消防部隊公安網IP地址資源不足的探討

宋煒林（吉安市公安消防支隊，江西吉安　343000）

?

消防部隊公安網IP地址資源不足的探討

宋煒林
（吉安市公安消防支隊，江西吉安343000）

【摘 要】隨著消防部隊信息化建設的不斷深入，各級消防部隊部署了大量網絡設備和終端，由于公安網終端須注冊入網，終端與IP地址一一對應，IP地址資源嚴重缺乏，影響了消防部隊信息化發展，本文通過對當前消防部隊公安網特點的分析，從互聯IP地址、減少局域網IP需求和實現向IPv6的轉換等方面，力求破解當前消防部隊IP地址資源不足這個難題。

【關鍵詞】消防IP地址公安網NAT

近年以來，隨著消防部隊信息化建設的不斷深入發展。全國消防部隊先后推廣部署了電視電話會議系統、視頻指揮調度系統、3G圖像傳輸系統、營區監控系統、IP電話系統等一大批業務系統，為部隊管理和正規化建設注入了新鮮活力。然而，隨著消防部隊對計算機和網絡的依存度越來越高，對網絡IP資源的需求也就越來越大，各地消防部隊公安網IP資源不足問題逐漸突顯出來，已有部份地區已出現IP地址無法滿足建設需要的情況。那么，如何合理地管理好有限的IP地址資源，減緩和避免IP耗竭？

1　當前消防部隊計算機網絡特點

（1）根據《全國消防部隊計算機通信網絡建設指導意見》，全國消防部隊計算機網絡，以公安信息網為依托，建設消防信息網和指揮調度網，分別形成三級網絡結構。其IP地址采用傳統的32位編碼方案（IPv4），由各級消防部隊向本級公安機關申請獲取。在此IP分配模式下，眾多的消防分支機構僅能擁有很小的IP空間，且IP段大多較為零散、不連續。

（2）消防信息網和指揮調度網間采用邏輯隔離，兩個網絡間數據無法直接交互，僅有部份經授權的主機，通過雙網卡或接入交換機TRUNK口的方式實現對兩網的訪問。

（3）消防部隊具體點多、面廣、人員相對分散的特點，因此在計算機網絡建設之初，就將IP地址段拆分成小段盡能夠多地分配給分支機構，這也造成了子網絡過多、過細，可用IP數大量減少，有些單位甚至只分配到了10個IP，勉強能滿足辦公用電腦需求。近年來，消防部隊廣泛開展了規范化建設，在辦公室、網絡學習室、網絡閱覽室等場所配置了大量計算機，由于ip資源不足，導致這些電腦無法接入公安網。

2　傳統緩解IP地址不足問題的幾種方法

（1）可變長子網掩碼技術（VLSM）。該技術在傳統的IP地址的基礎上，引入了子網掩碼的概念，通過IP地址與子網掩碼進行“與”運算區分不同的子網，從而將傳統的網絡拆分成為容納不同主機數量的更小的子網，滿足不同網絡的需要。

（2）動態IP地址分配技術（DHCP）。在傳統的網絡中，通常為每個主機分配固定的IP地址。而采用DHCP技術，系統根據實際的需要動態地分配IP地址，這樣采取IP復用的方式，在同樣IP數量的情況下，可以容納更多數量的主機。

（3）網絡地址轉換技術（NAT）。該技術在網絡的邊界處建立了網段間地址關系對應池，網絡主機根據其對應關系偽裝成另一個網段的IP地址從而實現跨網訪問。由于該技術允許多個主機共享共一IP地址，從而大大增加了網絡主機的數量。

3　采用NAT減少局域網IP需求

不管是消防信息網還是指揮調度網，各級消防部隊局域網中總是存在大量的計算機，這些計算機僅處置日常的辦公業務，或是訪問局域網或其它服務器獲取信息。這類計算機由于需求量巨大，往往占用了大量IP資源。

為了進一步節約流量，減少IP消耗，通常的做法是架設代理服務器，采用IP轉換的方式（NAT）訪問其它網絡。

NAT實現方式有三種，即靜態轉換（Static Nat）、動態轉換（Dynamic Nat）和端口多路復用（Overload）。

（1）靜態轉換是指在地址轉換時，內部網絡與全局網絡間的IP地址對應關系是一對一的、一成不變的，某個內部IP地址只能轉換為對應的全局IP地址。

（2）動態轉換是內部網絡與全局網絡間在IP地址轉換時，其對應關系是不確定的、隨機的，某個內部IP地址可能隨機轉換為任何一個全局IP地址。

（3）端口多路復用是指在地址轉換的同時引入端口轉換（PAT）概念，實現了內部網絡多個主機共享一個全局IP地址，從而可以最大限度地節約IP地址資源。

該技術可能通過路由器、防火墻或代理服務器實現。理論上，每個單位的局域網只需要1個公安網IP地址，就可以實現對整個網絡的訪問。由于不對外發布局域網IP段路由，該方案可以由各級消防部隊自行規劃實施。局域網中服務器等設備也可以通過這種方式實現對外提供服務，且由于屏蔽了真實IP，該服務設備的安全性也得到了進一步的提升。

然而，由于局域網中所有設備都需經NAT設備進行地址轉換后出局，會導致使網絡吞吐效率的降低，由此影響網絡整體性能，特別是服務器的服務性能。所以，該方案更適用于網絡閱覽室、網絡考場等場所，消防支隊以上在配備了大量服務器設備的單位，不建議采用這種方式。

4　逐步實現向IPv6的轉換

IPv6是用于替代現行版本IP協議（IPv4）的下一代IP協議，其地址長度為128位，與IPv4相比其地址空間增大了2的96次方倍。可以毫不夸張地說，采用IPv6協議后，地球上的每個沙粒都可以擁有自己的IP地址。

從路由層面看，目前大多數路由、交換機廠家都已實現對IPv6的支持。同時，也有多種技術實現IPv4到IPv6的過渡，較成熟的方案為IPv6/IPv4雙棧技術。在這種技術下，網絡中的節點同時支持IPv4 和IPv6協議棧，主機在訪問IPv4網絡時采用IPv4地址，訪問IPv6網絡時采用IPv6地址。

從操作系統層面看，目前AIX、UNIX、LINEX、WINDOWS等操作系統都已支持IPv6，或通過IPv6補丁實現了對IPv6的支持。

公安部消防局應提早對IPv6地址資源進行規劃，同時也要著手對現有的業務系統進行改造，以適應IPv6發展的需要。各地也應做好升級至IPv6的準備工作，確保路由、交換設備滿足要求，屆時IP地址不足這個命題將不復存在。

5　結語

由于消防公安網絡安全保密特性，一些傳統的緩解ip地址資源不足的技術嚴禁在公安網使用，隨著消防信息化建設的不斷深入，一些網絡設備的不斷新增，公安網ip地址資源已嚴重缺乏，IPv4地址作為一種寶貴的網絡資源隨著信息化應用的不斷深入必然會越來越緊張，從長遠來看IPv6是一個必然的選擇。各單位應結合自身的實際，穩步地推行網絡改造，避免對現有業務拓展造成影響。

參考文獻：

［1］傅豐.IP地址不足的解決方案［J］.天中學刊， 2001，16（2）:42-44.

［2］徐敬東，等.計算機網絡（第一版）［M］.北京:清華大學出版社，2002.