福建省公安消防總隊(duì)　章瑞斌

?

消防部隊(duì)IP地址不足問題解決方案

福建省公安消防總隊(duì)章瑞斌

【摘要】本文通過對消防部隊(duì)計(jì)算機(jī)網(wǎng)絡(luò)特點(diǎn)的分析，從重新規(guī)劃互聯(lián)IP地址、減少局域網(wǎng)IP需求和實(shí)現(xiàn)向IPv6的轉(zhuǎn)換等方面，力求破解IP地址不足這個(gè)課題。

【關(guān)鍵詞】消防；IP；方案；公安網(wǎng)；NAT

近年以來，隨著《武警消防部隊(duì)信息化建設(shè)項(xiàng)目總體實(shí)施方案》的頒布實(shí)施，消防信息化建設(shè)迎來了跨越式發(fā)展的重大機(jī)遇。全國消防部隊(duì)先后推廣部署了電視電話會議系統(tǒng)、視頻指揮調(diào)度系統(tǒng)、3G圖像傳輸系統(tǒng)、營區(qū)監(jiān)控系統(tǒng)、IP電話系統(tǒng)等一大批業(yè)務(wù)系統(tǒng)，為部隊(duì)管理和正規(guī)化建設(shè)注入了新鮮活力。然而，隨著消防部隊(duì)對計(jì)算機(jī)和網(wǎng)絡(luò)的依存度越來越高，對網(wǎng)絡(luò)IP資源的需求也就越來越大，各地消防部隊(duì)IP資源不足問題逐漸突顯出來，已有部份地區(qū)已出現(xiàn)IP地址無法滿足建設(shè)需要的情況。那么，如何合理地管理好有限的IP地址資源，減緩和避免IP耗竭?

1　消防部隊(duì)計(jì)算機(jī)網(wǎng)絡(luò)特點(diǎn)

（1）根據(jù)《全國消防部隊(duì)計(jì)算機(jī)通信網(wǎng)絡(luò)建設(shè)指導(dǎo)意見》，全國消防部隊(duì)計(jì)算機(jī)網(wǎng)絡(luò)，以公安信息網(wǎng)為依托，建設(shè)消防信息網(wǎng)和指揮調(diào)度網(wǎng)，分別形成三級網(wǎng)絡(luò)結(jié)構(gòu)。其IP地址采用傳統(tǒng)的32位編碼方案(IPv4)，由各級消防部隊(duì)向本級公安機(jī)關(guān)申請獲取。在此IP分配模式下，眾多的消防分支機(jī)構(gòu)僅能擁有很小的IP空間，且IP段大多較為零散、不連續(xù)。

（2）消防信息網(wǎng)和指揮調(diào)度網(wǎng)間采用邏輯隔離，兩個(gè)網(wǎng)絡(luò)間數(shù)據(jù)無法直接交互，僅有部份經(jīng)授權(quán)的主機(jī)，通過雙網(wǎng)卡或接入交換機(jī)TRUNK口的方式實(shí)現(xiàn)對兩網(wǎng)的訪問。

（3）消防部隊(duì)具體點(diǎn)多、面廣、人員相對分散的特點(diǎn)，因此在計(jì)算機(jī)網(wǎng)絡(luò)建設(shè)之初，就將IP地址段拆分成小段盡能夠多地分配給分支機(jī)構(gòu)，這也造成了子網(wǎng)絡(luò)過多、過細(xì)，可用IP數(shù)大量減少，有些單位甚至只分配到了8個(gè)IP。

（4）進(jìn)入2000年以后，消防部隊(duì)廣泛開展了規(guī)范化建設(shè)，在辦公室、網(wǎng)絡(luò)考場、網(wǎng)絡(luò)閱覽室等場所配置了大量計(jì)算機(jī)，這此計(jì)算機(jī)都分別配置了固定IP地址，且平時(shí)僅瀏覽公安信息網(wǎng)主頁，不對外提供服務(wù)。

2　傳統(tǒng)緩解IP地址不足問題的幾種方法

（1）可變長子網(wǎng)掩碼技術(shù)(VLSM)。該技術(shù)在傳統(tǒng)的IP地址的基礎(chǔ)上，引入了子網(wǎng)掩碼的概念，通過IP地址與子網(wǎng)掩碼進(jìn)行“與”運(yùn)算區(qū)分不同的子網(wǎng)，從而將傳統(tǒng)的網(wǎng)絡(luò)拆分成為容納不同主機(jī)數(shù)量的更小的子網(wǎng)，滿足不同網(wǎng)絡(luò)的需要。

（2）動(dòng)態(tài)IP地址分配技術(shù)(DHCP)。在傳統(tǒng)的網(wǎng)絡(luò)中，通常為每個(gè)主機(jī)分配固定的IP地址。而采用DHCP技術(shù)，系統(tǒng)根據(jù)實(shí)際的需要?jiǎng)討B(tài)地分配IP地址，這樣采取IP復(fù)用的方式，在同樣IP數(shù)量的情況下，可以容納更多數(shù)量的主機(jī)。

（3）網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)(NAT)。該技術(shù)在網(wǎng)絡(luò)的邊界處建立了網(wǎng)段間地址關(guān)系對應(yīng)池，網(wǎng)絡(luò)主機(jī)根據(jù)其對應(yīng)關(guān)系偽裝成另一個(gè)網(wǎng)段的IP地址從而實(shí)現(xiàn)跨網(wǎng)訪問。由于該技術(shù)允許多個(gè)主機(jī)共享共一IP地址，從而大大增加了網(wǎng)絡(luò)主機(jī)的數(shù)量。

3　重新規(guī)劃指揮調(diào)度網(wǎng)互聯(lián)IP地址

我們知道，計(jì)算機(jī)網(wǎng)絡(luò)除正常配置在主機(jī)上的IP地址外，為了實(shí)現(xiàn)網(wǎng)絡(luò)互通，往往還需要互聯(lián)IP，互聯(lián)IP必須同屬于一個(gè)網(wǎng)段，并分別配置在路由器直連端口上。為了盡可能地加以利用，通常采用30位掩碼細(xì)分網(wǎng)段，取其中間的2個(gè)IP作為互聯(lián)IP。

圖1為消防部隊(duì)計(jì)算機(jī)網(wǎng)絡(luò)示意圖。在公安信息網(wǎng)中，為了實(shí)現(xiàn)互聯(lián)互通，必須根據(jù)公安金盾網(wǎng)的規(guī)劃，在路由器R3與R4的接口A3、A4上分別配置互聯(lián)IP：3.3.3.X/30、4.4.4.X/30。而在指揮調(diào)度網(wǎng)中，由于沒有與公安信息網(wǎng)的直連路由，路由器R1、R2間完全可以自行規(guī)劃一套互聯(lián)IP方案。

圖1　消防部隊(duì)計(jì)算機(jī)網(wǎng)絡(luò)示意圖

理論上該互聯(lián)IP可以是指揮調(diào)度網(wǎng)外的任何IP段，考慮到公安部消防局與各省消防總隊(duì)間路由往往采用靜態(tài)路由，可以由公安部消防局規(guī)劃公安部消防局至各省總隊(duì)的互聯(lián)IP，而各省總隊(duì)自行規(guī)劃省內(nèi)互聯(lián)IP，由公安部消防局給予指導(dǎo)。

各級互聯(lián)IP在規(guī)劃前必須充分的開展調(diào)研，確保該IP段不與現(xiàn)有指揮調(diào)度網(wǎng)IP沖突。同時(shí)，各省總隊(duì)還必須特別注意，不得將本省互聯(lián)IP段路由信息發(fā)布到公安部消防局路由表中，從而引起不必要的路由震蕩。

根據(jù)國家統(tǒng)計(jì)局2011年10月31日發(fā)布的最新縣及縣以上行政區(qū)劃代碼，全國共有3511個(gè)縣及縣以上行政單位，按照最集約的方式計(jì)算，全國消防部隊(duì)至少可以節(jié)約互聯(lián)IP地址：3510×4=14040個(gè)。

4　采用NAT減少局域網(wǎng)IP需求

不管是消防信息網(wǎng)還是指揮調(diào)度網(wǎng)，各級消防部隊(duì)局域網(wǎng)中總是存在大量的計(jì)算機(jī)，這些計(jì)算機(jī)僅處置日常的辦公業(yè)務(wù)，或是訪問局域網(wǎng)或其它服務(wù)器獲取信息。這類計(jì)算機(jī)由于需求量巨大，往往占用了大量IP資源。

圖2為典型的消防大、中隊(duì)局域網(wǎng)絡(luò)。我們注意到大量的數(shù)據(jù)流向局域網(wǎng)，而外出的流量卻很少。為了進(jìn)一步節(jié)約流量，減少IP消耗，通常的做法是架設(shè)代理服務(wù)器，采用IP轉(zhuǎn)換的方式(NAT)訪問其它網(wǎng)絡(luò)。

圖2　消防大、中隊(duì)局域網(wǎng)流量示意圖

NAT實(shí)現(xiàn)方式有三種，即靜態(tài)轉(zhuǎn)換(Static Nat)、動(dòng)態(tài)轉(zhuǎn)換(Dynamic Nat)和端口多路復(fù)用(Overload)。

（1）靜態(tài)轉(zhuǎn)換是指在地址轉(zhuǎn)換時(shí)，內(nèi)部網(wǎng)絡(luò)與全局網(wǎng)絡(luò)間的IP地址對應(yīng)關(guān)系是一對一的、一成不變的，某個(gè)內(nèi)部IP地址只能轉(zhuǎn)換為對應(yīng)的全局IP地址。

（2）動(dòng)態(tài)轉(zhuǎn)換是內(nèi)部網(wǎng)絡(luò)與全局網(wǎng)絡(luò)間在IP地址轉(zhuǎn)換時(shí)，其對應(yīng)關(guān)系是不確定的、隨機(jī)的，某個(gè)內(nèi)部IP地址可能隨機(jī)轉(zhuǎn)換為任何一個(gè)全局IP地址。

（3）端口多路復(fù)用是指在地址轉(zhuǎn)換的同時(shí)引入端口轉(zhuǎn)換(PAT)概念，實(shí)現(xiàn)了內(nèi)部網(wǎng)絡(luò)多個(gè)主機(jī)共享一個(gè)全局IP地址，從而可以最大限度地節(jié)約IP地址資源。

圖3　NAT的實(shí)現(xiàn)方式

該技術(shù)可能通過路由器、防火墻或代理服務(wù)器實(shí)現(xiàn)。理論上，每個(gè)單位的局域網(wǎng)只需要1個(gè)公安網(wǎng)IP地址，就可以實(shí)現(xiàn)對整個(gè)網(wǎng)絡(luò)的訪問。由于不對外發(fā)布局域網(wǎng)IP段路由，該方案可以由各級消防部隊(duì)自行規(guī)劃實(shí)施。局域網(wǎng)中服務(wù)器等設(shè)備也可以通過這種方式實(shí)現(xiàn)對外提供服務(wù)，且由于屏蔽了真實(shí)IP，該服務(wù)設(shè)備的安全性也得到了進(jìn)一步的提升。

然而，由于局域網(wǎng)中所有設(shè)備都需經(jīng)NAT設(shè)備進(jìn)行地址轉(zhuǎn)換后出局，會導(dǎo)致使網(wǎng)絡(luò)吞吐效率的降低，由此影響網(wǎng)絡(luò)整體性能，特別是服務(wù)器的服務(wù)性能。所以，該方案更適用于網(wǎng)絡(luò)閱覽室、網(wǎng)絡(luò)考場等場所，消防支隊(duì)以上在配備了大量服務(wù)器設(shè)備的單位，不建議采用這種方式。

5　逐步實(shí)現(xiàn)向IPv6的轉(zhuǎn)換

IPv6是用于替代現(xiàn)行版本IP協(xié)議(IPv4)的下一代IP協(xié)議，其地址長度為128位，與IPv4相比其地址空間增大了2的96次方倍?？梢院敛豢鋸埖卣f，采用IPv6協(xié)議后，地球上的每個(gè)沙粒都可以擁有自己的IP地址。

從路由層面看，目前大多數(shù)路由、交換機(jī)廠家都已實(shí)現(xiàn)對IPv6的支持。同時(shí)，也有多種技術(shù)實(shí)現(xiàn)IPv4到IPv6的過渡，較成熟的方案為IPv6/IPv4雙棧技術(shù)。在這種技術(shù)下，網(wǎng)絡(luò)中的節(jié)點(diǎn)同時(shí)支持IPv4和IPv6協(xié)議棧，主機(jī)在訪問IPv4網(wǎng)絡(luò)時(shí)采用IPv4地址，訪問IPv6網(wǎng)絡(luò)時(shí)采用IPv6地址。

圖4　雙棧節(jié)點(diǎn)示意圖

從操作系統(tǒng)層面看，目前AIX、UNIX、LINEX、WINDOWS等操作系統(tǒng)都已支持IPv6，或通過IPv6補(bǔ)丁實(shí)現(xiàn)了對IPv6的支持。

公安部消防局應(yīng)提早對IPv6地址資源進(jìn)行規(guī)劃，同時(shí)也要著手對現(xiàn)有的業(yè)務(wù)系統(tǒng)進(jìn)行改造，以適應(yīng)IPv6發(fā)展的需要。各地也應(yīng)做好升級至IPv6的準(zhǔn)備工作，確保路由、交換設(shè)備滿足要求，屆時(shí)IP地址不足這個(gè)命題將不復(fù)存在。

6　結(jié)束語

IPv4地址作為一種寶貴的網(wǎng)絡(luò)資源隨著信息化應(yīng)用的不斷深入必然會越來越緊張，從長遠(yuǎn)來看IPv6是一個(gè)必然的選擇。各單位應(yīng)結(jié)合自身的實(shí)際，穩(wěn)步地推行網(wǎng)絡(luò)改造，避免對現(xiàn)有業(yè)務(wù)拓展造成影響。

參考文獻(xiàn)

[1]傅豐.互聯(lián)網(wǎng)協(xié)議DARPA互聯(lián)網(wǎng)程序協(xié)議規(guī)范.1981,9.

[2]龍冬云.IPv4與IPv6的地址轉(zhuǎn)換[J].長春大學(xué)學(xué)報(bào),2005,8,15(4).

章瑞斌（1974－），男，福建福安人，大學(xué)本科，工程師。

作者簡介：