网络改造方案说明

    外网和内部局域网的改造

    大家知道，目前的电信运营商提供的宽带接入方式主要有ISDN、ADSL、Cable Modem、STB机顶盒以及DDN专线、ATM（异步传输模式）网、宽带卫星接入等几种。为了企业业务工作的需求，这次单位采用电信的10M的DDN宽带接入方式。

    数字数据网(Digital Data Network)是利用数字信道传输数据信号的数据传输网，它的传输媒介有光缆、数字微波、卫星信道以及用户端可用的普通电缆和双绞线。利用数字信道传输数据信号与传统的模拟信道相比，具有传输质量高、速度快、带宽利用率高等一系列优点。DDN向用户提供的是半永久性的数字连接，沿途不进行复杂的软件处理，因此延时较短，避免了分组网中传输时延大且不固定的缺点；DDN采用交叉连接装置，可根据用户需要，在约定的时间内接通所需带宽的线路，信道容量的分配和接续在计算机控制下进行，具有极大的灵活性，使用户可以开通种类繁多的信息业务，传输任何合适的信息。

    现在我们常见的固定DDN专线按传输速率可分为14.4K、28.8K、64K、128K、256K、512K、768K、1.544M（就是常说的T1线路）及44.763M（T3）九种目前DDN可达到的最高传输速率为155Mbit/s，平均时延≤450us。 但DDN专线不仅需要铺设专用线路从用户端进入主干网络，所以使用专线除了要和使用拨号上网一样要付两种费用：一是电信月租费，就像拨接上网要付电话费一样；另一种费用则是网络使用费，另外还有电路租用费等费用，用户端还需要专用的接入设备和路由器。

    由于单位使用DDN专线，电信给了7个公网IP地址（C类地址），基本上满足了WEB、MAIL、FTP、视频以及论坛等服务器需求。因此为了外网的安全，也购买了VPN网关（含防火墙）代理原先的代理服务器，通过NAT地址转换，以及根据单位部门的不同要求划分了不同的VLAN，服务器放在防火墙的DMZ区，PC机与服务器实现有条件的相互之间互防。并且在防火墙设置上网IP地址和机器网卡的MAC地址帮定，杜绝了内部局域网盗用IP地址而不能上网的怪现象。

    单位的内部局域网的主交换机采用三层交换机，楼层接入采用二层可网管交换机，统一采用相同的交换机品牌，更换了原先的各种杂牌和HUB，网络性能达到很大提高。局域网采用专用的防病毒服务器和SMS补丁服务器，满足客户端安装和升级补丁、防病毒软件与更新病毒库的要求。网络结构图如下图1：

图1 点击放大

    信息专网的改造

    原先的2M SDH组建的专网根据视频会议和IP语音电话的业务要求，继续使用，只作为开视频会议和打IP电话使用，不跑业务数据，如下图2所示。

图2 点击放大

    信息系统行业内的数据传输采用VPN网络接入解决方案，在原有的企业Internet就可以使用VPN组网，基于宽带 INTERNET 的 VPN 互联方式以其低成本、高效率的解决方案正日益受到推崇。

    SSL VPN 的突出优势在于 Web 安全和移动接入。 SSL 在 Web 的易用性和安全性方面架起了一座桥梁。目前，对 SSL VPN 公认的三大好处是：首先来自于它的简单性，它不需要配置，可以立即安装、立即生效；第二个好处是客户端不需要安装，直接利用浏览器中内嵌的 SSL 协议就行；第三个好处是兼容性好，可以适用于任何的终端及操作系统。

    但 SSL VPN 并不能取代 IPSec VPN 。因为，这两种技术目前应用在不同的领域。 SSL VPN 考虑的是应用软件的安全性，更多应用在 Web 的远程安全接入方面；而 IPSec VPN 是在两个局域网之间通过 Internet 建立的安全连接，保护的是点对点之间的通信，并且，它不局限于 Web 应用，而是构建了局域网之间的虚拟专用网络，功能和应用的扩展性更强。因此我们选购的VPN网关产品具有IPSEC/SSL 一体化 VPN 平台，满足信息系统行业数据安全传输的要求，也代替了原先移动用户的拨号上内部局域网的难题，如下图3所示：

图3 点击放大

     小结

    企业或行业的网络改造一般是不可能一步到位的，随着企业或行业业务发展的需要而设计；另外就是网络技术的不断发展，出现更好的网络新产品。因此网络改造一方面能尽量做到利用原先的设备产品，另一方面在使用新网络产品上要考虑未来几年来技术的发展，便于升级产品可以再使用，保护IT资产投资连续性。