IT NISRO

CLUB TUTORIEL INFORMATIQUE

Installation & Configuration de system Vyatta

Club Tutoriel Informatique

Lorsqu'on s'intresse aux rseaux, il est clair que l'environnement TCP/IP et en particulier le routage sont des lments importants. Mais avoir ce genre d'quipement domicile ou mme au sein de petites PME n'est pas toujours possible compte tenu du cot de ces quipements. C'est dans ce contexte que je me suis intress DEBIAN VYATTA.

Cest quoi Vyatta ?

Vyatta est un logiciel de routage open source gratuit qui est dvelopp par la socit Vyatta cre en 2005. Vyatta utilise un moteur de routage appel XORP (pour eXtensible Open Router Platform) cr en 2002 et financ tout d'abord par Intel et la National Science Foundation puis par Microsoft et Vyatta. L'ide intressante avec Vyatta provient de son logiciel "packag" incluant XORP et un Linux driv d'une distribution Debian. Vous pouvez utiliser Vyatta comme un LiveCD et sauver la configuration sur une disquette ou l'installer sur votre disque dur pour de meilleur performances. La prise en main de Vyatta est extrmement facile grce au fait que le "moteur de routage" et le systme d'exploitation sont fusionns dans un package unique. Vyatta peut tre utilis sur n'importe quel ordinateur avec une architecture de type x.86, en d'autre terme, un ordinateur avec un processeur Intel ou de type Intel comme AMD et bien sr au moins une interface rseau. Mme si cela est facultatif, il est meilleur d'avoir un lecteur de disquette ou un disque dur pour sauver les configurations. La ligne de commande (CLI) de la plate-forme Vyatta est appele xorpsh pour xorp shell. Cette interface ressemble celle du systme d'exploitation de Juniper mais est trs diffrente de celle de Cisco et de son fameux IOS. Une interface web efficace est disponible pour ceux qui ne n'aime pas la ligne de commande. Les protocoles telnet et ssh (secure shell) peuvent aussi tre utiliss pour accder Vyatta. Le routeur Vyatta supporte un large panel de protocoles rseau normaliss comme: - Routage: RIPv2, OSPF, BGP. - Encapsulation: Frame relay ou PPP. - Traduction d'adresse. (NAT) - Protocole de redondance. (VRRP) - Serveur ou relai DHCP. - Dpannage: TCPdump - Pare-feu tats. (Stateful firewall) Les protocoles standardiss utiliss par Vyatta le laisse interagir avec succs avec d'autre manufacturiers comme les gants amricains Cisco, Nortel et Juniper ou n'importe quel quipement respectant les standards rseaux dfinis dans des RFCs (Request for comment) dicts par le groupe international IETF (Internet Engineering Task Force). Les avantages de Vyatta sont particulirement intressants: - Le logiciel est gratuit. - Il require seulement un matriel avec une architecture x.86. - Grce son concept open source, la scurit est amliore en raison du fait qu'il peut tre audit par des compagnies externes et en cas de problmes, n'importe peut travailler pour le rsoudre.

Club Tutoriel Informatique

Premier Etape :

Lorsque on rentre au site Vyatta.com .on voie que le site nos beaucoup dutilitaire et dinformions et parmi celui-ci le tlchargement de logiciel vyatta. Clic sur Downloades.

Club Tutoriel Informatique

Deuxime Etape :

Aprs quon clique sur downloade le site nos propose les versions de vyatta disponible tlcharger Clic sur Vyatta Core 6.1 (VC6.1) LiveCD iso.

Club Tutoriel Informatique

Troisime Etape :

Dans la dernire tape le site nos propose de tlcharger : =vyatta iso cd image : en peut le grave sur un cd. =VMware ESX 4 Template : pour les Virtual machine.

Il est possible d'utiliser Vyatta en bootant sur un liveCD et sauvegarde de la configuration sur disquette, pour ma part je l'ai install sur un HDD pour des raisons de performances. Vyatta sadministre en ligne de commande (commande Vyatta et Linux) mais aussi en interface web via https.

Configuration
5 Club Tutoriel Informatique

Sous virtualBox, Cration nouvelle machine virtuelle (vyatta, type Linux version Debian) - 512 de mmoire vive - HDD fixe de 2 GB - Boot sur iso de vyatta - Mes deux cartes rseaux sont en mode pont sous virtualBox mules en Intel Pro/1000

Boot Vyatta
Pour installer, boot sur le CD dinstallation de Vyatta ( .ISO ). - Une fois la phase de post + boot effectu on entre le login + password : vyatta - A linvite install-system vers le HDD - Attention, vous tes en mode QWERTY pour le clavier alors chaud devant et en plus Linux tiens compte de la casse, encore plus chaud, pas dinquitude une fois vyatta install sur HDD virtuel, on y accdera par https via le navigateur Web qui va grandement nous simplifier la vie.

Club Tutoriel Informatique

- Pour linstallation cest simple vous rpondez par Yes ou laissez par dfaut sauf quand linvite vous propose de dfinir les mots de passe pour les utilisateurs vous rpondez Non, on aura tout le temps de soccuper de cela plus tard -Une fois Vyatta install reboot machine virtuelle sur le HDD et non liso de Vyatta.

Les Comptes sur Vyatta

Les comptes par dfaut dont le mot de passe est "vyatta"" sont les suivants: - vyatta -> pour accder la plateforme de routage. - root -> pour accder au systme Linux. Se connecter. vyatta login: vyatta Password: Last login: Sun Feb 4 16:30:00 on 0 Welcome to Vyatta on San-Diego vyatta@vyatta> Le mode "opration" (operational mode) vous permet de voir des statistiques sur le routeur mais sans pouvoir y ffctuer de changements. vyatta@vyatta> configure Entering configuration mode. User root is also in configuration mode. [edit] vyatta@vyatta# Le mode de configuration (configure mode) o il est possible de configurer le routeur. Il est OBLIGATOIRE d'utiliser la commande "commit" pour appliquer vos changements autrement ils n'auront aucun effet sur le routeur Vyatta. Il est important de souligner la diffrence avec les routeurs commerciaux tel Cisco o n'importe quel changement est appliqu avec effet immdiat.

Club Tutoriel Informatique

Dans cette premire tude, nous allons voir un exemple trs simple o le routage est fait par des routes statiques uniquement.

Schma

Configuration
Routeur VYATTA edit interfaces ethernet eth0 set address 10.1.2.1 prefix-length 24 edit interfaces ethernet eth1 set address 10.1.1.1 prefix-length 24 set system host-name Vyatta set protocols static route 10.200.1.2/32 next-hop 10.1.2.2 set protocols static route 10.200.1.1/32 next-hop 10.1.1.2 set service telnet

Les Commands show

Show interfaces:

Club Tutoriel Informatique

Show ip route:

Show protocols:

Club Tutoriel Informatique

Voici une liste non exhaustive de commandes Cisco compares aux mmes commandes Vyatta.
----- MODE DE COMMANDES OPERATIONEL DE VYATTA ----ping traceroute show arp show ip ospf neighbor show ip ospf database show ip route show ip route | include show ip interfaces show ip bgp neighbors show ip bgp show clock show ntp associations show ip dhcp binding show ip dhcp server statistics show vrrp all show ip nat translations show ip nat statistics ping traceroute show arp show ospf4 neighbor show ospf4 database show route show route | match ... show interfaces ethernet ... physical show interfaces ethernet ... statistics show bgp peers show bgp routes show host date show ntp associations show dhcp lease show dhcp statistics show vrrp show nat rules show nat statistics

----- MODE DE COMMANDES CONFIGURATION DE VYATTA ----SAVE copy run tftp N/A SHOW show HELP N/A SET SERVICE ip server http line vty 0 4 password crypto key generate rsa (disponible sur certains IOS seulement) ip dhcp pool network default-router set service http set service telnet set service ssh set service dhcp-server name edit service dhcp-server name set start ... stop set default-router set network-mask set interface set exclude help show running-config save tftp://ip/name save /mnt/floppy/config/config.boot

ip dhcp excluded-address SET SYSTEM ip domain-name

set system domain-name

10

Club Tutoriel Informatique

ip default-gateway hostname username password ntp server ip name-server terminal monitor clock timezone logging logging facility logging trap SET PROTOCOLS ... INTERFACES interface set description ip address duplex speed

set system gateway-address set system host-name set system login set system ntp-server set system name-server set system syslog console set system time-zone set system syslog host set system syslog host ... facility set system syslog host ... facility ... level

edit interfaces set description set address ... prefix-length set duplex set speed set vrrp vrrp-group set vrrp ... virtual-address set vrrp priority set protocols ospf4 edit protocols ospf4 set router-id set area ... interface eth1 address set area ...area-type stub|nssa set protocols static route ...next-hop ... set protocols bgp edit protocols bgp set bgp-ig set local-as set peer ...next-hop set peer ... local-ip set peer ... as set protocols snmp community ... authorization ro|rw set protocols snmp community ... client set protocols snmp location set protocols snmp contact

vrrp ... ip vrrp ... priority OSPF router ospf 1 router-id network ... area area ... stub|nssa STATIC ip route BGP router bgp bgp router-id

neighbor ... remote-as SNMP snmp-server community ... ro|rw snmp-server community ... ACL snmp-server location snmp-server contact

11

Club Tutoriel Informatique

Voici une comparaison de quelques caractristiques que vous pouvez trouver sur quatre routeurs. Les deux premiers sont les meilleurs routeurs open source disponible: Quagga et Vyatta. Les deux autres dont des quipements commerciaux et "best-seller" de Cisco: un routeur standard de la famille 26xx et un switch 3750 de niveau trois (layer 3). RFC QUAGGA 0.99.6 VYATTA VC 3.0 CISCO 2651 CISCO 3750 L3

Type du logiciel Opensource Installation

IOS-Like OUI OUI

JunOS-Like OUI OUI

Cisco IOS NON NON

Cisco IOS NON NON

Routage statique RIPv2 OSPFv2 BGPv4 2453 2328 1771/4271

OUI OUI OUI OUI

OUI OUI OUI OUI

OUI OUI OUI OUI

OUI OUI OUI OUI

NAT VRRP Access lists Route maps VPN IPSec VPN SSL

2766 3768

NON/Linux NON/Linux OUI OUI

OUI OUI OUI OUI OUI

OUI OUI OUI OUI OUI OUI

NON NON OUI OUI OUI OUI

4301 4301

NON/Linux

NON/Linux (2) NON/Linux (2)

FTP client TFTP client Telnet serveur SSH serveur HTTP serveur

959 1350 854 4251

NON/Linux NON OUI (1) NON/Linux NON

OUI OUI OUI OUI OUI

OUI OUI OUI

OUI OUI OUI

OUI/NON OUI/NON OUI OUI

DHCP serveur DHCP relay NTP serveur

2131

NON/Linux NON/Linux

OUI OUI NON

OUI OUI OUI/NON

OUI OUI NON

1305

NON/Linux

12

Club Tutoriel Informatique

NTP client SNMP

1305 3412/1157

NON/Linux OUI (2)

OUI OUI

OUI OUI

OUI OUI

Ping traceroute Lgende: OUI: OUI/NON: BUGG: NON/Linux: (1) (2) (3) (4) (5)

OUI (3) OUI (3)

OUI OUI

OUI OUI

OUI OUI

Le protocole est support. Disponible sur certains IOS Cisco seulement. Il y a un bug majeur sur le protocole. Pas support sur le routeur Quagga mais peut tre activ au niveau Linux. Openswan peut tre utilis en tant qu'implmentation IPSec pour Linux. OpenVPN pour tre utilis pour construire des VPNs SSL sur Linux. Chaque dmon de protocole de routage ainsi que le gestionnaire de routage Zebra doivent tre "telnetts" sparment. Quagga doit tre compil avec la fonctionnalit SNMP. Ping ou traceroute doivent tre installs au niveau Linux pour tre utiliss sous Quagga.

Le routeur Vyatta ne possde pas nativement la richesse des fonctionnalits d'un routeur Cisco et la puissance de sa plate-forme mais il n'y a pas de miracle car Vyatta n'a pas les centaines de millions de dollars dpens chaque anne par la Socit Californienne. Fort heureusement, cela n'est pas un problme parce que seules quelques fonctionnalits dj supports par Vyatta sont vraiment utilises pour faire tourner un routeur. Par ailleurs, des packages sont disponibles pour rajouts des fonctionnalits Vyatta comme par exemple, le support de CDP (Cisco Discovery Protocol). Il est vrai que le routeur Vyatta est en encore jeune et qu'il lui manque quelques fonctionnalits importantes comme le VPN mais les dveloppeurs sont en train d'y travailler et vont trs certainement palier ces manques le plus vite possible .

13

Club Tutoriel Informatique