李凌宇

民航宁波空管站气象台设备信息室 浙江 宁波 315154

引言

民航宁波空管站是承担着宁波地区空中交通管制任务的重要业务保障单位，气象台负责提供航空气象保障业务，气象业务为民航的重要组成部分之一。随着空管气象业务的不断发展，现今宁波空管站的气象业务中，存在大量内、外部用户；在整个气象网络中，含有多个系统、终端和服务器；为了气象业务的健康发展，需从各气象服务机构引接部分多样化气象资料。因气象局域网内部对外网段的稀缺，且由于业务限制，对于网段的分配存在局限性，内部网络无法兼容全部外部终端，考虑到内部网络及设备外联的安全性，故采用网络地址转换技术。本文详细介绍在宁波空管站气象业务中所使用的多种网络地址转换技术及其应用的方式。

1 技术背景

随着互联网的发展，原有IPv4地址即将枯竭，虽在20世纪末已提出IPv6地址技术的概念并加以利用，但因21世纪至今互联网爆炸式增长的入网需求和大范围的应用普及导致两者之间的过渡工作难以顺利推进，因此，在IPv4地址枯竭和大规模入网需求的矛盾日益加深的环境下，诞生了多种技术及解决方案来应对IPv4地址的枯竭，网络地址转换技术（Network-Address Translation，以下简称为NAT）就是其中之一。2019年11月26日，全球所有43亿个IPv4地址已全分配完毕，尽管IPv6地址技术经多年的发展，已全面接手IPv4地址的工作，但NAT技术却仍因为其优秀的宽带分享功能和对网络内部的安全防护功能被沿用至今。

2 作用及实现方式

NAT协议是一种用于实现内外网地址转换的网络工程实践技术[1]，其作用是将私有IP和公网IP之间进行转换。通过带NAT功能的网络设备按照配置的转换范围对来源报文的源IP和目的IP进行修改，转换为所需的IP或端口，来解决内网和公网的通信需求并起到隐藏内网IP的作用。目前较为常用的NAT实现方式有3种，分别为静态NAT、动态NAT、网络端口地址转换（Network Address Port Translation，NAPT），其中网络地址端口转换NAPT利用端口号实现私网地址到公网地址的多对一映射[2]，其具有多种映射方式，如对称NAT、锥形NAT，在锥形NAT中又根据功能上的需求分为完全锥形、受限型锥形等。

2.1 静态NAT

静态NAT是一种基础的NAT实现方式。通过设备上的配置将某网络的IP一对一地转换成所需特定IP，并且该IP具有固定性，不会进行任何变化，原网络内某IP必然只会对应转换后的某个IP。该方式适用于内网中对外连接需求数少且IP相对固定的应用场合，优点在于网络稳定性较高，但存在管理运维配置工作量过大的缺点。

2.2 动态NAT

动态NAT利用了地址池技术，池中存放可访问外网的全局地址，在需要网络连接时自动完成映射[3]。NAT时会对地址池中各IP进行标记，在使用的IP会被加上“IN USE”标签。如内网对外网进行访问时，当内网终端报文到达NAT主机，NAT主机内根据其动态NAT配置对地址池内进行筛选，选中某无“IN USE”标签的IP绑定该IP和报文内源IP形成映射，完成通信。若映射IP长时间未进行通信，该IP会被“释放”，解绑回收至IP地址池内供其他终端使用，缓解因IP不够产生的冲突。该方式较适合于内网IP大于外网IP数量且并发通信数不高的网络，优点在于NAT灵活性高优点，但存在未建立NAT情况下内网IP被完全遮蔽且同时存在多个设备会导致NAT地址池爆满无法释放导致无IP可用的缺点。

2.3 网络端口地址转换

NAPT是目前大型网络普遍使用的NAT实现方式。它将原网络内某IP映射到外部，并通过NAT设备上的相应配置选定原对应协议转换的端口号和映射后对应端口号，达成将多个原网络内IP隐藏在对外公有的单个IP下的目的，形成“多对一”的转换模式，极大幅度地减少IP消耗，并通过改变端口号的方式更大幅度地提升映射产生的安全性。如图1示例，内网终端3和4需要通过配置NAPT的NAT主机与Internet进行通信，当报文发送至NAT主机时，NAT主机从配置的地址池中选择了10.10.0.1该IP，随后生成NAPT临时映射表，将192.168.1.3和192.168.1.4的1234端口分别映射到了10.10.0.1这个映射IP上的5678和5679端口，该配置完成后内网终端3和4可以以映射IP+映射的端口访问Internet，同时也能以映射IP+映射端口的形式被Internet所访问。

图1 基础NAPT示例

3 本场应用

宁波空管站气象台拥有众多的气象业务用户，在进行气象数据互通服务的同时，承担着往华东空管局向上传输本场气象数据的责任，还从各气象服务机构引接高精度、多样化的各类气象数据，以便于气象业务的健康发展。（注：因保密需要，下文出现的IP均为虚拟IP）

3.1 民航气象数据库系统

民航气象数据库系统是整个空管气象业务中很重要的一环，其作用是接受本场所有实时气象数据，供本场预报及观测用户发布本场实时天气情报，同时接收并存储各地的实时天气情报报文和部分实时气象资料。

因该系统陈旧，已使用十余年，近期即将替换为民航气象信息共享与服务系统，但因该系统为本场气象业务的中心，重要且不可中断，为防止新旧系统更新换代中发生严重故障导致业务中断，切换时需并行使用，且新旧系统所处不同网段，更换原设备IP会导致业务停机。该情况下，考虑在系统的交接处使用静态NAT将原系统内的各设备通过映射的方式映射到新系统网段，以达成华东服务器到本场各设备间的通信。如图2所示，蓝线为原民航气象数据库系统，红线为加入并行测试的民航气象信息共享与服务系统，新一代防火墙上利用静态NAT将原有201.165.3.0/24网段内IP映射成所需连接的192.184.59.0/24网段的IP，配置如下：

图2 并行拓扑图简化示例

[huawei]int gi1/0/1

[huawei-GigabitEthernet1/0/1]nat static global 192.184.59.1 inside 201.165.3.1

[huawei-GigabitEthernet1/0/1]nat static global 192.184.59.2 inside 201.165.3.2

······

3.2 气象信息服务系统

气象信息服务系统在空管气象业务中起到重要的辅助作用：接收本场传感器的传回的气象资料及各气象服务机构引接的多样化气象资料。在该系统内有多种气象业务软件，本场预报和观测用户可利用该系统对所有天气资料进行查询，获得更精确的气象资料比对服务，起辅助判断未来天气及当前天气状况的作用，为气象人员提供更优秀的数据环境。考虑对外连接安全性问题，且各气象服务机构业务网段的占用，同时资料传输方式为本场终端主动对其服务器进行访问，因此考虑利用动态NAT的形式来实现。如图3所示，蓝线为气象信息服务系统，内含双网段的多台终端，在边界防火墙上配置了动态NAT，建立一个对应网段的地址池165.236.22.54-165.236.22.99，并使内部双网段的各个IP和地址池绑定映射，配置如下：

图3 气象业务辅助系统拓扑图简化示例

[huawei]nat address-group 1 165.236.22.54 165.236.22.99

[huawei]acl 2000

[huawei-acl-basic-2000]rule 0 permit source 189.21.32.0 0.0.0.255

[huawei-acl-basic-2000]rule1 permit source 189.21.33.0 0.0.0.255

[huawei]int gi1/0/7

[huawei-GigabitEthernet1/0/7]nat outbound 2000 addressgroup 1 no-pat

3.3 天气雷达系统

天气雷达系统为新搭建的系统，气象雷达的作用对于空中管制意义重大，同时对于预报和观测用户均有显著的辅助效果。它本身作为一个气象探测设备，将探测到的数据存储于数据存储阵列中，因雷达系统本身和其配套网络架构过于庞大，为考虑到该系统未来气象业务的可拓展性，节省其所剩不多的IPv4地址，以及防止建在外台站的无人值守雷达站可能对整个局域网造成的网络安全威胁，与外部人员的不可控性，为隐藏端口、加强安全性和节省IP，采用静态NAPT来达成本地接收终端和天气雷达服务器的网络互联。如图3所示，左侧为气象信息服务系统内部网络，在接入防火墙内配置了NAPT多对一映射，配置如下：

[huawei]nat address-group 2 217.12.26.151 217.12.26.151

[huawei]acl 2001

[huawei-acl-basic-2001]rule 0 permit source 189.21.32.0 0.0.0.255

[huawei-acl-basic-2001]rule1 permit source 189.21.33.0 0.0.0.255

[huawei]int gi1/0/8

[huawei-GigabitEthernet1/0/8]nat outbound 2000 addressgroup 1

4 结束语

伴随近年来空管气象业务的蓬勃发展，气象业务系统也在不断增加，在新系统和旧规划网络架构产生冲突时，能否灵活运用新旧技术相结合的办法去解决这些问题，例如NAT技术，作为一个诞生于20世纪末的技术却依旧凭借它的闪光点被沿用至今。在未来，是否能有更多的新技术能互相结合，进行技术革新，引领未来的发展方向，提升带来的效益。

本文详细介绍了网络地址转换技术在宁波空管站气象业务中的应用，分享了各系统应用配置过程中的NAT类型选用、配置等方面的要点和经验。通过该技术在原有的网络结构上弥补了安全性和可拓展性，也需思考是否能通过该技术对现有旧网络架构进行改良，以及应对更多不同需求的网络间，如何灵活运用NAT完成网络间的互联。作为一名机务员，熟练掌握网络知识，增强网络结构的合理性、兼容性，优化网络内部的业务运行环境，提升自我，为宁波空管更安全、高效、稳步发展提供更优良的服务。