一、功能汇总
二、功能介绍
1、路由选路
极简出口解决方案提供了多种选路方式满足不同场景需求,这些选路方式统称为智能选路功能。客户可根据实际需求选择一种或多种选路方式搭配使用。
    部署建议:
      当存在多线路时,不同运营商需要使用相应的DNS地址去解析网址,但终端不能根据运营商线路智能选择相应的DNS解析域名,从而导致用户出现跨运营商访问引发网络卡段。 这时就需要部署DNS策略。
     如果在内网存在一台DNS服务器,内网用户DNS地址都设置为该服务器。而且该DNS服务器可智能为终端欲访问的网址返回正确的运营商地址,那么出口可不用部署DNS策略。
目前智能选路包括 基于用户组选路、基于运营商地址选路、策略选路、URL选路和源进源出(RPL)等功能,具体功能介绍如下:
·基于用户组选路【需要与SAM联动,配合策略路由使用】
使用场景
多个运营商线路,需要实现电信用户必须从电信出口访问Internet、联通用户必须从联通出口访问Internet、移动用户必须从移动出口访问Internet、教育网用户必须从教育网访问Internet
功能简介:
出口设备根据用户认证时在SAM上绑定的用户组信息(出口联动策略)为用户数据选路。该功能需要与SAM联动并配合策略路由使用。
关键命令:
user-group LT-2M
access-list 100 permit ip user-group LT-2M any
·基于运营商地址选路【需要手动导入ISP地址库】
使用场景
实现内网用户访问某一运营商的数据走特定的线路。
功能简介:
将不同运营商的IP地址库(一些目的地址段集合)导入出口设备,在设备上配置基于该地址库的路由命令,从而自动识别运营商地址。
关键命令:     
route-auto-choose cnii gigabitEthernet 0/1 202.100.12.5
·策略选路
使用场景
为特殊的目的网段(比如教育网地址段)或 内网指定网段(比如办公区、学生区、家属区)走不同的出口访问网络。
功能简介:
使用policy route-map(策略路由)将被ACL匹配到的数据转发到某个线路(出接口的网关地址),要求用户数据报文能被ACL定义到(参数可以是ip地址段、协议号、user-group等)。
关键命令:     
ip policy route-map test
set ip next-hop 202.2.2.2

·负载均衡
使用场景
对去往某一段目的地址有多条路径时(比如两条不同出接口的默认路由)配置负载均衡策略
功能简介:
策略方法有负载优先策略(load)和哈希策略(hash),默认是负载优先策略。
负载:根据接口下的bandwidth减去接口当前流量的比值进行数据报文负载;
hash:使用hash算法,对数据报文进行随机转发
同源通出口:默认同一个源地址的报文可能会从不同出口转发报文,在一些应用场合或应用(比如游戏等),需要保证同一个源 IP 的报文从同一个出口出去。
关键命令:
开启负载均衡策略功能:mllb enable
负载优先策略:mllb policy  load
哈希策略:mllb policy  hash
同源通出口:mllb load-sharing original     
·RPL(源进源出)
使用场景
       外网终端访问内网服务器(已在出口做了端口映射)时,要求该数据从外网哪个接口进入设备,回复报文也从该外网接口回去,避免因为来回路径不一致被内网防火墙等安全设备阻断引发访问失败。
功能简介:
       路由器在建立流表时,可根据首个数据包所流入的端口进行缓存,对同一个数据流中回应的数据包优先匹配流表,并直接从入端口转发回应数据包(不优先查找路由表或策略路由表,与防火墙类似的基于状态转发的工作机制)。该功能要求路由器连接内网的所有线路必须在同一张线卡上。
关键命令:     
ip reverse-path
2、NAT功能
    部署建议:
 运营商的公网线路必须在部署NAT功能后内网用户才能使用该线访问英特网,而教育网或其他专线线路大多数不用部署NAT功能。
如果NAT功能已经在其他设备上部署,那么可不用再出口设备上部署NAT功能。
       使用场景
外线路为公网线路,内网用户的终端使用的是私有地址,需要实现内网用户通过该公网线路访问公网(internet)。
功能简介:
NAT与普通场景的功能和用法一致,包含端口映射、静态映射、PAT等。
关键命令:   
ip nat inside
ip nat outside
3、用户带宽限速
需要对内网经过RSR77/77-X路由器转发的数据进行带宽限速,目前设备支持基于IP带宽限速、基于账号带宽限速 和 单运营商多线路限速。
·基于IP带宽限速
   使用场景
需要对内网经过RSR77/77-X路由器转发到某一条外线路的用户进行带宽限速,用户可以用ip或用户组(user-group)表示。
   功能简介:
先使用ACL对要限速的用户IP或用户组进行定义,再在连接某一条外线路的接口上使用ip rate-limit 命令进行限速配置。限速执行的顺序是按show run时接口下的ip rate-limit命令从上到下匹配,未能匹配到permit语句的将会继续往下匹配,直到命令结束。
   关键命令:     
ip access-list extended 110 --->创建编号为110的ACL
ip rate-control 110 bandwidth both 1024  --->每用户上下行流量限速为1024KBps;请务必注意单位为KBps(运营商带宽单位为Mbps,1MBps=1000KBps=8Mbps)
·基于账号带宽限速
    使用场景
需要对内网经过RSR77/77-X路由器转发到某一条外线路的用户进行带宽限速。用户的一个账号可以多个终端同时在线,要求对这多个终端限速共享固定的带宽值,且这些终端都是通过同一个外线路上网。
   功能简介:
先使用ACL对要限速的用户IP或用户组进行定义,再在连接某一条外线路的接口上使用ip rate-limit base-account命令进行限速配置。限速执行的顺序是按show run时接口下的ip rate-limit命令从上到下匹配,未能匹配到permit语句的将会继续往下匹配,直到命令结束。
   关键命令:     
ip access-list extended 110 --->创建编号为110的ACL
ip rate-control base-account 110 bandwidth both 500 --->限速带宽值的单位为KBps,500KBps=4Mbits/S(运营商带宽单位为Mbps,1MBps=1000KBps=8Mbps)
·单运营商多接口带宽限速
    使用场景
需要对内网经过RSR77/77-X路由器转发到某一运营商线路的用户进行带宽限速。该运营商存在多条外线路,内网用户可以同时通过该运营商的多条线路访问外网,要求对同一个用户在多条外线路上的带宽进行限速,实现单个用户的上网带宽固定。
   功能简介:
需求同一个运营商的多个线路都在接RSR77/77-X路由器的同一张线卡上,先使用ACL对要限速的用户IP或用户组进行定义,再在全局使用ip rate-control Rate-Slot 命令进行限速配置。限速执行的顺序是按show run时ip rate-limit Rate-Slot命令从上到下匹配,未能匹配到permit语句的将会继续往下匹配,直到命令结束。
   关键命令:     
ip access-list extended 110 --->创建编号为110的ACL
ip rate-control Rate-Slot 1/1 120 bandwidth up 256 down 256--->在1/1槽位的线卡上对ACL 120定义的数据进行下限速,每IP上下行限制为256KBps(运营商带宽单位为Mbps,1MBps=1000KBps=8Mbps)  
4、DNS策略
        校园网络的终端固定设置DNS地址,但出接口一般为多运营商外线路。如果某一用户的DNS地址设为电信,那么通过电信DNS解析的某些域名(或应用)时电信网中的地址,但该用户指定走的是联通线路,这将出现“跨运营商访问”(通过某一个运营商线路访问另一个运营商资源地址),导致用户访问速度很慢甚至无法访问。因此需要制定正确的DNS策略,保证用户向正确的DNS服务器解析域名,避免出现“跨运营商访问”现象。
·DNS正向代理
  使用场景:
内网用户统一设置或自动获取到固定的DNS地址,要求实现用户(或不同的用户)走不同外线路时,向各自运营商的DNS服务器发送域名解析。
   功能简介:
需要保证内网用户的DNS解析报文通过RSR77/RSR77-X路由器上,在路由器上配置内网DNS与该线路的公网DNS一一对应的转换关系,当目的地址为设置的固定DNS地址时,路由器将会替换该DNS报文的目的地址为该线路的公网DNS地址。
   关键命令:   
Ruijie(config)#smart agent-map DX          --->定义名为DX的代理图
Ruijie(smartdns-map)#dns 172.10.1.1 202.97.7.6   --->配置代理关系:将目的地址为172.10.1.1(内网终端上自动获取或设置的DNS地址)的DNS请求报文代理(替换)为目的地址为202.97.7.6 。
Ruijie(config-if-GigabitEthernet 1/1/1)#smartdns agent-map DX   --->在出接口下应用名为DX的DNS代理图
·DNS重定向
  使用场景:
内网用户统一设置或自动获取到固定的DNS地址,DNS报文统一经过RSR77/77-X路由器到外网。但是内网某些服务器的域名需要通过内网的DNS服务器解析(解析成内网地址,直接通过内网访问服务器)。
   功能简介:
        需要保证内网用户的DNS解析报文通过RSR77/RSR77-X路由器上,在路由器上设置url关键字,深度解析DNS请求报文,能将匹配已设置的关键字的DNS请求报文重定向到指定的到相应的DNS服务器地址或出接口。
        当终端设置的DNS服务器地址为内网的DNS时,DNS重定向只要将DNS重定向到某一个接口即可;当终端设置的DNS服务器地址为内网的DNS时,DNS重定向需要将DNS报文地址更改为内网DNS服务器,同时需要对被重定向的DSN报文的源地址也进行转换,这才能保证DNS报文来回路径一致(如果不将源地址进行转换,DNS服务器会通过内网直接对客户端回包,由于该报文的源地址不是客户端请求的DNS服务器地址将被丢弃)。
   关键命令:   
Ruijie(url_match_list)#url-key-word edu       --->一般的教育资源URL的特征里包含有“edu”,比如中国教育网“www.chinaedu.edu.cn”
Ruijie(config-if-TenGigabitEthernet 1/1/1)#dns-redirect url-match-list 1 GigabitEthernet 1/1/4 nexthop 172.8.8.8    --->内网接口应用。将命中URL关键字列表的DNS请求发往172.8.8.8(出接口的下一跳地址)
·DNS智能应答
  使用场景:
      将内网服务器的服务映射到外网的不同线路, 同时学校的DNS服务器维护这该服务器的域名解析服务。当外网的DNS请求从上一级DNS服务器发送到校内DNS服务器解析,校内DNS应答WEB服务器地址,但需要实现外网不同运营商的终端请求域名时返回相应运营商的映射地址,避免出现因为“跨运营商访问”现象,造成映射的服务访问缓慢甚至无法访问。
  功能简介:
        需要保证内网用户的DNS解析报文通过RSR77/RSR77-X路由器上,在路由器上设置智能DNS映射条目,结合基于运营商地址库选路功能,实现根据源地址的运营商回复相应线路的服务地址。
   关键命令:  
Ruijie(config)#smartdns enable  --->开启DNS智能应答功能
Ruijie(config)#smartdns 172.10.5.2 gigabitEthernet 1/1/1 map 202.97.90.36     --->根据出口不同,把DNS智能映射为对应线路的公网地址
5、用户日志
支持NAT日志和URL日志输出,只与ELOG服务器对接。
参考:功能介绍和配置->Elog联动
   6、抗攻击加固
出口设备比较容易受到来自Internet和内网的攻击,在实际情况中大致有几类攻击和解决办法。
·黑洞路由:
对出口上NAT地址池和端口映射的公网地址配置黑洞路由:Internet向地址池的IP发起的连接或攻击将在RSR路由器上被丢弃,避免路由环路或过多报文上控制面CPU。
流攻击保护(ip fpm session-filter XX)
外网主机攻击设备时,攻击会话可达数十万、甚至上百万,这将导致设备性能(流表)被消耗殆尽。在互联网出口上,经常会遇到这种情况。
可以通过流平台ACL过滤,配置举例如下:
ip access-list extended 190
1 deny ip host 183.207.129.108 any
2 deny ip any host 183.207.129.108
10 permit tcp any any eq telnet
20 permit ip any any
ip fpm session filter 190
·会话数限制(ip fpm session-filter XX session-num XX)
       并发会话数限制主要是针对会话攻击,具体的表现是某台电脑或服务器中毒,发大量的目标IP和端口随机的报文,每秒新建会话数会有数万,并发会话数会达到几十甚至上百万,大量的瞬间新建会话会导致设备新建会话资源不足,导致正常用户无法上网丢包。
设备防攻击模块就是对需要进入控制层面处理的数据报文进行分类,过滤,限速,从而达到保护控制层面的关键资源的目的
注意:
流攻击保护和会话数限制功能虽然命令相似,但是两个功能效果不一样:
    1、如果只有流会话限制,那么只有被流会话限制的ACL匹配/允许(permit)的数据才会被限制会话数,其他数据不起作用;
    2、如果只有流攻击保护,那么只有被流攻击保护的ACL匹配允许的(permit)的数据才会被转发,其他数据无法转发;
    3、如果流攻击保护和会话数限制两个功能同时存在,那么只有被流攻击保护的ACL匹配允许的(permit)的数据才会被转发。而在被转发的数据中有被流会话限制的ACL匹配/允许(permit)的数据才会被限制会话数,其他能转发的数据会话数不会受限制;即数据得先能转发,才有可能会限制会话数。
·线卡流表容量调整
      线卡默认对IPV4和IPV6数据都分配了流表数量。如果网络中IPV6或IPV4流表需要调整,那么可以调低一方的流表数量,再调高另一方的流表数量,满足客户需求。但是线卡的流表总数是不会改变的。
注意:
    调整流表将导致所有转发信息重置,会引发断网。
·SAM连接限制
路由器是被动地接受联动连接,因此需要指定联动的SAM的IP地址,防止网络中使用联动端口对路由器设备进行恶意攻击。
·OSPF GR
GR 是 Graceful Restart(优雅重启),主要是为了实现在协议的重新启动过程中数据转发不间断。在管理板主备切换过程中, GR 功能使网络拓扑保持稳定,维持转发表,保障关键业务不中断。
·CPU资源保护:
设备防攻击模块就是对需要进入控制层面处理的数据报文进行分类,过滤,限速,从而达到保护控制层面的关键资源的目的
7、WEB认证
路由器与SAM+、eportal等设备联动实现内网用户的WEB认证准出,具体参考 02 功能介绍和配置 -- 08 WEB认证
8、BRAC认证
运营商提供PPPOE集中线路接入出口路由器,内网用户使用内网认证(一般在内网核心交换机上的WEB认证),再由内网的SAM触发出口路由器(RSR77/77-X系列路由器)PPPOE代理认证。 具体参考 02 功能介绍和配置 -- 09 BRAC认证
9、其他功能
端口聚合、光电复用等, 具体参考 02 功能介绍和配置 -- 10 其他功能配置