網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)在寧波空管站氣象業(yè)務(wù)中的應(yīng)用

李凌宇

民航寧波空管站氣象臺(tái)設(shè)備信息室 浙江 寧波 315154

引言

民航寧波空管站是承擔(dān)著寧波地區(qū)空中交通管制任務(wù)的重要業(yè)務(wù)保障單位，氣象臺(tái)負(fù)責(zé)提供航空氣象保障業(yè)務(wù)，氣象業(yè)務(wù)為民航的重要組成部分之一。隨著空管氣象業(yè)務(wù)的不斷發(fā)展，現(xiàn)今寧波空管站的氣象業(yè)務(wù)中，存在大量內(nèi)、外部用戶；在整個(gè)氣象網(wǎng)絡(luò)中，含有多個(gè)系統(tǒng)、終端和服務(wù)器；為了氣象業(yè)務(wù)的健康發(fā)展，需從各氣象服務(wù)機(jī)構(gòu)引接部分多樣化氣象資料。因氣象局域網(wǎng)內(nèi)部對外網(wǎng)段的稀缺，且由于業(yè)務(wù)限制，對于網(wǎng)段的分配存在局限性，內(nèi)部網(wǎng)絡(luò)無法兼容全部外部終端，考慮到內(nèi)部網(wǎng)絡(luò)及設(shè)備外聯(lián)的安全性，故采用網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)。本文詳細(xì)介紹在寧波空管站氣象業(yè)務(wù)中所使用的多種網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)及其應(yīng)用的方式。

1 技術(shù)背景

隨著互聯(lián)網(wǎng)的發(fā)展，原有IPv4地址即將枯竭，雖在20世紀(jì)末已提出IPv6地址技術(shù)的概念并加以利用，但因21世紀(jì)至今互聯(lián)網(wǎng)爆炸式增長的入網(wǎng)需求和大范圍的應(yīng)用普及導(dǎo)致兩者之間的過渡工作難以順利推進(jìn)，因此，在IPv4地址枯竭和大規(guī)模入網(wǎng)需求的矛盾日益加深的環(huán)境下，誕生了多種技術(shù)及解決方案來應(yīng)對IPv4地址的枯竭，網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)（Network-Address Translation，以下簡稱為NAT）就是其中之一。2019年11月26日，全球所有43億個(gè)IPv4地址已全分配完畢，盡管IPv6地址技術(shù)經(jīng)多年的發(fā)展，已全面接手IPv4地址的工作，但NAT技術(shù)卻仍因?yàn)槠鋬?yōu)秀的寬帶分享功能和對網(wǎng)絡(luò)內(nèi)部的安全防護(hù)功能被沿用至今。

2 作用及實(shí)現(xiàn)方式

NAT協(xié)議是一種用于實(shí)現(xiàn)內(nèi)外網(wǎng)地址轉(zhuǎn)換的網(wǎng)絡(luò)工程實(shí)踐技術(shù)[1]，其作用是將私有IP和公網(wǎng)IP之間進(jìn)行轉(zhuǎn)換。通過帶NAT功能的網(wǎng)絡(luò)設(shè)備按照配置的轉(zhuǎn)換范圍對來源報(bào)文的源IP和目的IP進(jìn)行修改，轉(zhuǎn)換為所需的IP或端口，來解決內(nèi)網(wǎng)和公網(wǎng)的通信需求并起到隱藏內(nèi)網(wǎng)IP的作用。目前較為常用的NAT實(shí)現(xiàn)方式有3種，分別為靜態(tài)NAT、動(dòng)態(tài)NAT、網(wǎng)絡(luò)端口地址轉(zhuǎn)換（Network Address Port Translation，NAPT），其中網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT利用端口號(hào)實(shí)現(xiàn)私網(wǎng)地址到公網(wǎng)地址的多對一映射[2]，其具有多種映射方式，如對稱NAT、錐形NAT，在錐形NAT中又根據(jù)功能上的需求分為完全錐形、受限型錐形等。

2.1 靜態(tài)NAT

靜態(tài)NAT是一種基礎(chǔ)的NAT實(shí)現(xiàn)方式。通過設(shè)備上的配置將某網(wǎng)絡(luò)的IP一對一地轉(zhuǎn)換成所需特定IP，并且該IP具有固定性，不會(huì)進(jìn)行任何變化，原網(wǎng)絡(luò)內(nèi)某IP必然只會(huì)對應(yīng)轉(zhuǎn)換后的某個(gè)IP。該方式適用于內(nèi)網(wǎng)中對外連接需求數(shù)少且IP相對固定的應(yīng)用場合，優(yōu)點(diǎn)在于網(wǎng)絡(luò)穩(wěn)定性較高，但存在管理運(yùn)維配置工作量過大的缺點(diǎn)。

2.2 動(dòng)態(tài)NAT

動(dòng)態(tài)NAT利用了地址池技術(shù)，池中存放可訪問外網(wǎng)的全局地址，在需要網(wǎng)絡(luò)連接時(shí)自動(dòng)完成映射[3]。NAT時(shí)會(huì)對地址池中各IP進(jìn)行標(biāo)記，在使用的IP會(huì)被加上“IN USE”標(biāo)簽。如內(nèi)網(wǎng)對外網(wǎng)進(jìn)行訪問時(shí)，當(dāng)內(nèi)網(wǎng)終端報(bào)文到達(dá)NAT主機(jī)，NAT主機(jī)內(nèi)根據(jù)其動(dòng)態(tài)NAT配置對地址池內(nèi)進(jìn)行篩選，選中某無“IN USE”標(biāo)簽的IP綁定該IP和報(bào)文內(nèi)源IP形成映射，完成通信。若映射IP長時(shí)間未進(jìn)行通信，該IP會(huì)被“釋放”，解綁回收至IP地址池內(nèi)供其他終端使用，緩解因IP不夠產(chǎn)生的沖突。該方式較適合于內(nèi)網(wǎng)IP大于外網(wǎng)IP數(shù)量且并發(fā)通信數(shù)不高的網(wǎng)絡(luò)，優(yōu)點(diǎn)在于NAT靈活性高優(yōu)點(diǎn)，但存在未建立NAT情況下內(nèi)網(wǎng)IP被完全遮蔽且同時(shí)存在多個(gè)設(shè)備會(huì)導(dǎo)致NAT地址池爆滿無法釋放導(dǎo)致無IP可用的缺點(diǎn)。

2.3 網(wǎng)絡(luò)端口地址轉(zhuǎn)換

NAPT是目前大型網(wǎng)絡(luò)普遍使用的NAT實(shí)現(xiàn)方式。它將原網(wǎng)絡(luò)內(nèi)某IP映射到外部，并通過NAT設(shè)備上的相應(yīng)配置選定原對應(yīng)協(xié)議轉(zhuǎn)換的端口號(hào)和映射后對應(yīng)端口號(hào)，達(dá)成將多個(gè)原網(wǎng)絡(luò)內(nèi)IP隱藏在對外公有的單個(gè)IP下的目的，形成“多對一”的轉(zhuǎn)換模式，極大幅度地減少IP消耗，并通過改變端口號(hào)的方式更大幅度地提升映射產(chǎn)生的安全性。如圖1示例，內(nèi)網(wǎng)終端3和4需要通過配置NAPT的NAT主機(jī)與Internet進(jìn)行通信，當(dāng)報(bào)文發(fā)送至NAT主機(jī)時(shí)，NAT主機(jī)從配置的地址池中選擇了10.10.0.1該IP，隨后生成NAPT臨時(shí)映射表，將192.168.1.3和192.168.1.4的1234端口分別映射到了10.10.0.1這個(gè)映射IP上的5678和5679端口，該配置完成后內(nèi)網(wǎng)終端3和4可以以映射IP+映射的端口訪問Internet，同時(shí)也能以映射IP+映射端口的形式被Internet所訪問。

圖1 基礎(chǔ)NAPT示例

3 本場應(yīng)用

寧波空管站氣象臺(tái)擁有眾多的氣象業(yè)務(wù)用戶，在進(jìn)行氣象數(shù)據(jù)互通服務(wù)的同時(shí)，承擔(dān)著往華東空管局向上傳輸本場氣象數(shù)據(jù)的責(zé)任，還從各氣象服務(wù)機(jī)構(gòu)引接高精度、多樣化的各類氣象數(shù)據(jù)，以便于氣象業(yè)務(wù)的健康發(fā)展。（注：因保密需要，下文出現(xiàn)的IP均為虛擬IP）

3.1 民航氣象數(shù)據(jù)庫系統(tǒng)

民航氣象數(shù)據(jù)庫系統(tǒng)是整個(gè)空管氣象業(yè)務(wù)中很重要的一環(huán)，其作用是接受本場所有實(shí)時(shí)氣象數(shù)據(jù)，供本場預(yù)報(bào)及觀測用戶發(fā)布本場實(shí)時(shí)天氣情報(bào)，同時(shí)接收并存儲(chǔ)各地的實(shí)時(shí)天氣情報(bào)報(bào)文和部分實(shí)時(shí)氣象資料。

因該系統(tǒng)陳舊，已使用十余年，近期即將替換為民航氣象信息共享與服務(wù)系統(tǒng)，但因該系統(tǒng)為本場氣象業(yè)務(wù)的中心，重要且不可中斷，為防止新舊系統(tǒng)更新?lián)Q代中發(fā)生嚴(yán)重故障導(dǎo)致業(yè)務(wù)中斷，切換時(shí)需并行使用，且新舊系統(tǒng)所處不同網(wǎng)段，更換原設(shè)備IP會(huì)導(dǎo)致業(yè)務(wù)停機(jī)。該情況下，考慮在系統(tǒng)的交接處使用靜態(tài)NAT將原系統(tǒng)內(nèi)的各設(shè)備通過映射的方式映射到新系統(tǒng)網(wǎng)段，以達(dá)成華東服務(wù)器到本場各設(shè)備間的通信。如圖2所示，藍(lán)線為原民航氣象數(shù)據(jù)庫系統(tǒng)，紅線為加入并行測試的民航氣象信息共享與服務(wù)系統(tǒng)，新一代防火墻上利用靜態(tài)NAT將原有201.165.3.0/24網(wǎng)段內(nèi)IP映射成所需連接的192.184.59.0/24網(wǎng)段的IP，配置如下：

圖2 并行拓?fù)鋱D簡化示例

[huawei]int gi1/0/1

[huawei-GigabitEthernet1/0/1]nat static global 192.184.59.1 inside 201.165.3.1

[huawei-GigabitEthernet1/0/1]nat static global 192.184.59.2 inside 201.165.3.2

······

3.2 氣象信息服務(wù)系統(tǒng)

氣象信息服務(wù)系統(tǒng)在空管氣象業(yè)務(wù)中起到重要的輔助作用：接收本場傳感器的傳回的氣象資料及各氣象服務(wù)機(jī)構(gòu)引接的多樣化氣象資料。在該系統(tǒng)內(nèi)有多種氣象業(yè)務(wù)軟件，本場預(yù)報(bào)和觀測用戶可利用該系統(tǒng)對所有天氣資料進(jìn)行查詢，獲得更精確的氣象資料比對服務(wù)，起輔助判斷未來天氣及當(dāng)前天氣狀況的作用，為氣象人員提供更優(yōu)秀的數(shù)據(jù)環(huán)境。考慮對外連接安全性問題，且各氣象服務(wù)機(jī)構(gòu)業(yè)務(wù)網(wǎng)段的占用，同時(shí)資料傳輸方式為本場終端主動(dòng)對其服務(wù)器進(jìn)行訪問，因此考慮利用動(dòng)態(tài)NAT的形式來實(shí)現(xiàn)。如圖3所示，藍(lán)線為氣象信息服務(wù)系統(tǒng)，內(nèi)含雙網(wǎng)段的多臺(tái)終端，在邊界防火墻上配置了動(dòng)態(tài)NAT，建立一個(gè)對應(yīng)網(wǎng)段的地址池165.236.22.54-165.236.22.99，并使內(nèi)部雙網(wǎng)段的各個(gè)IP和地址池綁定映射，配置如下：

圖3 氣象業(yè)務(wù)輔助系統(tǒng)拓?fù)鋱D簡化示例

[huawei]nat address-group 1 165.236.22.54 165.236.22.99

[huawei]acl 2000

[huawei-acl-basic-2000]rule 0 permit source 189.21.32.0 0.0.0.255

[huawei-acl-basic-2000]rule1 permit source 189.21.33.0 0.0.0.255

[huawei]int gi1/0/7

[huawei-GigabitEthernet1/0/7]nat outbound 2000 addressgroup 1 no-pat

3.3 天氣雷達(dá)系統(tǒng)

天氣雷達(dá)系統(tǒng)為新搭建的系統(tǒng)，氣象雷達(dá)的作用對于空中管制意義重大，同時(shí)對于預(yù)報(bào)和觀測用戶均有顯著的輔助效果。它本身作為一個(gè)氣象探測設(shè)備，將探測到的數(shù)據(jù)存儲(chǔ)于數(shù)據(jù)存儲(chǔ)陣列中，因雷達(dá)系統(tǒng)本身和其配套網(wǎng)絡(luò)架構(gòu)過于龐大，為考慮到該系統(tǒng)未來氣象業(yè)務(wù)的可拓展性，節(jié)省其所剩不多的IPv4地址，以及防止建在外臺(tái)站的無人值守雷達(dá)站可能對整個(gè)局域網(wǎng)造成的網(wǎng)絡(luò)安全威脅，與外部人員的不可控性，為隱藏端口、加強(qiáng)安全性和節(jié)省IP，采用靜態(tài)NAPT來達(dá)成本地接收終端和天氣雷達(dá)服務(wù)器的網(wǎng)絡(luò)互聯(lián)。如圖3所示，左側(cè)為氣象信息服務(wù)系統(tǒng)內(nèi)部網(wǎng)絡(luò)，在接入防火墻內(nèi)配置了NAPT多對一映射，配置如下：

[huawei]nat address-group 2 217.12.26.151 217.12.26.151

[huawei]acl 2001

[huawei-acl-basic-2001]rule 0 permit source 189.21.32.0 0.0.0.255

[huawei-acl-basic-2001]rule1 permit source 189.21.33.0 0.0.0.255

[huawei]int gi1/0/8

[huawei-GigabitEthernet1/0/8]nat outbound 2000 addressgroup 1

4 結(jié)束語

伴隨近年來空管氣象業(yè)務(wù)的蓬勃發(fā)展，氣象業(yè)務(wù)系統(tǒng)也在不斷增加，在新系統(tǒng)和舊規(guī)劃網(wǎng)絡(luò)架構(gòu)產(chǎn)生沖突時(shí)，能否靈活運(yùn)用新舊技術(shù)相結(jié)合的辦法去解決這些問題，例如NAT技術(shù)，作為一個(gè)誕生于20世紀(jì)末的技術(shù)卻依舊憑借它的閃光點(diǎn)被沿用至今。在未來，是否能有更多的新技術(shù)能互相結(jié)合，進(jìn)行技術(shù)革新，引領(lǐng)未來的發(fā)展方向，提升帶來的效益。

本文詳細(xì)介紹了網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)在寧波空管站氣象業(yè)務(wù)中的應(yīng)用，分享了各系統(tǒng)應(yīng)用配置過程中的NAT類型選用、配置等方面的要點(diǎn)和經(jīng)驗(yàn)。通過該技術(shù)在原有的網(wǎng)絡(luò)結(jié)構(gòu)上彌補(bǔ)了安全性和可拓展性，也需思考是否能通過該技術(shù)對現(xiàn)有舊網(wǎng)絡(luò)架構(gòu)進(jìn)行改良，以及應(yīng)對更多不同需求的網(wǎng)絡(luò)間，如何靈活運(yùn)用NAT完成網(wǎng)絡(luò)間的互聯(lián)。作為一名機(jī)務(wù)員，熟練掌握網(wǎng)絡(luò)知識(shí)，增強(qiáng)網(wǎng)絡(luò)結(jié)構(gòu)的合理性、兼容性，優(yōu)化網(wǎng)絡(luò)內(nèi)部的業(yè)務(wù)運(yùn)行環(huán)境，提升自我，為寧波空管更安全、高效、穩(wěn)步發(fā)展提供更優(yōu)良的服務(wù)。