通过前面两次的介绍(网络之路4:快速上手企业路由器H3C MSR810-W、网络之路5:H3C MSR810配置WLAN和LTE),我们已经大概掌握了如何将其作为一台家用无线路由器来进行配置,并且还介绍了LTE模块的简单配置方法。还是那句话,如果我们抛开它性能比较差的WLAN部分不看,兼职性价比爆表。
除了前面介绍的这些基本配置,MSR810-W还有哪些作为企业路由器才有的高级功能呢?
首先,我们可以在H3C官网打开“导航”,依次选择“产品与解决方案”→“智能联接”→“路由器”,进入到路由器产品的介绍页面。
然后在“选择最适合您业务的产品”中,选择到“H3C MSR系列开放多业务路由器”下面的“H3C MSR 810无线营销路由器产品”,进入MSR 810的产品介绍页面。
在“选配信息”中,我们可以看到该系列所有的产品型号。现在我已经有MSR810-W(企业级6端口千兆无线路由器)和MSR810-LM(MSR810 企业级6端口千兆4G LTE路由器)这两款了。
在“组网应用”中,我们可以看到官方给出的3个典型场景,分别是贴合SDN应用场景的“AD-WAN总部-分支组网”、介绍功能完备性和智能化网络管理的“商业连锁企业组网”和突出产品安全功能的“金融广域网组网”。这些场景使用普通家用路由器基本上是无法满足的。
在“产品特点”中,我们可以看到比较详细的功能介绍,这些基本上都是普通路由器所不能支持的产品能力,比如SDN能力、上网行为管理和审计、VPN和安全防护功能、3G/4G无线通信和智能化网络管理等。
回到MSR810-W的配置页面,我们看看有哪些是普通家用路由器所没有的功能。首先是“网络设置”→“外网配置”中的“修改多WAN策略”,如果同时接入了两条及以上的宽带,我们就可以设置这些链路之间负载策略了。可以是平均分担或按照实际链路带宽分担,也可以是基于运营商进行转发或指定运营商的带宽,这两种都是提高带宽使用率的方法(一条100M宽带 + 一条200M宽带 = 300M,怎么就有人不信呢?);或者指定多链路作为主备链路使用,能提高可靠性,但是不能提高带宽。
当路由器配置了公网地址时,在多WAN场景下,为了确保进入和离开本地局域网的报文通过同一个WAN接口转发回互联网,需要开启“保存接口上一跳”功能。
在“网络设置”的“端口管理”中,支持将LAN侧的二层交换接口切换为三层路由接口使用。我们后面会介绍网络模型,到时候我们就会知道,“二层交换接口是在数据链路层上工作的接口,它们主要用于交换机连接计算机或服务器等网络设备;当数据从一个端口进入交换机时,交换机会根据目标MAC地址将数据转发到正确的端口,二层交换接口只处理MAC地址,不涉及网络层的IP地址。而三层路由接口是在网络层上工作的接口,它们主要用于连接路由器和其他网络设备,当数据从一个端口进入路由器时,路由器会根据目标IP地址将数据转发到正确的端口;三层路由接口可以实现网络的分段和子网划分,并且可以在不同的子网之间转发数据”。
一般的家用路由器可能也支持“NAT配置”,但是企业路由器能支持例如地址池转换、NAT hairpin或NAT ALG等这类高级配置,实现更多功能。
到这里,我们可以发现,“网络设置”中的高级功能大部分是和是否有公网地址、有几条互联网线路、有几个公网IP地址等问题相关的,这些都是普通家用宽带不满足的使用条件。
在“带宽管理”中,我们可以看到普通家用路由器一般都没有的“带宽保障”功能,这能保证我们在上网拥塞的时候优先保证部分用户的流量,或者保证某些应用的流量,提升上网体验。
在“上网行为管理”中,我们可以对用户访问的网址或应用进行控制,并可基于用户组和时间段等限制条件对用户的上网行为进行精细控制。效果可以参考我们之前配置的黑名单(如何通过iptables配置URL过滤黑名单?)或白名单(如何通过iptables配置URL过滤白名单?)。
如果您想使用上网行为管理但是又缺少相关配置经验的话,可以调用系统中预配置的“应用特征库”或“网址特征库”,如果需要更新特征库,就需要额外付费了。
如果启用了应用审计或网址过滤功能,我们还可以设置查看上网行为管理功能的应用控制功能和网址控制功能产生的日志信息,方便管理员对用户的上网行为进行分析与审计,也满足了公安部的审计要求。
在“网络安全”配置中,我们可以启用一些类如DdoS攻击防御、ARP攻击防御之类的高级安全特性。
“认证管理”这个配置就比较厉害了,通过配置Portal认证作为接入认证,可以对用户进行身份认证,以达到对用户访问进行控制的目的;支持WEB网页认证和微信客户端认证两种方式。也可以为不需要通过Portal认证即可访问网络资源的用户设置免认证规则。
“虚拟专网”其实就是VPN技术,也是我们之前做了大量介绍的内容(VPN专辑)。在WEB页面的配置中,仅展示了IPsec VPN和L2TP VPN的相关配置,像GRE VPN、ADVPN、MPLS VPN等高级VPN配置,就需要在命令行进行配置了。
在“高级选项”中,我们可以配置静态DNS或动态DNS(DDNS配置详解),还可以配置静态路由或策略路由,还有监控设备状态的SNMP(Simple Network Management Protocol,简单网络管理协议)协议、通过ACS(Auto-Configuration Server,自动配置服务器)对CPE(Customer Premises Equipment,用户侧设备)进行远程集中管理的CWMP(CPE WAN Management Protocol,CPE广域网管理协议)等。
在“系统工具”中,我们还可对接口的流量进行镜像,还可以进行抓包;还可以一键收集设备的诊断信息,这个“诊断”将是后面处理问题时的一个重要文件信息,包含了各个功能模块的运行信息,可用于定位问题。
以后在“远程管理”中,我们将开启命令行配置,常用的一般是Telnet或SSH。
除了我们前面介绍的特征库升级需要License授权,还有上图中的这些功能,都是需要购买产品授权才可以使用的功能。
如果您对产品的功能或配置还有其他疑问,也可以参考“系统工具”中的“用户FAQ”菜单,里面记录了一些其他用户常见的一些问题。
其实,H3C这类企业级的设备,配置大多是通过命令行实现的,正如我们今天所看到的,Web页面只是其中的部分配置,就已经如此强大了,可想而知后面的命令行世界会是多么的精彩!