vyatta軟路由器技術(shù)研究

摘 要：本文主要研究將X86計(jì)算機(jī)轉(zhuǎn)換為企業(yè)級(jí)路由器的方法。

關(guān)鍵詞：軟路由； vyatta； 路由器配置

中圖分類號(hào)：TP311文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1006-3315（04）-173-002

本單位計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)規(guī)模較大，包括長(zhǎng)江數(shù)據(jù)網(wǎng)（內(nèi)網(wǎng)）和外網(wǎng)、ADSL網(wǎng)絡(luò)、AIS網(wǎng)絡(luò)、互聯(lián)網(wǎng)出口網(wǎng)絡(luò)等網(wǎng)絡(luò)系統(tǒng)，使用了大量的路由器設(shè)備。出于網(wǎng)絡(luò)系統(tǒng)維護(hù)需要，必須配備網(wǎng)絡(luò)路由器作為備用網(wǎng)絡(luò)設(shè)備。

本文將研究利用淘汰的X86計(jì)算機(jī)設(shè)備，通過安裝開源軟件，將其轉(zhuǎn)換為企業(yè)級(jí)的路由器/防火墻，作為網(wǎng)絡(luò)維護(hù)的備用設(shè)備。

一、軟路由簡(jiǎn)介

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，做為網(wǎng)絡(luò)系統(tǒng)中的重要設(shè)備——路由器已經(jīng)分化為兩種類型：硬件路由器和軟件路由器。

硬件路由器是以特用的硬設(shè)備，包括處理器、電源供應(yīng)、嵌入式軟件，提供設(shè)定的路由器功能。我們以前一直使用的就是硬路由器。

而軟件路由器則是指利用臺(tái)式機(jī)或服務(wù)器配合軟件形成路由解決方案，主要靠軟件的設(shè)置，達(dá)成路由器的功能。

軟件路由器根據(jù)使用的操作不同，可以分為基于windows平臺(tái)和基于Linux/bsd平臺(tái)。基于Windows平臺(tái)的軟件防火墻比較常見的有ISA Server、Winroute Firewall等，這些軟件都是商業(yè)化的，通常根據(jù)授權(quán)用戶數(shù)不同收費(fèi)而不同，購買正版的軟件防火墻的費(fèi)用對(duì)許多中小型企業(yè)來說無疑是一筆不小的開支。而基于Unix/Linux平臺(tái)的軟件防火墻大家一般接觸較少，受益于開放源碼運(yùn)行，目前基于Unix/Linux平臺(tái)的軟件防火墻如雨后春筍般不斷推出，這些軟件防火墻大多是免費(fèi)的，常見的有海蜘蛛、RouterOS、m0n0Wall、SmoothWall、Ipcop、CoyoteLinux、vyatta等。

不同的軟件路由器功能不一樣，絕大部分基于Linux/bsd的免費(fèi)軟件路由器功能并不比商業(yè)的差，而且比商業(yè)的功能還要強(qiáng)大。目前常見的硬件寬帶路由器，絕大部分都是用軟件來實(shí)現(xiàn)的，跟軟件路由器是一樣的，而且軟件路由器一般硬件配置要比硬件的寬帶路由器配置高，所以某些情況下速度比幾千上萬元的硬件路由器穩(wěn)定還要快。至于軟件路由器的穩(wěn)定性，受益于穩(wěn)定的Linux和BSD內(nèi)核，軟件路由器的穩(wěn)定性非常好，最長(zhǎng)時(shí)間可以一年不用重啟。

軟路由系統(tǒng)共有的特點(diǎn)是一般對(duì)硬件要求較低，甚至只需要一臺(tái)486電腦，一張軟盤，兩塊網(wǎng)卡就可以安裝出一臺(tái)非常專業(yè)的軟件路由器，這對(duì)很多有淘汰下來的低檔電腦的朋友來說，意味著拿一臺(tái)淘汰的電腦，安裝一套免費(fèi)的防火墻軟件，不花一分錢就DIY出一臺(tái)專業(yè)的軟件路由器。

Vyatta是軟路由系統(tǒng)中的佼佼者，而且它屬于開源軟件路由項(xiàng)目，可以免費(fèi)使用，并且此軟件的使用、修改和分發(fā)也不受許可證的限制。它是一份完整的、即刻可用的、基于Debian（Linux平臺(tái)的一種）的發(fā)行，被設(shè)計(jì)為能將一套標(biāo)準(zhǔn)的x86硬件轉(zhuǎn)換為企業(yè)級(jí)的路由器/防火墻。Vyatta軟件包括對(duì)常用網(wǎng)絡(luò)接口、工業(yè)標(biāo)準(zhǔn)路由協(xié)議和管理協(xié)議的支持。與先前的開源軟件路由項(xiàng)目不同，所有的這些特性都可以通過單個(gè)的命令行接口（CLI）或是基于web的圖形用戶界面來配置。

運(yùn)行Vyatta軟件的x86PC能夠取代路由器市場(chǎng)的中檔產(chǎn)品，功能可與Cisco、Juniper等廠商提供的商業(yè)化產(chǎn)品的廣域網(wǎng)路由性能和安全性能相媲美，基本可以取代思科2800系列至7200系列路由器。

二、在計(jì)算機(jī)上安裝Vyatta software

首先，從http://www.vyatta.com/download/下載Vyatta軟件的ISO安裝文件，然后把下載下來的iso文件刻錄到光盤上。

其次，準(zhǔn)備一臺(tái)X86計(jì)算機(jī)，擁有兩塊以上的網(wǎng)卡，1GB（推薦2GB）以上空閑硬盤空間，256MB內(nèi)存。然后進(jìn)入CMOS設(shè)置為CDROM為第一啟動(dòng)設(shè)備，然后啟動(dòng)計(jì)算機(jī)，引導(dǎo)后使用 vyatta 作為賬號(hào)和密碼登錄，然后在提示符下鍵入“install system”執(zhí)行安裝，除了清空硬盤上的所有資料時(shí)，需要鍵入Yes確認(rèn)外，一路下來基本上都是回車。安裝成功后，輸入“reboot”命令重啟電腦。

三、配置和調(diào)試Vyatta軟件路由器

測(cè)試網(wǎng)絡(luò)環(huán)境如下：vyatta軟路由外網(wǎng)IP：222.186.88.92/27，網(wǎng)關(guān)222.186.88.94；內(nèi)網(wǎng)IP：172.20.162.200/26，網(wǎng)關(guān)172.20.162.254。

配置任務(wù)：vyatta軟路由器上配置nat，讓172.20.164.0/24網(wǎng)段的多臺(tái)pc可以共享上網(wǎng)；將外網(wǎng)地址222.186.88.93映射到內(nèi)網(wǎng)172.20.164.1服務(wù)器上并提供WEB服務(wù)。配置VPN功能，使出差在外的員工能夠通過VPN撥號(hào)訪問內(nèi)部網(wǎng)絡(luò)（172.20.164.0/24網(wǎng)段）。

配置步驟如下：

>登錄路由器并進(jìn)入配置模式

//登錄路由器

vyatta login: vyatta

Password:vyatta

//進(jìn)入配置模式

configure

>路由器基本設(shè)置

//設(shè)置外網(wǎng)口IP地址

set interfaces Ethernet eth0 address 222.186.88.92/27

//設(shè)置內(nèi)網(wǎng)口IP地址

set interfaces Ethernet eth1 address 172.20.162.200/26

//設(shè)置缺省靜態(tài)路由

set protocols static route 0.0.0.0/0 next-hop 222.186.88.94

//設(shè)置到達(dá)172.20.164.0/24網(wǎng)段的靜態(tài)路由

set protocols static route 172.20.164.0/24 next-hop 172.20.162.254

//提交配置

commit

>路由器NAT設(shè)置

//建立NAT，規(guī)則號(hào)為10

set service nat rule 10

//設(shè)置NAT轉(zhuǎn)換類型為masquerade

set service nat rule 10 type masquerade

//設(shè)置NAT需要轉(zhuǎn)換的地址段172.20.164.0/24

set service nat rule 10 source address 172.20.164.0/24

//定義出口

set service nat rule 10 outbound-interface eth1

//設(shè)置NAT允許通過的協(xié)議為全部協(xié)議

set service nat rule 10 protocols all

//提交配置

commit

>路由器外網(wǎng)地址映射到內(nèi)網(wǎng)地址設(shè)置

//建立NAT，規(guī)則號(hào)為30

set service nat rule 30

//設(shè)置NAT轉(zhuǎn)換類型為destination

set service nat rule 30 type destination

//定義入口

set service nat rule 30 inbound-interface eth0

//設(shè)置NAT需要映射的外網(wǎng)地址222.186.88.93

set service nat rule 30 destination address 222.186.88.93

//設(shè)置NAT允許通過的協(xié)議為tcp

set service nat rule 30 protocols tcp

//設(shè)置開放的服務(wù)端口為http

set service nat rule 10 destination port http

//設(shè)置NAT需要映射的內(nèi)網(wǎng)地址172.20.164.1

set service nat rule 10 inside-address address 172.20.164.1

//提交配置

commit

>VPN設(shè)置

VYATTA支持PPTP、IPSec、L2TP/IPSec、OpenVPN等VPN協(xié)議，PPTP和L2TP/IPSec協(xié)議一般用于計(jì)算機(jī)通過VPN撥號(hào)遠(yuǎn)程訪問公司的內(nèi)部網(wǎng)絡(luò)，IPSec和OpenVPN協(xié)議一般用于同一公司兩個(gè)不同場(chǎng)所的內(nèi)部網(wǎng)絡(luò)互聯(lián)。因此，在本文的測(cè)試網(wǎng)絡(luò)環(huán)境下，使用PPTP協(xié)議進(jìn)行VPN配置。

//指定外網(wǎng)口地址為PPTP VPN服務(wù)器地址

set vpn pptp remote-access outside-address222.186.88.92

//設(shè)置VPN用戶使用的內(nèi)網(wǎng)IP起始、結(jié)束地址

setvpn pptp remote-accessclient-ip-pool start 172.20.162.201

setvpn pptp remote-accessclient-ip-pool stop 172.20.162.250

//設(shè)置驗(yàn)證模式為本地模式

setvpn pptp remote-access authentication mode local

//設(shè)置VPN用戶名和密碼

setvpnpptpremote-access authentication local-usersusernamenjtxpassword njtx01password

//提交配置

commit

//保存當(dāng)前配置

save

通過以上步驟，一個(gè)vyatta軟路由就基本配置完成了。

本文上面介紹的只是VYATTA軟件中NAT、VPN功能的部分，其實(shí)VYATTA軟件還支持多出口動(dòng)態(tài)流量負(fù)載均衡、RIP、OSPF、BGP動(dòng)態(tài)路由協(xié)議、PPP、防火墻、DHCP、DNS轉(zhuǎn)發(fā)、無線AP接入等等功能。VYATTA軟件是開源技術(shù)在網(wǎng)絡(luò)硬件領(lǐng)域內(nèi)的應(yīng)用，我們完全可以使用運(yùn)行Vyatta軟件的x86 PC來節(jié)約我們的運(yùn)行維護(hù)成本。

參考文獻(xiàn)：

[1]Vyatta.org編著.Vyatta Community Documentation .Vyatta.org.，2011年