基于端口映射的網絡資源互聯設計與實現

羅祖川

（民航寧夏空管分局，寧夏銀川 750004）

1 網絡情況

單位的內網是10.25.1.X/24 網段（以下簡稱網絡一），通過網關10.25.1.254 訪問上級單位的網絡，上級單位在防火墻上做了策略，只有10.25.1.X 的IP 能夠訪問其網絡。另一網絡是一個內部視頻監控網絡，IP 段是192.0.0.X/24（以下簡稱網絡二），可以通過瀏覽器訪問這些視頻監控資源。這兩個網絡通過一臺Cisco 二層交換機連接起來，未做任何管理限制策略。在網絡二中有一臺控制電腦，這臺電腦設置有網絡一和網絡二的雙IP，既可以實現通過網絡二的IP對視頻監控系統控制，又可以通過網絡一的IP 訪問內網，網絡一的任一電腦還可以訪問這臺控制電腦的共享文件夾。現在要增加一個功能，實現在網絡一中任一電腦訪問網絡二的兩個視頻監控資源，同時還要滿足之前的功能。

2 方案規劃

因為之前是在控制電腦上通過設置網絡一和網絡二的雙IP 實現的同時訪問兩個網絡的資源，除了這臺控制電腦，兩個網絡的其他終端之間并不能直接通信，網絡二中的視頻監控終端也不支持雙IP，設計了多個方案來實現這些功能。方案一將網絡二的IP 段全部改為網絡一的IP 段，兩個資源完全處于同一網絡中，這個方案一方面網絡改動多，網絡二中的所有主機都需要更改IP，視頻配置也需要做相應更改，另一方面也不利于網絡安全管理。方案二是增加一個三層設備，添加網絡一和網絡二之間的路由，網絡二的終端添加網關，這兩個網絡通過三層路由實現互聯，但是三層設備比較貴，也沒有現成的三層設備，而且網絡二中所有的終端都需要添加網關，改動比較多。方案三是在這兩個網絡中間增加路由器，網絡二通過NAT 轉換訪問網絡一，并將網絡二的控制電腦和兩個視頻資源通過端口映射出去，網絡一中任一電腦都能訪問這三個資源，正好單位有很多TP-LINK 的無線路由器即可實現上述功能，而且這個方案改動不多，所以采用方案三來實現。

3 端口映射的定義

通過TP-LINK 無線路由器的虛擬服務器功能可以將內部資源對外開放到指定端口，在保證內部資源安全的前提下實現外部網絡對指定端口的內部資源的訪問，其實質就是端口映射。

端口映射是NAT 地址轉換的一種，NAT 技術可以把公網的IP 地址轉翻譯成私有IP 地址，采用路由方式的ADSL寬帶路由器擁有一個動態或固定的公網IP[1]。實現NAT 有三種方式，靜態轉換、動態轉換和端口多路復用。端口多路復用是指改變外出數據包的源端口并進行端口轉換，即端口地址轉換（PAT，Port Address Translation)。目前網絡中應用最多的就是端口多路復用方式[2]。

4 網絡互聯設計和實現

因為不需要無線網絡功能，且需要連接內部網絡，無線網絡存在一定網絡安全隱患，所以關閉無線路由器的無線功能，將無線路由器的WAN 口接入網絡一的交換機中，將LAN 口接入網絡二的交換機中，連接如圖1 所示。

圖1 智能電網結構流程

對無線路由器和網絡二的資源進行配置。將無線路由器的LAN 口IP 設置為網絡二的IP 192.0.0.1，此IP 也是網絡二中終端的網關IP。WAN 口IP 設置為網絡一的IP 10.25.1.28/24，網關是10.25.1.254。網絡二中的控制電腦的IP 設置為192.0.0.207/24，網關為無線路由器的LAN 口IP 192.0.0.1。這樣可以實現控制電腦對網絡二的控制和通過網關IP 192.0.0.1 以NAT 的方式訪問網絡一資源，也能訪問上級單位的網絡資源（源IP 地址已經全部轉換成合法的IP 地址10.25.1.28）。通過查詢要實現Windows 系統文件夾共享需要4 個端口，UDP 的137，138，TCP 的139，445。在路由器的虛擬服務器設置頁面添加一條規則，外部端口是137，內部端口是137，IP 地址是網絡二的控制電腦IP 192.0.0.207，協議是UDP。138，139 和445 的端口映射設置與137 差不多。它們在路由器上的端口映射如表2。修改兩個視頻監控的網絡信息，增加網關IP 192.0.0.1.網絡二的其中一個視頻資源在配置的時候配置了其端口是8000，所以其端口映射設置如表1，而另一個視頻監控不知道其端口，所以使用了DMZ 功能，DMZ 主機IP 地址設置為視頻監控的IP 地址 192.0.0.200，這樣外部網絡訪問沒有在虛擬服務器中設置的其他10.25.1.28 的資源時，無線路由器會全部轉發給DMZ 主機192.0.0.200，因為是通過瀏覽器以HTTP 協議訪問的視頻監控資源，所以要將兩個視頻監控資源的80端口映射出去。

表1 端口映射設置

最后可以實現在網絡二的控制電腦對網絡二的視頻監控的控制，也能訪問網絡一的資源。網絡一的任一電腦能夠通過訪問無線路由器的WAN 口IP 加端口的方式訪問網絡二控制電腦的共享文件夾和兩個視頻監控資源。

但是后來在使用過程中發現兩個視頻監控一段時間后就出現無法訪問的情況，通過重啟無線路由器可以解決，但是過段時間又不能訪問，有時重啟無線路由器也無法訪問。最后發現不能超過一臺電腦同時通過DMZ 方式訪問網絡二的視頻監控資源。所以必須使用端口映射的方式，但是現在不知道視頻監控所使用的端口。可以使用Windows系統的Netstat 命令查看全部網絡連接來找出視頻監控使用的端口。在網絡二中的控制電腦上通過瀏覽器訪問視頻監控，訪問成功后，在Cmd 中輸入命令netstat-a-n，可以列出此時這臺電腦的所有網絡連接，找到和視頻監控的連接信息。其中有一條TCP 192.0.0.207:65515 192.0.0.150:554 ESTABLISHED，其中554 就是視頻監控使用的端口。在無線路由器虛擬服務器中添加554 的端口映射后解決了這個問題。

5 結語

兩個網絡的互連可以有很多種方法，但是針對本文實際情況，使用無線路由器來實現網絡互聯，通過虛擬服務器的方式實現業務的互訪，成本極低，改動不大，施工難度也很低，基本不會影響兩網絡原來的業務，經濟效率得解決這個網絡互聯問題。