由于当前公司的路由器属中低端产品，上网行为管理功能非常有限，存在诸多管理上的弊端，无法有效的、合理的分配网络资源，从而影响到大多数同事的正常工作。
综上所述，解决方案部特制订此方案。

　　本方案拟采用海蜘蛛软路由来替换当前的TPLINK-R480T路由器。

　　一、 海蜘蛛软路由器概况
　　海蜘蛛路由运行于 x86-CPU 硬件架构（即普通PC机）上的软路由系统，它基于Linux 系统内核开发，支持WEB与命令行模式管理。
更多相关信息：http://docs.hi-spider.com/install_guide/

　　１.最低硬件配置
　　由于其运行于LINUX环境，因此对硬件性能要求较低，结合公司目前的试用情况来看，一台普通的PC机完全可以满足现有情况。

　　2.路由负载能力测试(数据来自3月24日的实际运行数据)

　　根据以上报表统计，目前的PC硬件环境完全可以胜任当前的网络状况，不需要单独购买硬件设备！

　　3.海蜘蛛路由主界面

　　二、 企业网络拓扑

　　三、当前的网络应用情况及解决办法
由于网络应用较多，涉及到专业术语，范围也较广，因此本方案只介绍目前涉及到的、最关心的网络应用情况。

　　１.IP地址不足
　　目前公司已有员工近130人（根据最新通讯录计算），按预想的网络规划，每个用户至少分配2个IP的原则（有线+无线），至少需要260个IP地址。由于目前的路由设备只能分配254个IP地址，因此，此规划一直未启动。

　　解决办法：使用海蜘蛛路由后，可通过减少IP子网掩码，合理扩展到510个IP地址，届时可按规划，每个部门分配一个固定的IP地址段（并且保证有足够的冗余空间，以便扩充成员）。

　　2.MAC地址无法强制绑定（用户可以随意更改IP）
　　什么是MAC地址绑定：将1个IP绑定1个MAC地址（也指1个IP地址绑定到1块网卡）。MAC地址绑定分普通绑定和强制绑定，强制绑定后当IP与绑定的MAC地址不符时，路由器即不响应相应“非法”请求。

　　目前公司的设备无法做到强制绑定，因此，用户可以随意更改IP地址，导致IP地址冲突，也因此，无法控制单个IP的流量，导致事先登记的MAC\IP地址表失真。

　　解决办法：海蜘蛛路由可以强制绑定MAC地址，一旦用户修改IP地址，即无法上网。因此可以有效的规划IP地址，维护真实MAC地址表。

　　3.带宽无法得到有效控制\P2P(BT)软件无法限速
目前网络管理员仅能通过监控流量被动的监视网络流量的使用状况，监视到流量超高的IP后，再根据事先记录的IP与MAC关系表，反查相应使用者，效率极低，无法控制P2P（BT）软件下载。

　　解决办法：使用海蜘蛛路由后，可以通过全局策略定义全局流量，定义的全局设置可以添加“例外”，并且多个策略间可以设置优先级与时间段。“例外”可以保证在全局范围内有特殊要求的个别用户不受全局策略的约束。如果事先做好了IP规划，我们可以根据不同部门对流量的要求不同，设置不同策略，以满足不同用户对流量的需求，这些策略同样对P2P(Bt)类软件有效。此外，除可以控制流量外，还可以控制单机的连接数，防止p2p类软件占用大量连接。

　　4.网络流量无法公开透明
　　目前只能由管理员监督网络流量，无法让全体成员监督网络使用情况，员工的自我约束性极差。

　　解决办法：海蜘蛛路由可以创建普通管理员帐号，定义管理员权限，向全体员工公开此账号，以便大家共同监督流量信息，并且可以直观的看到IP对应的使用者，如此可以大大增加员工的自我约束性。

　　5.VPN应用（虚拟局域网）
　　有些工作需要外部网络与公司网络形成局域网才能实现，例如销售部同事希望演示产品给客户，或客户希望直接试用某些产品，而有些应用必需在局域网内才能实现。目前的路由器不支持VPN（虚拟局域网），除非在客户与同事之间安装第三方VPN软件来实现，但第三方软件专业性较强，某些用户可能无法接受。

　　解决办法：海蜘蛛路由器自带VPN功能，创建VPN账号后，可以让外部网络拔入公司网络，组建“虚拟局域网”。而客户端只要创建一个VPN链接，即可拔入公司网络。

　　6.相同应用服务器无法同时向外发布(自定义端口映射\转发)
目前公司有近15台服务器，部份服务器需要发布到外网，但发布到外网需要开放相应端口，由于目前路由不支持端口转发，因此无法将多个相同的应用服务器（例如多台WEB服务器的80端口）向外发布——除非修改服务器内上的默认端口，否则无法发布。

　　解决办法：海蜘蛛路由器可以自定义端口，并且支持端口的转发功能，因此可以在不修改服务器配置的情况下，将内部多台相同的应用服务器向外发布。实现将来自外部不同的端口访问，转发至内部不同的IP相同的端口上。

　　四、网络流量控制规划
　　规划使用DHCP分发IP地址，DHCP－IP地址池：192.168.0.1-192.168.1.254/23（共510个可用IP），且启用MAC-IP地址强制绑定功能。

　　1.IP地址规划
　　规划将IP地址范围扩展至510个，不同部门分配不同的IP范围，并且保留足够的冗余空间以便扩充成员。这样做的好处是：可以在路由上根据部门的网络段设置相应流量策略，控制不同部门对网络的不同需求。

　　IP地址规划范围：192.168.0.1-192.168.1.254/23　共510个可用IP。
　　IP地址分配原则：见表1

　　部门IP地址规划：见表2

　　2.MAC地址绑定规划
　　根据表2将所有用户的IP地址与MAC地址强制绑定，并且绑定至用户名，以便大家监督流量时，可以直观的查看到相应人员。

　　3.流量控制策略规划
　　流量控制除技术上控制外，仍然结合之前发布的《IT行为管理办法》进行控制，同时将路由器的流量监控普通账号向全体员工公示，以便大家共同监督，约束员工的自觉行为。
流量策略如表3，当有用户对流量有特殊要求时，可在全局策略中，添加“例外”以将其排除在控制范围内，任务结束后再恢复。

说明：优先级数值越低，优先级越高

采用上面的方案后，以前在网络中出现的问题明显得到改善，在网络控制与管理功能上有很大的突破，可以有效的、合理的分配网络资源，从而让同事都能高效的完成工作。公司的领导也非常认同这款软件。