vyatta软件路由器配置指南

foreye

vyatta软件路由器配置指南


早在2006年8月就看到vyatta的报道了，当时马上去down了ISO文件下来，并刻录到光盘，但后来因为工作忙，一直没时间去研究，结果一晃就到了2007年。
    最近因工作需要，开始研究软路由的性能和功能，于是从柜子里拿出布满灰尘的刻录光盘，在家里那台PIII 733/256M/40G兼容PC上做实验。

第一部分、准备工作
    网卡两张，分别是8139和3com 905。
    安装很简单，将ISO文件通过nero刻录到光盘；然后进入CMOS设置为CDROM为第一启动设备（注意：如果用vmware则不必刻录，可以直接以ISO文件做启动文件，VMware上安装vyatta不在本次讨论之中）
   
第二部分、安装系统

   系统引导完毕后，将出现：
        vyatta login:
   输入root：
        vyatta login: root
        Password:
   输入vyatta，此时看到~ #出现：
        ~ #
   接着输入xorpsh，将进入shell模式：
        root@vyatta>
   进入了shell模式了，是不是就大功告成了呢？当然不是，网卡是否安装成功还不知道吧？如何判断两张网卡是否安装好了呢？输入命令root@vyatta>show interface ethernet ?，注意要有个问号，回车之后，系统将有如下显示：
   root@vyatta>show interface ethernet ?
   Possible completions:
     eth0    show ethernet interface information
     eht1    show ethernet interface information
   上面出现eth0和eth1字样，可以作为两张网卡安装成功的依据（通过上述方法判断是我自己总结的一个土方法，在notebook上只有一张8139的网卡，通过VMWARE环境试验时，验证过该方法同样管用）。

   输入configure进入配置模式：   
   root@vyatta>configure
   root@vyatta#

第三部分、IP地址的配置
    假设将eth0作为外网口，eth1作为内网口。由于本人用的小区宽带且分配的是私有IP网段:192.168.10.x，故本文中将192.168.10.x作为公网ip地址。
     外网eth0的IP为192.168.10.20，其网关是192.168.10.1
     内网eth1的IP为192.168.1.1
1、配置eth0

   root@vyatta#set interfaces ethernet eth0 address 192.168.10.20 prefix-length 24
  上面的命令设置eth0接口的ip地址为192.168.10.20 掩码255.255.255.0写为24，表示24位掩码。
  
2、配置eth1
   root@vyatta#set interfaces ethernet eth1 address 192.168.1.1 prefix-length 24
   上面的命令设置eth1接口的ip地址为192.168.1.1 掩码255.255.255.0写为24，表示24位掩码。
3、添加静态路由
   root@vyatta#set set protocols static route 0.0.0.0/0 next-hop 192.168.10.1
  上面的命令设置静态路由，0.0.0.0/0 next-hop 192.168.10.1表示到达外网任意地址，都通过网关192.168.10.1出去。
4、设置NAT
root@vyatta# create service nat rule 1
[edit]
root@vyatta# edit service nat rule 1
[edit service nat rule 1]
root@vyatta# set type source
[edit service nat rule 1]
root@vyatta# set translation-type masquerade
    指定NAT转换的模式为隐藏内网模式，通俗点讲就是所有内网地址都可通过这种方式访问外网。
[edit service nat rule 1]
root@vyatta# set outbound-interface eth0
    指定外网口为eth0
[edit service nat rule 1]
root@vyatta# set protocols all
[edit service nat rule 1]
root@vyatta# set source network 192.168.1.0/24
    表示源网络为192.168.1.x网段的所有地址
[edit service nat rule 1]
root@vyatta# set destination network 0.0.0.0/0
    表示目的网络为任意地址
[edit service nat rule 1]
root@vyatta# top
[edit]
root@vyatta#commit

用另外一台电脑的网卡和eth1口连接上，设置成192.168.1.2或其它IP，网关指向192.168.1.1，DSN设置成当地电信公布的DNS。
先ping 192.168.1.2，看网卡是否正常。
再ping 192.168.1.1,看网关（即路由器的内网口）是否正常。
接着ping 192.168.10.20，看路由器的外网口是否正常。
最后ping 192.168.10.1，看（电信）出口是否正常。
如果上述都ping通，如果你DNS设置正确，你的路由器正式运行了。

--------------------------------------------------------------
    后记：
    安装成功后，马上用僵尸DDOS攻击工具做TCP、UDP、ICMP攻击，以验证系统的健壮性，VYATTA的抗攻击能力比ros要强，遗憾的是，结果和ROS一样，还是不能抵挡高强度的DDOS攻击，路由器很快崩溃，键盘没反应，需要重新启动电脑才行。
    回头专门写个攻击实验的帖子放上来。

    附录：常用命令

1、查看配置信息
        vyatta@vyatta# show
2、提交配置
        vyatta@vyatta# commit
3、退出不保存
        vyatta@vyatta# exit discard
4、打开web管理功能
        vyatta@vyatta#set service http port 80
5、打开telnet管理功能
        vyatta@vyatta#set service telnet port 23
6、退出
        vyatta@vyatta# exit或者root@vyatta# quit
7、up或者top退出命令
        root@vyatta# up  /逐层退出，类似于exit或quit
        root@vyatta# top /一步退出，类似于DOS命令下的cd \命令
8、退出show模式
    ctrl+c

jensun

呵呵~~
我是在2006年8月的时候就装来测试的
同样是抵御不了普通的DDOS

实际上，单单配置一下上网是对DDOS没有什么用的，，必须要深入配置其他的参数。

LanTian

vyatta2.2也发布了。
懒得安装的可以下载官方已经做好的VMWARE映像来体验。

add1132

谢谢分享了，我那里只有E文的，没有你这么详细。