vyos配置

VyOS 是一个基于 Debian 的操作系统，可以部署在不同的硬件平台上，例如虚拟机、物理服务器和云平台（如 AWS、Azure 等）。该操作系统被广泛用于网络设备的虚拟化和路由器的配置。本文将从以下几个方面介绍 VyOS 的配置：介绍 VyOS 命令行界面 (CLI)、配置 VyOS 网络接口、防火墙的配置和配置 VyOS VPN。

一、VyOS 命令行界面

VyOS 的命令行界面 (CLI) 基于 bash shell，用户可以通过 SSH 连接到 VyOS 并使用 CLI 配置网络和设备。CLI 支持 Tab 补全和自动完成，因此用户可以快速输入命令，而不需要手动输入所有命令单词。

为了进入 VyOS CLI，用户可以通过 SSH 连接到 VyOS 设备。在连接时，用户需要使用 SSH 的用户名和密码进行验证。默认情况下，VyOS 使用 vyos 作为用户名和vyos 作为密码。要更改默认密码，请使用配置命令，并使用 set system login user vyos authentication plaintext-password 命令更改密码。密码会被加密存储在配置文件中。

二、配置 VyOS 网络接口

在 VyOS 中，网络接口的配置是非常重要的。有几种类型的网络接口可供选择，包括物理接口和灵活虚拟接口 (VIF)。用户可以将多个物理接口组合成聚合接口，以提高网络带宽。以下是配置物理接口和聚合接口的示例。

1.配置物理接口：

set interfaces ethernet eth0 address '192.168.1.1/24'

set interfaces ethernet eth0 description 'LAN'

2.配置聚合接口：

set interfaces bonding bond0 description 'bonding interface'

set interfaces bonding bond0 hash-policy layer3+4

set interfaces bonding bond0 mode '802.3ad'

set interfaces bonding bond0 mtu '9000'

set interfaces bonding bond0 interface 'eth1'

set interfaces bonding bond0 interface 'eth2'

三、防火墙的配置

VyOS 提供了完整的防火墙功能，允许用户灵活控制入站和出站流量。以下是配置防火墙规则的示例。

1.配置 inbound 规则：

set firewall name WAN-IN rule 10 action 'accept'

set firewall name WAN-IN rule 10 description 'allow HTTP'

set firewall name WAN-IN rule 10 destination port '80'

set firewall name WAN-IN rule 10 protocol 'tcp'

2.配置 outbund 规则：

set firewall name WAN-OUT rule 10 action 'accept'

set firewall name WAN-OUT rule 10 description 'allow HTTPS'

set firewall name WAN-OUT rule 10 destination port '443'

set firewall name WAN-OUT rule 10 protocol 'tcp'

四、配置 VyOS VPN

VyOS 支持多种 VPN 技术，例如 IPsec、OpenVPN、L2TP 和 PPTP。以下是配置 IPsec VPN 的示例。

1.创建 IPsec 安全策略：

set vpn ipsec ipsec-interfaces interface 'eth0'

set vpn ipsec nat-networks allowed-network '0.0.0.0/0'

set vpn ipsec site-to-site peer 192.0.2.2 authentication mode 'pre-shared-secret'

set vpn ipsec site-to-site peer 192.0.2.2 authentication pre-shared-secret 'yourpassword'

set vpn ipsec site-to-site peer 192.0.2.2 connection-type 'initiate'

set vpn ipsec site-to-site peer 192.0.2.2 ike-group 'ike-group'

set vpn ipsec site-to-site peer 192.0.2.2 local-address '203.0.113.1'

set vpn ipsec site-to-site peer 192.0.2.2 tunnel 0 allow-nat-networks 'disable'

set vpn ipsec site-to-site peer 192.0.2.2 tunnel 0 allow-public-networks 'disable'

set vpn ipsec site-to-site peer 192.0.2.2 tunnel 0 esp-group 'esp-group'

2.配置 IPsec ike 策略：

set vpn ipsec ike-group ike-group dead-peer-detection action 'restart'

set vpn ipsec ike-group ike-group dead-peer-detection interval '30'

set vpn ipsec ike-group ike-group dead-peer-detection timeout '120'

set vpn ipsec ike-group ike-group ikev2-reauth 'no'

set vpn ipsec ike-group ike-group key-exchange 'ikev1'

set vpn ipsec ike-group ike-group proposal 1 dh-group '2'

set vpn ipsec ike-group ike-group proposal 1 encryption 'aes256'

set vpn ipsec ike-group ike-group proposal 1 hash 'sha256'