antiCisco blogs


блоги по технологиям и оборудованию cisco от инструкторов

Опубликовано 11 Январь , 2011

В процессе общения на форуме, в IRC, здесь и в прочих местах накопился некий список часто задаваемых вопросов о вьятте. Вот я и решил их систематизировать и собрать здесь. Список наверняка будет расширяться и дополняться, так что запросы и обсуждения приветствуются.

Общие вопросы

Как часто выходят новые версии? Когда выйдет следующая?
Обычно раз в полгода, иногда выпуск может задержаться. При обнаружении серьезных ошибок (обычно это проблемы безопасности) maintenance release может быть выпущен вне графика, на основные выпуски эти события не влияют. Примерный график релизов лежит тут.
Что это за Larkspur, Kenwood и прочие странные названия?
Это имена веток исходного кода. Номера версий им присваиваются незадолго до выпуска, поэтому авторы и те, кто следит за разработкой, часто ссылаются именно на эти имена, особенно при обсуждении будущих версий. Названия происходят от городов в Калифорнии.
Чего нет во Vyatta?
В настоящий момент из востребованных функций нет, например, следующего:

  • MPLS и VRF
  • PBR (но обходным путем сделать можно)
  • PPTP и L2TP-клиентов
  • Multicast
  • WebVPN
Планируется ли поддержка других аппаратных платформ (ARM, MIPS и т.д.)?
Нет. Это потребует слишком много ресурсов и не соответствует одной из целей — работать на стандартном и распространенном железе.

Установка

Какую версию ставить?
Самую свежую, она всегда лучше предыдущей.
Какое железо нужно?
Зависит от задач. Для малого офиса подойдут Atom/C3 с 384 мегабайтами памяти; для серьезных целей лучше брать стоечные сервера. Очень неполные списки поддерживаемого железа есть здесь и здесь. В целом, совсем неподдерживаемое железо встречается редко. Больше всего проблем возникает с беспроводными адаптерами и USB-устройствами.
Сколько нужно места на диске?
Не менее двух гигабайт. Лучше больше, чтобы можно было без проблем обновляться.
На какие гипервизоры виртуальных машин можно поставить?
Теоретически, на любой. Официально поддерживаются VMWare ESX и Citrix XenServer, проверено в реальных условиях на Xen (нужно использовать образ livecd-virt), KVM, VirtualBox. Распространенная проблема в VMWare — неработающие интерфейсы мостов. Решается включением promiscuos mode в vSwitch, к которому подключена машина. Также возможны проблемы с производительностью сети, решаются использованием паравиртуальных драйверов.
Можно ли установить на встраиваемые устройства с x86?
Обычно можно, есть отзывы. Если нет возможности загрузится с образа прямо на устройстве, можно подключить диск/флешку к виртуальной машине (желательно без сетевых интерфейсов, чтобы не поехали имена устройств), установить в ней и потом сунуть в целевую железку — загружается без проблем.
Можно ли ставить на CompactFlash и иные подобные носители?
Можно, но стоит предпринять действия по уменьшению числа операций записи на диск, которое по умолчанию довольно велико. В частности, перенаправить системные сообщения на удаленный syslog-сервер.
Как обновить систему?
Используйте «add system image <ISO image URL>» из операционного режима. Можно добавлять образ как с диска (указав путь), так и с удаленного сервера (указав URL). После установки образа нужно перезагрузиться.
Ни в коем случае не используйте «full-upgrade -k», вероятность сломать им систему близка к единице.
Как обновить старые версии (до 6.0), которые не поддерживали установку образов?
Лучше всего сохранить конфиг и ключи и поставить с нуля. Если такой возможности нет (например, до железки физически не добраться), можно использовать найденный мной метод, но на свой страх и риск.
Как ставить пакеты от debian?
Сначала настроить репозитарий. Для версий 6.1 и ранее:

set system package repository lenny components 'main contrib non-free'
set system package repository lenny distribution 'lenny'
set system package repository lenny url 'http://mirrors.kernel.org/debian'


Для версий после 6.1:

set system package repository squeeze components 'main contrib non-free'
set system package repository squeeze distribution 'squeeze'
set system package repository squeeze url 'http://mirrors.kernel.org/debian'


Потом обновить список пакетов командой «apt-get update». После этого можно будет искать пакеты по «apt-cache search <packageName>» и устанавливать по «apt-get install <packageName>».

Настройка

Как войти в режим настройки?
Командой configure.
Я создал пользователя с помощью useradd, поправил конфиг в /etc, а после перезагрузки изменения исчезли!
Все изменения в настройки нужно вносить через родной интерфейс командной строки (set …), настройки бэкендов генерируются при запуске. Если вы не знаете внутреннее устройство системы в подробностях, лучше вообще забыть, что там внутри Linux.
Как сделать «ip route x.x.x.x y.y.y.y Null0» (то есть, искусственно сделать сеть недостижимой)?
«set protocols static route x.x.x.x/y blackhole»
Как включить веб-интерфейс?
«set service https». Но лучше этого не делать, поскольку новичку он не поможет, а опытному пользователю неудобен.
Я создал набор правил МСЭ, а он не работает.
Наборы правил сами по себе ничего не делают, если не применить их к интерфейсу. У интерфейсов есть три направления: in (входящий трафик для сети за маршрутизатором), local (входящий трафик для самого маршрутизатора) и out (исходящий трафик).
Как отфильтровать соединения, инициируемые самим маршрутизатором?
Никак.
Как отфильтровать трафик PPTP и L2TP-соединений?
Это возможно только при использовании zone-based МСЭ. Поставьте в качестве интерфейса у зоны ppp+. При применении изменений выдадут предупреждение, но работать будет.
Почему не работает правило many-to-many NAT?
Чтобы она работало, все внешние адреса должны быть присвоены входящему интерфейсу.
Как создать несколько loopback-интерфейсов?
Никак. Но можно присвоить интерфейсу lo несколько адресов, для практических целей этого достаточно.
Как создать интерфейс mGRE?
Нужно создать обычный GRE без destination, но с key. Специальной опции вроде «mode gre multipoint», как в IOS, не требуется.
 

Опубликовано: Vyatta

 

4 комментария “Vyatta FAQ”

comment rss - Trackback

  1. О, слушай, спасибо! ПОлезные фишки.

    А как обойти отсутствие PBR?

    Мне казалось, что PBR есть

  2. В явном виде PBR пока нет. Она требует патча к квагге для поддержки нескольких таблиц, который пока еще не вошел в дистрибутив. Надеюсь, скоро сделаем.
    Переключение на резервный канал при некоторых настройках эксплуатирует как раз PBR ядра, чем и можно воспользоваться. Живой пример:

    #show protocols
    static {
    interface-route 0.0.0.0/0 {
    next-hop-interface pppoe0 {
    }
    }
    ...
    #show load-balancing wan
    disable-source-nat
    flush-connections
    interface-health eth2 {
    failure-count 2
    nexthop 10.0.0.1
    test 0 {
    target 87.250.251.3
    type ping
    }
    test 1 {
    target 213.180.204.3
    type ping
    }
    }
    rule 10 {
    enable-source-based-routing
    failover
    inbound-interface ppp+
    interface pppoe0 {
    weight 1
    }
    interface eth2 {
    weight 10
    }
    source {
    address 172.20.0.0/24
    }
    }

    Здесь VPN-клиенты с подсетью 172.20.0.0/24 по умолчанию отправляются через eth2, а все остальные ходят через pppoe0.

    При красноте глаз больше или равной 600 нанометров можно и вручную добавить правила (ip rule add …), но поддерживать такое не особо удобно.

  3. Дык. На самом деле внутри там все довольно просто получается, но на вид и правда неочевидно. Может как-нибудь соберусь написать про PBR в чистом линуксе.

» Оставить комментарий

Вы должны войти чтобы прокомментировать.