羅祖川

（民航寧夏空管分局，寧夏銀川 750004）

1 網(wǎng)絡(luò)情況

單位的內(nèi)網(wǎng)是10.25.1.X/24 網(wǎng)段（以下簡(jiǎn)稱網(wǎng)絡(luò)一），通過(guò)網(wǎng)關(guān)10.25.1.254 訪問(wèn)上級(jí)單位的網(wǎng)絡(luò)，上級(jí)單位在防火墻上做了策略，只有10.25.1.X 的IP 能夠訪問(wèn)其網(wǎng)絡(luò)。另一網(wǎng)絡(luò)是一個(gè)內(nèi)部視頻監(jiān)控網(wǎng)絡(luò)，IP 段是192.0.0.X/24（以下簡(jiǎn)稱網(wǎng)絡(luò)二），可以通過(guò)瀏覽器訪問(wèn)這些視頻監(jiān)控資源。這兩個(gè)網(wǎng)絡(luò)通過(guò)一臺(tái)Cisco 二層交換機(jī)連接起來(lái)，未做任何管理限制策略。在網(wǎng)絡(luò)二中有一臺(tái)控制電腦，這臺(tái)電腦設(shè)置有網(wǎng)絡(luò)一和網(wǎng)絡(luò)二的雙IP，既可以實(shí)現(xiàn)通過(guò)網(wǎng)絡(luò)二的IP對(duì)視頻監(jiān)控系統(tǒng)控制，又可以通過(guò)網(wǎng)絡(luò)一的IP 訪問(wèn)內(nèi)網(wǎng)，網(wǎng)絡(luò)一的任一電腦還可以訪問(wèn)這臺(tái)控制電腦的共享文件夾?，F(xiàn)在要增加一個(gè)功能，實(shí)現(xiàn)在網(wǎng)絡(luò)一中任一電腦訪問(wèn)網(wǎng)絡(luò)二的兩個(gè)視頻監(jiān)控資源，同時(shí)還要滿足之前的功能。

2 方案規(guī)劃

因?yàn)橹笆窃诳刂齐娔X上通過(guò)設(shè)置網(wǎng)絡(luò)一和網(wǎng)絡(luò)二的雙IP 實(shí)現(xiàn)的同時(shí)訪問(wèn)兩個(gè)網(wǎng)絡(luò)的資源，除了這臺(tái)控制電腦，兩個(gè)網(wǎng)絡(luò)的其他終端之間并不能直接通信，網(wǎng)絡(luò)二中的視頻監(jiān)控終端也不支持雙IP，設(shè)計(jì)了多個(gè)方案來(lái)實(shí)現(xiàn)這些功能。方案一將網(wǎng)絡(luò)二的IP 段全部改為網(wǎng)絡(luò)一的IP 段，兩個(gè)資源完全處于同一網(wǎng)絡(luò)中，這個(gè)方案一方面網(wǎng)絡(luò)改動(dòng)多，網(wǎng)絡(luò)二中的所有主機(jī)都需要更改IP，視頻配置也需要做相應(yīng)更改，另一方面也不利于網(wǎng)絡(luò)安全管理。方案二是增加一個(gè)三層設(shè)備，添加網(wǎng)絡(luò)一和網(wǎng)絡(luò)二之間的路由，網(wǎng)絡(luò)二的終端添加網(wǎng)關(guān)，這兩個(gè)網(wǎng)絡(luò)通過(guò)三層路由實(shí)現(xiàn)互聯(lián)，但是三層設(shè)備比較貴，也沒(méi)有現(xiàn)成的三層設(shè)備，而且網(wǎng)絡(luò)二中所有的終端都需要添加網(wǎng)關(guān)，改動(dòng)比較多。方案三是在這兩個(gè)網(wǎng)絡(luò)中間增加路由器，網(wǎng)絡(luò)二通過(guò)NAT 轉(zhuǎn)換訪問(wèn)網(wǎng)絡(luò)一，并將網(wǎng)絡(luò)二的控制電腦和兩個(gè)視頻資源通過(guò)端口映射出去，網(wǎng)絡(luò)一中任一電腦都能訪問(wèn)這三個(gè)資源，正好單位有很多TP-LINK 的無(wú)線路由器即可實(shí)現(xiàn)上述功能，而且這個(gè)方案改動(dòng)不多，所以采用方案三來(lái)實(shí)現(xiàn)。

3 端口映射的定義

通過(guò)TP-LINK 無(wú)線路由器的虛擬服務(wù)器功能可以將內(nèi)部資源對(duì)外開放到指定端口，在保證內(nèi)部資源安全的前提下實(shí)現(xiàn)外部網(wǎng)絡(luò)對(duì)指定端口的內(nèi)部資源的訪問(wèn)，其實(shí)質(zhì)就是端口映射。

端口映射是NAT 地址轉(zhuǎn)換的一種，NAT 技術(shù)可以把公網(wǎng)的IP 地址轉(zhuǎn)翻譯成私有IP 地址，采用路由方式的ADSL寬帶路由器擁有一個(gè)動(dòng)態(tài)或固定的公網(wǎng)IP[1]。實(shí)現(xiàn)NAT 有三種方式，靜態(tài)轉(zhuǎn)換、動(dòng)態(tài)轉(zhuǎn)換和端口多路復(fù)用。端口多路復(fù)用是指改變外出數(shù)據(jù)包的源端口并進(jìn)行端口轉(zhuǎn)換，即端口地址轉(zhuǎn)換（PAT，Port Address Translation)。目前網(wǎng)絡(luò)中應(yīng)用最多的就是端口多路復(fù)用方式[2]。

4 網(wǎng)絡(luò)互聯(lián)設(shè)計(jì)和實(shí)現(xiàn)

因?yàn)椴恍枰獰o(wú)線網(wǎng)絡(luò)功能，且需要連接內(nèi)部網(wǎng)絡(luò)，無(wú)線網(wǎng)絡(luò)存在一定網(wǎng)絡(luò)安全隱患，所以關(guān)閉無(wú)線路由器的無(wú)線功能，將無(wú)線路由器的WAN 口接入網(wǎng)絡(luò)一的交換機(jī)中，將LAN 口接入網(wǎng)絡(luò)二的交換機(jī)中，連接如圖1 所示。

圖1 智能電網(wǎng)結(jié)構(gòu)流程

對(duì)無(wú)線路由器和網(wǎng)絡(luò)二的資源進(jìn)行配置。將無(wú)線路由器的LAN 口IP 設(shè)置為網(wǎng)絡(luò)二的IP 192.0.0.1，此IP 也是網(wǎng)絡(luò)二中終端的網(wǎng)關(guān)IP。WAN 口IP 設(shè)置為網(wǎng)絡(luò)一的IP 10.25.1.28/24，網(wǎng)關(guān)是10.25.1.254。網(wǎng)絡(luò)二中的控制電腦的IP 設(shè)置為192.0.0.207/24，網(wǎng)關(guān)為無(wú)線路由器的LAN 口IP 192.0.0.1。這樣可以實(shí)現(xiàn)控制電腦對(duì)網(wǎng)絡(luò)二的控制和通過(guò)網(wǎng)關(guān)IP 192.0.0.1 以NAT 的方式訪問(wèn)網(wǎng)絡(luò)一資源，也能訪問(wèn)上級(jí)單位的網(wǎng)絡(luò)資源（源IP 地址已經(jīng)全部轉(zhuǎn)換成合法的IP 地址10.25.1.28）。通過(guò)查詢要實(shí)現(xiàn)Windows 系統(tǒng)文件夾共享需要4 個(gè)端口，UDP 的137，138，TCP 的139，445。在路由器的虛擬服務(wù)器設(shè)置頁(yè)面添加一條規(guī)則，外部端口是137，內(nèi)部端口是137，IP 地址是網(wǎng)絡(luò)二的控制電腦IP 192.0.0.207，協(xié)議是UDP。138，139 和445 的端口映射設(shè)置與137 差不多。它們?cè)诼酚善魃系亩丝谟成淙绫?。修改兩個(gè)視頻監(jiān)控的網(wǎng)絡(luò)信息，增加網(wǎng)關(guān)IP 192.0.0.1.網(wǎng)絡(luò)二的其中一個(gè)視頻資源在配置的時(shí)候配置了其端口是8000，所以其端口映射設(shè)置如表1，而另一個(gè)視頻監(jiān)控不知道其端口，所以使用了DMZ 功能，DMZ 主機(jī)IP 地址設(shè)置為視頻監(jiān)控的IP 地址 192.0.0.200，這樣外部網(wǎng)絡(luò)訪問(wèn)沒(méi)有在虛擬服務(wù)器中設(shè)置的其他10.25.1.28 的資源時(shí)，無(wú)線路由器會(huì)全部轉(zhuǎn)發(fā)給DMZ 主機(jī)192.0.0.200，因?yàn)槭峭ㄟ^(guò)瀏覽器以HTTP 協(xié)議訪問(wèn)的視頻監(jiān)控資源，所以要將兩個(gè)視頻監(jiān)控資源的80端口映射出去。

表1 端口映射設(shè)置

最后可以實(shí)現(xiàn)在網(wǎng)絡(luò)二的控制電腦對(duì)網(wǎng)絡(luò)二的視頻監(jiān)控的控制，也能訪問(wèn)網(wǎng)絡(luò)一的資源。網(wǎng)絡(luò)一的任一電腦能夠通過(guò)訪問(wèn)無(wú)線路由器的WAN 口IP 加端口的方式訪問(wèn)網(wǎng)絡(luò)二控制電腦的共享文件夾和兩個(gè)視頻監(jiān)控資源。

但是后來(lái)在使用過(guò)程中發(fā)現(xiàn)兩個(gè)視頻監(jiān)控一段時(shí)間后就出現(xiàn)無(wú)法訪問(wèn)的情況，通過(guò)重啟無(wú)線路由器可以解決，但是過(guò)段時(shí)間又不能訪問(wèn)，有時(shí)重啟無(wú)線路由器也無(wú)法訪問(wèn)。最后發(fā)現(xiàn)不能超過(guò)一臺(tái)電腦同時(shí)通過(guò)DMZ 方式訪問(wèn)網(wǎng)絡(luò)二的視頻監(jiān)控資源。所以必須使用端口映射的方式，但是現(xiàn)在不知道視頻監(jiān)控所使用的端口?？梢允褂肳indows系統(tǒng)的Netstat 命令查看全部網(wǎng)絡(luò)連接來(lái)找出視頻監(jiān)控使用的端口。在網(wǎng)絡(luò)二中的控制電腦上通過(guò)瀏覽器訪問(wèn)視頻監(jiān)控，訪問(wèn)成功后，在Cmd 中輸入命令netstat-a-n，可以列出此時(shí)這臺(tái)電腦的所有網(wǎng)絡(luò)連接，找到和視頻監(jiān)控的連接信息。其中有一條TCP 192.0.0.207:65515 192.0.0.150:554 ESTABLISHED，其中554 就是視頻監(jiān)控使用的端口。在無(wú)線路由器虛擬服務(wù)器中添加554 的端口映射后解決了這個(gè)問(wèn)題。

5 結(jié)語(yǔ)

兩個(gè)網(wǎng)絡(luò)的互連可以有很多種方法，但是針對(duì)本文實(shí)際情況，使用無(wú)線路由器來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)互聯(lián)，通過(guò)虛擬服務(wù)器的方式實(shí)現(xiàn)業(yè)務(wù)的互訪，成本極低，改動(dòng)不大，施工難度也很低，基本不會(huì)影響兩網(wǎng)絡(luò)原來(lái)的業(yè)務(wù)，經(jīng)濟(jì)效率得解決這個(gè)網(wǎng)絡(luò)互聯(lián)問(wèn)題。