消防部队公安网IP地址资源不足的探讨
2016-12-01宋炜林吉安市公安消防支队江西吉安343000
宋炜林(吉安市公安消防支队,江西吉安 343000)
消防部队公安网IP地址资源不足的探讨
宋炜林
(吉安市公安消防支队,江西吉安343000)
【摘 要】随着消防部队信息化建设的不断深入,各级消防部队部署了大量网络设备和终端,由于公安网终端须注册入网,终端与IP地址一一对应,IP地址资源严重缺乏,影响了消防部队信息化发展,本文通过对当前消防部队公安网特点的分析,从互联IP地址、减少局域网IP需求和实现向IPv6的转换等方面,力求破解当前消防部队IP地址资源不足这个难题。
【关键词】消防IP地址公安网NAT
近年以来,随着消防部队信息化建设的不断深入发展。全国消防部队先后推广部署了电视电话会议系统、视频指挥调度系统、3G图像传输系统、营区监控系统、IP电话系统等一大批业务系统,为部队管理和正规化建设注入了新鲜活力。然而,随着消防部队对计算机和网络的依存度越来越高,对网络IP资源的需求也就越来越大,各地消防部队公安网IP资源不足问题逐渐突显出来,已有部份地区已出现IP地址无法满足建设需要的情况。那么,如何合理地管理好有限的IP地址资源,减缓和避免IP耗竭?
1 当前消防部队计算机网络特点
(1)根据《全国消防部队计算机通信网络建设指导意见》,全国消防部队计算机网络,以公安信息网为依托,建设消防信息网和指挥调度网,分别形成三级网络结构。其IP地址采用传统的32位编码方案(IPv4),由各级消防部队向本级公安机关申请获取。在此IP分配模式下,众多的消防分支机构仅能拥有很小的IP空间,且IP段大多较为零散、不连续。
(2)消防信息网和指挥调度网间采用逻辑隔离,两个网络间数据无法直接交互,仅有部份经授权的主机,通过双网卡或接入交换机TRUNK口的方式实现对两网的访问。
(3)消防部队具体点多、面广、人员相对分散的特点,因此在计算机网络建设之初,就将IP地址段拆分成小段尽能够多地分配给分支机构,这也造成了子网络过多、过细,可用IP数大量减少,有些单位甚至只分配到了10个IP,勉强能满足办公用电脑需求。近年来,消防部队广泛开展了规范化建设,在办公室、网络学习室、网络阅览室等场所配置了大量计算机,由于ip资源不足,导致这些电脑无法接入公安网。
2 传统缓解IP地址不足问题的几种方法
(1)可变长子网掩码技术(VLSM)。该技术在传统的IP地址的基础上,引入了子网掩码的概念,通过IP地址与子网掩码进行“与”运算区分不同的子网,从而将传统的网络拆分成为容纳不同主机数量的更小的子网,满足不同网络的需要。
(2)动态IP地址分配技术(DHCP)。在传统的网络中,通常为每个主机分配固定的IP地址。而采用DHCP技术,系统根据实际的需要动态地分配IP地址,这样采取IP复用的方式,在同样IP数量的情况下,可以容纳更多数量的主机。
(3)网络地址转换技术(NAT)。该技术在网络的边界处建立了网段间地址关系对应池,网络主机根据其对应关系伪装成另一个网段的IP地址从而实现跨网访问。由于该技术允许多个主机共享共一IP地址,从而大大增加了网络主机的数量。
3 采用NAT减少局域网IP需求
不管是消防信息网还是指挥调度网,各级消防部队局域网中总是存在大量的计算机,这些计算机仅处置日常的办公业务,或是访问局域网或其它服务器获取信息。这类计算机由于需求量巨大,往往占用了大量IP资源。
为了进一步节约流量,减少IP消耗,通常的做法是架设代理服务器,采用IP转换的方式(NAT)访问其它网络。
NAT实现方式有三种,即静态转换(Static Nat)、动态转换(Dynamic Nat)和端口多路复用(Overload)。
(1)静态转换是指在地址转换时,内部网络与全局网络间的IP地址对应关系是一对一的、一成不变的,某个内部IP地址只能转换为对应的全局IP地址。
(2)动态转换是内部网络与全局网络间在IP地址转换时,其对应关系是不确定的、随机的,某个内部IP地址可能随机转换为任何一个全局IP地址。
(3)端口多路复用是指在地址转换的同时引入端口转换(PAT)概念,实现了内部网络多个主机共享一个全局IP地址,从而可以最大限度地节约IP地址资源。
该技术可能通过路由器、防火墙或代理服务器实现。理论上,每个单位的局域网只需要1个公安网IP地址,就可以实现对整个网络的访问。由于不对外发布局域网IP段路由,该方案可以由各级消防部队自行规划实施。局域网中服务器等设备也可以通过这种方式实现对外提供服务,且由于屏蔽了真实IP,该服务设备的安全性也得到了进一步的提升。
然而,由于局域网中所有设备都需经NAT设备进行地址转换后出局,会导致使网络吞吐效率的降低,由此影响网络整体性能,特别是服务器的服务性能。所以,该方案更适用于网络阅览室、网络考场等场所,消防支队以上在配备了大量服务器设备的单位,不建议采用这种方式。
4 逐步实现向IPv6的转换
IPv6是用于替代现行版本IP协议(IPv4)的下一代IP协议,其地址长度为128位,与IPv4相比其地址空间增大了2的96次方倍。可以毫不夸张地说,采用IPv6协议后,地球上的每个沙粒都可以拥有自己的IP地址。
从路由层面看,目前大多数路由、交换机厂家都已实现对IPv6的支持。同时,也有多种技术实现IPv4到IPv6的过渡,较成熟的方案为IPv6/IPv4双栈技术。在这种技术下,网络中的节点同时支持IPv4 和IPv6协议栈,主机在访问IPv4网络时采用IPv4地址,访问IPv6网络时采用IPv6地址。
从操作系统层面看,目前AIX、UNIX、LINEX、WINDOWS等操作系统都已支持IPv6,或通过IPv6补丁实现了对IPv6的支持。
公安部消防局应提早对IPv6地址资源进行规划,同时也要着手对现有的业务系统进行改造,以适应IPv6发展的需要。各地也应做好升级至IPv6的准备工作,确保路由、交换设备满足要求,届时IP地址不足这个命题将不复存在。
5 结语
由于消防公安网络安全保密特性,一些传统的缓解ip地址资源不足的技术严禁在公安网使用,随着消防信息化建设的不断深入,一些网络设备的不断新增,公安网ip地址资源已严重缺乏,IPv4地址作为一种宝贵的网络资源随着信息化应用的不断深入必然会越来越紧张,从长远来看IPv6是一个必然的选择。各单位应结合自身的实际,稳步地推行网络改造,避免对现有业务拓展造成影响。
参考文献:
[1]傅丰.IP地址不足的解决方案[J].天中学刊, 2001,16(2):42-44.
[2]徐敬东,等.计算机网络(第一版)[M].北京:清华大学出版社,2002.