一、VyOS由來(lái)

2005年，Vyatta公司成立，10月發(fā)布虛擬網(wǎng)絡(luò)軟件；

2006年，Vyatta發(fā)布商業(yè)訂購(gòu)版本，同時(shí)，開(kāi)源了虛擬路由軟件Open Flexible Router（OFR）；

2012年，Brocade收購(gòu)Vyatta，將虛擬路由軟件更名為Brocade Vyatta 5400 vRouter，不再開(kāi)源；獨(dú)立開(kāi)發(fā)人員從Vyatta Core 6.6 R1版fork一個(gè)分支繼續(xù)進(jìn)行開(kāi)發(fā)，誕生了VyOS；

2017年，AT&T收購(gòu)Brocade的網(wǎng)絡(luò)Vyatta團(tuán)隊(duì)，推出dNOS（disaggregated Network Operating System）軟件；

2021年，Ciena公司接手Vyatta團(tuán)隊(duì)。

二、VyOS特性

• 支持KVM、XEN、VMWare、Hyper-V、VirtualBox等平臺(tái)；
• 支持BGP、OSPFv2、OSPFv3、RIP、Policy-based routing等路由協(xié)議和功能；
• 支持Ethernet、802.1q VLAN、NIC bonding、Bridges、STP、802.11 wireless、PPPoE等網(wǎng)絡(luò)接口；
• 支持Stateful firewall、Source and destination NAT、VPN、GRE、VxLAN等功能；
• 支持DHCP、DNS、SSH、IGMP、QoS等網(wǎng)絡(luò)服務(wù)；
• 支持VRRP、Conntrack sync、WAN failover and load balancing等高可用特性。

三、VyOS命令模式

Vyos命令模式與思科差不多，分為操作模式和配置模式。

默認(rèn)情況下，VyOS處于操作模式，命令提示符顯示$。執(zhí)行命令configure，可進(jìn)入配置模式，命令提示符顯示#：

vyos@vyos$ configure
vyos@vyos#

配置完成后，執(zhí)行命令commit、save，然后exit退出。

四、常用命令行

1.接口配置

外部/WAN接口是eth0，通過(guò)DHCP接收其接口地址。

內(nèi)部/LAN接口是eth1，使用靜態(tài)IP地址192.168.0.1/24。

執(zhí)行命令：

set interfaces ethernet eth0 address dhcp
set interfaces ethernet eth0 description 'OUTSIDE'
set interfaces ethernet eth1 address '192.168.0.1/24'
set interfaces ethernet eth1 description 'INSIDE'

2.DHCP和DNS

配置DHCP和DNS服務(wù)，VyOS為相應(yīng)的默認(rèn)網(wǎng)關(guān)和DNS服務(wù)器。

默認(rèn)網(wǎng)關(guān)和DNS遞歸地址為192.168.0.1/24，地址范圍192.168.0.2/24-192.168.0.8/24保留并用于靜態(tài)分配。

set service dhcp-server shared-network-name LAN subnet 192.168.0.0/24 default-router '192.168.0.1'
set service dhcp-server shared-network-name LAN subnet 192.168.0.0/24 name-server '192.168.0.1'
set service dhcp-server shared-network-name LAN subnet 192.168.0.0/24 domain-name 'vyos.net'
set service dhcp-server shared-network-name LAN subnet 192.168.0.0/24 lease '86400'
set service dhcp-server shared-network-name LAN subnet 192.168.0.0/24 range 0 start 192.168.0.9
set service dhcp-server shared-network-name LAN subnet 192.168.0.0/24 range 0 stop '192.168.0.254'
set service dns forwarding cache-size '0'
set service dns forwarding listen-address '192.168.0.1'
set service dns forwarding allow-from '192.168.0.0/24'

3.NAT

允許主機(jī)通過(guò) IP 偽裝通過(guò)外部/WAN 網(wǎng)絡(luò)進(jìn)行通信。

set nat source rule 100 outbound-interface 'eth0'
set nat source rule 100 source address '192.168.0.0/24'
set nat source rule 100 translation address masquerade

4.防火墻

阻止所有未首先從內(nèi)部/LAN 端啟動(dòng)的流量。

set firewall name OUTSIDE-IN default-action 'drop'
set firewall name OUTSIDE-IN rule 10 action 'accept'
set firewall name OUTSIDE-IN rule 10 state established 'enable'
set firewall name OUTSIDE-IN rule 10 state related 'enable'
set firewall name OUTSIDE-LOCAL default-action 'drop'
set firewall name OUTSIDE-LOCAL rule 10 action 'accept'
set firewall name OUTSIDE-LOCAL rule 10 state established 'enable'
set firewall name OUTSIDE-LOCAL rule 10 state related 'enable'
set firewall name OUTSIDE-LOCAL rule 20 action 'accept'
set firewall name OUTSIDE-LOCAL rule 20 icmp type-name 'echo-request'
set firewall name OUTSIDE-LOCAL rule 20 protocol 'icmp'
set firewall name OUTSIDE-LOCAL rule 20 state new 'enable'

五、VyOS API接口

1.VyOS提供了HTTP API接口，進(jìn)行查詢、配置、重置等相關(guān)操作。

https://docs.VyOS.io/en/equuleus/automation/VyOS-api.html#VyOS-api

以配置為例：

curl -k --location --request POST 'https://vyos/configure' \\
--form data='{"op": "set", "path": ["interfaces", "dummy", "dum1", "address", "10.11.0.1/32"]}' \\
--form key='MY-HTTPS-API-PLAINTEXT-KEY'
response:
{
"success": true,
"data": null,
"error": null
}

2.VyOS支持通過(guò)ansible進(jìn)行配置，以實(shí)現(xiàn)路由器的自動(dòng)化配置。

六、配置示例

選用VyOS作為IaaS平臺(tái)的網(wǎng)絡(luò)服務(wù)軟件，以防火墻配置為例。

配置以VyOS為視角，設(shè)定網(wǎng)絡(luò)鏈路為：VyOS--VPCTest,則下圖的入方向是指VyOS的入方向。業(yè)務(wù)網(wǎng)絡(luò)的規(guī)則集如下：

進(jìn)入到vyos后臺(tái)，執(zhí)行命令configure進(jìn)入配置模式。Show ?

查看端口信息：

查看防火墻信息：show firewall

七、相關(guān)資料

https://www.sdnlab.com/25617.html
https://docs.vyos.io/en/equuleus/quick-start.html#quick-start
https://www.sdnlab.com/17348.html