Настроим для начала интерфейсы с адресами, статический маршрутик по умолчанию и РАТ в адрес интерфейса, дабы завязать нашу внутреннюю сеть с внешним миром и «увидеть интернет». Все настройки начинаются с ключевого слова
set
Интерфейсы.
Будем настраивать самые простые – ethernet интерфейсы. Их настройка тривиальна
[edit]
edit interfaces
[edit interfaces]
set ethernet eth0 address 192.168.4.1/24
[edit interfaces]
set ethernet eth1 address 10.4.4.1/24
[edit interfaces]
commit
[edit interfaces]
Причем команда commit
подтвердит только изменения, сделанные в указанном подрежиме. Это позволяет настраивать совместно железку несколькими администраторами, не боясь нарушить общую целостность конфигурации
Важно: Если вы ошибетесь при вводе команды, vyatta сразу ругнется, указав значком ^ место, откуда она перестает понимать команду.
Если же команда имеет правильный синтаксис, однако не может быть подтверждена самостоятельно, а только в составе каких-то других команд, то vyatta ругнется на этапе подтверждения, явно рассказав, что же ещё требуется, чтобы этот кусочек конфига был законченным. Тоже удобно.
На интерфейсах также можно установить МАС-адрес (hw-id), скорость, дуплекс, правила межсетевого экранирования, качества обслуживания и т.д.
Маршрутизация.
С точки зрения маршрутизации vyatta весьма даже мощно нафарширована. Поддерживает все стандартные протоколы маршрутизации, кроме IS-IS (RIP,OSPF,BGP) для IPv4 и даже простенький RIPng для IPv6
На данном этапе мы настроим статический маршрут по умолчанию.
Здесь можно указать как маршрут, использующий явное указание адреса следующей пересылки (next-hop), так и указание исходящего интерфейса, за которым находится соседский маршрутизатор
set protocols static route {nework/mask} next-hop {next-hop-address}
set protocols static interface-route {nework/mask} next-hop-interface {interface}
Например, напишем маршрут по умолчанию
[edit]
set protocols static route 0.0.0.0/0 next-hop 192.168.4.100
[edit]
commit
Для условного выхода в интернет осталось описать трансляцию NAT или РАТ, чтобы внутренние адреса (в нашем случае 10.4.4.0/24) транслировались во внешние (в нашем случае «внешними» будут адреса из сети 192.168.4.0/24)
Для этого создается правило трансляции номер 1
[edit]
edit service nat rule 1
[edit service nat rule 1]
Описывается тип трансляции: внутренний (source), внешний (destination) или РАТ (masquerade). Внутренняя трансляция подменяет адрес источника при выходе наружу, внешняя – адрес источника при проходе внутрь. Masquerade – подмена адреса источника при выходе наружу через указанный интерфейс. Более детально NAT попробуем осилить позже, а пока произведем «маскарад» в адрес внешнего интерфейса
[edit service nat rule 1]
set type masquerade
[edit service nat rule 1]
set outbound-interface eth0
[edit service nat rule 1]
commit
В результате этих нехитрых действий мы получим доступ из нашей внутренней сети в интернет. Для красоты ещё настроим удаленный доступ по ssh (насколько я понял, он включен по умолчанию)
[edit]
set service ssh port 22
[edit]
commit
Можно указать версию протокола (по умолчанию – sshv2), можно явно разрешить или запретить ходить по пользователем root
Аналогично можно настроить telnet
Чтобы окончательно придать железке индивидуальность, надо бы ещё имя ей придумать:
[edit]
set system host-name MYVYATTA
[edit]
commit
Имя, почему-то, сразу не цепляется. Надо выйти из режима настройки и войти снова, тогда новое имя отобразится в приглашении.
Ещё из необходимого, пожалуй, стоит настроить DHCP-сервер, чтобы vyatta сама выдавала адреса на внутреннем интерфейсе из указанного диапазона, шлюз и адрес ДНС-сервера (к слову, она может и получать адрес по DHCP, например, на внешнем интерфейсе)
[edit]
edit service dhcp-server shared-network-name LOCALPOOL
[edit service dhcp-server shared-network-name LOCALPOOL]
set subnet 10.4.4.0/24
[edit service dhcp-server shared-network-name LOCALPOOL]
set subnet 10.4.4.0/24 start 10.4.4.100 stop 10.4.4.200
[edit service dhcp-server shared-network-name LOCALPOOL]
set subnet 10.4.4.0/24 default-router 10.4.4.1
[edit service dhcp-server shared-network-name LOCALPOOL]
set subnet 10.4.4.0/24 dns-server 4.4.4.2
[edit service dhcp-server shared-network-name LOCALPOOL]
commit
В итоге получим конфигурацию примерно такого вида:
interfaces {
ethernet eth0 {
address 10.4.4.1/24
hw-id 00:17:9a:c1:aa:12
}
ethernet eth1 {
address 192.168.4.1/24
hw-id 00:1a:92:8f:bb:1c
}
loopback lo {
}
}
protocols {
static {
route 0.0.0.0/0 {
next-hop 192.168.4.100 {
}
}
}
}
service {
dhcp-server {
shared-network-name LOCALPOOL {
subnet 10.4.4.0/24 {
default-router 10.4.4.1
dns-server 4.4.4.2
start 10.4.4.100 {
stop 10.4.4.200
}
}
}
}
nat {
rule 1 {
outbound-interface eth1
type masquerade
}
}
ssh {
port 22
}
}
system {
host-name MYVYATTA
login {
user root {
authentication {
encrypted-password $1$$Ht7gBYnxI1xCdO/JOnodh.
}
}
user vyatta {
authentication {
encrypted-password $1$$Ht7gBYnxI1xCdO/JOnodh.
}
}
}
ntp-server 69.59.150.135
package {
repository community {
components main
distribution stable
url http://packages.vyatta.com/vyatta
}
}
}
[edit]
(продолжение следует)
Метки: vyatta, маршрутизатор, начальные настройки
Опубликовано: Vyatta
конструкция
package {
repository community {
components main
distribution stable
url http://packages.vyatta.com/vyatta
}
}
}
очень напоминает Debian и Ubuntu…
Завтра обязательно поставлю, попробую и посмотрю насколько оно дебиан 😉
Спасибо за статьи!
Так оно Дебиан и есть 🙂 Никто не скрывает 🙂
Удобство в том, чтобы чайники в Линуксе вроде меня, не лазили по ОСке, настраивая отдельные пакеты, а делали все изменения из единообразной, удобной, Жунипер-подобной консоли 🙂
Запустил и уже внутренности посмотрел 🙂
По умолчанию SSH не стартован.
Насчет удобства JunCLI понятно, еще тут есть удобство Debian — для чайников в Juniper как я 🙂
Собираюсь сделать тест HP DL360G6 C6509 🙂
Да, надо бы поправить. Сервис стартуется командой
set service ssh protocol v2
Настоятельно советую посмотреть на шестую ветку (Kenwood). В ней много чего хорошего добавили, в том числе OSPFv3, BGP для IPv6, шейпинг/фильтрацию файлообменных сетей, МСЭ для IPv6, да и еще много разного. Да и сам интерфейс стал удобнее, например, теперь можно копировать и переименовывать правила МСЭ и NAT.