View RSS Feed

محمد گنجی

پیاده سازی سناریویی ساده در Vyatta

امتیاز
توسط - 2012-05-17 - 08:29 AM (بازدید: 5121)
  
سلام
با عذرخواهی از استاد خودم صادق نجاتی زاده عزیز که پا تو کفشش میکنم خواستم چند خطی هم من در مورد این Vyatta بنویسم و تقدیم کنم به خودش

در مورد اینکه Vyatta چیست صادق عزیز چند توشته در وبلاگ دارند اما به صورت بسیار کلی باید گفت یک روتر لینوکسی با پشتیبانی از OSPF و BGP و دارای محیط وب و قابلیتهای Firewalling عالی که البته Hardware Appliance آن هم موجود است.


vyatta.png


خوب برویم به سراغ شبکه ساده و سناریوی خودمان

فرض کنید یک سناریوی ساده دارید که میخواهید آن را در محیط مجازی یا واقعی پیاده سازی کنید و نیاز به یک مسیریاب یا روتر دارید.
خوب ! نرم افزارهای ساده و قدرتمندی چون Mikrotik RouterOS و Vyatta در خدمت شما هستند.
در خدمت و خیانت میکروتیک که صحبت زیاد شده است اما خیلی کلی میخواهم به استفاده از Vyatta بپردازم.

خوب. نسخه پایه ای آن را به راحتی میتوانید از سایت دانلود کنید. با سر زدن به سایت میبینید که نسخه مجازی آن هم موجود است و یک ISO به شما میدهد که به راحتی در Vmware آن را Mount میکنید و ...

دقت کنید که این Virtualization ISO در واقع یک نسخه Live از این روتر است که بوت می شود و در چند ثانیه به شما سرویس میدهد.
راههایی برای ذخیره سازی تنظیمات در این حالت هست اما توصیه میکنم یک هارد هم در Vmware اضافه کنید و بعد از بوت برنامه را روی هارد دیسک نصب کنید تا به راحتی بتوانید تنظیمات را ذخیره کنید و ضمنا نیازی به ISO مذکور هم نداشته باشید.

برای این کار فقط کافیست پس از بوت از دستور Install-System استفاده کنید. چند تاییدیه ساده از شما میگیرد در مورد دیسک و نحوه پارتیشن بندی آن و ... و یک Reboot و تمام

بعد از بوت میتوانید با دستور Show Version و مشاهده Boot Via Disk از صحت عملیات انجام شده مطمئن شوید.

راستی حتما میدانید که رمز و نام کاربری پیش فرض همان Vyatta است

خوب برویم سراغ سناریو ! خیلی ساده است. یک Public IP داریم که به سمت ISP رفته و با تنظیم آن روی یک کارت شبکه میتوانیم اینترنت داشته باشیم. فرض کنید آدرس آن برابر 141.99.208.118 - 255.255.255.248 یا é29 میباشد.
کارت شبکه اول خود را که Eth0 نام میگیرد برای این منظور استفاده خواهیم کرد.

از سوی دیگر شبکه محلی داخلی خود با رنج 192.168.15.0 / 24 را داریم که کلاینتهای داخلی در آن قرار میگرند. کارت شبکه دوم یعنی Eth1 را برای این کار استفاده میکنیم و آدرس آن را برابر 192.168.15.1 قرار میدهیم.

یک توصیف یا Description هم برای خوانا شدن کانفیگ اضافه میکنیم و در نهایت فراموش نمیکنیم که دستور Commit را برای اعمال تغییرات وارد کنیم. اگر این کار را نکنید خواهید دید که با زدن Exit پیام میدهد اگر واقعا نمیخواهید تغییرات اعمال شوند Exit Discard را وارد کنید. دستور Save هم باید استفاده شود تا این تغییرات در Config.boot نوشته شده و در راه اندازی بعدی فراخوانی شوند.

خوب چند خط اول را ببینیم. (راستی یادمان نمیرود که بعد از بوت شدن باید دستور Configure را بزنیم تا وارد بخش پیکربندی شویم.)

configure
set interfaces ethernet eth0 address 141.99.208.118 prefix-length 29
set interfaces ethernet eth0 description "Internet"
set interfaces ethernet eth1 address 192.168.15.1 prefix-length 24
set interfaces ethernet eth1 description "OfficeLan"
commit


خوب ! بسیار هم عالی و مبسوط !
کارت شبکه ها با آدرس مناسب و یک نام با مسما پیکربندی شدند.

تا همینجای کار بدانید که با وصل کردن فیزیکی یا مجازی (با سوییچ یا مستقیم یا هر طور که دوست دارید) سیستمهای خود به دو کارت شبکه قابلیت روتینگ را (Connected Routes) در اختیار خواهید داشت.

ما اینترنت میخوایم یا ا...
بله ! صدای کلاینتها در آمده است که اینترنت میخوایم یا ا...

خوب پس برویم سراغ ادامه کار و تنظیمات Route, NAT لازمه برای اینترنت دادن به کلاینتها به کمک روتر دوست داشتنی Vyatta

خوب کار بسیار ساده است. کلاینتها به سوییچی متصل هستند که Eth1 متصل است و دارای آدرس 192.168.15.0 هستند. یک Default Route به سمت کارت شبکه اینترنت (تنظیم Default Gateway) و چند خطی برای تنظیم Masquarade NAT کار را تمام میکند. دستورات به اندازه کافی گویا و واضح هستند.


set protocols static route 0.0.0.0/0 next-hop 141.99.208.117
set service nat rule 1
set service nat rule 1 type source
set service nat rule 1 translation-type masquerade
set service nat rule 1 outbound-interface eth0
set service nat rule 1 protocols all
set service nat rule 1 source network 192.168.15.0/24
set service nat rule 1 destination network 0.0.0.0/0 commit

آقا ما هنوز اینترنت نداریما

ای بابا ! این کلاینتها که هنوز اینترنت ندارند. برویم سراغ یکی ببینیم مشکل چیست. درست است از اینترنت خبری نیست. اما صبر کنید ! به به ! چه IP گرفته است.

169.254.113.212

ای داد بیداد! اینکه APIPA است. پس در شبکه DHCP هم نداریم !
اما جای نگرانی نیست. سرویس DHCP Vyatta در خدمت شماست.

خوب ! شرایط من این است.
حداکثر 25 آدرس بده
فقط به سمت LAN بده
برای آنها DNS را برابر 4.2.2.4 قرار بده ! البته بیایید 4.2.2.1 را هم اضافه کنیم.
قطعا Gw هم که باید برابر 192.168.15.1 باشد وگرنه شرمنده پکتها میشویم.

خوب ! باز هم دستورات آنقدر ساده هستند که نیاز به هیچ توضیحی نیست.


بله همه چیز درست است.
یک شبکه عملیاتی و حاضر و آماده که سرویسهای DHCP, Route و NAT آن توسط مسیریاب محبوب Vyatta تامین میشود.


set service dhcp-server name OfficeLan start 192.168.15.2 stop 192.168.15.27 set service dhcp-server name OfficeLan network-mask 24
set service dhcp-server name OfficeLan dns-server 4.2.2.2
set service dhcp-server name OfficeLan dns-server 4.2.2.1
set service dhcp-server name OfficeLan default-router 192.168.15.1
set service dhcp-server name OfficeLan interface eth1
set service dhcp-server name OfficeLan domain-name officelan.hostname.com commit

شاد باشید.

منابع :

Hakimi، ARM، mehrzadmo و 7 نفر دیگر سپاسگزاری کرده‌اند.

Updated 2012-05-17 at 08:38 AM by th95

دسته ها
عمومی

نظر

  1. شناسه تصویری mavrick
    من یه جا ویاتا کار کردم بسیار راضی بودن و الان بعد حدود 6 ماه کوچکترین مشکلی نداشته و خیلی هم روان و بی دردسر کارشو میکنه
    در مقایسه با میکروتیک خیلی خیلی راحتتر و با قابلیت های بهتری کار میکنه
    توی پیشنهاد هام همیشه اینو میگم و اصلا میکروتیک رو حرفشم نمیزنم
  2. شناسه تصویری th95
    نقل قول نوشته اصلی توسط mavrick
    من یه جا ویاتا کار کردم بسیار راضی بودن و الان بعد حدود 6 ماه کوچکترین مشکلی نداشته و خیلی هم روان و بی دردسر کارشو میکنه
    در مقایسه با میکروتیک خیلی خیلی راحتتر و با قابلیت های بهتری کار میکنه
    توی پیشنهاد هام همیشه اینو میگم و اصلا میکروتیک رو حرفشم نمیزنم
    میشه توضیحاتی بدی
    با Appliance کار میکنند یا روی PC نصب کردند
    چه استفاده هایی میکنند ؟ فایروال ؟ روتینگ ؟ ...
    تجربه شون چطور بوده ؟
    سرعتش نسبت به میکروتیک چطور بوده ؟

    در کل میتونی توضیحات بیشتری بدی ؟
    ممنون میشم
  3. شناسه تصویری mavrick
    به عنوان فایروال استفاده کردم
    یه شبکه کوچیک بود با حدود 30-40 تا کلاینت
    یه سری سرور داشتن برای امور مالی و IIS و دامین کنترلر و ...
    چون یوزرها خیلی وارد نبودن اختیارات زیادی بهشون دادیم
    اول قرار بود یه TMG بزاریم اما بعدش زیر بار پول لایسنس و هزینه راه اندازی و اینا نرفتن
    منم یه پیشنهاد دادم گفتم من یه فایروال جدید که تازه باش اشنا شدم و راه میندازم دستمزد خیلی کمی هم میگیرم , لایسنس و اینا هم نمیخوایید
    اونا هم قبول کردن
    روی PC نصب کردم
    یه کامپیوتر پنتیوم 4 - core 2 duo 2.8 با 4 گیگ رم بود که بلا استفاده بود من هم روی همون نصب کردم
    مثل سیسکو ها دستوراتش خیلی راحت و feature ایی که میخوای راه بندازی روان جلو میره و باهاش مشکلی نداشتن
    برعکس ایزا که خیلی بار روی cpu میزاره , ویاتا خیلی خیلی کمتر بار روی cpu میزاره
    سرعتش توی عبور و کنترل پکت ها نسبت به ایزا خیلی بهتره و به اصطلاح عامیانه باعث کندی توی اینترنت دریافتی برای یوزر ها نمیشه
    در مقایسه با میکروتیک هم , توی بحث روتینگ از قابلیت های بیشتری برخورداره , توی یه فروم لینوکس بود میخوندم چند نفر لینوکس کار حرفه ای نظر داده بودن که ویاتا از انسجام بیشتری نسبت به میکروتیک توی طراحی داره و روی طراحی اون مخصوصا در مباحث Load Balancing و Routing خیلی بهتر کار شده
    th95 و f14f21 سپاسگزاری کرده‌اند.
  4. شناسه تصویری th95
    نقل قول نوشته اصلی توسط mavrick
    به عنوان فایروال استفاده کردم
    یه شبکه کوچیک بود با حدود 30-40 تا کلاینت
    یه سری سرور داشتن برای امور مالی و IIS و دامین کنترلر و ...
    چون یوزرها خیلی وارد نبودن اختیارات زیادی بهشون دادیم
    اول قرار بود یه TMG بزاریم اما بعدش زیر بار پول لایسنس و هزینه راه اندازی و اینا نرفتن
    منم یه پیشنهاد دادم گفتم من یه فایروال جدید که تازه باش اشنا شدم و راه میندازم دستمزد خیلی کمی هم میگیرم , لایسنس و اینا هم نمیخوایید
    اونا هم قبول کردن
    روی PC نصب کردم
    یه کامپیوتر پنتیوم 4 - core 2 duo 2.8 با 4 گیگ رم بود که بلا استفاده بود من هم روی همون نصب کردم
    مثل سیسکو ها دستوراتش خیلی راحت و feature ایی که میخوای راه بندازی روان جلو میره و باهاش مشکلی نداشتن
    برعکس ایزا که خیلی بار روی cpu میزاره , ویاتا خیلی خیلی کمتر بار روی cpu میزاره
    سرعتش توی عبور و کنترل پکت ها نسبت به ایزا خیلی بهتره و به اصطلاح عامیانه باعث کندی توی اینترنت دریافتی برای یوزر ها نمیشه
    در مقایسه با میکروتیک هم , توی بحث روتینگ از قابلیت های بیشتری برخورداره , توی یه فروم لینوکس بود میخوندم چند نفر لینوکس کار حرفه ای نظر داده بودن که ویاتا از انسجام بیشتری نسبت به میکروتیک توی طراحی داره و روی طراحی اون مخصوصا در مباحث Load Balancing و Routing خیلی بهتر کار شده
    ممنون عزیز
    میشه در مورد اینکه چه امکانات و مواردی در خصوص فایروال و روتینگ رو فعال کردید توضیح بدید.
    مثلا رول گذاشتید که فقط ملت بتونند با HTTP به بیرون وصل بشن ؟ یا مثلا سروری بود که با Vyatta اون رو Publish کنید ؟
    یا مثلا بحث لود بالانسینگ هم باهاش داشتید ؟
    یا RADIUS Server که بیاد و به فرض کاربران رو از اکتیو بخونه ؟
    یا اینکه چطور به ملت اینترنت میدادید ؟ پراکسی یا صاف با Gateway و ...

    ممنون از وقتی که میگذارید
  5. شناسه تصویری mavrick
    مواردی که من توی اون سناریو فعال کردم اینا بودن :
    پابلیش سرور ایمیل اونها - mdaemon ) -destination nat )
    Intrusion Prevention
    با routing policy اجازه دیدن hhtp و https و دانلود یه سری فرمت های عکس و فیلم و بهشون دادم ( کار این شرکت طراحی گرافیکی و از این جور کارا بود )
    فیلترینگ وب رو روش فعال کردم برای سایت های سرگرمی و فیسبوک و ...
    اینترنت و با گیت وی دادم
    web -caching فعال کردم چون کش سرور نداشتن و مصرف اینترنتشون هم بالا بود
    ( گمون کنم همینا بود ,
    اون لود بالانسینگ و که بالا عرض کردم یه نوشته بود که توی فرومی خونده بودم همون پارسال که با ویاتا اشنا شدم و دنبال اطلاعات ازش می گشتم
    f14f21 سپاسگزاری کرده است.
  6. شناسه تصویری MRI
    نقل قول نوشته اصلی توسط mavrick
    مواردی که من توی اون سناریو فعال کردم اینا بودن :
    پابلیش سرور ایمیل اونها - mdaemon ) -destination nat )
    Intrusion Prevention
    با routing policy اجازه دیدن hhtp و https و دانلود یه سری فرمت های عکس و فیلم و بهشون دادم ( کار این شرکت طراحی گرافیکی و از این جور کارا بود )
    فیلترینگ وب رو روش فعال کردم برای سایت های سرگرمی و فیسبوک و ...
    اینترنت و با گیت وی دادم
    web -caching فعال کردم چون کش سرور نداشتن و مصرف اینترنتشون هم بالا بود
    ( گمون کنم همینا بود ,
    اون لود بالانسینگ و که بالا عرض کردم یه نوشته بود که توی فرومی خونده بودم همون پارسال که با ویاتا اشنا شدم و دنبال اطلاعات ازش می گشتم
    سلام میشه این سناریو رو کامل توضیح بدید؟
  7. شناسه تصویری aminarab17
    فایروال فقط و فقط Pfsense