|
|
今天给大家推荐一个好用的开源路由操作系统---VyOS,也是我个人非常喜欢的一款软路由器。VyOS 是基于 Debian GNU/Linux 的,提供了和其他诸如Cisco的IOS、Juniper的JUNOS类似的操作方式,配置起来感觉特别的舒服,尤其可以使用compare、rollback之类的命令,方便对比配置和错误回滚,深得我心。
6 h, L: o# B, G( ? ~0 ?
, G5 t4 v5 p# {) i2 P4 J, o 由于之前用的Mikrotik RouterOS,在使用过程中逐渐发现了一些其性能和稳定性上的弊端,所以逐渐转向了VyOS,听一个资深linux老司机说,他曾经对VyOS进行过单纯的流量压力测试,一台VyOS虚机打到800M的流量没有任何压力。当然RouterOS提供了winbox之类的客户端管理工具,非常容易上手,如果没有特殊需求,完全够用。
! M0 m. d2 A* A5 E! b1 w' f& E
一、简介8 n7 y; P' w5 E4 }9 \9 G
/ u% a" c: s, J
VyOS的前身是Vyatta,是Vyatta系统的社区fork版本;Vyatta公司在2002年提供了开源版本的虚拟路由,后来被博科收购。Vyatta是博通的企业级的产品,linux下知名的开源路由器项目,在其官方的测试中性能甚至超过了cisco 7200系列路由器,可以支持RIP、OSPF、BGP等路由协议以及VPN、NAT、HA等特性。企业路由的所有功能基本都支持,还支持虚拟机。
6 H2 o3 N0 F( P7 d) I: S
, O, t2 i7 k* e( V% B VyOS这个项目的第一个版本释放于2013年,目前还在持续活跃中。相对其他项目——像Juniper管理下的opencontrail,它有完整的使用与安装文档,更提供了API文档供开发者参考(这点也是我喜欢这个操作系统的原因之一)。可以用它来实现软件防火墙、路由器、vpn等功能。
9 ^* N! p( z- |( B3 F( t( z8 d
3 v: O" r9 n& H6 N二、特性
3 g: }" ^$ ]2 ]6 N( o& U: i( p! ~: [1 F# g, u" W* p- A+ p
1、平台支持
0 k- o6 ]& c9 v7 b4 a' V' q. r, k, r) z2 _6 U
32-bit x86- R! `; v s3 e! `# Q& B% v) D
' x% ~( ^" n; W- o Q/ r$ w64-bit x86
) [: W# ~/ f4 r- Q" `' M0 s- |5 \) I1 F, }8 e: y9 m7 x& Y
KVM (virtio drivers included)
9 w4 I) }% G2 p% w4 K. ]/ k9 {* b9 _, K+ W. E6 P' @) \5 k
Xen HVM (including XenServer and EC2)
+ Y8 S P: R- ?0 j
2 d4 f+ g, n" OVMWare (open-vm-tools included)$ P( z4 `/ P7 f% s; R, O% M
" v7 Q6 E* X( g9 D
Hyper-V (drivers included)
% E; [/ d- M/ B" g
8 r- }, z) [* m, d1 `4 d9 J% I, M, ]VirtualBox (guest additions not included)、; z7 @( m* s- D- s, p& K) M/ _
$ j h% F: Z% m0 O
(默认情况下支持串口的终端是启用的)7 t; F4 J' s$ |9 i- A) Q: |
( J1 {: {7 B# F: N l/ ^2、路由
6 w5 M+ z% E( g( z4 ]& W7 n" e9 r4 M- r( }5 A! G0 Q' T
BGP (IPv4 and IPv6)% A' J1 h5 m# z/ M5 F
# }* }/ L( t4 c0 EOSPFv2
7 X9 p$ L2 ?; w( _; W" k& |0 f% K( P6 s, J6 I% P/ p
OSPFv3 (incomplete)# r( n% r) s2 E
& M( B0 e# o. M8 oRIP
* C* Z- N5 N* ^# g
Y& ?) T9 v8 ~+ S/ @* ZRIPng
, F; l1 T( ]( b8 T$ D6 u( J5 s
$ X e1 P( p- V" W0 i4 ~ [( G6 Q2 sPolicy-based routing2 z% }1 H+ l5 [2 S0 A& `; G
+ k/ Y ]# M$ O8 @8 D! d
3、网络接口$ X [' Z$ F8 B8 S0 ?8 ?2 z9 w
2 X) T% ^; m' J- I
Ethernet' k. N0 @& b& K& E
# T, ]! I0 p+ i0 ?+ l8 \' p1 r1 c802.1q VLAN, QinQ
+ u: Z% _. z. e3 V: Y( O6 ?5 s) @3 j2 M S0 v
NIC bonding
) | L. _' X- @: t' D# j
" @' H" }) B- ~% }Bridges, STP (no RSTP or other extensions)
& w0 A& e( O( V- q
" Z- Z. }+ y% n4 QPort mirroring and redirection
1 s2 H M; c/ u! T; z' h2 L7 W- n
; T$ o% X1 N4 [: V0 zDummy interfaces (analogous to multiple loopbacks)
% |- R+ t) b+ ]4 O( `8 _2 r3 ^. N2 h/ ~0 ~
Pseudo-ethernet (aka MAC VLAN)' t; G4 m6 u$ `2 V7 t1 ^& q
3 x1 t" x. d) M+ ?) d. k3 k802.11 wireless (client and access point)& _# X" v6 b0 T4 y0 D
8 R8 ~, I' O. s! ^
Some wireless modems (not very good support)
$ y+ X) ?& j. [( J! G1 q' p+ c0 B5 v5 q" B; d) _1 A
PPPoE
2 E7 V+ M3 p. N/ o) g
p' Y+ b/ P9 h) C nNote: No support for serial WAN, ISDN, dial-up, DSL cards. Use an external device for that./ E& a2 T3 Y5 j" d) `9 |
) H" |6 g4 o: d; o! a/ e1 N
4、防火墙与NAT
* N+ K( F7 m) x, r
8 S2 n$ U# p q% R1 l+ I. o) TStateful firewall
" |6 `; \ w& H! J( J1 q0 n
/ L' f! ?! }! k* c9 ?" P PNetwork/address/port groups (IPv4 only for now)$ A/ Y1 k2 P4 Y# Q
' R1 t9 w: q' o" H$ L& d( \Zone-based firewall
! q; `& {" I* N9 @7 a! K2 T$ w
0 G+ r: Q2 |8 [+ V5 ~# F% E! TSource and destination NAT6 w* a& l" \6 B; }4 r. B; A; V
9 O* l# W: p% d( D5、VPN
) N" h* y" L( y% n" m
+ |$ d/ f3 W9 k9 r6 TSite-to-site IPsec (with pre-shared key or x.509 authentication)" S8 Y' A5 s7 p, Z# b
+ \8 `# b5 R4 M' Z# c0 g% HVTI (Virtual Tunnel Interfaces)( z2 A u' r& r3 |0 q4 k
* A! t. f! l5 F1 z0 a, g2 X
OpenVPN (client, server, site-to-site)
" a3 l' j5 ^3 T! G1 d7 F9 y& I; W. o( i( x8 r9 C5 d a
GRE, IPIP, IPIP6, IP6IP6 tunnels7 Z: N: `# J, s3 N2 r
1 o1 ]) P: i- {# r7 L1 |% m' X
VXLAN
4 \: E" ?- Z, H# |+ X, W; e' U) | A& r$ m/ z
Unmanaged L2TPv3( d9 E7 F9 g. J0 |$ H6 o6 @
; x" g- W8 y$ A# Y+ u9 y) j
L2TP/IPsec and PPTP remote access VPN4 s' O0 s: }( O1 Q: U4 T' N
5 M$ W4 Y1 P; l( z! u9 w, SDMVPN (experimental)
4 ?5 w: }' V1 o1 Q9 A' u) Q
$ B4 O( k6 Q2 l/ v, k1 D2 P6、网络服务: R, J7 U& T0 p$ r. m4 w
0 \ j F" `" v
DHCP server and relay# }: u$ r" ^1 R* ~) L
0 D B/ h) D( \3 T% J- ]Caching DNS server
( A/ h, k- N1 k
( @. K h7 \' e7 o* {Web proxy with some URL filtering support (no HTTPS filtering)4 o# i8 T/ t% y' P" X0 `* }" j$ {" z
2 ?6 A2 w# [+ Y% f" VTelnet and SSH for remote management8 G5 K1 @# w8 D1 T
$ I7 ~- y, z8 ?2 y" G! f$ jIGMP proxy
, p9 P& Y6 D. k( \5 d, L
3 L" y5 D1 g: p$ \ I% k6 p, aQoS support! `' @3 j; m" H
# t6 C9 ^/ }7 S& U, p1 ~
7、高可用0 y% Y4 J% C5 {. w8 i
- j7 b1 N6 Q, i8 r+ y9 c. \8 WVRRP (IPv4 only for now)
$ W( w4 o: N- |# R& c0 j
. w0 c! [- r i" t. p% \/ \! S0 [; KConntrack sync' d& G* X; U K) p. j* M( h6 X; @
8 C7 c! h. b1 P6 M) Z' jWAN failover and load balancing9 e& R& e2 C; w5 n4 e
9 v( {( K, v$ h) E Y( i5 ~8、IPV6支持2 F |! f$ W9 a4 J3 L z
9 R/ x% f$ p5 J" u
IPv6 routing (static and dynamic)
1 I6 i$ o" J# T5 T' n
8 p1 f! |7 g9 I3 k; `$ cRouter advertisment) N0 d+ Z( ]2 @
) i7 Z! O1 t3 d2 U$ d# l5 BDHCPv6 client and server/relay$ V9 _, E9 M" `9 g2 _% o3 E; g
4 o, r" }1 @* ]+ `. `2 A/ D3 RIPv6 firewall
8 S) E8 Y4 U4 I- b- [/ e
0 n( ^# Q6 D( G& M, D0 J9、系统维护和监控
& p; i6 L: b9 u4 t/ o! u' N4 O4 g$ q; {3 [' g, O
Task scheduler
" K! H8 k. j o' R$ `" o/ d- X
9 H9 h ?. Q' uSNMP
; H: X: b2 G& f& t! u- j
$ p" T. Q2 k, _9 p6 ^Configuration versioning and remote archiving$ E8 x0 `" x+ Q; d
e3 E6 K* ~, ]; Y
Event handling* S8 s$ r- U# w* k9 q
) Z5 D- W. o- ^) y# bRemote syslog
$ u0 m5 g2 T) s; c
% L( D+ g/ q- \$ n; ]' C, Z* m其他特性详见链接:http://vyos.net/wiki/Feature_list: {$ Y- U; Z$ y. n9 U' Z
* ?7 `% r2 S) ~ u# s4 \5 Z7 I三、安装
: o+ ]8 ]/ `& [
5 @& [. K' v+ G 官方推荐的配置是,2G磁盘空间,512M内存。其硬件要求很小,2G磁盘完全够用,如果不放心可以增加其内存的配置。比较好的一点,它提供了一种基于镜像的安装方式,这使得在同一机器上存在多个版本的软件成为可能,方便版本升级。
/ B2 V/ b; C" m g' L( m8 V
$ a- y$ O8 _! O: b% u 下载地址:http://packages.vyos.net/iso/release/选择你需要的版本,当前最新版本号1.1.7,另外其也提供了OVA的格式,可以直接部署到vmware等平台上。这里说下iso镜像安装方式,wiki上也有详细的安装手册:http://vyos.net/wiki/User_Guide
) h' J+ s$ d6 {5 t& W. x$ x. c# I8 N, E$ G
挂盘之后,进系统引导,会看到如下的界面,默认的用户名/密码是:vyos/vyos+ [$ P; B5 b# g) G8 U @1 o, f9 u
' S& T6 ]5 C& q) m. A1 l1 w3 w$ v
wKioL1dp86bDkrWPAADRY-DVpTc631.png-wh_50# Y8 q# ^% j- B. }
; _ }: z3 m' D. A
这里有两种安装方式:install image和install system,推荐使用install image方式:
" H$ s2 `9 G' x; V- r( ?# o1 i
3 E5 u }. q5 D, J. I运行install image安装:
4 ~% S; M- f& [, C( _7 ~
. v j# d- U& r4 q# l+ b; O8 c7 ~3 ^; p y6 ?
vyos@vyos:~$ install image7 F ]4 T; g6 \1 a9 p
wKioL1dp9RTQb_pbAACwoOAl1eo773.png-wh_50
m' j3 |# X& L% Q
( w1 N6 h5 O& f3 h安装过程很简单,基本一路回车用默认配置即可,中间需要配置vyos用户的密码,安装成功后用的就是vyos这个用户进行系统配置: E2 R0 o. ^2 {8 N$ V) S
: s8 s4 d5 d) e |. O1 M" E' y$ YwKiom1dp9avBGYGYAACVzax_taI839.png-wh_50" C8 v3 N: i6 F2 `2 N4 i
' D* p6 r4 z3 S# T! ?
提示Setting up grub:OK,即安装成功,之后卸载CDROM,reboot重启之后就可以进行系统配置:& u7 X1 Y( @0 a; P4 \+ _
7 o. U7 U2 u# j: }! [# NwKiom1dp9avDROwgAACj6Mrpdwg400.png-wh_502 p4 S1 \/ Q( C: A
: Q7 H3 q( \) n" H( z四、简单配置
( s+ A! P0 O4 F% g; F- ]! [4 O d& f1 m3 P+ L
VyOS CLI提供两种模式:operational mode和configuration mode.输入configure之后即进入configuration模式,跟路由器和其他linux发行版一样,支持[tab]补齐和?查看帮助信息。配置完之后用compare命令查看修改的配置,commit提交配置,save保存到/config/config.boot配置文件中。
+ l, [) k- a5 H" s
. }5 V Y9 \" r, L show命令:
" i3 a4 p" F9 a: h) c. ]8 _2 R" [3 J) _9 R4 c/ T) N0 s! b0 ]
2 P& [( S! w: o#查看全部配置
/ D: p- B4 x# I' ^9 T2 p/ T' t8 jvyos@vyos# show configuration
/ B6 U+ c; Z x* E# H8 O" q#匹配某个配置字段,类似思科交换机上的include或者linux上的grep w' Y9 P7 P% W7 g# P) B
vyos@vyos:~$ show configuration commands | match eth1 2 ?: E3 v1 d- a6 f H
set interfaces ethernet eth1 address '172.16.0.1/24'
1 j8 K2 w2 B9 u c% h/ y4 Gset interfaces ethernet eth1 description 'To Private Net') v) t& V: L, o
set interfaces ethernet eth1 hw-id '00:xx:xx:b9:xx:xx% S. N* b( m8 W, h
简单NAT配置实例:) V/ f; T$ p0 k' N& Y
- Y2 [2 D! g- q
+ s1 _( j" O4 C+ j/ xset interfaces ethernet eth0 address 'xx.xx.xx.34/xx' #配置出网ip地址
( Q" O- K: n4 Y+ g: |set interfaces ethernet eth0 description 'To Internet'1 K8 [9 G( y5 j E" M% ?+ P, @
set protocols static route 0.0.0.0/0 next-hop 'xx.xx.xx.33' #配置全局静态路由,33为网关
, D. G/ g( t# ^6 s& Wset service ssh listen-address 'xx.xx.xx.34' #设置ssh监听的本地地址# `- }4 i7 k6 X+ `$ o: d( @
set service ssh port '2222' # 更改vyos的ssh端口号
! H$ e/ R( M2 r" X) t2 u. p, Hset nat source rule 100 description 'NAT Outside' #配置NAT source规则,内网映射出网8 O( r0 g0 x& ] Z" L% s
set nat source rule 100 outbound-interface 'eth0'
) l: Q$ a" l- K. ^, S* R; J hset nat source rule 100 source address '192.168.0.0/24'
) r: l7 b2 ^3 O, Qset nat source rule 100 translation address 'xx.xx.xx.34'' W8 X+ Z( I) p0 t0 Z
set nat destination rule 101 description 'To agent port 5045' #配置NAT dest规则,映射到内网6 p; p( S$ X- k2 p1 I) I( L
set nat destination rule 101 destination address 'xx.xx.xx.34'
2 P2 k) _$ A) D3 n+ {* Hset nat destination rule 101 destination port '5045'
- Y5 c/ b: ^, k6 dset nat destination rule 101 inbound-interface 'eth0'- m3 A) N H3 L# S4 p' W4 z1 ~
set nat destination rule 101 protocol 'tcp'
2 [% @! Q: p* W! X3 Eset nat destination rule 101 translation address '192.168.0.2'9 T" F7 C! @; Z, Z
set nat destination rule 101 translation port '5045'3 L- }: f0 y+ }) p; y% n% M
配置完成之后,报存配置;/ H4 m" w( e: c4 Q" p( y# |; U
4 }! K* h1 x) \4 i* H u
: O9 ? B( j8 bvyos@vyos# compare #查看更改的配置0 L" K, ^: Y7 z- p, `. \/ t, S
vyos@vyos# commit #提交配置4 B1 i& c, N; c Z
vyos@vyos#save #保存到文件,重启不失效. y# \: g8 c/ w' ]$ I+ R1 I/ w
vyos@vyos# exit #退出/ ?; E4 t2 ^* X( U# N
vyos@vyos# rollback 1 #如果发现错误,rollback回滚到指定时间的配置 |
|
发表于 2019-4-9 16:28:24