福建省公安消防总队　章瑞斌



消防部队IP地址不足问题解决方案

福建省公安消防总队章瑞斌

【摘要】本文通过对消防部队计算机网络特点的分析，从重新规划互联IP地址、减少局域网IP需求和实现向IPv6的转换等方面，力求破解IP地址不足这个课题。

【关键词】消防；IP；方案；公安网；NAT

近年以来，随着《武警消防部队信息化建设项目总体实施方案》的颁布实施，消防信息化建设迎来了跨越式发展的重大机遇。全国消防部队先后推广部署了电视电话会议系统、视频指挥调度系统、3G图像传输系统、营区监控系统、IP电话系统等一大批业务系统，为部队管理和正规化建设注入了新鲜活力。然而，随着消防部队对计算机和网络的依存度越来越高，对网络IP资源的需求也就越来越大，各地消防部队IP资源不足问题逐渐突显出来，已有部份地区已出现IP地址无法满足建设需要的情况。那么，如何合理地管理好有限的IP地址资源，减缓和避免IP耗竭?

1　消防部队计算机网络特点

（1）根据《全国消防部队计算机通信网络建设指导意见》，全国消防部队计算机网络，以公安信息网为依托，建设消防信息网和指挥调度网，分别形成三级网络结构。其IP地址采用传统的32位编码方案(IPv4)，由各级消防部队向本级公安机关申请获取。在此IP分配模式下，众多的消防分支机构仅能拥有很小的IP空间，且IP段大多较为零散、不连续。

（2）消防信息网和指挥调度网间采用逻辑隔离，两个网络间数据无法直接交互，仅有部份经授权的主机，通过双网卡或接入交换机TRUNK口的方式实现对两网的访问。

（3）消防部队具体点多、面广、人员相对分散的特点，因此在计算机网络建设之初，就将IP地址段拆分成小段尽能够多地分配给分支机构，这也造成了子网络过多、过细，可用IP数大量减少，有些单位甚至只分配到了8个IP。

（4）进入2000年以后，消防部队广泛开展了规范化建设，在办公室、网络考场、网络阅览室等场所配置了大量计算机，这此计算机都分别配置了固定IP地址，且平时仅浏览公安信息网主页，不对外提供服务。

2　传统缓解IP地址不足问题的几种方法

（1）可变长子网掩码技术(VLSM)。该技术在传统的IP地址的基础上，引入了子网掩码的概念，通过IP地址与子网掩码进行“与”运算区分不同的子网，从而将传统的网络拆分成为容纳不同主机数量的更小的子网，满足不同网络的需要。

（2）动态IP地址分配技术(DHCP)。在传统的网络中，通常为每个主机分配固定的IP地址。而采用DHCP技术，系统根据实际的需要动态地分配IP地址，这样采取IP复用的方式，在同样IP数量的情况下，可以容纳更多数量的主机。

（3）网络地址转换技术(NAT)。该技术在网络的边界处建立了网段间地址关系对应池，网络主机根据其对应关系伪装成另一个网段的IP地址从而实现跨网访问。由于该技术允许多个主机共享共一IP地址，从而大大增加了网络主机的数量。

3　重新规划指挥调度网互联IP地址

我们知道，计算机网络除正常配置在主机上的IP地址外，为了实现网络互通，往往还需要互联IP，互联IP必须同属于一个网段，并分别配置在路由器直连端口上。为了尽可能地加以利用，通常采用30位掩码细分网段，取其中间的2个IP作为互联IP。

图1为消防部队计算机网络示意图。在公安信息网中，为了实现互联互通，必须根据公安金盾网的规划，在路由器R3与R4的接口A3、A4上分别配置互联IP：3.3.3.X/30、4.4.4.X/30。而在指挥调度网中，由于没有与公安信息网的直连路由，路由器R1、R2间完全可以自行规划一套互联IP方案。

图1　消防部队计算机网络示意图

理论上该互联IP可以是指挥调度网外的任何IP段，考虑到公安部消防局与各省消防总队间路由往往采用静态路由，可以由公安部消防局规划公安部消防局至各省总队的互联IP，而各省总队自行规划省内互联IP，由公安部消防局给予指导。

各级互联IP在规划前必须充分的开展调研，确保该IP段不与现有指挥调度网IP冲突。同时，各省总队还必须特别注意，不得将本省互联IP段路由信息发布到公安部消防局路由表中，从而引起不必要的路由震荡。

根据国家统计局2011年10月31日发布的最新县及县以上行政区划代码，全国共有3511个县及县以上行政单位，按照最集约的方式计算，全国消防部队至少可以节约互联IP地址：3510×4=14040个。

4　采用NAT减少局域网IP需求

不管是消防信息网还是指挥调度网，各级消防部队局域网中总是存在大量的计算机，这些计算机仅处置日常的办公业务，或是访问局域网或其它服务器获取信息。这类计算机由于需求量巨大，往往占用了大量IP资源。

图2为典型的消防大、中队局域网络。我们注意到大量的数据流向局域网，而外出的流量却很少。为了进一步节约流量，减少IP消耗，通常的做法是架设代理服务器，采用IP转换的方式(NAT)访问其它网络。

图2　消防大、中队局域网流量示意图

NAT实现方式有三种，即静态转换(Static Nat)、动态转换(Dynamic Nat)和端口多路复用(Overload)。

（1）静态转换是指在地址转换时，内部网络与全局网络间的IP地址对应关系是一对一的、一成不变的，某个内部IP地址只能转换为对应的全局IP地址。

（2）动态转换是内部网络与全局网络间在IP地址转换时，其对应关系是不确定的、随机的，某个内部IP地址可能随机转换为任何一个全局IP地址。

（3）端口多路复用是指在地址转换的同时引入端口转换(PAT)概念，实现了内部网络多个主机共享一个全局IP地址，从而可以最大限度地节约IP地址资源。

图3　NAT的实现方式

该技术可能通过路由器、防火墙或代理服务器实现。理论上，每个单位的局域网只需要1个公安网IP地址，就可以实现对整个网络的访问。由于不对外发布局域网IP段路由，该方案可以由各级消防部队自行规划实施。局域网中服务器等设备也可以通过这种方式实现对外提供服务，且由于屏蔽了真实IP，该服务设备的安全性也得到了进一步的提升。

然而，由于局域网中所有设备都需经NAT设备进行地址转换后出局，会导致使网络吞吐效率的降低，由此影响网络整体性能，特别是服务器的服务性能。所以，该方案更适用于网络阅览室、网络考场等场所，消防支队以上在配备了大量服务器设备的单位，不建议采用这种方式。

5　逐步实现向IPv6的转换

IPv6是用于替代现行版本IP协议(IPv4)的下一代IP协议，其地址长度为128位，与IPv4相比其地址空间增大了2的96次方倍。可以毫不夸张地说，采用IPv6协议后，地球上的每个沙粒都可以拥有自己的IP地址。

从路由层面看，目前大多数路由、交换机厂家都已实现对IPv6的支持。同时，也有多种技术实现IPv4到IPv6的过渡，较成熟的方案为IPv6/IPv4双栈技术。在这种技术下，网络中的节点同时支持IPv4和IPv6协议栈，主机在访问IPv4网络时采用IPv4地址，访问IPv6网络时采用IPv6地址。

图4　双栈节点示意图

从操作系统层面看，目前AIX、UNIX、LINEX、WINDOWS等操作系统都已支持IPv6，或通过IPv6补丁实现了对IPv6的支持。

公安部消防局应提早对IPv6地址资源进行规划，同时也要着手对现有的业务系统进行改造，以适应IPv6发展的需要。各地也应做好升级至IPv6的准备工作，确保路由、交换设备满足要求，届时IP地址不足这个命题将不复存在。

6　结束语

IPv4地址作为一种宝贵的网络资源随着信息化应用的不断深入必然会越来越紧张，从长远来看IPv6是一个必然的选择。各单位应结合自身的实际，稳步地推行网络改造，避免对现有业务拓展造成影响。

参考文献

[1]傅丰.互联网协议DARPA互联网程序协议规范.1981,9.

[2]龙冬云.IPv4与IPv6的地址转换[J].长春大学学报,2005,8,15(4).

章瑞斌（1974－），男，福建福安人，大学本科，工程师。

作者简介：