路由，路由器R1、R2間完全可以自行規(guī)劃一套互聯(lián)IP方案。

圖1　消防部隊計算機網(wǎng)絡(luò)示意圖

理論上該互聯(lián)IP可以是指揮調(diào)度網(wǎng)外的任何IP段，考慮到公安部消防局與各省消防總隊間路由往往采用靜態(tài)路由，可以由公安部消防局規(guī)劃公安部消防局至各省總隊的互聯(lián)IP，而各省總隊自行規(guī)劃省內(nèi)互聯(lián)IP，由公安部消防局給予指導(dǎo)。

各級互聯(lián)IP在規(guī)劃前必須充分的開展調(diào)研，確保該IP段不與現(xiàn)有指揮調(diào)度網(wǎng)IP沖突。同時，各省總隊還必須特別注意，不得將本省互聯(lián)IP段路由信息發(fā)布到公安部消防局路由表中，從而引起不必要的路由震蕩。

根據(jù)國家統(tǒng)計局2011年10月31日發(fā)布的最新縣及縣以上行政區(qū)劃代碼，全國共有3511個縣及縣以上行政單位，按照最集約的方式計算，全國消防部隊至少可以節(jié)約互聯(lián)IP地址：3510×4=14040個。

4　采用NAT減少局域網(wǎng)IP需求

不管是消防信息網(wǎng)還是指揮調(diào)度網(wǎng)，各級消防部隊局域網(wǎng)中總是存在大量的計算機，這些計算機僅處置日常的辦公業(yè)務(wù)，或是訪問局域網(wǎng)或其它服務(wù)器獲取信息。這類計算機由于需求量巨大，往往占用了大量IP資源。

圖2為典型的消防大、中隊局域網(wǎng)絡(luò)。我們注意到大量的數(shù)據(jù)流向局域網(wǎng)，而外出的流量卻很少。為了進一步節(jié)約流量，減少IP消耗，通常的做法是架設(shè)代理服務(wù)器，采用IP轉(zhuǎn)換的方式(NAT)訪問其它網(wǎng)絡(luò)。

圖2　消防大、中隊局域網(wǎng)流量示意圖

NAT實現(xiàn)方式有三種，即靜態(tài)轉(zhuǎn)換(Static Nat)、動態(tài)轉(zhuǎn)換(Dynamic Nat)和端口多路復(fù)用(Overload)。

（1）靜態(tài)轉(zhuǎn)換是指在地址轉(zhuǎn)換時，內(nèi)部網(wǎng)絡(luò)與全局網(wǎng)絡(luò)間的IP地址對應(yīng)關(guān)系是一對一的、一成不變的，某個內(nèi)部IP地址只能轉(zhuǎn)換為對應(yīng)的全局IP地址。

（2）動態(tài)轉(zhuǎn)換是內(nèi)部網(wǎng)絡(luò)與全局網(wǎng)絡(luò)間在IP地址轉(zhuǎn)換時，其對應(yīng)關(guān)系是不確定的、隨機的，某個內(nèi)部IP地址可能隨機轉(zhuǎn)換為任何一個全局IP地址。

（3）端口多路復(fù)用是指在地址轉(zhuǎn)換的同時引入端口轉(zhuǎn)換(PAT)概念，實現(xiàn)了內(nèi)部網(wǎng)絡(luò)多個主機共享一個全局IP地址，從而可以最大限度地節(jié)約IP地址資源。

圖3　NAT的實現(xiàn)方式

該技術(shù)可能通過路由器、防火墻或代理服務(wù)器實現(xiàn)。理論上，每個單位的局域網(wǎng)只需要1個公安網(wǎng)IP地址，就可以實現(xiàn)對整個網(wǎng)絡(luò)的訪問。由于不對外發(fā)布局域網(wǎng)IP段路由，該方案可以由各級消防部隊自行規(guī)劃實施。局域網(wǎng)中服務(wù)器等設(shè)備也可以通過這種方式實現(xiàn)對外提供服務(wù)，且由于屏蔽了真實IP，該服務(wù)設(shè)備的安全性也得到了進一步的提升。

然而，由于局域網(wǎng)中所有設(shè)備都需經(jīng)NAT設(shè)備進行地址轉(zhuǎn)換后出局，會導(dǎo)致使網(wǎng)絡(luò)吞吐效率的降低，由此影響網(wǎng)絡(luò)整體性能，特別是服務(wù)器的服務(wù)性能。所以，該方案更適用于網(wǎng)絡(luò)閱覽室、網(wǎng)絡(luò)考場等場所，消防支隊以上在配備了大量服務(wù)器設(shè)備的單位，不建議采用這種方式。

5　逐步實現(xiàn)向IPv6的轉(zhuǎn)換

IPv6是用于替代現(xiàn)行版本IP協(xié)議(IPv4)的下一代IP協(xié)議，其地址長度為128位，與IPv4相比其地址空間增大了2的96次方倍。可以毫不夸張地說，采用IPv6協(xié)議后，地球上的每個沙粒都可以擁有自己的IP地址。

從路由層面看，目前大多數(shù)路由、交換機廠家都已實現(xiàn)對IPv6的支持。同時，也有多種技術(shù)實現(xiàn)IPv4到IPv6的過渡，較成熟的方案為IPv6/IPv4雙棧技術(shù)。在這種技術(shù)下，網(wǎng)絡(luò)中的節(jié)點同時支持IPv4和IPv6協(xié)議棧，主機在訪問IPv4網(wǎng)絡(luò)時采用IPv4地址，訪問IPv6網(wǎng)絡(luò)時采用IPv6地址。

圖4　雙棧節(jié)點示意圖

從操作系統(tǒng)層面看，目前AIX、UNIX、LINEX、WINDOWS等操作系統(tǒng)都已支持IPv6，或通過IPv6補丁實現(xiàn)了對IPv6的支持。

公安部消防局應(yīng)提早對IPv6地址資源進行規(guī)劃，同時也要著手對現(xiàn)有的業(yè)務(wù)系統(tǒng)進行改造，以適應(yīng)IPv6發(fā)展的需要。各地也應(yīng)做好升級至IPv6的準備工作，確保路由、交換設(shè)備滿足要求，屆時IP地址不足這個命題將不復(fù)存在。

6　結(jié)束語

IPv4地址作為一種寶貴的網(wǎng)絡(luò)資源隨著信息化應(yīng)用的不斷深入必然會越來越緊張，從長遠來看IPv6是一個必然的選擇。各單位應(yīng)結(jié)合自身的實際，穩(wěn)步地推行網(wǎng)絡(luò)改造，避免對現(xiàn)有業(yè)務(wù)拓展造成影響。

參考文獻

[1]傅豐.互聯(lián)網(wǎng)協(xié)議DARPA互聯(lián)網(wǎng)程序協(xié)議規(guī)范.1981,9.

[2]龍冬云.IPv4與IPv6的地址轉(zhuǎn)換[J].長春大學學報,2005,8,15(4).

章瑞斌（1974－），男，福建福安人，大學本科，工程師。

作者簡介：