antiCisco blogs


блоги по технологиям и оборудованию cisco от инструкторов

Архив за ‘Vyatta’ Category

Опубликовано 31 Декабрь , 2010

Здесь я собрал некоторые не вполне очевидные, но полезные факты о внутреннем устройстве и настройке Vyatta, которые могут сделать общение с ней более комфортным и продуктивным.

Читать продолжение записи »

 

Опубликовано: Vyatta | 3 комментария »

Опубликовано 5 Декабрь , 2010

В продолжение серии статей про IPv6 мы рассмотрим простейший случай: маленькую сеть с единственным внешним подключением.

Предположим, что у нас есть сеть с несколькими рабочими станциями на Windows Vista или 7, одним сервером на RHEL5 и одним маршрутизатором на Vyatta 6.1. Задача: организовать раздачу IPv6 адресов и дефолтного маршрута.

Читать продолжение записи »

 

Опубликовано: Vyatta | 6 комментариев »

Опубликовано 7 Ноябрь , 2010

Неумолимо приближается час, когда адреса IPv4 закончатся и вот уж тогда… Так, о чем это я? В общем, я собирался рассказать про настройку IPv6 BGP во Vyatta 6.1. В принципе, отличий от IPv4 не так много, надо их просто учитывать.

Глобальные настройки указываются в «set protocols bgp address-family ipv6-unicast». Например,

edit protocols bgp address-family ipv6-unicast
set network 2001:db8::/32
set redistribute static route-map IPv6-Static

Читать продолжение записи »

 

Опубликовано: Vyatta | 2 комментария »

Опубликовано 25 Август , 2010

Вчера было объявлено о релизе Vyatta 6.1. aka Larkspur. Даже несколько неожиданно, я ожидал ее не раньше конца сентября. Скачать можно там же, где и всегда; вместе с документацией 🙂

Существенных изменений во внутренностях не произошло, но добавили несколько полезных функций:

  1. Перенаправление и зеркалирование трафика. Указав интерфейсу опцию «mirror (другой интерфейс)» или «redirect (другой интерфейс)» можно, соответственно, отправить копию всего входящего трафика или сам трафик на другой интерфейс.
    Перенаправление особенно полезно в сочетании с новым типом интерфейса input, который именно для этой цели и сделали. Можно создать этот псевдоинтерфейс путем «set interfaces input ifbX», повесить на него МСЭ или правила QoS (их, кстати, переименовали из qos-policy в traffic-policy) и путем редиректа применить ее ко всем нужным интерфейсам разом.
  2. DHCPv6. Просто DHCPv6.
  3. Протоколы обнаружения соседей по канальному уровню: LLDP, CDP и еще несколько менее распространенных. Живут в «set service lldp».
  4. Возможность включать интерфейсы GRE и OpenVPN в мост, и получать тем самым работающий поверх чего попало VPN канального уровня.
  5. BGP TTL security, улучшения в BGP для IPv6
  6. IPv6 SNMP
  7. Синхронизация таблицы состояний соединений, что позволяет организовать отказоустойчивый NAT и МСЭ без потери этих соединений (ну, или хотя бы с минимальными потерями). Можно использовать как с VRRP, так и с кластеризацией. Настраивается в «set service conntrack-sync»

Отдельно нужно упомянуть возможность временно отключить любой фрагмент конфигурации, а также добавить к произвольному элементу комментарий (deactivate/activate и comment). Правда сейчас эти команды хотя и присутствуют, но не появляются в автодополнении и справке. Видимо, не успели достаточно протестировать, и добавят в обновлениях, ждем. Выглядеть это будет примерно вот так:

/* Deactivated node (comments look this way) */
! protocols {
!   static {
!      route {
! ...

Ну и для соответствия поста названию блога остается только добавить: Vyatta rulezz foreva! 🙂

UPD: Забыл: теперь можно получить конфиг в виде набора команд путем «show configuration cmds» из операционного режима.

 

Опубликовано: Vyatta | 4 комментария »

Опубликовано 18 Апрель , 2010

Vyatta располагает достаточно большим набором средств отладки и диагностики, которые помогают понять, что именно идет не так. Здесь я описываю, по возможности, только штатные (присутствующие в родном CLI) средства, хотя ничто не мешает использовать произвольные инструменты Linux.

Читать продолжение записи »

 

Метки:
Опубликовано: Vyatta | 2 комментария »

Опубликовано 12 Апрель , 2010

Здесь я собрал некоторые не вполне очевидные, но полезные факты о внутреннем
устройстве и настройке Vyatta, которые могут сделать общение с ней более
комфортным и продуктивным.

Читать продолжение записи »

 

Опубликовано: Vyatta | Нет комментариев »

Опубликовано 1 Апрель , 2010

На маршрутизаторе vyatta интегрирован прокси-сервер squid, к которому можно применить запрещающие списки (squidguard blacklist, бесплатно скачиваемые с squidguard.org), распределенные по категориям.

Настройка довольно проста. Если вы хотите просто прокси-сервер, без URL-фильтрации, то можно ничего не скачивать. Достаточно включить squid (по умолчанию включается в прозрачном режиме на порту 3128)

[edit]
edit service webproxy
[edit service webproxy]
set listen address {IP} [port {#PORT}] [disable-transparent]
[edit service webproxy]
commit

указав параметр “port” можно задать явно ТСР-порт из диапазона 1024-65535
Читать продолжение записи »

 

Метки: , , ,
Опубликовано: Vyatta | 4 комментария »

Опубликовано 24 Март , 2010

Одна из самых востребованных технологий – защита канала передачи данных. Самая распространенная и безопасная технология – IPSec. Попробуем построить самый простой туннель между маршрутизатором vyatta и маршрутизатором cisco с использованием предустановленных ключей (pre-shared key).

Забегая вперед скажу, что все настройки интуитивно понятны и туннель поднялся без проблем. Vyatta использует Openswan IPSec 2.4.

Итак, как известно, построение IPSec идет в 2 фазы: IKE Phase I и IKE Phase II
Первая фаза работает по протоколу isakmp (UDP/500). Для её настройки нам надо задать политику создания первичного (служебного) туннеля и ключ для аутентификации.
Читать продолжение записи »

 

Метки: , , ,
Опубликовано: Vyatta | 6 комментариев »

Опубликовано 19 Март , 2010

Теперь усложним задачу: попробуем «прокинуть порт» внутрь. Или другими словами, анонсировать какой-нибудь сервис наружу МСЭ. Для этого нам понадобится 2 конструкции:
1. Трансляция адреса назначения при обращении снаружи
2. Разрешение инициирования трафика снаружи внутрь МСЭ

Как уже отмечал выше, на Vyatta реализовано 2 основных вида сетевых трансляций: трансляция адреса источника, когда идём наружу МСЭ (inside), и трансляция адреса назначения, когда идём снаружи МСЭ (destination). Разница в том, с какой стороны можно инициировать сессии. В первом случае – изнутри, а во втором – снаружи МСЭ. При этом нам нет необходимости описывать ответные пакеты: при прохождении первого пакета мы запоминаем (кэшируем) трансляцию и ответные пакеты уходят, используя эту запись в кэше.

Итак, для примера попробуем анонсировать наружу web-сервер 10.4.4.100 по порту 80 адреса интерфейса.
Опишем трансляцию адреса назначения. Для этого надо указать, на какой интерфейс мы обращаемся (eth0), на какой адрес и порт, и какой адрес и порт ему соответствует внутри МСЭ:
Читать продолжение записи »

 

Метки: , ,
Опубликовано: Vyatta | 1 комментарий »

Опубликовано 19 Март , 2010

Едем дальше. Попробуем добавить безопасности.

Первым делом, что хочется сделать, это построить правильный межсетевой экран с сохранением сессий (stateful inspection) и учетом сложных протоколов (advanced protocol handling).

Посмотрим, что vyatta умеет делать с точки зрения фильтрации трафика, а сложные протоколы рассмотрим позже.

Все глобальные параметры межсетевого экранирования собраны в режиме

edit firewall

Все функции фильтрации, которые можно применить для конкретного интерфейса, собраны в настройке

edit firewall name {ИМЯ}

Там можно фильтровать как по МАС-адресам (фильтр на канальном уровне), так и по IP и TCP/UDP портам (статические списки доступа).

Для начала описываем действие, которое мы хотим сделать с пакетом
[edit firewall name {ИМЯ}]
set rule {RULENUMBER} action {accept|drop|reject|inspect}

Читать продолжение записи »

 

Метки: , , ,
Опубликовано: Vyatta | 5 комментариев »