- 积分
- 16843
在线时间 小时
最后登录1970-1-1
|
马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有账号?开始注册
x
今天给大家推荐一个好用的开源路由操作系统---VyOS,也是我个人非常喜欢的一款软路由器。VyOS 是基于 Debian GNU/Linux 的,提供了和其他诸如Cisco的IOS、Juniper的JUNOS类似的操作方式,配置起来感觉特别的舒服,尤其可以使用compare、rollback之类的命令,方便对比配置和错误回滚,深得我心。
1 A9 j8 h1 }5 ^8 k7 ]3 g. K$ F5 A4 s0 B. D* N( Z6 Z' e
由于之前用的Mikrotik RouterOS,在使用过程中逐渐发现了一些其性能和稳定性上的弊端,所以逐渐转向了VyOS,听一个资深linux老司机说,他曾经对VyOS进行过单纯的流量压力测试,一台VyOS虚机打到800M的流量没有任何压力。当然RouterOS提供了winbox之类的客户端管理工具,非常容易上手,如果没有特殊需求,完全够用。/ q0 V' F: E) a2 X1 u. [
* e. d8 ~4 P- ]3 @6 R9 ~
一、简介
0 B$ _& r" a; w8 O# Z
N; ?1 X. U( X7 B VyOS的前身是Vyatta,是Vyatta系统的社区fork版本;Vyatta公司在2002年提供了开源版本的虚拟路由,后来被博科收购。Vyatta是博通的企业级的产品,linux下知名的开源路由器项目,在其官方的测试中性能甚至超过了cisco 7200系列路由器,可以支持RIP、OSPF、BGP等路由协议以及VPN、NAT、HA等特性。企业路由的所有功能基本都支持,还支持虚拟机。
- C: p4 o4 u4 }8 l1 N% n
# y0 Y; c3 V; d VyOS这个项目的第一个版本释放于2013年,目前还在持续活跃中。相对其他项目——像Juniper管理下的opencontrail,它有完整的使用与安装文档,更提供了API文档供开发者参考(这点也是我喜欢这个操作系统的原因之一)。可以用它来实现软件防火墙、路由器、vpn等功能。
3 o n" m8 x( s- [- ?. o( K0 q1 |# j
二、特性) @1 s1 u2 J( x* T9 \
6 x$ v1 K: { Q8 [' x
1、平台支持
4 _0 G4 s& S3 o) x4 O$ h% d1 P, A; u. T4 p/ o
32-bit x86
1 B4 Q4 Y8 ?/ x2 v V! \2 v A# W3 Z
64-bit x86! i4 K. `1 ]# @, i4 m0 o$ W
- f3 `) N1 Z# L4 x% q. zKVM (virtio drivers included)/ {+ U3 U( D/ B% _) f
" j$ j! w/ W3 G4 @/ _, k2 aXen HVM (including XenServer and EC2)
7 n9 w0 B8 {1 Y. H
/ X; X/ a9 w* iVMWare (open-vm-tools included)
8 x) X. K: D& l8 v i2 K1 F
, F# ~* ~7 ?! YHyper-V (drivers included) d; I2 o: t. P; ^
7 J5 r! ^5 ~7 pVirtualBox (guest additions not included)、 S# L {- P0 E1 p
3 Q7 h; W* x5 Z& s, e(默认情况下支持串口的终端是启用的)! x z8 l7 ?$ B2 g" [1 C I( `
4 M3 o6 N& l0 D) x/ v- N- P
2、路由
! d% K' c7 \# y5 @* |
/ w5 f( q( W$ a3 G& MBGP (IPv4 and IPv6)
3 q- r" b0 `! [9 A* R# o" \7 A. L6 r* F& f8 \+ ?- `9 _( u
OSPFv2
9 i* b/ A0 q8 b% m# t* v
& ~! f' V; K7 D! `& ^OSPFv3 (incomplete)& J8 G9 j% k8 N2 B" s; y2 c4 f2 j
! a* r# K( R) h; S) p/ v
RIP- |6 L2 g" |. L
7 `( ]' C% _* j
RIPng; d Q7 l6 S/ ~" B- d
& t% P6 W- q Q+ M3 z: \
Policy-based routing- m1 x! h8 }4 X7 _
$ o* Z1 O j- X L
3、网络接口
6 [( u/ ~: |. B2 V8 ^7 l
3 ]% P { A/ s. E [$ D% [Ethernet
$ V2 x6 \ B* R/ @+ [8 J6 Q1 a9 b$ J& M! ?% M. M
802.1q VLAN, QinQ
7 D8 g5 V9 Q" T1 ?% L7 Q% K$ @2 s* [" l+ K- j
NIC bonding' ^9 _* a) X m; @
! [* `" f" s2 g( I9 }7 }4 kBridges, STP (no RSTP or other extensions)# }: F: `* I! O! T5 s, K0 q
' r" G( L* Y( u1 B7 w [9 Q+ Q4 D$ o* ePort mirroring and redirection: m: @9 K1 n2 H- Y2 x
6 V( Z. X! [- p; g% }: x! P* a7 yDummy interfaces (analogous to multiple loopbacks)+ T+ X% @, T, _0 t8 u* ?' e
% m- w3 G+ I' h! A; w8 dPseudo-ethernet (aka MAC VLAN): ^7 Q: [0 n- u# C
' B+ g* I7 B5 w# _! g3 {" {( S9 L802.11 wireless (client and access point)
$ L( J4 ^+ d! ~/ k, C* l/ e8 d6 [% H; M# e2 o. o
Some wireless modems (not very good support)
4 _ }1 r: U' ?6 o4 s+ ~+ s) c+ Q1 K# J
PPPoE7 S) _8 y& m+ e& S# ]) ~" h- t
e% S, y$ S. d
Note: No support for serial WAN, ISDN, dial-up, DSL cards. Use an external device for that.
, H! Y) A4 {9 O- Z
! Y4 Y2 I" I! s3 @2 Z7 u4、防火墙与NAT
; A) N( R' q& s; M1 ?0 k% {8 D) D C$ R
Stateful firewall2 `$ y$ l3 t7 M$ y: P! D5 F2 Q
: Y# t* }; `7 d3 j8 V! G5 bNetwork/address/port groups (IPv4 only for now)
# X% n% Z' [9 I5 I$ Z3 e
1 W3 q" S4 x2 F8 N: P/ v) v7 ]Zone-based firewall
: {" ~6 W5 N; \4 o& J! X* ?9 \6 k/ F. J# R
Source and destination NAT- w, B7 }7 s5 s: d( M- Y
* C! I; ?. F1 B4 R$ |5、VPN
( J) l) a9 h q- I( ]+ s1 P' P6 z& @# |4 {- S, b
Site-to-site IPsec (with pre-shared key or x.509 authentication)6 h- l2 o# |1 ^" d* L
* C4 J1 C* ~( V+ HVTI (Virtual Tunnel Interfaces). [9 ~3 _, K; D2 T; p% ]3 j4 g
: ~# F3 v4 _, d7 W* ZOpenVPN (client, server, site-to-site)2 j# F' [# H' a! y" n+ Z
* b, T. P1 R+ n8 t& l# Q
GRE, IPIP, IPIP6, IP6IP6 tunnels
, i* V0 z- V8 p' ~& g% q6 X
. U4 I# q' S8 O# h4 `: bVXLAN
# R/ `: Z$ x6 f0 n" \
/ y2 O7 V7 \/ _Unmanaged L2TPv33 T: E+ U/ P, c+ F9 V3 i
$ ]: ~4 j; w7 CL2TP/IPsec and PPTP remote access VPN
8 x- o6 E8 O2 j# v* f3 u4 \( t& W: @& c2 T! K4 f+ L4 T
DMVPN (experimental)0 r, H" K9 u" M" i* P; { _
8 q* M2 K% ]$ @6、网络服务5 U5 v* z, C. K+ ~$ i% ^ m
* W# C: @* b$ O; cDHCP server and relay1 x( y/ s2 o) F0 a# K
9 E, l* p+ S) }* }5 O8 {+ XCaching DNS server
5 f9 j! Q3 R7 C9 Z- @- a( o5 f
9 I, G# X. D0 w8 `+ SWeb proxy with some URL filtering support (no HTTPS filtering)% P' Q8 E! g3 v- w r2 C9 ~( }
! o' T, |; ?1 p2 V0 e( [
Telnet and SSH for remote management
3 w8 V- n6 w' c8 G/ m( l' a8 { E3 J1 n/ _2 W! q/ ?
IGMP proxy% R5 T+ p9 e @1 z1 u4 l# v
- T' y/ H& C) W- K( y0 L
QoS support7 I& j7 h2 A0 L* n
~9 _8 n+ j8 a
7、高可用# [% d! x1 F2 N& _/ Y3 b
' r9 [8 L2 W8 G+ eVRRP (IPv4 only for now), K; ?1 O, K. N& g ~' Q
) ]+ Y4 |% [4 M3 ~' ?Conntrack sync! ^% u' Y p& _' W6 B( D0 \& a
* p* f5 _2 \9 }4 ]+ xWAN failover and load balancing* H' Y q: F2 ]. N
7 d- q, b) d" p: a
8、IPV6支持
4 v! ?) W9 h! \% n- h7 D' g( G2 e O5 V
IPv6 routing (static and dynamic)
& g9 [0 W6 G3 M* O
& Y) C6 `9 _: c. ]( |Router advertisment
2 j; `9 n, \" S# v* I- L& |4 x6 O/ v1 V1 W$ V0 Y- J/ d5 t+ r, M6 ?
DHCPv6 client and server/relay$ Y+ m' n2 b# w3 s
! J3 D& d! q. d/ r4 ^' Y& AIPv6 firewall
|( b, ^7 s1 B1 l/ }8 k) P* L, ~4 v# e
9、系统维护和监控
+ m/ Z% F d2 n6 B! j$ w; n4 F; R
, S, h( S. z8 ?2 O. T4 ?& ~Task scheduler1 l j) F: z O8 f8 @9 l! s. u; q
& H. r: h7 r1 O) a; N8 j" Y
SNMP' `2 q, O: I3 x2 W( j6 r3 |
; y* m4 O/ ], Z9 }, J1 k
Configuration versioning and remote archiving( N% |. V8 |" [
! O& Z8 J$ q% m8 tEvent handling7 l* }1 H. z: ^$ |7 ]
$ i2 N# n# |9 ~& g7 m" }
Remote syslog- W7 Q G R0 ^' m5 ?' l
u2 A5 U4 I1 Z
其他特性详见链接:http://vyos.net/wiki/Feature_list: w5 U' }7 A( z! m
* N+ H" d0 H" @( ^三、安装
+ B- R# [# V5 t" A% Q
: {2 u0 d( Z \+ } 官方推荐的配置是,2G磁盘空间,512M内存。其硬件要求很小,2G磁盘完全够用,如果不放心可以增加其内存的配置。比较好的一点,它提供了一种基于镜像的安装方式,这使得在同一机器上存在多个版本的软件成为可能,方便版本升级。
5 }7 [- m0 O9 w# Z* u8 V( {. R1 V) `8 n
下载地址:http://packages.vyos.net/iso/release/选择你需要的版本,当前最新版本号1.1.7,另外其也提供了OVA的格式,可以直接部署到vmware等平台上。这里说下iso镜像安装方式,wiki上也有详细的安装手册:http://vyos.net/wiki/User_Guide
- R. R1 o! P: L! M( v8 \5 b$ M' Z. F, k: u2 b" d5 M; h( h v# ~
挂盘之后,进系统引导,会看到如下的界面,默认的用户名/密码是:vyos/vyos
0 M" ^# Y) Z# |' [" ~
- n8 m+ [! L6 z+ D- }( }1 T* KwKioL1dp86bDkrWPAADRY-DVpTc631.png-wh_50" \7 x6 s- ? {
. p7 G0 M4 g+ S% W- g. A 这里有两种安装方式:install image和install system,推荐使用install image方式:
, |2 }) E" }) j. f
: D8 I+ v8 K/ p6 H( ]! h. k8 T运行install image安装:4 \0 o3 J, ]' h' Z V) l
; S# Q* A# ^ ~5 Q- A2 }% y
6 Y6 l0 I& o; P* X0 n6 H
vyos@vyos:~$ install image
+ o4 W2 |$ M/ z& X8 xwKioL1dp9RTQb_pbAACwoOAl1eo773.png-wh_50
& T: M2 h( f s$ p) q# m+ Q( \2 a/ ^) ~& {! z3 k
安装过程很简单,基本一路回车用默认配置即可,中间需要配置vyos用户的密码,安装成功后用的就是vyos这个用户进行系统配置:. t) W# d9 v9 h/ }3 z, \% c
$ G% y) b+ _" g7 h
wKiom1dp9avBGYGYAACVzax_taI839.png-wh_50+ V: U; A5 _ e. m
1 ]' q3 j+ |+ u! v: _ c2 W1 M
提示Setting up grub:OK,即安装成功,之后卸载CDROM,reboot重启之后就可以进行系统配置:6 M! w' S( i7 {4 i; u* n1 Q3 {6 ~
! B2 E2 u- e/ ywKiom1dp9avDROwgAACj6Mrpdwg400.png-wh_50% Z0 L6 w- ~5 ?2 L$ T8 K/ j
1 j3 V( c8 d, e% `2 Q0 q3 f
四、简单配置
( `7 J- y/ ]( {; I% w. a- h5 L6 w) ]3 o, i1 J& R
VyOS CLI提供两种模式:operational mode和configuration mode.输入configure之后即进入configuration模式,跟路由器和其他linux发行版一样,支持[tab]补齐和?查看帮助信息。配置完之后用compare命令查看修改的配置,commit提交配置,save保存到/config/config.boot配置文件中。
G4 |1 S7 J2 E7 r7 \# j/ X4 Q
8 U4 p8 V Q0 V show命令:1 m/ ?. Q- ^, G/ O8 n8 z; k8 v. R
% Z3 g1 ^* t+ g3 y( M9 B7 ?2 V9 y# Q; M8 @3 U6 c2 ^9 i
#查看全部配置
- G, B* ^/ r+ j/ J! E. yvyos@vyos# show configuration ; H) v$ l) o, H) `7 Q$ K
#匹配某个配置字段,类似思科交换机上的include或者linux上的grep" q+ @6 R: C5 d' L8 q6 w
vyos@vyos:~$ show configuration commands | match eth1 . J1 s8 n0 o9 w* x/ b
set interfaces ethernet eth1 address '172.16.0.1/24'
% R2 c2 A# E" [9 ?. d1 pset interfaces ethernet eth1 description 'To Private Net') O8 H6 z3 w/ U. Q6 n1 X, P( D8 ]: R
set interfaces ethernet eth1 hw-id '00:xx:xx:b9:xx:xx
3 M6 E- w4 V, I- x( \* @& P* W 简单NAT配置实例:) n, x" b) b$ W4 X8 W
* l% C8 T! h' n5 K6 L) {/ r6 n# x9 `9 O# Y# E: F
set interfaces ethernet eth0 address 'xx.xx.xx.34/xx' #配置出网ip地址( u% [6 n3 R0 I# |& m. G: ^
set interfaces ethernet eth0 description 'To Internet'' _' Z9 `5 N8 _$ x( Y2 j' N( w
set protocols static route 0.0.0.0/0 next-hop 'xx.xx.xx.33' #配置全局静态路由,33为网关
+ Q# C" g X; q" F w: Bset service ssh listen-address 'xx.xx.xx.34' #设置ssh监听的本地地址) p S3 x; a! j1 |* |) \- j _
set service ssh port '2222' # 更改vyos的ssh端口号+ _# E/ ^% U2 z7 ~' P* z
set nat source rule 100 description 'NAT Outside' #配置NAT source规则,内网映射出网2 Z( i, X' _& Z* c$ y+ x
set nat source rule 100 outbound-interface 'eth0' , x0 Q! h. c( P8 J% A, b& J O
set nat source rule 100 source address '192.168.0.0/24'
1 ~2 y( Q8 z; S% Nset nat source rule 100 translation address 'xx.xx.xx.34'4 M3 P3 u5 V! ^7 V0 q2 b! k
set nat destination rule 101 description 'To agent port 5045' #配置NAT dest规则,映射到内网* u! \$ W# d2 X% d4 t% V* [. b
set nat destination rule 101 destination address 'xx.xx.xx.34'
" _$ X, Z9 q* Yset nat destination rule 101 destination port '5045'
3 i: q7 `" g: \, z3 B1 Z2 `set nat destination rule 101 inbound-interface 'eth0'
, a X' }3 }( g& y$ dset nat destination rule 101 protocol 'tcp'
; D" G. m+ ?4 i+ O9 C$ m( d9 B/ gset nat destination rule 101 translation address '192.168.0.2') l$ Y" C, i4 C" u" \3 d8 a
set nat destination rule 101 translation port '5045'
% F/ R* D8 K* u" i' }8 P* L配置完成之后,报存配置;0 M0 P$ D' M/ Z7 ^
q# J* l1 P- `* z8 O( a
$ r7 ?$ w& c; [0 E
vyos@vyos# compare #查看更改的配置
5 b9 k/ P& l, @8 Pvyos@vyos# commit #提交配置
0 ]5 Q- G: @1 a; f+ @2 T |9 hvyos@vyos#save #保存到文件,重启不失效5 j6 B0 z0 f9 r/ x
vyos@vyos# exit #退出
% L0 A5 W8 q0 B/ N+ qvyos@vyos# rollback 1 #如果发现错误,rollback回滚到指定时间的配置 |
|
/4 
|返回首页|Archiver|小黑屋|易陆发现技术论坛
( 蜀ICP备2026014127号-1 )
窥视卡
雷达卡
发表于 2019-4-9 16:28:24
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
照妖镜
楼主