网络现状

现今企业的发展，不仅需要拼硬实力，更比拼信息化谁更先进的时候，信息化的高速发展离不开基础网络的支撑，因而各企业也越来越重视基础网络的建设，网络越大则终端越多，但管理问题随之而来，于是有了网络分离的概念，在现在网络融合的趋势下，大家都在谈多网合一，那为什么还要逆势而行呢，到底是分还是不分呢? 我们注意到现在越来越多的企业，特别是大型企业，各种网络终端在不断增加，业务系统也日益复杂，管理难度不断增大，迫切有着分离而简化管理难度的需求，而从业务逻辑上各个业务系统之间又需要相互交换数据，似乎不分又更好，对于单位的信息化人员来说，网络是否分离是一个颇具争议的话题。

网络规划

其实网络需不需要分离，大家都有自己的看法，似乎都有道理，但分与不分应该根据每个企业的网络大小，终端多少，维护人员的水平和能力以及实际情况来决定，网络是否分离其实应该换一个说法更确切，即到底是物理分离还是逻辑分离？所谓逻辑分离，就是使用一套核心交换机及其它网络设备搭建多套网络，通常采用划分VLAN的方式来将两套甚至三套不同的网络逻辑上隔离开，并且在交换机上面设置路由使内外网区域之间的VLAN不能互相访问，即做到了逻辑分离。这样做的好处是在网络出现需要互通，比较容易进行设置，不需要更改线路，那么缺点是网络处于逻辑隔离，对于网络的稳定性、隔离性并不能管理的很好，稍微懂一点网络常识的用户就会想到在内外可以同时访问的电脑上，架设代理服务器，内网的电脑通过这台代理服务器中转后也可以访问外网，给网络的管理者带来了不小的麻烦，而物理隔离的内外网，即使你在外网的电脑上架设代理服务器，由于物理上的不连通，内网的电脑，也是无法访问到外网的，网络的安全性和隔离性大大加强。在内外网分离之前，同时可以上内外网的终端都是内外网的连通点，而在分离之后，只有通过网闸这一个节点，才能连通内外网，网络的可控性、安全性、易维护性大大增强。并且在实际工作中完全没有数据交换的网络是不存在的，内外网之间也要进行通信，对于处在内网，但需要访问外网的电脑，我们通过网闸进行映射，例如：对于在内网中需要访问的互联网IP地址，通过网闸向内网电脑进行开放。而对业务系统之间的数据交换，无论是内外向外网传送，还是外网向内网传送，我们均通过接口改造，把中间库、视图等接口统一转换为web service交换数据，这样一来，无论面对何种应用场景，我们始终坚持分离的原则进行规划和执行。但对于信息部门这样一个特殊的部门来说，有时候在进行开发或网络维护时，需要在同一台电脑上同时访问内网和外网又怎么办呢？我们的做法是将信息部门的这些电脑，通过多WAN口的路由器来接入网络，比如单位如果有内网、外网、设备网这样三套网络，我们选择了一台3WAN口的路由器接入所有的终端。

分离后的利与弊

采用物理分离以后，同一台电脑，需要既上内网也上外网的情况下，就需要增加隔离卡，并且在每次切换网络的时候需要重启，会让用户稍稍感到不便。但同时也会带来一点点额外的好处，比如：以前逻辑分明是需要开设外网，只需要我们在VLAN上面做稍许设置，现在开通外网，要么需要新购电脑，要么需要增加隔离卡，无形上增加了科室的支出和申报的“麻烦”，虽然这不是我们的本意，但在客观上也减少了一些出于个人目的随意申请开通外网的行为，在一定程序上规范了信息部门的网络管理。

虚拟桌面在内外网分离中的应用

随着虚拟化技术的发展，现在有越来越多的厂商推出了虚拟桌面系统，常见的是VDI和IDV两种方式,特别是最早出现的VDI方式，随着这么多年的不断发展完善，除了能够更好的满足用户的日常办公需求以外，也在一定程度上方便了那些既有内网也有外网办公需求的用户，做法是：可以对需要同时访问内外网的用户开放两个虚拟桌面，分别对应外网和内网，这样用户在不用重启操作系统的情况下，也可以在两套网络之间同时工作。这样就只需要管理少量的虚拟化桌面服务器并做好内外网分区隔离工作即可，这样的方式同样也能保证网络安全。其实对于像医院、学校存在大量复杂业务场景的企业来说，我们并不建议大量使用VDI或IDV的方式来进行日常普通业务人员办公使用，因为许多部门的电脑终端往往会连接各式各样的设备和仪器，而虚拟桌面在这方面兼容性并不特别好，与其花费大量力气去做硬件的兼容和适配，还不如使用普通的PC机来进行管理更为方便。