消防部隊IP地址不足問題解決方案

福建省公安消防總隊　章瑞斌

?

消防部隊IP地址不足問題解決方案

福建省公安消防總隊章瑞斌

【摘要】本文通過對消防部隊計算機網絡特點的分析，從重新規劃互聯IP地址、減少局域網IP需求和實現向IPv6的轉換等方面，力求破解IP地址不足這個課題。

【關鍵詞】消防；IP；方案；公安網；NAT

近年以來，隨著《武警消防部隊信息化建設項目總體實施方案》的頒布實施，消防信息化建設迎來了跨越式發展的重大機遇。全國消防部隊先后推廣部署了電視電話會議系統、視頻指揮調度系統、3G圖像傳輸系統、營區監控系統、IP電話系統等一大批業務系統，為部隊管理和正規化建設注入了新鮮活力。然而，隨著消防部隊對計算機和網絡的依存度越來越高，對網絡IP資源的需求也就越來越大，各地消防部隊IP資源不足問題逐漸突顯出來，已有部份地區已出現IP地址無法滿足建設需要的情況。那么，如何合理地管理好有限的IP地址資源，減緩和避免IP耗竭?

1　消防部隊計算機網絡特點

（1）根據《全國消防部隊計算機通信網絡建設指導意見》，全國消防部隊計算機網絡，以公安信息網為依托，建設消防信息網和指揮調度網，分別形成三級網絡結構。其IP地址采用傳統的32位編碼方案(IPv4)，由各級消防部隊向本級公安機關申請獲取。在此IP分配模式下，眾多的消防分支機構僅能擁有很小的IP空間，且IP段大多較為零散、不連續。

（2）消防信息網和指揮調度網間采用邏輯隔離，兩個網絡間數據無法直接交互，僅有部份經授權的主機，通過雙網卡或接入交換機TRUNK口的方式實現對兩網的訪問。

（3）消防部隊具體點多、面廣、人員相對分散的特點，因此在計算機網絡建設之初，就將IP地址段拆分成小段盡能夠多地分配給分支機構，這也造成了子網絡過多、過細，可用IP數大量減少，有些單位甚至只分配到了8個IP。

（4）進入2000年以后，消防部隊廣泛開展了規范化建設，在辦公室、網絡考場、網絡閱覽室等場所配置了大量計算機，這此計算機都分別配置了固定IP地址，且平時僅瀏覽公安信息網主頁，不對外提供服務。

2　傳統緩解IP地址不足問題的幾種方法

（1）可變長子網掩碼技術(VLSM)。該技術在傳統的IP地址的基礎上，引入了子網掩碼的概念，通過IP地址與子網掩碼進行“與”運算區分不同的子網，從而將傳統的網絡拆分成為容納不同主機數量的更小的子網，滿足不同網絡的需要。

（2）動態IP地址分配技術(DHCP)。在傳統的網絡中，通常為每個主機分配固定的IP地址。而采用DHCP技術，系統根據實際的需要動態地分配IP地址，這樣采取IP復用的方式，在同樣IP數量的情況下，可以容納更多數量的主機。

（3）網絡地址轉換技術(NAT)。該技術在網絡的邊界處建立了網段間地址關系對應池，網絡主機根據其對應關系偽裝成另一個網段的IP地址從而實現跨網訪問。由于該技術允許多個主機共享共一IP地址，從而大大增加了網絡主機的數量。

3　重新規劃指揮調度網互聯IP地址

我們知道，計算機網絡除正常配置在主機上的IP地址外，為了實現網絡互通，往往還需要互聯IP，互聯IP必須同屬于一個網段，并分別配置在路由器直連端口上。為了盡可能地加以利用，通常采用30位掩碼細分網段，取其中間的2個IP作為互聯IP。

圖1為消防部隊計算機網絡示意圖。在公安信息網中，為了實現互聯互通，必須根據公安金盾網的規劃，在路由器R3與R4的接口A3、A4上分別配置互聯IP：3.3.3.X/30、4.4.4.X/30。而在指揮調度網中，由于沒有與公安信息網的直連路由，路由器R1、R2間完全可以自行規劃一套互聯IP方案。

圖1　消防部隊計算機網絡示意圖

理論上該互聯IP可以是指揮調度網外的任何IP段，考慮到公安部消防局與各省消防總隊間路由往往采用靜態路由，可以由公安部消防局規劃公安部消防局至各省總隊的互聯IP，而各省總隊自行規劃省內互聯IP，由公安部消防局給予指導。

各級互聯IP在規劃前必須充分的開展調研，確保該IP段不與現有指揮調度網IP沖突。同時，各省總隊還必須特別注意，不得將本省互聯IP段路由信息發布到公安部消防局路由表中，從而引起不必要的路由震蕩。

根據國家統計局2011年10月31日發布的最新縣及縣以上行政區劃代碼，全國共有3511個縣及縣以上行政單位，按照最集約的方式計算，全國消防部隊至少可以節約互聯IP地址：3510×4=14040個。

4　采用NAT減少局域網IP需求

不管是消防信息網還是指揮調度網，各級消防部隊局域網中總是存在大量的計算機，這些計算機僅處置日常的辦公業務，或是訪問局域網或其它服務器獲取信息。這類計算機由于需求量巨大，往往占用了大量IP資源。

圖2為典型的消防大、中隊局域網絡。我們注意到大量的數據流向局域網，而外出的流量卻很少。為了進一步節約流量，減少IP消耗，通常的做法是架設代理服務器，采用IP轉換的方式(NAT)訪問其它網絡。

圖2　消防大、中隊局域網流量示意圖

NAT實現方式有三種，即靜態轉換(Static Nat)、動態轉換(Dynamic Nat)和端口多路復用(Overload)。

（1）靜態轉換是指在地址轉換時，內部網絡與全局網絡間的IP地址對應關系是一對一的、一成不變的，某個內部IP地址只能轉換為對應的全局IP地址。

（2）動態轉換是內部網絡與全局網絡間在IP地址轉換時，其對應關系是不確定的、隨機的，某個內部IP地址可能隨機轉換為任何一個全局IP地址。

（3）端口多路復用是指在地址轉換的同時引入端口轉換(PAT)概念，實現了內部網絡多個主機共享一個全局IP地址，從而可以最大限度地節約IP地址資源。

圖3　NAT的實現方式

該技術可能通過路由器、防火墻或代理服務器實現。理論上，每個單位的局域網只需要1個公安網IP地址，就可以實現對整個網絡的訪問。由于不對外發布局域網IP段路由，該方案可以由各級消防部隊自行規劃實施。局域網中服務器等設備也可以通過這種方式實現對外提供服務，且由于屏蔽了真實IP，該服務設備的安全性也得到了進一步的提升。

然而，由于局域網中所有設備都需經NAT設備進行地址轉換后出局，會導致使網絡吞吐效率的降低，由此影響網絡整體性能，特別是服務器的服務性能。所以，該方案更適用于網絡閱覽室、網絡考場等場所，消防支隊以上在配備了大量服務器設備的單位，不建議采用這種方式。

5　逐步實現向IPv6的轉換

IPv6是用于替代現行版本IP協議(IPv4)的下一代IP協議，其地址長度為128位，與IPv4相比其地址空間增大了2的96次方倍。可以毫不夸張地說，采用IPv6協議后，地球上的每個沙粒都可以擁有自己的IP地址。

從路由層面看，目前大多數路由、交換機廠家都已實現對IPv6的支持。同時，也有多種技術實現IPv4到IPv6的過渡，較成熟的方案為IPv6/IPv4雙棧技術。在這種技術下，網絡中的節點同時支持IPv4和IPv6協議棧，主機在訪問IPv4網絡時采用IPv4地址，訪問IPv6網絡時采用IPv6地址。

圖4　雙棧節點示意圖

從操作系統層面看，目前AIX、UNIX、LINEX、WINDOWS等操作系統都已支持IPv6，或通過IPv6補丁實現了對IPv6的支持。

公安部消防局應提早對IPv6地址資源進行規劃，同時也要著手對現有的業務系統進行改造，以適應IPv6發展的需要。各地也應做好升級至IPv6的準備工作，確保路由、交換設備滿足要求，屆時IP地址不足這個命題將不復存在。

6　結束語

IPv4地址作為一種寶貴的網絡資源隨著信息化應用的不斷深入必然會越來越緊張，從長遠來看IPv6是一個必然的選擇。各單位應結合自身的實際，穩步地推行網絡改造，避免對現有業務拓展造成影響。

參考文獻

[1]傅豐.互聯網協議DARPA互聯網程序協議規范.1981,9.

[2]龍冬云.IPv4與IPv6的地址轉換[J].長春大學學報,2005,8,15(4).

章瑞斌（1974－），男，福建福安人，大學本科，工程師。

作者簡介：