|
|
今天给大家推荐一个好用的开源路由操作系统---VyOS,也是我个人非常喜欢的一款软路由器。VyOS 是基于 Debian GNU/Linux 的,提供了和其他诸如Cisco的IOS、Juniper的JUNOS类似的操作方式,配置起来感觉特别的舒服,尤其可以使用compare、rollback之类的命令,方便对比配置和错误回滚,深得我心。# [% l% U3 K: F! k4 o/ J% R0 \9 l
8 {3 L) |3 A' N# M 由于之前用的Mikrotik RouterOS,在使用过程中逐渐发现了一些其性能和稳定性上的弊端,所以逐渐转向了VyOS,听一个资深linux老司机说,他曾经对VyOS进行过单纯的流量压力测试,一台VyOS虚机打到800M的流量没有任何压力。当然RouterOS提供了winbox之类的客户端管理工具,非常容易上手,如果没有特殊需求,完全够用。5 b1 X4 _& S" K) `
+ l3 ~( U2 s3 Q+ B& g; c. z" j
一、简介/ ]& R/ R X5 K5 B4 \: K$ c+ c
. Z& f2 |9 |4 o P. t VyOS的前身是Vyatta,是Vyatta系统的社区fork版本;Vyatta公司在2002年提供了开源版本的虚拟路由,后来被博科收购。Vyatta是博通的企业级的产品,linux下知名的开源路由器项目,在其官方的测试中性能甚至超过了cisco 7200系列路由器,可以支持RIP、OSPF、BGP等路由协议以及VPN、NAT、HA等特性。企业路由的所有功能基本都支持,还支持虚拟机。
7 L% T: n1 e7 z% q( p& k$ b& ~$ ]4 W
VyOS这个项目的第一个版本释放于2013年,目前还在持续活跃中。相对其他项目——像Juniper管理下的opencontrail,它有完整的使用与安装文档,更提供了API文档供开发者参考(这点也是我喜欢这个操作系统的原因之一)。可以用它来实现软件防火墙、路由器、vpn等功能。1 w8 B. q+ G& w
4 e( K+ K5 Z. M( l二、特性9 C$ G C7 j7 R0 [2 y5 O5 o
, k6 D# u: g+ U }1、平台支持
4 w8 B) C& S& Y3 a) X% l; ^$ ?$ g2 B1 G
8 U2 ~0 j: @6 V, C* s32-bit x86
- }: J) p2 q8 z* g5 p" K4 o4 A6 B& _; [1 |
64-bit x86! g u' v5 P. }- Z! v
* m% K% G) |7 J: c9 p7 z% V8 oKVM (virtio drivers included)$ z0 w: n# R3 n1 H- K; Z7 z
3 p5 v& G' x# C% F7 c
Xen HVM (including XenServer and EC2)
9 Z$ s. N7 ~* x
% i n; Y* I) s) B: OVMWare (open-vm-tools included)
0 b3 S7 T% Q# f; M! a! h( s0 v( S$ _. _
Hyper-V (drivers included)
& m( U, K3 ]% P7 l6 `8 t9 H. A( U2 t$ p5 S7 Y. B+ b0 L1 D3 |
VirtualBox (guest additions not included)、
% u" Q2 F5 D; C' H) m) i' ]+ R+ j: `9 ~) D, M) V7 E7 r4 r( _5 y( k
(默认情况下支持串口的终端是启用的)9 \, s; M. C; n$ z/ x% `6 m
* E$ k* f o a* R3 ?
2、路由
1 ?4 e @: \9 \9 N8 e+ {' L. e: `' [, ~# J& E
BGP (IPv4 and IPv6)
" S. i4 R' X6 s! M% Y1 e1 m- B9 \
OSPFv2; p% q) a+ a" [) r$ A
7 U! K+ p. q" d4 L h8 O% Z
OSPFv3 (incomplete)# A3 V4 Q0 y/ {% R" f) C
) h8 [8 W) O7 z3 p) m' ?6 FRIP4 h/ n8 d* j& B/ V: Q$ Z
' ~- b8 z9 ~6 `% {" n3 ERIPng
9 B) q8 L7 t! H. u. I: d" E0 }3 C7 {( X4 h7 v' x' K! @1 I8 E4 ]
Policy-based routing
9 ?+ q' j$ H% O& H- G4 P# f6 f/ v3 c+ X, t
3、网络接口
\1 Q2 r7 r& m' J3 y; n
0 A5 Y6 w9 X; |; ]9 QEthernet1 ]8 ?4 y: Y. S* \0 n$ T4 i e( A
/ j# v, u* k$ n' h6 f, G802.1q VLAN, QinQ4 n, j* B9 `8 s: q: C( \# f
5 B( [. Z7 N3 {) s. |* m6 gNIC bonding
' N; i" v$ r+ g) K0 z9 s
; c- Y% t& m+ X# v8 _Bridges, STP (no RSTP or other extensions)
C3 k( P9 x$ {6 |4 F" m U1 U2 h$ }: u9 l' q
Port mirroring and redirection/ [0 r" |& {% S; s/ @# ^6 l; u! {! v
- K3 o# _1 M# Q; i' r! i" ?
Dummy interfaces (analogous to multiple loopbacks)
/ e5 a2 v5 X z1 H6 n% r; C! |& f f8 i0 g; u- J8 j* e
Pseudo-ethernet (aka MAC VLAN)
4 [0 `6 c2 _$ `. a* a' t2 a- @. d
1 }. i4 X5 g& w1 X- n802.11 wireless (client and access point)
" M* z+ D6 F6 [4 R: A8 y$ L* w0 Y. ~. l, ~9 @" L5 [/ |4 Y
Some wireless modems (not very good support)6 b: E- S( p7 S$ ]0 m
6 ]$ n+ s( t6 j$ K8 n1 cPPPoE6 h8 A" N/ r/ a P
, U: L1 r+ r# q* |* y$ G8 ]* n+ L5 eNote: No support for serial WAN, ISDN, dial-up, DSL cards. Use an external device for that.
1 g1 j1 t o+ d2 r, ?, C- Z! t3 h% F) l: w
4、防火墙与NAT
/ P8 x, M! j) [. |) |$ F/ K
$ b; ^ t' Q5 w# {/ sStateful firewall; I( P6 q2 I) o) Q! K" M
: j" J/ p- D- g9 ^1 g# hNetwork/address/port groups (IPv4 only for now)
3 O% S7 o# z" E) E6 K$ R: _7 ^- a3 o/ p" B7 P
Zone-based firewall% X6 f0 U% P2 d4 n2 N
3 ?+ j! H; \& C1 h3 H/ P1 ] \) `8 J
Source and destination NAT4 G+ d" y5 i8 w# J5 Q
/ l& R1 [# g! @! p- S" ]5、VPN
7 i( H# E! k$ R* U+ Q5 I$ a, d6 k- D. ?
Site-to-site IPsec (with pre-shared key or x.509 authentication)
, {3 F2 K3 H% I) E2 W
) S9 M" S* f5 O4 o5 a% bVTI (Virtual Tunnel Interfaces)+ _7 H T0 Q5 F: W% t7 G) _
' o5 @- X, U3 N7 z7 {4 \OpenVPN (client, server, site-to-site)
4 E. G! C+ H% W
6 j( v" {& I' X, y: uGRE, IPIP, IPIP6, IP6IP6 tunnels
% j5 [! G% E9 N! t6 [
+ g3 a4 ?- u1 k3 wVXLAN
^( p. r4 i) `5 e N9 Y6 _, z7 M: B4 @$ i0 V: n
Unmanaged L2TPv3
8 ?7 m, a$ n: F) c7 G5 F( z1 A" j* _. d/ G9 L
L2TP/IPsec and PPTP remote access VPN4 j; W2 ~; M, D3 Y# P) I7 d
7 r" W, h R1 O5 g$ r: f. j
DMVPN (experimental)5 n9 p! [' ?) J: W8 e% b
: Y/ V% R' }2 o
6、网络服务
A- z6 P& E+ e b6 M# j
" \% @; R6 M: h3 w5 G8 @DHCP server and relay
8 Z# g( U0 K/ B# l) Y$ V8 S! y. ~3 ~7 E Y" E: M* e6 \
Caching DNS server4 X2 ]2 ]7 C4 a* `: ]
( w' c0 v8 I: ?" H/ ~
Web proxy with some URL filtering support (no HTTPS filtering)% D2 I# [ c9 J7 p) y# U4 c% F
- q* d2 j0 M. ]; p4 s
Telnet and SSH for remote management7 D. n4 }, A [
6 I; y$ `& f; d5 R5 Q" aIGMP proxy" ^# J2 J w7 \$ N
/ ^" ~* O5 h2 k! kQoS support6 {; a3 ?7 \2 r% D/ _7 M& ~1 W
; {: a( _/ E" i+ Q, B7、高可用
: C: [' n! }8 ~* J) |' V3 U& Q2 b1 F! F& S
VRRP (IPv4 only for now)
; ^& m' G& M, j1 I) E+ L/ p' K
$ b4 O$ f" H& u6 c0 x% @6 }7 xConntrack sync" d% Y* t( Z5 ]+ Z, H1 z9 d
9 P+ {3 m- B7 O4 G# D
WAN failover and load balancing/ q5 i" p2 }3 Z8 R; J
* W% ^: w. s, Z; y- b
8、IPV6支持
4 C2 W: _ X2 N/ K) _7 u' H/ R" I
0 c4 w7 u2 M& y! R4 s; X% L. [* a: fIPv6 routing (static and dynamic) L4 j& ]8 D+ X5 a* ~( b
. D" a$ Y0 M# v
Router advertisment
" H# G4 w0 i7 Q7 C, }7 W0 p# X" g: h& J+ d% A6 @8 y% x! ]
DHCPv6 client and server/relay
0 t4 d# f; \) K, ~- L2 U/ n
' b9 D7 s& k- e9 }) y7 JIPv6 firewall" ~/ E& y$ w8 i- b( u6 M" o9 E
3 S3 A5 N+ Z& K: h9、系统维护和监控
# a+ Q4 ^# p( q) M# b% C
3 [9 j( \% w' U$ r6 D3 `6 l9 `0 iTask scheduler
, P1 ]3 W5 h* g5 J
# s: K3 h6 Q0 \: [1 {) n6 }2 YSNMP
# ?% f/ s0 H5 @* |. e4 Q$ Z
9 J1 L+ Q9 w9 J( u G& z# t+ V6 yConfiguration versioning and remote archiving# g8 e+ X2 G; C% [! O* K8 e, ?
$ [+ S. [! j2 o9 h( l# i- [Event handling
; i B& S- }9 o/ _
1 f; A+ s% m9 |* S0 Z1 s7 ~1 ORemote syslog/ \% ?5 H, Q t+ i
$ s) a& d* z" c/ \% m6 M
其他特性详见链接:http://vyos.net/wiki/Feature_list
; `9 z9 q6 l4 {1 h4 s2 @
; e# k( u. {7 m* e& z8 i三、安装6 P _4 @0 _8 M- D+ F7 _
/ Z4 q* E# d r) s. ^+ k 官方推荐的配置是,2G磁盘空间,512M内存。其硬件要求很小,2G磁盘完全够用,如果不放心可以增加其内存的配置。比较好的一点,它提供了一种基于镜像的安装方式,这使得在同一机器上存在多个版本的软件成为可能,方便版本升级。
; J; |+ D0 w8 N; g N: d! I
$ h" f" K: Y$ I9 V1 d 下载地址:http://packages.vyos.net/iso/release/选择你需要的版本,当前最新版本号1.1.7,另外其也提供了OVA的格式,可以直接部署到vmware等平台上。这里说下iso镜像安装方式,wiki上也有详细的安装手册:http://vyos.net/wiki/User_Guide
, m) S4 A5 V1 k9 F, W u
* \: v6 U6 u2 e6 T 挂盘之后,进系统引导,会看到如下的界面,默认的用户名/密码是:vyos/vyos! |( x3 ?. b7 n. P3 B- c/ D3 G3 k
2 }4 ?+ `/ B2 ^8 [0 l' j8 hwKioL1dp86bDkrWPAADRY-DVpTc631.png-wh_50
% Y' F3 l! J' K( ^8 g. g& t- E0 n9 A2 w' j4 C8 ]; Q* ?; A6 F: Z
这里有两种安装方式:install image和install system,推荐使用install image方式:; A6 G8 K B! p8 I% W$ E! g
& {# A6 C* }7 ]1 d- y5 \/ ^
运行install image安装:
3 L+ U3 q8 K" l; I" m6 O2 ` I/ D' P `+ {3 o8 j6 s+ B* ^
" b" Z. O" X9 J# w3 r+ p
vyos@vyos:~$ install image
/ V; {% j1 z# P7 QwKioL1dp9RTQb_pbAACwoOAl1eo773.png-wh_50
2 U7 D/ D; X1 p4 {! F) w( t5 {2 Z; L* _8 w
安装过程很简单,基本一路回车用默认配置即可,中间需要配置vyos用户的密码,安装成功后用的就是vyos这个用户进行系统配置:- g: q5 ]7 @9 w0 c; b' @
2 Z5 D1 {- W" p8 N; NwKiom1dp9avBGYGYAACVzax_taI839.png-wh_506 R/ B5 E: ~0 {5 L0 b
! j4 N7 d. r* o8 p2 J
提示Setting up grub:OK,即安装成功,之后卸载CDROM,reboot重启之后就可以进行系统配置:) `& S' V! [; i1 W; S# r
# w6 ?1 Y8 e& w3 b. j2 C) p' b
wKiom1dp9avDROwgAACj6Mrpdwg400.png-wh_501 }5 {/ U$ @: M% L! T4 X/ n& j0 W8 R" f
# e4 s: T7 K9 h0 H
四、简单配置
2 ~5 ^& r0 ^0 I: E0 p7 j/ m7 m' h% [6 m" C
VyOS CLI提供两种模式:operational mode和configuration mode.输入configure之后即进入configuration模式,跟路由器和其他linux发行版一样,支持[tab]补齐和?查看帮助信息。配置完之后用compare命令查看修改的配置,commit提交配置,save保存到/config/config.boot配置文件中。1 s* y7 B7 a& E3 i
1 G2 u) Y/ u- f show命令:" B; x$ r* }1 N% i7 e0 }
( c( p6 `. b& ~. S" R) a
( x) H& v: D3 e. B#查看全部配置7 }, Z; r/ a( s+ B# F
vyos@vyos# show configuration ) C, q" f r( Z, y
#匹配某个配置字段,类似思科交换机上的include或者linux上的grep
& G$ S; ?% p* U5 x( A" u9 }) ^, y. w. Rvyos@vyos:~$ show configuration commands | match eth1
1 G% ]+ V N% _4 A7 g: pset interfaces ethernet eth1 address '172.16.0.1/24') q- i, |4 x# t$ X
set interfaces ethernet eth1 description 'To Private Net'
& y; W. A5 \7 l% Vset interfaces ethernet eth1 hw-id '00:xx:xx:b9:xx:xx
' W. a; X) M' U4 P/ W1 o4 I/ `- z: e 简单NAT配置实例:3 X# s: W$ t% v( j
( ^% q1 r E! d
' p# ]' }6 F" b2 l& K6 _
set interfaces ethernet eth0 address 'xx.xx.xx.34/xx' #配置出网ip地址, h) Q6 W( Z4 A# Q) e
set interfaces ethernet eth0 description 'To Internet'8 }1 C0 N" \7 ]! M
set protocols static route 0.0.0.0/0 next-hop 'xx.xx.xx.33' #配置全局静态路由,33为网关% H5 r, ~) p% h- d( h
set service ssh listen-address 'xx.xx.xx.34' #设置ssh监听的本地地址" w3 ?0 @; @9 L8 _$ g
set service ssh port '2222' # 更改vyos的ssh端口号
9 [! H1 f6 D1 `: yset nat source rule 100 description 'NAT Outside' #配置NAT source规则,内网映射出网$ c) ~: z/ y* ` T; p
set nat source rule 100 outbound-interface 'eth0'
8 ?) q) e/ U6 Sset nat source rule 100 source address '192.168.0.0/24'
6 B a& P3 G% c. }, @8 o$ ^- y4 tset nat source rule 100 translation address 'xx.xx.xx.34'
' C) H& u7 P& s u# H' `/ qset nat destination rule 101 description 'To agent port 5045' #配置NAT dest规则,映射到内网
* ~4 A7 r. X2 D/ [: b5 U5 A/ V4 eset nat destination rule 101 destination address 'xx.xx.xx.34'
7 t: [- L" S. \+ gset nat destination rule 101 destination port '5045'
^! y4 h) w0 F' V" vset nat destination rule 101 inbound-interface 'eth0'
0 v$ Q. J$ I7 sset nat destination rule 101 protocol 'tcp'% e6 C, u' `$ U( a; Z3 b+ G/ z
set nat destination rule 101 translation address '192.168.0.2'" ~9 }0 o, ^6 X' B4 N: M8 ?) E, X
set nat destination rule 101 translation port '5045'
7 ~8 Q/ J$ W: {! i3 a6 f7 j0 y配置完成之后,报存配置;
, O" k; m$ P X' V& U6 E8 @! Z/ m
$ U" d( O; ~* }1 i
vyos@vyos# compare #查看更改的配置5 y5 V) j2 B3 M, P$ j. Q
vyos@vyos# commit #提交配置: ]: ? x( |8 T1 N
vyos@vyos#save #保存到文件,重启不失效1 I. u( Z$ o" e# T3 l
vyos@vyos# exit #退出
: a1 f S+ S8 A! yvyos@vyos# rollback 1 #如果发现错误,rollback回滚到指定时间的配置 |
|
发表于 2019-4-9 16:28:24