现实网络组网分析

先看一个实际案例：

案例出处：http://zhidao.baidu.com/question/244623928.html

主题：公司搬家，要重新设置路由器及网络配置。解决时间：2011-5-26 13:44 提问者：

问： 现有设备是飞鱼星VE1000、深信服S5100 VPN 和几台交换机，联通给了一个外网的 IP 别的就不管了，现在我不知道该从何下手，请各位帮帮忙吧，不胜感激！

最佳答案：网络的连接方式很简单，联通的外网线接飞鱼星 WAN 然后LVN口连接你的电脑和s5100 vpn设备！把你的电脑设置成S5100 的同网段（如不知道请查看深信服配送的深信服用户手册），设置深信服后 把飞鱼星里的外网ip设置好， 在控制里放开深信服对应网关就可以了！至于VPN的设置，深信服有配送VPN使用手册吧，这两本手册都是白色的书！ 如果没有！找深信服客服吧。

追问：谢谢，飞鱼星设置外网ip，那么深信服vpn还需要设置吗？都需要设置什么？因为没搬之前就是在用的，搬了以后只是外网IP发生了变化，可不可以不用设置VPN？

回答：如果你过去深信服的限制都是不变的！那就不用动！只需要更改飞鱼的外网也就是WAN口的设置就可以了！但前提你要知道飞鱼星和深信服的上下级关系！如果深信服在上！就从新设置深信服的外网！飞鱼星不用变！理论上一般是深信服在外网的！这样的话！改变深信服的外网连接设置和ip后！还要修改VPN的指向！不然登陆vpn时会出现错误！

上面案例中提到的飞鱼星VE1000，是上网行为管理路由器，专为中小企业、政府机关、教育及科研机构等用户设计，是具备“ 上网行为管理”、“多WAN路由器”以及“VPN网关”多重功能的新一代硬件网络接入设备。下面是飞鱼星官网上的组网拓扑图：

飞鱼星的上网行为管理路由器介绍：

多条宽带接入，提高网速又省钱

提供2~4个WAN口，可以使用多条ADSL取代光纤，或增加 ADSL提升带宽，节省费用并且降低“单线故障”的风险。智能实现“电信数据走电信线路，联通数据走联通线路”，并支持在线升级策略库，实现多网的高速接入。

它还具有领先的通断检测技术，能智能判断线路状态，如果某条线路出现故障，会自动将相关应用调度到正常线路，确保网络永远在线。支持线路定时切换的数据平滑过渡，减少线路切换时卡机、掉线等现象。

合理分配带宽，网络不卡不掉线

免配置智能流控（Smart QoS Ⅱ）通过对各类应用的深度识别、分类管理、分级处理，始终让企业关键业务走优先通道，其余流量都给他们让路，保证关键应用如：视频会议、OA系统等永远都不卡！同时还能把剩余带宽分配给其他用户或应用（例如文件下载、在线视频），实现带宽合理化、最大化的利用！

针对不同应用设置不同的带宽、连接数以及不同的数据优先级，保证您的核心业务能得到有力的保障。提升带宽使用率，真正做到物尽其用！

P2P软件过滤，防止带宽被暴力占用

P2P技术的发展给互联网带来了极大的促进，给用户带来便利的同时也给网络应用带来了严重隐患。首先P2P软件对带宽暴力占用使企业网络带宽面临严峻挑战。其次P2P软件本身现在也成为众多安全攻击者的目标，利用P2P传播病毒或者隐藏木马成为一种新的攻击趋势。

通过飞鱼星上网行为管理路由器的P2P软件过滤，轻松过滤主流的P2P软件，使企业网络的带宽资源得到最合理的使用。

抵制不良信息

通过黑白名单可以管理企业网络内用户的网页访问。通过白名单来指定企业员工只能浏览的网站（例如工作相关网站）；或者通过名单屏蔽恶意网站或不良网站；结合域名过滤功能，优化关键字，能加强对低俗不良信息的过滤和拦截，大大降低内网用户对不良Web页面的访问。

上网行为管理，杜绝网络“旷工旷课”

飞鱼星上网行为管理路由器能阻止对、、病毒等高风险网站的访问，限制工作无关的网络应用，能有效减少恶意软件的侵扰，使得IT设备维修率下降，企业员工的工作效率大幅提高，工作质量越来越好。通过限制BT、Emule等P2P下载应用的带宽，保证主要业务畅通无阻，加强了对Email、BBS等外发信息的管理，减少了单位信息外泄的可能，从而大大提高了企业员工的工作效率，降低网络泄密的风险。

网址分类管理，轻松过滤与工作无关的网站

能监控所有用户浏览网址的记录，并可禁止访问最热门的10大类网站，它们包括：休闲娱乐、新闻资讯、聊天交友、网络游戏、电子购物、论坛博客、证券基金、电子邮件、网上银行和不良网址等。支持网址分类库自动升级。配合禁止通过IP访问网页、黑白名单以及跳转页面设置，全面管好企业内部的网站访问。能有效的避免在上班时间浏览与工作学习无关网站的现象。

在用户浏览网页的时候，飞鱼星上网行为管理路由器可以提示监管信息，让大家知道哪些操作是被禁止或记录的。这类似公布道路上电子眼位置，公开监管会让企业员工的抵触情绪明显降低。

聊天软件过滤，提高工作效率

很多企业对QQ、MSN等及时通讯软件是又爱又恨，一方面它们是必不可少的信息沟通工具，一方面又最容易让企业员工因私聊耽误工作学习。通过飞鱼星上网行为管理路由器的聊天软件过滤，可轻松管制QQ\MSN\飞信\SKYPE\阿里旺旺等聊天软件，而且可以设置例外的IP地址组（例如让领导不受限制）。更有QQ号码的精细化管理，仅允许使用单位指定的工作QQ，而其他私人QQ无法使用。

股票软件过滤，规范工作行为

不少企业都有部分企业员工利用上班时间炒股的现象，这种行为极大地占用了工作时间，降低了工作效率，而且运行炒股软件还占用了大量的带宽，导致其他企业员工无法很好地利用网络进行工作。

通过飞鱼星上网行为管理路由器的股票软件过滤，可以轻松过滤主流的炒股软件，可以在很大程度上杜绝上班炒股行为，保证带宽资源能够被合理高效地使用。

游戏过滤，防止沉迷网游

企业员工在上班时间玩网络游戏，一方面占用工作时间，严重违反了相关纪律，造成不良影响；另一方面，这些网络游戏又极大的消耗着网络带宽，造成其他企业员工上网堵塞；同时，网络游戏里面常常充斥着、暴力、等信息，有损企业形象。

通过飞鱼星上网行为管理路由器的游戏过滤，可以轻松过滤主流的网络游戏，规范企业员工上网行为，净化企业的网络环境。

邮件监控，防止网络泄密

对内网用户使用邮件客户端（例如OUTLOOK、FAXMAIL等）通过POP3/SMTP协议收发邮件时，进行收发邮件的镜像和监控。

WEB安全管理，减少网络风险

能有效减少内网用户访问网页时被各类木马病毒文件感染的几率。通过禁止WEB页面提交，还能防止用户在网络论坛上发言发帖，避免给企业带来法律风险。

外防攻击，内防病毒

防攻击抗病毒：拥有网络自防御功能，支持内外网攻击防御，提供扫描类、DoS类、可疑包和含有IP选项的包等攻击保护，能侦测及阻挡IP 地址欺骗、源路由攻击、IP/端口扫描、DoS等网络攻击，有效防止冲击波、木马等病毒攻击，有效提高网络可靠性。

网络攻击报警：实时提示内外网攻击信息，快速定位和查找到攻击来源，及时解决网络问题。

全面防御ARP病毒

ARP病毒泛滥是企业网络的一个顽症，ARP病毒经常造成整个网络的频繁断网，极大地影响了企业网络用户的正常使用。飞鱼星上网行为管理路由器通过多种方式能有效解决ARP病毒难题。

方便的ARP欺骗防御：通过免费ARP的定时发送机制，初步防治内网ARP病毒。

可靠的双向绑定：一键完成IP/MAC地址绑定，使ARP表不被轻易更改，有效防范ARP病毒攻击，保障内网运行效率。也能防止部分企业员工私自更改IP，导致IP冲突、网络管理混乱的现象，保证企业网络的合理、规范和高效。

灵活的ARP信任机制：有些环境不适合传统的IP/MAC双向绑定（例如笔记本用户较多的企业），采用ARP信任机制在无双向绑定的情况下，自动学习、判断和更新内网主机的ARP信息，确保路由器获得真实可靠的用户ARP信息，既保证上网的便捷性，又保证上网的安全性。

VPN虚拟专网

企业网络开设VPN虚拟专网，能为出差的企业员工访问单位资源提供了很大的方便，也能使得同系统的多个单位安全快速的互联互通。飞鱼星上网行为管理路由器提供PPTP VPN和IPSec VPN功能，可以实现本地网络与远程网络之间安全加密互访。

飞鱼星上网行为管理路由器还支持网对网的VPN功能，便于企业总部和分支机构的互联互通。

好使用易管理

内网管理轻松直观：通过直观的数据流量图和网络状态报告，每条线路的数据流量都一目了然。您可以实时统计每个IP的累计流量、实时流量、网络连接数等关键指标，全面分析每个IP的网络连接详情，网络问题的定位也易如反掌。还能实时管控每个主机当前的网络连接。并能对异常主机进行远程管控，断掉或恢复该主机的外网链接。

配置备份与导入:可将每种配置文件保存到电脑，需要重新配置路由器时，可导入相应配置文件，缩短配置时间。

使用方便：全中文WEB配置及管理页面，配置简单，不需专业网管。支持免费软件升级功能。

再附一张校园网解决方案图片：

交换机的使用

目前大型网络，比如学校、大公司、大单位等要用到大型的交换机，价格在10万元到20万元之间。对于一个小公司或者部门，用一个24口的低端路由器就可以了。详见我整理的一片文章：交换机介绍及选购全攻略（http://blog.csdn.net/zollty/article/details/6682818）