外网主要是在互联网上运行的Web网站、邮件、视频以及FTP等服务。内网主要是单位的内部局域网，运行办公自动化、财务系统、人事、考勤以及内部邮件传送、文件共享打印等系统。专网主要是用于整个信息系统行业之间的业务往来，如视频会议、IP电话以及日常的数据传输等。

　　专网是与Internet物理隔离，外网与内网是通过防火墙逻辑隔离。随着IT技术和单位业务的迅速发展，原先架构的网络都存在一定的问题，需要改造升级。

　　对于外网来说，96年构建的网络主要是采用十几个中继线拨号上网方式解决单位的Web网站的发布，当时上网速度只能达到14.4kbps；2003年经过改造为2M的ADSL宽带接入，但用户上网数越多，下载数据时，会造成网络很不稳定；网站信息发布速度较慢，有时就不能加载数据。另外还存在缺少公网IP地址，视频、邮件和FTP等服务只能安装在一台服务器上，通过端口进行映射，造成它们之间相互受影响，干扰用户的正常工作，因此必须要进行升级改造。

　　对于内网来说，存在的问题主要是：由于当时经济条件的限制，主交换机采用的是二层非网管的交换机，有楼层交换使用的还是杂牌的HUB和交换机，这样治理起来比较麻烦，只要有一台机器有病毒，网络安全受到较大影响。而且由于使用HUB，数据量传输较大时相互之间会发生干扰，经常会发现内部IP地址被盗用的情况。

　　对于专网来说，原租用电信运营商2M的SDH线路，即跑数据又走视频，在开视频会议时，有时候必须要将数据服务器关闭后，视频画面才比较稳定和清楚，相互之间有影响，因此网络改造必须要将数据和视频/IP电话分开。

网络改造方案设计原则

　　先进性：

　　采用先进成熟的概念、技术和方法，能支撑各种现在与未来一段时期的主流网络应用，又具有发展潜力，包括基础方案、扩展方案和治理方案。

　　可行性：

　　所设计的方案能够充分考虑单位网络的特点和应用对象的技术、资源、治理等方面的约束，并能很好地结合使用网络产品特点进行方案的设计。

　　灵活性：

　　按照模块化、层次化的原则设计网络，网络具有较好的伸缩性、可以根据网络建设的不同阶段灵活配置和扩展，具有能不断吸收新技术、新方法的功能。

　　实用性：

　　网络易维护、易治理，可实施性好。

　　可靠性：

　　能利用产品自身特色，保证网络系统运行稳定可靠、高效。充分显示先进性等；

外网和内部局域网的改造

　　目前的电信运营商提供的宽带接入方式主要有ISDN、ADSL、Cable Modem、STB机顶盒以及DDN专线、ATM（异步传输模式）网、宽带卫星接入等几种。为了企业业务工作的需求，这次单位采用电信的10M的DDN宽带接入方式。

　　数字数据网(Digital Data Network)是利用数字信道传输数据信号的数据传输网，它的传输媒介有光缆、数字微波、卫星信道以及用户端可用的普通电缆和双绞线。利用数字信道传输数据信号与传统的模拟信道相比，具有传输质量高、速度快、带宽利用率高等一系列优点。DDN向用户提供的是半永久性的数字连接，沿途不进行复杂的软件处理，因此延时较短，避免了分组网中传输时延大且不固定的缺点；DDN采用交叉连接装置，可根据用户需要，在约定的时间内接通所需带宽的线路，信道容量的分配和接续在计算机控制下进行，具有极大的灵活性，使用户可以开通种类繁多的信息业务，传输任何合适的信息。

　　现在我们常见的固定DDN专线按传输速率可分为14.4K、28.8K、64K、128K、256K、512K、768K、1.544M（就是常说的T1线路）及44.763M（T3）九种目前DDN可达到的最高传输速率为155Mbit/s，平均时延≤450us。 但DDN专线不仅需要铺设专用线路从用户端进入主干网络，所以使用专线除了要和使用拨号上网一样要付两种费用：一是电信月租费，就像拨接上网要付电话费一样；另一种费用则是网络使用费，另外还有电路租用费等费用，用户端还需要专用的接入设备和路由器。

　　由于单位使用DDN专线，电信给了7个公网IP地址（C类地址），基本上满足了WEB、MAIL、FTP、视频以及论坛等服务器需求。因此为了外网的安全，也购买了VPN网关（含防火墙）代理原先的代理服务器，通过NAT地址转换，以及根据单位部门的不同要求划分了不同的VLAN，服务器放在防火墙的DMZ区，PC机与服务器实现有条件的相互之间互防。并且在防火墙设置上网IP地址和机器网卡的MAC地址帮定，杜绝了内部局域网盗用IP地址而不能上网的怪现象。

　　单位的内部局域网的主交换机采用三层交换机，楼层接入采用二层可网管交换机，统一采用相同的交换机品牌，更换了原先的各种杂牌和HUB，网络性能达到很大提高。局域网采用专用的防病毒服务器和SMS补丁服务器，满足客户端安装和升级补丁、防病毒软件与更新病毒库的要求。网络结构图如下图1：

信息专网的改造

　　原先的2M SDH组建的专网根据视频会议和IP语音电话的业务要求，继续使用，只作为开视频会议和打IP电话使用，不跑业务数据，如下图2所示。

　　信息系统行业内的数据传输采用VPN网络接入解决方案，在原有的企业Internet就可以使用VPN组网，基于宽带 INTERNET 的 VPN 互联方式以其低成本、高效率的解决方案正日益受到推崇。

　　SSL VPN 的突出优势在于 Web 安全和移动接入。 SSL 在 Web 的易用性和安全性方面架起了一座桥梁。目前，对 SSL VPN 公认的三大好处是：首先来自于它的简单性，它不需要配置，可以立即安装、立即生效；第二个好处是客户端不需要安装，直接利用浏览器中内嵌的 SSL 协议就行；第三个好处是兼容性好，可以适用于任何的终端及操作系统。

　　但 SSL VPN 并不能取代 IPSec VPN 。因为，这两种技术目前应用在不同的领域。 SSL VPN 考虑的是应用软件的安全性，更多应用在 Web 的远程安全接入方面；而 IPSec VPN 是在两个局域网之间通过 Internet 建立的安全连接，保护的是点对点之间的通信，并且，它不局限于 Web 应用，而是构建了局域网之间的虚拟专用网络，功能和应用的扩展性更强。因此我们选购的VPN网关产品具有IPSEC/SSL 一体化 VPN 平台，满足信息系统行业数据安全传输的要求，也代替了原先移动用户的拨号上内部局域网的难题，如下图3所示：

小结

　　企业或行业的网络改造一般是不可能一步到位的，随着企业或行业业务发展的需要而设计；另外就是网络技术的不断发展，出现更好的网络新产品。因此网络改造一方面能尽量做到利用原先的设备产品，另一方面在使用新网络产品上要考虑未来几年来技术的发展，便于升级产品可以再使用，保护IT资产投资连续性。