antiCisco blogs


блоги по технологиям и оборудованию cisco от инструкторов

Опубликовано 5 Март , 2010

Настроим для начала интерфейсы с адресами, статический маршрутик по умолчанию и РАТ в адрес интерфейса, дабы завязать нашу внутреннюю сеть с внешним миром и «увидеть интернет». Все настройки начинаются с ключевого слова

set

Интерфейсы.
Будем настраивать самые простые – ethernet интерфейсы. Их настройка тривиальна
[edit]
edit interfaces
[edit interfaces]
set ethernet eth0 address 192.168.4.1/24
[edit interfaces]
set ethernet eth1 address 10.4.4.1/24
[edit interfaces]
commit
[edit interfaces]

Причем команда commit подтвердит только изменения, сделанные в указанном подрежиме. Это позволяет настраивать совместно железку несколькими администраторами, не боясь нарушить общую целостность конфигурации

Важно: Если вы ошибетесь при вводе команды, vyatta сразу ругнется, указав значком ^ место, откуда она перестает понимать команду.
Если же команда имеет правильный синтаксис, однако не может быть подтверждена самостоятельно, а только в составе каких-то других команд, то vyatta ругнется на этапе подтверждения, явно рассказав, что же ещё требуется, чтобы этот кусочек конфига был законченным. Тоже удобно.

На интерфейсах также можно установить МАС-адрес (hw-id), скорость, дуплекс, правила межсетевого экранирования, качества обслуживания и т.д.

Маршрутизация.
С точки зрения маршрутизации vyatta весьма даже мощно нафарширована. Поддерживает все стандартные протоколы маршрутизации, кроме IS-IS (RIP,OSPF,BGP) для IPv4 и даже простенький RIPng для IPv6
На данном этапе мы настроим статический маршрут по умолчанию.

Здесь можно указать как маршрут, использующий явное указание адреса следующей пересылки (next-hop), так и указание исходящего интерфейса, за которым находится соседский маршрутизатор

set protocols static route {nework/mask} next-hop {next-hop-address}
set protocols static interface-route {nework/mask} next-hop-interface {interface}

Например, напишем маршрут по умолчанию
[edit]
set protocols static route 0.0.0.0/0 next-hop 192.168.4.100
[edit]
commit

Для условного выхода в интернет осталось описать трансляцию NAT или РАТ, чтобы внутренние адреса (в нашем случае 10.4.4.0/24) транслировались во внешние (в нашем случае «внешними» будут адреса из сети 192.168.4.0/24)

Для этого создается правило трансляции номер 1
[edit]
edit service nat rule 1
[edit service nat rule 1]

Описывается тип трансляции: внутренний (source), внешний (destination) или РАТ (masquerade). Внутренняя трансляция подменяет адрес источника при выходе наружу, внешняя – адрес источника при проходе внутрь. Masquerade – подмена адреса источника при выходе наружу через указанный интерфейс. Более детально NAT попробуем осилить позже, а пока произведем «маскарад» в адрес внешнего интерфейса

[edit service nat rule 1]
set type masquerade
[edit service nat rule 1]
set outbound-interface eth0
[edit service nat rule 1]
commit

В результате этих нехитрых действий мы получим доступ из нашей внутренней сети в интернет. Для красоты ещё настроим удаленный доступ по ssh (насколько я понял, он включен по умолчанию)

[edit]
set service ssh port 22
[edit]
commit

Можно указать версию протокола (по умолчанию – sshv2), можно явно разрешить или запретить ходить по пользователем root

Аналогично можно настроить telnet
Чтобы окончательно придать железке индивидуальность, надо бы ещё имя ей придумать:
[edit]
set system host-name MYVYATTA
[edit]
commit

Имя, почему-то, сразу не цепляется. Надо выйти из режима настройки и войти снова, тогда новое имя отобразится в приглашении.

Ещё из необходимого, пожалуй, стоит настроить DHCP-сервер, чтобы vyatta сама выдавала адреса на внутреннем интерфейсе из указанного диапазона, шлюз и адрес ДНС-сервера (к слову, она может и получать адрес по DHCP, например, на внешнем интерфейсе)

[edit]
edit service dhcp-server shared-network-name LOCALPOOL
[edit service dhcp-server shared-network-name LOCALPOOL]
set subnet 10.4.4.0/24
[edit service dhcp-server shared-network-name LOCALPOOL]
set subnet 10.4.4.0/24 start 10.4.4.100 stop 10.4.4.200
[edit service dhcp-server shared-network-name LOCALPOOL]
set subnet 10.4.4.0/24 default-router 10.4.4.1
[edit service dhcp-server shared-network-name LOCALPOOL]
set subnet 10.4.4.0/24 dns-server 4.4.4.2
[edit service dhcp-server shared-network-name LOCALPOOL]
commit

В итоге получим конфигурацию примерно такого вида:
interfaces {
ethernet eth0 {
address 10.4.4.1/24
hw-id 00:17:9a:c1:aa:12
}
ethernet eth1 {
address 192.168.4.1/24
hw-id 00:1a:92:8f:bb:1c
}
loopback lo {
}
}
protocols {
static {
route 0.0.0.0/0 {
next-hop 192.168.4.100 {
}
}
}
}
service {
dhcp-server {
shared-network-name LOCALPOOL {
subnet 10.4.4.0/24 {
default-router 10.4.4.1
dns-server 4.4.4.2
start 10.4.4.100 {
stop 10.4.4.200
}
}
}
}
nat {
rule 1 {
outbound-interface eth1
type masquerade
}
}
ssh {
port 22
}
}
system {
host-name MYVYATTA
login {
user root {
authentication {
encrypted-password $1$$Ht7gBYnxI1xCdO/JOnodh.
}
}
user vyatta {
authentication {
encrypted-password $1$$Ht7gBYnxI1xCdO/JOnodh.
}
}
}
ntp-server 69.59.150.135
package {
repository community {
components main
distribution stable
url http://packages.vyatta.com/vyatta
}
}
}
[edit]

(продолжение следует)

 

Метки: , ,
Опубликовано: Vyatta

 

5 комментариев “Vyatta. Getting started. Статья 2”

comment rss - Trackback

  1. gbyte:

    конструкция

    package {
    repository community {
    components main
    distribution stable
    url http://packages.vyatta.com/vyatta
    }
    }
    }

    очень напоминает Debian и Ubuntu…
    Завтра обязательно поставлю, попробую и посмотрю насколько оно дебиан 😉

    Спасибо за статьи!

    • Так оно Дебиан и есть 🙂 Никто не скрывает 🙂

      Удобство в том, чтобы чайники в Линуксе вроде меня, не лазили по ОСке, настраивая отдельные пакеты, а делали все изменения из единообразной, удобной, Жунипер-подобной консоли 🙂

  2. Запустил и уже внутренности посмотрел 🙂

    По умолчанию SSH не стартован.

    Насчет удобства JunCLI понятно, еще тут есть удобство Debian — для чайников в Juniper как я 🙂

    Собираюсь сделать тест HP DL360G6 C6509 🙂

  3. Настоятельно советую посмотреть на шестую ветку (Kenwood). В ней много чего хорошего добавили, в том числе OSPFv3, BGP для IPv6, шейпинг/фильтрацию файлообменных сетей, МСЭ для IPv6, да и еще много разного. Да и сам интерфейс стал удобнее, например, теперь можно копировать и переименовывать правила МСЭ и NAT.

» Оставить комментарий

Вы должны войти чтобы прокомментировать.