企业级的软件路由器-VyOS
2014-06-12 15:28:35 
阿炯
VyOS是Vyatta被Brocade收购之后,基于vyatta所fork而来的软件路由器,目标是为开源社区继续提供像vyatta那样功能的软路由。VyOS可视为Vyatta的社区分支,Vyatta项目已于2013年终止。这是一份网络操作系统,提供基于软件的路由、防火墙和虚拟专用网功能。VyOS同样基于Debian GNU/Linux且完全免费及开放源码。其特性包括能运行于物理和虚拟平台及面向虚拟平台的集成包等。
VyOS is a community fork of Vyatta, a Linux-based network operating system that provides software-based network routing, firewall, and VPN functionality.
Runs on both physical and virtual platforms.
Supports paravirtual drivers and integration packages for virtual platforms.
Completely free and open source.
虽然Brocade声称会一如继往地支持vyatta的开源社区,但从目前的情况来看这一呈承诺并不靠谙,所以有了VyOS项目。
2021年2月,再次回顾该项目主页时,发现vyos有再次重蹈vyatta的商业化之路,项目方将红帽的订阅服务学的有模有样。与RedHat掐死CentOS类似(搞出了Stream),对非付费的用户越来越不友好(只有滚动的版本可用或自行编译后自测),对该项目的未来不太看好,未来不排除深度商业化的可能。
从vyos v1.2.0开始,只有滚动发布版本可以公开使用,而LTS版本只能向订阅者提供。然而,这不仅仅意味着商业客户!每个活跃的贡献者也有资格订阅。官方正在努力维护LTS发行版,准备与任何帮助推进项目的人分享这项工作的成果,无论他们是通过购买订阅、编写代码、编写文档、积极测试VyOS并提交良好的bug报告,还是传播信息来为项目提供资金支持。
它专注于企业、服务提供商和网络技术专家用户群体,主要功能包括:多种动态路由协议(BGP、OSPF、IS-IS、PIM-SM等);多种VPN技术(L2TP、WireGuard、IPsec、DMVPN等); 具备提交/回滚和版本控制功能的有状态配置系统; 远程HTTP API以及面向shell和Python的脚本API。
VyOS 作为一个开源的网络操作系统,提供了强大的路由、安全和 VPN 功能,使其成为构建灵活、可扩展且经济高效的企业网络的理想选择。以下是其6大核心使用场景。
1. 路由器
其核心功能之一是作为路由器。它支持各种路由协议,包括 BGP、OSPF、RIP 和静态路由,使其能够适应各种网络拓扑和需求。
边界路由器:可以用作企业网络的边界路由器,连接企业网络与互联网。它支持 BGP 协议,可以与互联网服务提供商(ISP)建立路由连接,实现可靠的互联网访问。
内部路由器:也可以用作企业内部的路由器,连接不同的网络段,实现内部网络的互联互通。它支持 OSPF 协议,可以构建动态路由网络,提高网络的可靠性和效率。
分支机构路由器:对于拥有多个分支机构的企业,它可以用作分支机构的路由器,通过 VPN 连接将分支机构网络与总部网络连接起来。
优势:
灵活性:支持多种路由协议,可以灵活地适应各种网络拓扑。
可扩展性:可以根据需要扩展路由器的性能,满足不断增长的网络需求。
成本效益:作为开源软件,其可以降低网络设备的采购成本。
2. 防火墙
VyOS 提供了强大的防火墙功能,可以保护企业网络免受恶意攻击。它支持状态防火墙、深度包检测(DPI)和入侵检测/防御系统(IDS/IPS)等功能。
网络边界防火墙:可以用作网络边界防火墙,过滤进出企业网络的流量,阻止恶意流量进入企业网络。
内部防火墙:也可以用作内部防火墙,隔离不同的网络段,防止恶意攻击在内部网络蔓延。
Web 应用防火墙 (WAF):虽然 VyOS 本身不是专门的 WAF,但可以通过集成其他开源 WAF 解决方案(例如 ModSecurity)来增强其 Web 应用保护能力。
优势:
安全性:提供强大的防火墙功能,保护企业网络免受恶意攻击。
可定制性:可以根据需要定制防火墙规则,满足特定的安全需求。
高性能:能够处理大量的网络流量,保证网络的性能。
3. VPN 网关
VyOS 支持多种 VPN 协议,包括 IPsec、OpenVPN 和 WireGuard,可以构建安全的 VPN 连接,实现远程访问和站点到站点连接。
远程访问 VPN:可以用作远程访问 VPN 网关,允许员工安全地从外部网络访问企业内部资源。
站点到站点 VPN:也可以用作站点到站点 VPN 网关,将不同的分支机构网络安全地连接起来。
云 VPN:可以在云环境中部署,作为云 VPN 网关,连接企业网络与云网络。
优势:
安全性:提供安全的 VPN 连接,保护数据传输的安全性。
兼容性:支持多种 VPN 协议,可以与各种 VPN 客户端兼容。
易于配置:提供简单的配置界面,方便用户配置 VPN 连接。
4. SD-WAN
VyOS 可以作为 SD-WAN 解决方案的一部分,提供灵活的网络连接和流量管理功能。
多链路负载均衡:可以将流量分配到多个 WAN 链路,提高网络的带宽利用率和可靠性。
应用感知路由:可以根据应用的类型和优先级,将流量路由到不同的 WAN 链路,保证关键应用的性能。
集中管理:通过 SD-WAN 控制器,可以集中管理多个 VyOS 设备,简化网络管理。
优势:
灵活性:可以灵活地选择 WAN 链路,适应不同的网络环境。
优化性能:可以根据应用的类型和优先级,优化流量路由,提高网络性能。
降低成本:可以通过使用低成本的 WAN 链路,降低网络成本。
5. 云网络
VyOS 可以在各种云环境中部署,例如 AWS、Azure 和 Google Cloud,作为云网络的基础设施。
虚拟路由器:可以用作云环境中的虚拟路由器,连接不同的虚拟网络,实现云网络的互联互通。
安全网关:也可以用作云环境中的安全网关,保护云网络的安全。
VPN 网关:还可以用作云环境中的 VPN 网关,连接企业网络与云网络。
优势:
灵活性:可以在各种云环境中部署,适应不同的云环境。
可扩展性:可以根据需要扩展云网络的规模,满足不断增长的业务需求。
成本效益:可以通过使用 VyOS,降低云网络的成本。
6. 网络监控
VyOS 支持多种网络监控协议,例如 SNMP、NetFlow 和 sFlow,可以收集网络流量数据,用于网络监控和分析。
流量监控:可以收集网络流量数据,用于监控网络的流量情况,及时发现网络异常。
性能监控:可以收集网络设备的性能数据,用于监控网络设备的性能,及时发现性能瓶颈。
安全监控:可以收集网络安全事件数据,用于监控网络安全状况,及时发现安全威胁。
优势:
全面性:可以收集各种网络数据,全面了解网络状况。
实时性:可以实时监控网络数据,及时发现网络异常。
易于集成:可以与各种网络监控工具集成,方便用户进行网络监控和分析。
VyOS 企业网络平台提供了广泛的应用场景,包括路由器、防火墙、VPN 网关、SD-WAN、云网络和网络监控。通过使用 VyOS,企业可以构建灵活、可扩展且经济高效的网络,满足不断增长的业务需求。其的另类“开源”特性使其成为一个极具吸引力的选择,因为它允许企业根据自己的特定需求定制和扩展其功能。
最新版本:1.3
2020年12月中旬,官方预发布1.3版本,新的版本中添加不少的特性与改进。添加了AZERTY版式,可以使用如下命令设置AZERTY版式:set system option keyboard-layout fr
IPv6 VPN改进
IPv6的采用肯定在增加。 早些时候,当我首次实现IPv6 IPsec CLI支持时,基于IPv6 IPsec的IPv6是一种特殊的情况,而基于IPv6 IPsec的IPv4纯粹是假设的。现在该确保正确支持IPv6 VPN用例了。首先,OpenVPN现在为local-address和remote-address选项支持IPv6地址,以便您可以通过隧道传递IPv6流量。其次,IPv6 over IPv6和IPv6 over IPv4 IPsec现在也可以配置。当然这些功能需要进行全面的测试,以确保它们运作良好且不会干扰其他任何功能。如果您发现这些情况下有任何问题,请告诉我们!
MPLS改进
正在滚动版本中致力于MPLS支持。由于Linux内核和FRR中的实现,如今,这种长久以来要求的功能无需专有或实验代码就可以实现,但是CLI设计和开发需要花费一些时间才能正确完成。很高兴看到对该功能感兴趣,最好看到新的贡献者加入并开始使用它。 例如,Cheeze_It的新贡献者继续前进,并添加了"run reset mpls ldp neighbor"命令。希望鼓励所有人测试,扩展或至少告诉我们关于MPLS用例和需求。
其他改进
现在有了'set service dns forwarding source-address'选项,因此可以指定将哪个地址用作DNS查询的源,可以使用更改视频控制台键盘的布局(对于来自法语国家(如果不是QWERTY而是AZERTY的通常布局)的人有用)。
VLAN感知网桥支持
Vyos 1.3现在支持VLAN感知网桥设置,可以使用如下命令进行配置native-vlan:set interfaces bridge <brN> member interface <interface> native-vlan <vlan-id>
也可以使用如下命令设置allowed-vlan:
set interfaces bridge <brN> member interface <interface> allowed-vlan <vlan-id>
值得注意的是,allowed-vlan接受以下两种VLAN格式:
直接的一个VLAN ID,比如:
set interfaces bridge <brN> member interface <interface> allowed-vlan 2
支持SPAN端口镜像
从Vyos 1.3开始,现在支持端口镜像,可以使用类似如下的语句设置流入/流出的流量镜像到特定监控端口:
set interfaces ethernet <interface> mirror ingress <monitor-interface>
set interfaces ethernet <interface> mirror egress <monitor-interface>
官方主页:http://vyos.net/
中文参考:http://www.vyoscn.com/
VyOS is a community fork of Vyatta, a Linux-based network operating system that provides software-based network routing, firewall, and VPN functionality.
Runs on both physical and virtual platforms.
Supports paravirtual drivers and integration packages for virtual platforms.
Completely free and open source.
虽然Brocade声称会一如继往地支持vyatta的开源社区,但从目前的情况来看这一呈承诺并不靠谙,所以有了VyOS项目。
2021年2月,再次回顾该项目主页时,发现vyos有再次重蹈vyatta的商业化之路,项目方将红帽的订阅服务学的有模有样。与RedHat掐死CentOS类似(搞出了Stream),对非付费的用户越来越不友好(只有滚动的版本可用或自行编译后自测),对该项目的未来不太看好,未来不排除深度商业化的可能。
从vyos v1.2.0开始,只有滚动发布版本可以公开使用,而LTS版本只能向订阅者提供。然而,这不仅仅意味着商业客户!每个活跃的贡献者也有资格订阅。官方正在努力维护LTS发行版,准备与任何帮助推进项目的人分享这项工作的成果,无论他们是通过购买订阅、编写代码、编写文档、积极测试VyOS并提交良好的bug报告,还是传播信息来为项目提供资金支持。
它专注于企业、服务提供商和网络技术专家用户群体,主要功能包括:多种动态路由协议(BGP、OSPF、IS-IS、PIM-SM等);多种VPN技术(L2TP、WireGuard、IPsec、DMVPN等); 具备提交/回滚和版本控制功能的有状态配置系统; 远程HTTP API以及面向shell和Python的脚本API。
VyOS 作为一个开源的网络操作系统,提供了强大的路由、安全和 VPN 功能,使其成为构建灵活、可扩展且经济高效的企业网络的理想选择。以下是其6大核心使用场景。
1. 路由器
其核心功能之一是作为路由器。它支持各种路由协议,包括 BGP、OSPF、RIP 和静态路由,使其能够适应各种网络拓扑和需求。
边界路由器:可以用作企业网络的边界路由器,连接企业网络与互联网。它支持 BGP 协议,可以与互联网服务提供商(ISP)建立路由连接,实现可靠的互联网访问。
内部路由器:也可以用作企业内部的路由器,连接不同的网络段,实现内部网络的互联互通。它支持 OSPF 协议,可以构建动态路由网络,提高网络的可靠性和效率。
分支机构路由器:对于拥有多个分支机构的企业,它可以用作分支机构的路由器,通过 VPN 连接将分支机构网络与总部网络连接起来。
优势:
灵活性:支持多种路由协议,可以灵活地适应各种网络拓扑。
可扩展性:可以根据需要扩展路由器的性能,满足不断增长的网络需求。
成本效益:作为开源软件,其可以降低网络设备的采购成本。
2. 防火墙
VyOS 提供了强大的防火墙功能,可以保护企业网络免受恶意攻击。它支持状态防火墙、深度包检测(DPI)和入侵检测/防御系统(IDS/IPS)等功能。
网络边界防火墙:可以用作网络边界防火墙,过滤进出企业网络的流量,阻止恶意流量进入企业网络。
内部防火墙:也可以用作内部防火墙,隔离不同的网络段,防止恶意攻击在内部网络蔓延。
Web 应用防火墙 (WAF):虽然 VyOS 本身不是专门的 WAF,但可以通过集成其他开源 WAF 解决方案(例如 ModSecurity)来增强其 Web 应用保护能力。
优势:
安全性:提供强大的防火墙功能,保护企业网络免受恶意攻击。
可定制性:可以根据需要定制防火墙规则,满足特定的安全需求。
高性能:能够处理大量的网络流量,保证网络的性能。
3. VPN 网关
VyOS 支持多种 VPN 协议,包括 IPsec、OpenVPN 和 WireGuard,可以构建安全的 VPN 连接,实现远程访问和站点到站点连接。
远程访问 VPN:可以用作远程访问 VPN 网关,允许员工安全地从外部网络访问企业内部资源。
站点到站点 VPN:也可以用作站点到站点 VPN 网关,将不同的分支机构网络安全地连接起来。
云 VPN:可以在云环境中部署,作为云 VPN 网关,连接企业网络与云网络。
优势:
安全性:提供安全的 VPN 连接,保护数据传输的安全性。
兼容性:支持多种 VPN 协议,可以与各种 VPN 客户端兼容。
易于配置:提供简单的配置界面,方便用户配置 VPN 连接。
4. SD-WAN
VyOS 可以作为 SD-WAN 解决方案的一部分,提供灵活的网络连接和流量管理功能。
多链路负载均衡:可以将流量分配到多个 WAN 链路,提高网络的带宽利用率和可靠性。
应用感知路由:可以根据应用的类型和优先级,将流量路由到不同的 WAN 链路,保证关键应用的性能。
集中管理:通过 SD-WAN 控制器,可以集中管理多个 VyOS 设备,简化网络管理。
优势:
灵活性:可以灵活地选择 WAN 链路,适应不同的网络环境。
优化性能:可以根据应用的类型和优先级,优化流量路由,提高网络性能。
降低成本:可以通过使用低成本的 WAN 链路,降低网络成本。
5. 云网络
VyOS 可以在各种云环境中部署,例如 AWS、Azure 和 Google Cloud,作为云网络的基础设施。
虚拟路由器:可以用作云环境中的虚拟路由器,连接不同的虚拟网络,实现云网络的互联互通。
安全网关:也可以用作云环境中的安全网关,保护云网络的安全。
VPN 网关:还可以用作云环境中的 VPN 网关,连接企业网络与云网络。
优势:
灵活性:可以在各种云环境中部署,适应不同的云环境。
可扩展性:可以根据需要扩展云网络的规模,满足不断增长的业务需求。
成本效益:可以通过使用 VyOS,降低云网络的成本。
6. 网络监控
VyOS 支持多种网络监控协议,例如 SNMP、NetFlow 和 sFlow,可以收集网络流量数据,用于网络监控和分析。
流量监控:可以收集网络流量数据,用于监控网络的流量情况,及时发现网络异常。
性能监控:可以收集网络设备的性能数据,用于监控网络设备的性能,及时发现性能瓶颈。
安全监控:可以收集网络安全事件数据,用于监控网络安全状况,及时发现安全威胁。
优势:
全面性:可以收集各种网络数据,全面了解网络状况。
实时性:可以实时监控网络数据,及时发现网络异常。
易于集成:可以与各种网络监控工具集成,方便用户进行网络监控和分析。
VyOS 企业网络平台提供了广泛的应用场景,包括路由器、防火墙、VPN 网关、SD-WAN、云网络和网络监控。通过使用 VyOS,企业可以构建灵活、可扩展且经济高效的网络,满足不断增长的业务需求。其的另类“开源”特性使其成为一个极具吸引力的选择,因为它允许企业根据自己的特定需求定制和扩展其功能。
最新版本:1.3
2020年12月中旬,官方预发布1.3版本,新的版本中添加不少的特性与改进。添加了AZERTY版式,可以使用如下命令设置AZERTY版式:set system option keyboard-layout fr
IPv6 VPN改进
IPv6的采用肯定在增加。 早些时候,当我首次实现IPv6 IPsec CLI支持时,基于IPv6 IPsec的IPv6是一种特殊的情况,而基于IPv6 IPsec的IPv4纯粹是假设的。现在该确保正确支持IPv6 VPN用例了。首先,OpenVPN现在为local-address和remote-address选项支持IPv6地址,以便您可以通过隧道传递IPv6流量。其次,IPv6 over IPv6和IPv6 over IPv4 IPsec现在也可以配置。当然这些功能需要进行全面的测试,以确保它们运作良好且不会干扰其他任何功能。如果您发现这些情况下有任何问题,请告诉我们!
MPLS改进
正在滚动版本中致力于MPLS支持。由于Linux内核和FRR中的实现,如今,这种长久以来要求的功能无需专有或实验代码就可以实现,但是CLI设计和开发需要花费一些时间才能正确完成。很高兴看到对该功能感兴趣,最好看到新的贡献者加入并开始使用它。 例如,Cheeze_It的新贡献者继续前进,并添加了"run reset mpls ldp neighbor"命令。希望鼓励所有人测试,扩展或至少告诉我们关于MPLS用例和需求。
其他改进
现在有了'set service dns forwarding source-address'选项,因此可以指定将哪个地址用作DNS查询的源,可以使用更改视频控制台键盘的布局(对于来自法语国家(如果不是QWERTY而是AZERTY的通常布局)的人有用)。
VLAN感知网桥支持
Vyos 1.3现在支持VLAN感知网桥设置,可以使用如下命令进行配置native-vlan:set interfaces bridge <brN> member interface <interface> native-vlan <vlan-id>
也可以使用如下命令设置allowed-vlan:
set interfaces bridge <brN> member interface <interface> allowed-vlan <vlan-id>
值得注意的是,allowed-vlan接受以下两种VLAN格式:
直接的一个VLAN ID,比如:
set interfaces bridge <brN> member interface <interface> allowed-vlan 2
支持SPAN端口镜像
从Vyos 1.3开始,现在支持端口镜像,可以使用类似如下的语句设置流入/流出的流量镜像到特定监控端口:
set interfaces ethernet <interface> mirror ingress <monitor-interface>
set interfaces ethernet <interface> mirror egress <monitor-interface>
官方主页:http://vyos.net/
中文参考:http://www.vyoscn.com/