快捷搜索:

LRP架构Linux路由器/防火墙

在基于TCP/IP协议的收集布局中,路由器/防火墙的紧张性不言而喻。作为伴跟着互联网生长的操作系统,Linux在架构路由器/防火墙方面具有天然的上风。LRP源自Linux Router Project(Linux路由器计划),其目标是要实现微内核布局的瘦办事器,用于网关/路由器/防火墙。与发行版Linux架构的路由器比拟,LRP路由器显明的优点是系统效率高、硬件资源低。本文以某详细收集拓扑布局为背景,探究用LRP规划架构路由器/防火墙的历程及其相关问题。

从硬盘启动LRP

一样平常而言,LRP软件仅用一张软盘便可容纳。其最基础的事情要领是由软盘启动,在内存中建立映像文件系统,并开始事情。系统投入运行后,不再必要该软盘。但实践发明,因为软盘在靠得住性、容量等方面的先天不够,在利用中难免会有软盘毁坏或功能受限的情形发生。是以,完全可以用硬盘启动取代软盘启动。

首先从http://lrp.steinkuehler.net下载LRP软件,软件名为dachstein-v1.0.2-1680.exe。筹备两张空缺3英寸软盘,一张款式化为1.44MB,另一张则用刚下载的法度榜样制作成1.68MB的LRP软盘,这便是从软盘启动的LRP。将新制成的软盘上除Linux内核和ldlinux.sys以外的其它文件,复制到1.44MB软盘中,改动此中的设置设置设备摆设摆设文件syslinux.cfg,把软盘向导参数“boot=/dev/fd0,msdos”改为硬盘向导参数“boot=/dev/hda1,msdos”。

为了能够从硬盘启动,我们必要一个能够支持硬盘的系统内核linux+IDE.bin,将其从网高低载后改名为Linux。此外,还必要一个Linux向导加载法度榜样syslinux.com,可以从上述网站下载,也可以从http://www.kernel.org/pub/linux/utils/boot/syslinux下载最新的版本。另筹备一张MSDOS启动盘,将新内核Linux和syslinux.com复制上去。

现在开始安装LRP。为每个LRP筹备一台PC机,CPU至少是486,内存12MB以上。实际选用了P5/100和16MB内存,一块IDE硬盘(容量不必太大年夜,10MB即可),两块网卡(10/100MB)。用DOS启动盘向导机械,履行fdisk敕令,确保在硬盘上仅有一个DOS主分区(标记为Active)。待从新向导机械后,履行如下敕令:

#format c:

#syslinux -s c:

#copy linux c:

款式化新分区,安装Linux向导加载法度榜样,并将内核文件Linux复制到硬盘。换上1.44MB的LRP软盘,将盘上内容整个复制到硬盘根目录下。至此,LRP软件安装完毕。掏出软盘,重启机械,LRP开始向导,待login提示符呈现后,键入root,进入LRP系统。

设置设置设备摆设摆设收集接口

首先斟酌网卡驱动法度榜样。LRP系统已经包孕几个常用的网卡驱动法度榜样模块,如3c509、3c59x和eepro100等,但没有包孕D-Link 530TX(Rev A1/B1/B2)网卡驱动法度榜样。可以从LRP网站下载一个与内核版本对应的530TX网卡驱动法度榜样,名为via-rhine.o,复制到DOS软盘上。留意,DOS文件名为8+3制,长文件名via-rhine.o最好先改短,如改成via.o。在LRP机械上,插入软盘,履行如下敕令:

#mount -t msdos /dev/fd0 /mnt

#cp /mnt/via.o /lib/modules/via-rhine.o

#umount /dev/fd0

将收集驱动模块复制到内存映像文件系统的/lib/modules目录中。留意,每次改动内存映像文件系统都必要及时备份.lrp文件,保存所做的变更。键入lrcfg敕令,选择设置设置设备摆设摆设选单的“Back-up ramdisk”条款,再选“modules”,备份modules.lrp即可。接着设置设置设备摆设摆设驱动法度榜样,选择设置设置设备摆设摆设选单的第3项“Package settings”,再选“modules”,编辑/etc/modules文件(也可以在敕令行键入敕令edit /etc/modules),加入以下两行:

LRP的事情模式

LRP的一样平常事情模式有三种:直接路由要领、过滤式路由要领和防火墙要领。只要在/etc/network.conf文件中设置:

IPFWDING_KERNEL=YES

IPFILTER_SWITCH=none

就构成了直接路由要领(网关)。前一项相称于做echo 1 > /proc/sys/net/ipv4/ip_forward,容许IP包转发。后一项则意味着不做包过滤。这种要领对照简单,但也带来了问题,机房中的所有IP包将不受节制地涌向校园收集,给收集带来额外的包袱。办理的措施便是加上IP包过滤,即过滤式路由要领。

同样在/etc/network.conf文件中设置:

IPFWDING_KERNEL=FILTER_ON

IPFILTER_SWITCH=router

对流经LRP路由器的数据包进行有选择地转发。假如要对两个机房的流量集中节制,可以在出口网关和路由互换机之间增添一个“透明网桥”(不必改变它们原有的路由关系),使用ARP代理来通报“网桥”两端路由设备的ARP消息,实现一种透明连接。经由过程对LRP的收集接口设置:

eth0_PROXY_ARP=YES

eth1_PROXY_ARP=YES

相称于

echo 1 > /proc/sys/net/ipv4/conf/eth0/proxy_arp

echo 1 > /proc/sys/net/ipv4/conf/eth1/proxy_arp

就能实现这样的连接。因为这种连接是在收集层(链路层的上一层)实现的一种伪网桥,是以可以在其上节制流经的数据包。

LRP的第三种事情模式便是防火墙。设置防火墙要领如下:

IPFWDING_KERNEL=FILTER_ON

IPFILTER_SWITCH=firewall

此外,除了要设置设置设备摆设摆设收集接口eth0和eth1外,还要进一步指出外网接口和内网接口:

EXTERN_IF="eth0"

EXTERN_IP= 221.xxx.xxx.1

INTERN_IF="eth1"

INTERN_NET=192.168.0.0/24

INTERN_IP=192.168.0.254

MASQ_SWITCH=YES

动态安装三个文件,天生密钥。为包管下次启动时自动安装SSH,编辑/etc/syslinux.cfg文件,在“LRP=”中添加libz.lrp和sshd.lrp两项。留意,此次必要备份etc.lrp和sshd.lrp。

至于SSH的客户端,Linux有ssh敕令可以用。在Windows平台上,可以从http://www.chiark.greenend.org.uk/~sgtatham/putty取得一个支持SSH的客户端软件PuTTY。在PuTTY设置设置设备摆设摆设界面(如图2)中将IP地址设为192.168.0.253,协议取SSH(端口号22),会话命名为Router01,单击Save按钮保存。单击Load按钮拔取Router01会话,单击Open按钮即可进入PuTTY终端窗口。

图2 PuTTY设置设置设备摆设摆设界面

别的,LRP有一个很小的Web办事器。在浏览器中输入LRP机械的IP地址,就能够以网页要领察看LRP机械的信息,如图3所示。

着末,篡改LRP机械的Award CMOS设置。将“标准CMOS设置”中的“Halt on”选项设为“All,But Keyboard”(轻忽键盘,没有键盘照旧启动)。将“电源治理设置”中的“HDD Power Down”设为15min(准时关闭硬盘电源,硬盘不再应用)。拔掉落键盘和显示器,LRP机械就成为名副着实的LRP Box,可以摆上机架了。

LRP还有许多高档利用,如均衡负载、公道行列步队、带宽节制、策略路由等。这些事情都是建立在iproute2和ipchains的根基之上。关于这方面的资料,可拜见《Linux Advanced Routing & Traffic Control》(Linux的高档路由和流量节制HOWTO),网址为http://lartc.org。

我们总会面临保护自己的硬件设备投资这样的问题。LRP让我们有时机从一个特其余角度来从新核阅软件对付硬件及利用的感化和关系,这便是它的意义所在。

您可能还会对下面的文章感兴趣: