基于端口映射的網(wǎng)絡(luò)資源互聯(lián)設(shè)計(jì)與實(shí)現(xiàn)

羅祖川

摘 要 端口映射是NAT技術(shù)的一種，功能是把在公網(wǎng)的地址轉(zhuǎn)翻譯成私有地址。要實(shí)現(xiàn)兩個(gè)獨(dú)立的內(nèi)網(wǎng)網(wǎng)絡(luò)部分資源的互訪，本文論述了可行的三種方案，并分析了三個(gè)方案在實(shí)際應(yīng)用中的優(yōu)缺點(diǎn)。綜合考慮方案成本和實(shí)施難度后，通過在兩個(gè)網(wǎng)絡(luò)中間增加一普通無線路由器后實(shí)現(xiàn)了兩個(gè)網(wǎng)絡(luò)的互連，使用端口映射和DMZ主機(jī)的方式實(shí)現(xiàn)兩個(gè)網(wǎng)絡(luò)部分資源互訪。通過Netstat命令查找不常見應(yīng)用的通信端口，成功實(shí)現(xiàn)視頻資源通過端口映射到其他網(wǎng)絡(luò)。

關(guān)鍵詞 虛擬服務(wù)器 端口映射 DMZ主機(jī) 網(wǎng)絡(luò)互聯(lián)

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1007-0745（2021）06-0013-02

1 網(wǎng)絡(luò)情況

單位的內(nèi)網(wǎng)是10.25.1.X/24網(wǎng)段（以下簡稱網(wǎng)絡(luò)一），通過網(wǎng)關(guān)10.25.1.254訪問上級單位的網(wǎng)絡(luò)，上級單位在防火墻上做了策略，只有10.25.1.X的IP能夠訪問其網(wǎng)絡(luò)。另一網(wǎng)絡(luò)是一個(gè)內(nèi)部視頻監(jiān)控網(wǎng)絡(luò)，IP段是192.0.0.X/24（以下簡稱網(wǎng)絡(luò)二），可以通過瀏覽器訪問這些視頻監(jiān)控資源。這兩個(gè)網(wǎng)絡(luò)通過一臺Cisco二層交換機(jī)連接起來，未做任何管理限制策略。在網(wǎng)絡(luò)二中有一臺控制電腦，這臺電腦設(shè)置有網(wǎng)絡(luò)一和網(wǎng)絡(luò)二的雙IP，既可以實(shí)現(xiàn)通過網(wǎng)絡(luò)二的IP對視頻監(jiān)控系統(tǒng)控制，又可以通過網(wǎng)絡(luò)一的IP訪問內(nèi)網(wǎng)，網(wǎng)絡(luò)一的任一電腦還可以訪問這臺控制電腦的共享文件夾。現(xiàn)在要增加一個(gè)功能，實(shí)現(xiàn)在網(wǎng)絡(luò)一中任一電腦訪問網(wǎng)絡(luò)二的兩個(gè)視頻監(jiān)控資源，同時(shí)還要滿足之前的功能。

2 方案規(guī)劃

因?yàn)橹笆窃诳刂齐娔X上通過設(shè)置網(wǎng)絡(luò)一和網(wǎng)絡(luò)二的雙IP實(shí)現(xiàn)的同時(shí)訪問兩個(gè)網(wǎng)絡(luò)的資源，除了這臺控制電腦，兩個(gè)網(wǎng)絡(luò)的其他終端之間并不能直接通信，網(wǎng)絡(luò)二中的視頻監(jiān)控終端也不支持雙IP，設(shè)計(jì)了多個(gè)方案來實(shí)現(xiàn)這些功能。方案一將網(wǎng)絡(luò)二的IP段全部改為網(wǎng)絡(luò)一的IP段，兩個(gè)資源完全處于同一網(wǎng)絡(luò)中，這個(gè)方案一方面網(wǎng)絡(luò)改動多，網(wǎng)絡(luò)二中的所有主機(jī)都需要更改IP，視頻配置也需要做相應(yīng)更改，另一方面也不利于網(wǎng)絡(luò)安全管理。方案二是增加一個(gè)三層設(shè)備，添加網(wǎng)絡(luò)一和網(wǎng)絡(luò)二之間的路由，網(wǎng)絡(luò)二的終端添加網(wǎng)關(guān)，這兩個(gè)網(wǎng)絡(luò)通過三層路由實(shí)現(xiàn)互聯(lián)，但是三層設(shè)備比較貴，也沒有現(xiàn)成的三層設(shè)備，而且網(wǎng)絡(luò)二中所有的終端都需要添加網(wǎng)關(guān)，改動比較多。方案三是在這兩個(gè)網(wǎng)絡(luò)中間增加路由器，網(wǎng)絡(luò)二通過NAT轉(zhuǎn)換訪問網(wǎng)絡(luò)一，并將網(wǎng)絡(luò)二的控制電腦和兩個(gè)視頻資源通過端口映射出去，網(wǎng)絡(luò)一中任一電腦都能訪問這三個(gè)資源，正好單位有很多TP-link的無線路由器即可實(shí)現(xiàn)上述功能，而且這個(gè)方案改動不多，所以采用方案三來實(shí)現(xiàn)。

3 端口映射的定義

通過TP-LINK無線路由器的虛擬服務(wù)器功能可以將內(nèi)部資源對外開放到指定端口，在保證內(nèi)部資源安全的前提下實(shí)現(xiàn)外部網(wǎng)絡(luò)對指定端口的內(nèi)部資源的訪問，其實(shí)質(zhì)就是端口映射。

端口映射是NAT地址轉(zhuǎn)換的一種，NAT技術(shù)可以把公網(wǎng)的IP地址轉(zhuǎn)翻譯成私有IP地址，采用路由方式的ADSL寬帶路由器擁有一個(gè)動態(tài)或固定的公網(wǎng)IP[1]。實(shí)現(xiàn)NAT有三種方式，靜態(tài)轉(zhuǎn)換、動態(tài)轉(zhuǎn)換和端口多路復(fù)用。端口多路復(fù)用是指改變外出數(shù)據(jù)包的源端口并進(jìn)行端口轉(zhuǎn)換，即端口地址轉(zhuǎn)換（PAT，Port Address Translation）。目前網(wǎng)絡(luò)中應(yīng)用最多的就是端口多路復(fù)用方式[2]。

4 網(wǎng)絡(luò)互聯(lián)設(shè)計(jì)和實(shí)現(xiàn)

因?yàn)椴恍枰獰o線網(wǎng)絡(luò)功能，且需要連接內(nèi)部網(wǎng)絡(luò)，無線網(wǎng)絡(luò)存在一定網(wǎng)絡(luò)安全隱患，所以關(guān)閉無線路由器的無線功能，將無線路由器的WAN口接入網(wǎng)絡(luò)一的交換機(jī)中，將LAN口接入網(wǎng)絡(luò)二的交換機(jī)中，連接如圖1所示。

對無線路由器和網(wǎng)絡(luò)二的資源進(jìn)行配置。將無線路由器的LAN口IP設(shè)置為網(wǎng)絡(luò)二的IP 192.0.0.1，此IP也是網(wǎng)絡(luò)二中終端的網(wǎng)關(guān)IP。WAN口IP設(shè)置為網(wǎng)絡(luò)一的IP 10.25.1.28/24，網(wǎng)關(guān)是10.25.1.254。網(wǎng)絡(luò)二中的控制電腦的IP設(shè)置為192.0.0.207/24，網(wǎng)關(guān)為無線路由器的LAN口IP 192.0.0.1。這樣可以實(shí)現(xiàn)控制電腦對網(wǎng)絡(luò)二的控制和通過網(wǎng)關(guān)IP 192.0.0.1以NAT的方式訪問網(wǎng)絡(luò)一資源，也能訪問上級單位的網(wǎng)絡(luò)資源（源IP地址已經(jīng)全部轉(zhuǎn)換成合法的IP地址10.25.1.28）。通過查詢要實(shí)現(xiàn)windows系統(tǒng)文件夾共享需要4個(gè)端口，UDP的137，138，TCP的139，445。在路由器的虛擬服務(wù)器設(shè)置頁面添加一條規(guī)則，外部端口是137，內(nèi)部端口是137，IP地址是網(wǎng)絡(luò)二的控制電腦IP 192.0.0.207，協(xié)議是UDP。138，139和445的端口映射設(shè)置與137差不多。它們在路由器上的端口映射如表2。修改兩個(gè)視頻監(jiān)控的網(wǎng)絡(luò)信息，增加網(wǎng)關(guān)IP 192.0.0.1.網(wǎng)絡(luò)二的其中一個(gè)視頻資源在配置的時(shí)候配置了其端口是8000，所以其端口映射設(shè)置如表1，而另一個(gè)視頻監(jiān)控不知道其端口，所以使用了DMZ功能，DMZ主機(jī)IP地址設(shè)置為視頻監(jiān)控的IP地址 192.0.0.200，這樣外部網(wǎng)絡(luò)訪問沒有在虛擬服務(wù)器中設(shè)置的其他10.25.1.28的資源時(shí)，無線路由器會全部轉(zhuǎn)發(fā)給DMZ主機(jī)192.0.0.200，因?yàn)槭峭ㄟ^瀏覽器以http協(xié)議訪問的視頻監(jiān)控資源，所以要將兩個(gè)視頻監(jiān)控資源的80端口映射出去。

最后可以實(shí)現(xiàn)在網(wǎng)絡(luò)二的控制電腦對網(wǎng)絡(luò)二的視頻監(jiān)控的控制，也能訪問網(wǎng)絡(luò)一的資源。網(wǎng)絡(luò)一的任一電腦能夠通過訪問無線路由器的WAN口IP加端口的方式訪問網(wǎng)絡(luò)二控制電腦的共享文件夾和兩個(gè)視頻監(jiān)控資源。

但是后來在使用過程中發(fā)現(xiàn)兩個(gè)視頻監(jiān)控一段時(shí)間后就出現(xiàn)無法訪問的情況，通過重啟無線路由器可以解決，但是過段時(shí)間又不能訪問，有時(shí)重啟無線路由器也無法訪問。最后發(fā)現(xiàn)不能超過一臺電腦同時(shí)通過DMZ方式訪問網(wǎng)絡(luò)二的視頻監(jiān)控資源。所以必須使用端口映射的方式，但是現(xiàn)在不知道視頻監(jiān)控所使用的端口。可以使用windows系統(tǒng)的netstat命令查看全部網(wǎng)絡(luò)連接來找出視頻監(jiān)控使用的端口。在網(wǎng)絡(luò)二中的控制電腦上通過瀏覽器訪問視頻監(jiān)控，訪問成功后，在cmd中輸入命令netstat-a-n，可以列出此時(shí)這臺電腦的所有網(wǎng)絡(luò)連接，找到和視頻監(jiān)控的連接信息。其中有一條TCP 192.0.0.207：65515 192.0.0.150：554 ESTABLISHED，其中554就是視頻監(jiān)控使用的端口。在無線路由器虛擬服務(wù)器中添加554的端口映射后解決了這個(gè)問題。

5 結(jié)語

兩個(gè)網(wǎng)絡(luò)的互連可以有很多種方法，但是針對本文實(shí)際情況，使用無線路由器來實(shí)現(xiàn)網(wǎng)絡(luò)互聯(lián)，通過虛擬服務(wù)器的方式實(shí)現(xiàn)業(yè)務(wù)的互訪，成本極低，改動不大，施工難度也很低，基本不會影響兩網(wǎng)絡(luò)原來的業(yè)務(wù)，經(jīng)濟(jì)效率得解決這個(gè)網(wǎng)絡(luò)互聯(lián)問題。

參考文獻(xiàn)：

[1] 李娟芳，陳瑞志.計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)與應(yīng)用[J].中國鐵道出版社，2013（09）：142.

[2] 鄭洪霞.基于NAT的IP尋址方式在信息安全中的應(yīng)用研究[J].移動信息，2016（06）：151.