|
|
今天给大家推荐一个好用的开源路由操作系统---VyOS,也是我个人非常喜欢的一款软路由器。VyOS 是基于 Debian GNU/Linux 的,提供了和其他诸如Cisco的IOS、Juniper的JUNOS类似的操作方式,配置起来感觉特别的舒服,尤其可以使用compare、rollback之类的命令,方便对比配置和错误回滚,深得我心。& ?3 ?, t) U u; u2 Q8 c' F
. |- p7 \7 [+ n8 n9 l
由于之前用的Mikrotik RouterOS,在使用过程中逐渐发现了一些其性能和稳定性上的弊端,所以逐渐转向了VyOS,听一个资深linux老司机说,他曾经对VyOS进行过单纯的流量压力测试,一台VyOS虚机打到800M的流量没有任何压力。当然RouterOS提供了winbox之类的客户端管理工具,非常容易上手,如果没有特殊需求,完全够用。% ]+ G4 G7 m4 m j! g
% `5 K# \$ O" A4 \9 ?一、简介
, c- M4 S* c9 x8 p
- S5 Q2 F- G- |, M; f" s VyOS的前身是Vyatta,是Vyatta系统的社区fork版本;Vyatta公司在2002年提供了开源版本的虚拟路由,后来被博科收购。Vyatta是博通的企业级的产品,linux下知名的开源路由器项目,在其官方的测试中性能甚至超过了cisco 7200系列路由器,可以支持RIP、OSPF、BGP等路由协议以及VPN、NAT、HA等特性。企业路由的所有功能基本都支持,还支持虚拟机。, `( ]& f0 |6 L
" s/ \0 V d& J; }+ T3 w VyOS这个项目的第一个版本释放于2013年,目前还在持续活跃中。相对其他项目——像Juniper管理下的opencontrail,它有完整的使用与安装文档,更提供了API文档供开发者参考(这点也是我喜欢这个操作系统的原因之一)。可以用它来实现软件防火墙、路由器、vpn等功能。
! }* c1 P- I* a4 U; i8 D7 X [8 @, T, }
二、特性
$ W: ?4 P0 _3 C, L
[; K: ~$ p3 g. _: t3 H. s4 h( u$ ]1、平台支持5 d9 o6 ^* T1 T9 z! Z" s
5 G, o' L# f5 C5 Z32-bit x86
' P/ {" S4 D/ _! [, c
/ z! L% K# e; N4 l& j. h; D/ R/ Z) S64-bit x865 Y9 o: B0 q5 S- a3 y' V j; d% g5 X
: P3 e( v+ t4 x. _0 |5 S/ d* R- K6 ~
KVM (virtio drivers included)
7 ]% I8 p; ]8 K2 t8 s5 e* T3 M, `" N, x
Xen HVM (including XenServer and EC2)
# y; b9 ^! C. \+ k# `+ N$ V0 I1 Y
3 o0 x8 ]( m' J7 i- @8 eVMWare (open-vm-tools included)
1 U- v" _+ l' ?2 O$ R0 o2 H+ J+ G, g3 h
Hyper-V (drivers included)
5 k8 `. C7 X4 Q, e6 r: ]5 r9 E1 U/ o2 F: `) Z% M
VirtualBox (guest additions not included)、( T: w* ~) _1 d
6 z( s% F6 {* Y! b3 r% i( Q' i
(默认情况下支持串口的终端是启用的) I5 B+ b! e! m$ o) y
! r. }- }% `1 c- Z% e
2、路由
M0 S3 s/ D% X+ ]# A4 z% W; i1 M8 K, h
BGP (IPv4 and IPv6)
: ?! w+ Y, v; ? l
}0 n1 ]$ K/ s& [. |OSPFv2
* A9 T& w6 m1 h
! @; C: i5 z) |* {2 `OSPFv3 (incomplete)
6 S* U% |7 n8 p5 D- a" b+ N/ ^; Y
4 }: ^+ s: J3 B' k5 KRIP3 @ O9 v+ P. J( K# I, Q; d
9 F6 C! s( G- T! F$ u
RIPng
) ?+ R% R# u* o
0 i9 z" q- N) O; ]+ w7 A" WPolicy-based routing
) H; c! @9 |" x! K% @
! ?; ]( W$ ~ Y# f3、网络接口. u' k9 Q9 I" m$ o6 N/ F p
( ]; v2 d7 y" F' m
Ethernet
& D" L o( U. F4 \; N
' I2 D3 c. x# P802.1q VLAN, QinQ
7 _) w9 e& Z( r, }6 _. S
# I" Q/ M7 G. ^7 x2 L \NIC bonding
+ _6 Y: h! {/ }, P& n8 I8 g) j2 c! f9 g
Bridges, STP (no RSTP or other extensions)
) R* v; E7 X% T4 [, J( L* J+ N0 J. r
Port mirroring and redirection5 r5 n% p* \0 _8 X- k
8 w0 }3 E% U4 r7 }
Dummy interfaces (analogous to multiple loopbacks): O; ^( s( ~- R0 N+ T+ |6 ~( ~! \ g
( N1 F L* r, I
Pseudo-ethernet (aka MAC VLAN); P# ]$ }( T# y9 P4 A
( g( V) J4 D* M802.11 wireless (client and access point)* R7 I8 w+ @7 _* e& d
' C) o/ s6 |* |, A: U- wSome wireless modems (not very good support). B* Q }: J. H6 D1 [7 r. `5 Z2 ~
' l; R: m( N1 C6 d. y: _) IPPPoE
+ @" Z# Z3 p) |/ O0 F! C( v& i
; q& `: M: b D5 aNote: No support for serial WAN, ISDN, dial-up, DSL cards. Use an external device for that.
2 w% m. z1 Z8 }/ P3 G' F, |
3 k2 t( {; ]( e4、防火墙与NAT7 `# d/ b% \( P7 |- X1 ~5 P0 ]
/ ~" i9 l7 m" L: d8 a, C
Stateful firewall
2 X4 Y2 K+ ]( }" ~' j8 k: C
! D9 B: E9 j1 g* y' R$ N, @! zNetwork/address/port groups (IPv4 only for now)6 r2 t# W" _+ O/ P, t8 n! N1 {
: D% F A1 T' ] hZone-based firewall: M, b+ y+ L1 p! i( g* \
! J2 F! h r2 G, m) u
Source and destination NAT( b# N& z7 Q8 B' ~5 Q/ H8 r/ x1 V- K
8 |0 K G5 s& t2 Y! J' W5、VPN) l4 O2 `6 O* M% b9 _
* I1 m* c" {9 A! @Site-to-site IPsec (with pre-shared key or x.509 authentication)
6 |2 D& `; H) J6 t# Y
* }/ S7 s+ x( y* N# t# K/ mVTI (Virtual Tunnel Interfaces)5 a" H( E* e$ L& I
" J `6 H5 B% R% W" F6 Z/ _/ P P0 `OpenVPN (client, server, site-to-site)4 B( O0 H8 h" b, e2 f
3 C3 o& R* ]* N: M! D0 wGRE, IPIP, IPIP6, IP6IP6 tunnels: z* ^& ?$ O/ t! B, `
/ m) Z5 y8 H, g9 L; d
VXLAN y x3 w6 c+ v+ i0 L5 p7 ?8 c
( P$ |; B0 M2 Z0 ~9 M; Z* X+ _
Unmanaged L2TPv30 l7 F- s- U* k9 O5 h! s6 Q' v3 v
7 @' v3 L0 g: [& o# w7 h) |
L2TP/IPsec and PPTP remote access VPN
# ^- W% H3 [: d% f- l3 F
) |( k$ Q& V/ U I( s" {2 ODMVPN (experimental)) S) w7 j) L) L# ?+ `% E
# E: V% V1 `' Q( c9 ^6、网络服务
" h4 a! R% X) _2 C% g% [, y/ x" L" J) S' j# U4 b
DHCP server and relay5 q! k' S1 T2 n2 e: q0 g
# |$ x- P: | U$ T& `6 oCaching DNS server% l( h0 U0 O- G9 E7 Y# G$ _" y
6 ?$ ~6 ^% o7 I! y3 ?# Z, sWeb proxy with some URL filtering support (no HTTPS filtering)1 C5 ], `# _0 m- k, s7 M
7 u" o( I; R% g
Telnet and SSH for remote management
2 h1 e" I I! y
! m1 J+ c1 U. n' X/ nIGMP proxy
/ D' e8 q6 T% ?1 P$ {
& g& ~: G8 d6 Y/ [6 z- x* hQoS support
# m7 T6 c1 J, k1 ?) P* `2 e, {$ p! f; h ]8 b' }, e
7、高可用( y% N6 n* ^; g
! L7 {2 `' s+ r. ^ l: JVRRP (IPv4 only for now)
" S5 t( Q% T5 n5 T4 y5 x) n2 f& W+ ^& T- B0 f
Conntrack sync
! i( u( O$ P) S3 t$ R
. t7 ~% n ^( |( S' z4 _WAN failover and load balancing
, D* Y- y `' A& F L% g7 O5 m# f8 A- C3 ^' o, G8 z' ^9 \8 Y' Y
8、IPV6支持: V3 ^) q9 U( u5 l) m
2 h4 Q* g6 B1 T# o/ lIPv6 routing (static and dynamic)
& V% d q6 C% i4 \& W- z* V; c( N3 K; d8 v2 |4 v! y, _( \! t
Router advertisment
/ S( C1 B& W! U( L$ W; k" ?$ Q/ j; {: R5 L( Z
DHCPv6 client and server/relay
) t5 e/ m2 ~# Z% Y( w: C; i& _ z9 t& r6 D. M# h5 A: P; _
IPv6 firewall7 ~& Z0 r# r; P. c U1 A
6 M/ A _) |5 Q) y! @! S3 F9、系统维护和监控
% _& q9 R+ f1 {7 v
9 \, J& k$ O6 }, s# i+ }9 sTask scheduler
" v* r2 I% u" W3 q7 s9 ^6 Q, `* \$ ?
SNMP
1 m. Y" q+ t: x5 x! B i/ f- y
8 s% d+ b+ R+ F! v: Z' ~+ NConfiguration versioning and remote archiving
# @6 l% z! @# [% s0 N7 C. N
' s0 e: V" s- FEvent handling% A$ h6 }! ~% r& |
+ S* e& i8 G6 L/ C+ W! X4 @2 w) S
Remote syslog
6 H' o; B" N: n
: v: B3 E# s& L4 l4 {! k其他特性详见链接:http://vyos.net/wiki/Feature_list$ W5 F4 k. C+ ^" U; L" T
6 ]' M- w6 n) F$ {- c. f" B6 _6 |) {0 p
三、安装; u: Q' y% d2 P7 l$ M0 r" F5 D- S' j2 P
' @1 n" W3 G9 V
官方推荐的配置是,2G磁盘空间,512M内存。其硬件要求很小,2G磁盘完全够用,如果不放心可以增加其内存的配置。比较好的一点,它提供了一种基于镜像的安装方式,这使得在同一机器上存在多个版本的软件成为可能,方便版本升级。
1 [* s6 Q+ h( B
" ~+ K9 X2 z. r/ p& u7 z4 {2 S 下载地址:http://packages.vyos.net/iso/release/选择你需要的版本,当前最新版本号1.1.7,另外其也提供了OVA的格式,可以直接部署到vmware等平台上。这里说下iso镜像安装方式,wiki上也有详细的安装手册:http://vyos.net/wiki/User_Guide
) u" ]$ B# h) Y; y, Y9 \" @, X$ }: n2 Y9 f8 j! \
挂盘之后,进系统引导,会看到如下的界面,默认的用户名/密码是:vyos/vyos3 m3 }4 j9 `! O/ J7 m2 z9 Z( t% h
7 J' R/ B$ Q$ O7 w/ Q- [
wKioL1dp86bDkrWPAADRY-DVpTc631.png-wh_50
% ]3 V" X7 ], F" [, ~ Q R# f) p1 b/ _4 j w
这里有两种安装方式:install image和install system,推荐使用install image方式:% o6 ]6 [/ B! w2 r h3 o& M
. i# v ?& j' s% c, ]' d1 Y1 d
运行install image安装:
1 G |2 L$ K3 i8 q5 t
+ E' J. Z2 H# r a% {: W1 B& c) n
2 b* E4 M$ H( Svyos@vyos:~$ install image, ~+ n1 a8 J5 q5 \7 k- p
wKioL1dp9RTQb_pbAACwoOAl1eo773.png-wh_50
0 C; z+ I8 B, a) S5 [* k& W( S! F# \
安装过程很简单,基本一路回车用默认配置即可,中间需要配置vyos用户的密码,安装成功后用的就是vyos这个用户进行系统配置:% ]- ?7 ]' r. \# h! M( k
7 R9 {) C$ b; k+ g1 X3 @6 V
wKiom1dp9avBGYGYAACVzax_taI839.png-wh_50* X1 q; H1 S" x' t- i( Q
; L8 I" q v9 a提示Setting up grub:OK,即安装成功,之后卸载CDROM,reboot重启之后就可以进行系统配置:% U- Q' A: q, b% p5 \
* _4 y% j+ w6 {! Y5 P
wKiom1dp9avDROwgAACj6Mrpdwg400.png-wh_50! w3 L8 W# ?0 D( J3 _2 [
4 I: @) U! T) a A四、简单配置# ~) [# k: n6 f4 o/ i P y
2 z- d. I% Q7 O/ P VyOS CLI提供两种模式:operational mode和configuration mode.输入configure之后即进入configuration模式,跟路由器和其他linux发行版一样,支持[tab]补齐和?查看帮助信息。配置完之后用compare命令查看修改的配置,commit提交配置,save保存到/config/config.boot配置文件中。- I$ R' k. Z6 W# h% ?: T# {& Q
3 E8 E5 X1 U, D' a/ J' n7 ^
show命令:+ T9 ^4 \" d% i0 W0 ^/ [
8 W8 E& E9 }6 @7 s! x2 P6 z
' D6 r+ E' k J, V/ B1 q#查看全部配置- D* k0 B/ G) ?& c8 z
vyos@vyos# show configuration - f5 p, m+ ]% O/ j
#匹配某个配置字段,类似思科交换机上的include或者linux上的grep7 q7 i# S: G" A3 }8 B( x- c' s
vyos@vyos:~$ show configuration commands | match eth1 . O* h$ x4 t5 ]) j2 x! D7 P2 X0 w
set interfaces ethernet eth1 address '172.16.0.1/24'! z E3 x- D9 ]: W+ N3 ^ p
set interfaces ethernet eth1 description 'To Private Net'
& D: H: H# a% |5 `! a& v; jset interfaces ethernet eth1 hw-id '00:xx:xx:b9:xx:xx M+ q8 \8 ~9 i7 `! O: ~ B2 k
简单NAT配置实例:
6 R9 H& V; W6 N9 D. ~7 A2 c* ^4 E& A9 b
) h' k: ~* I) j, t: K7 B: ~" ?
set interfaces ethernet eth0 address 'xx.xx.xx.34/xx' #配置出网ip地址+ k: `/ m, c) B9 W, x
set interfaces ethernet eth0 description 'To Internet'
' t ^) p# m. tset protocols static route 0.0.0.0/0 next-hop 'xx.xx.xx.33' #配置全局静态路由,33为网关, B j! v. F" o* A& K' C
set service ssh listen-address 'xx.xx.xx.34' #设置ssh监听的本地地址
& I: y, a; z! K# Wset service ssh port '2222' # 更改vyos的ssh端口号
$ u/ N( a5 @* Q3 v6 I% nset nat source rule 100 description 'NAT Outside' #配置NAT source规则,内网映射出网! F9 [2 C7 b; D% x
set nat source rule 100 outbound-interface 'eth0'
! U( ^; ?7 i3 z; R- @2 ]set nat source rule 100 source address '192.168.0.0/24'+ P1 Z3 }6 t+ H, x9 q( f
set nat source rule 100 translation address 'xx.xx.xx.34' C: o/ z* {3 t/ M
set nat destination rule 101 description 'To agent port 5045' #配置NAT dest规则,映射到内网
+ `# U6 \2 N5 x' Y' yset nat destination rule 101 destination address 'xx.xx.xx.34'
: Z) a: W8 F2 k$ Q0 Dset nat destination rule 101 destination port '5045'
3 V% u4 t; z$ _; Z! Xset nat destination rule 101 inbound-interface 'eth0'
* d/ Z9 V' t( N+ ^set nat destination rule 101 protocol 'tcp'7 M r. P- C F3 I: H' B( v9 x
set nat destination rule 101 translation address '192.168.0.2'
* K9 s& ~. y$ p1 M2 `" Y( Gset nat destination rule 101 translation port '5045'% o4 O% f( ]+ V" ?
配置完成之后,报存配置;
( L8 b' C$ I$ A9 f
4 Y% V. i; l. m4 i6 T% g @
- F1 o$ g# O; C( e& i5 Avyos@vyos# compare #查看更改的配置* i# v3 i) f+ k8 x# A
vyos@vyos# commit #提交配置; s0 v1 `& ]7 e s1 C
vyos@vyos#save #保存到文件,重启不失效
- v, u5 l8 O6 T; _& @1 V& A& F9 P$ c- ^vyos@vyos# exit #退出( J- [0 f' ]& E+ b
vyos@vyos# rollback 1 #如果发现错误,rollback回滚到指定时间的配置 |
|
发表于 2019-4-9 16:28:24