正版免費的企業級路由器的安裝和配置

路由器 FreeBSD Perl 編程語言 VMware 辦公小值君 2018-12-01
正版免費的企業級路由器的安裝和配置

前言

這一篇主要講如何利用All in One Home Server實現企業級路由需求。相信本篇一定會比上一篇招來更多的吐槽,善哉善哉!

其實,家用路由器在中國家庭中已經相當普及了。家用路由器的牌子很多,從銷量最大的TP-LINK,到洋品牌的NetGear,Cisco,再到新進的小米(最近小米的404門也是夠熱鬧的),360(一提360路由,不由得不想起孕婦模式....)等。價格呢,從幾十元到幾百元乃至上千,不一而足。從京東路由器的銷量上可以看出,大多數家庭用的是150元以下較為低端的路由器。

還有一小部分有一定追求的同學(我估計這部分中很多都潛伏在張大媽),會去研究路由器的規格,比如主芯片的CPU性能,內存大小,天線多少,以及能否刷各種第三方固件(TOMATO,DD-WRT,Open-WRT....)。其實,家用路由器的處理器速度在500Mhz左右,內存不小於128M,應該就能夠滿足99%的家庭需要。比如我用了一年多的Netgear WNDR3700 V4(刷DD-WRT),就是不錯的選擇。

正版免費的企業級路由器的安裝和配置

而頂級的家用路由器,如Netgear R8000(處理器ARMv7雙核1GHz),或是Buffalo WXR-1900DHP(內存512M),簡直可以說是Bigger爆表,是小眾中的小眾了。

然而我下面要介紹的,那可是比小眾中的小眾還要小眾的玩法:利用虛擬化,幾乎無成本的(應該算是利用閒置資源)構建正版且免費企業級路由器,同時以滿足各種可(奇)能(葩)的要求。

  1. 家裡有各家寬帶N路,要用到同時支持多個WAN口的路由器。
  2. 家中人口眾多,或者經營一個小公司,有幾十個終端設備同時使用寬帶。大家相互影響以至於無法正常提供網絡服務。需要路由器具備很強的QoS(網絡服務質量)處理能力。
  3. 統一的科學上網方式,不需要單個終端進行配置。
  4. 強大的防火牆功能。(家裡有用嗎?)
  5. 各種VPN功能。
  6. 利用dnsmasq做域名劫持,幫助Apple TV鏈接國內源。
  7. ......只有想不到,沒有做不到??......

類似的方案有很多,我選擇的是pfSense+panabit。

pfSense是一個基於FreeBSD,專為防火牆和路由器功能定製的開源版本,並以可靠性著稱。在軟路由中,pfSense的性能可能算不上頂尖(但絕對夠用了),最大的優點是防火牆功能非常給力。

panabit同樣基於FreeBSD,是一個流處理能力超強(據說可以到雙向40G轉發能力)的流控系統,有很全的應用匹配規則。

pfSense和panabit分工協作:pfSense負責路由和防火牆功能,panabit負責做業務流識別,整形和優先級調度。最給力的是兩者都有免費版本,沒有侵權風險,還不用焦慮升級問題!!!功能強大不花錢,相當於科學家會武術,流氓都擋不住!肯定會有不少同學推薦RouteOS,海蜘蛛,Wayos等,這些軟路由都非常不錯,不過這些要麼沒有官方的免費版本,要麼偶爾才會有免費license提供,這裡就不推薦了。

方案簡介

網絡大致的連接方案如下:

正版免費的企業級路由器的安裝和配置

如果不使用虛擬化,改為在一臺物理機上安裝pfSense+panabit。需要系統提供6個網口,結構如下:

正版免費的企業級路由器的安裝和配置

但是如果用ESXi做虛擬化,只需要兩個物理網口就可以了。而且可以把兩套系統完美分隔開,結構如下:

正版免費的企業級路由器的安裝和配置

利用存儲服務器的硬件,幾乎可以無成本的就可以搭建這套企業級的路由服務器。

ESXi真乃神器也!!

第一步、更改ESXi虛擬交換機的配置

為了pfSense虛擬機可以工作在網橋模式,需要先使能vSwitch0和vSwitch1的混雜模式。

正版免費的企業級路由器的安裝和配置

第二步、panabit 的安裝和配置

由於方案限制,在沒有安裝好panabit之前,從內網是無法連接到pfSense的內網口的。所以,為了簡單起見,我們先安裝panabit,再安裝pfSense。

pfSense路由器其實帶了很強的隊列調度和流量整形的功能,不過相比panabit就是小巫見大巫了。專業的事,應該交給更專業的選手來做。

panabit有一鍵安裝版下載,下載地址。但是由於這個版本是超精簡版本,導致安裝VMWareTools會非常麻煩。怕折騰的同學請選擇這個,可以跳過第一至第三步(不過我建議,既然你已經開始折騰了,就再堅持一下下吧)。對於不折騰不舒服斯基,推薦先安裝一個標準的FreeBSD(一定要安裝32位版本,panabit還不支持64位系統),再安裝panabit。FreeBSD9.3 32位下載地址,panabit升級包下載地址。

A. 安裝FreeBSD9.3

安裝FreeBSD虛擬機的方法和安裝其他虛擬機是相似的,就不一一說了。磁盤分配3G,內存1G,網卡分配3個。

正版免費的企業級路由器的安裝和配置

此外在選擇FreeBSD組件時,一定要選上ports,為後期安裝Perl語言以及VMWareTools做準備。

正版免費的企業級路由器的安裝和配置

為第一個網口(panabit的管理口)配置一個靜態IP地址

正版免費的企業級路由器的安裝和配置

使能SSHD(隨後需要用SSHD上傳panabit升級包)。

正版免費的企業級路由器的安裝和配置

安裝完系統需要重啟虛擬機。

B. 安裝VMWareTools(對於ESXi,每個虛擬機總是推薦要安裝VMWareTools的)

安裝perl和compat6x庫(此時虛擬機需要聯網,由於這個時候pfSense還沒有配置好,請保持原來的路由器處於工作狀態)

cd /usr/ports/lang/perl5.18

make install clean

cd /usr/ports/misc/compat6x

make install clean

FreeBSD系統安裝VMWareTools

正版免費的企業級路由器的安裝和配置

mkdir -p /cdrom

mount -t cd9660 /dev/cd0 /cdrom

cd /tmp

tar zxf /cdrom/vmware-freebsd-tools.tar.gz

umount /cdrom

cd vmware-tools-distrib

./vmware-install.pl

判斷VMWareTools是否安裝好了

正版免費的企業級路由器的安裝和配置

C. 安裝最新的panabit升級包

先修改FreeBSD的ssh配置,使得可以使用root用戶登錄。編輯/etc/ssh/sshd_config文件,將一行“#PermitRootLogin no”修改為“PermitRootLogin yes”。然後下發命令“/etc/rc.d/sshd reload”重啟sshd服務。

通過WinScp(使用root的帳號和密碼)將最新的panabit升級包(目前是PanabitFREE_SANGUOr9_20150325_FreeBSD9.2_dev.tar.gz)上傳到虛擬機的/tmp目錄。

執行下面的黑體命令,安裝panabit升級包。

編輯/etc/rc.local文件,添加一行“/usr/panabit/bin/ipectrl start”。

cd /tmp

tar zxf PanabitFREE_SANGUOr9_20150325_FreeBSD9.2_dev.tar.gz

cd PanabitFREE_SANGUOr9_20150325_FreeBSD9.2_dev

./ipeinstall

正版免費的企業級路由器的安裝和配置

D. panabit的配置

管理接口分配IP,然後就可以通過“https://ip/” 來配置panabit了。默認的用戶名為:admin,和密碼為:panabit。

配置上行和下行數據接口,選擇“網橋1”,同時注意不要把內網口和外網口配反了。

正版免費的企業級路由器的安裝和配置

panabit關於網絡服務質量的配置非常多。下面先講一個非常簡單的用法,更多的用法大家自己去研究吧。針對不同的網絡應用,配置不同的優先級。

panabit支持非常多種網絡應用的識別,多到我感覺有點多餘的地步,試著摘了一部分。

正版免費的企業級路由器的安裝和配置

首先添加一個高優先級的應用協議組“上網”,應用識別->自定義協議組->創建協議組,給協議組起個名字,然後點擊提交。

正版免費的企業級路由器的安裝和配置

為該協議組添加應用,有各種你想得到想不到的應用可選。我添加的應用有:DNS,電子郵件,其他HTTPS,WWW,Flash,Web音樂,HTTP代理和網絡支付。

正版免費的企業級路由器的安裝和配置

再添加一個低優先級的應用協議組“受限協議”,添加如下應用。

正版免費的企業級路由器的安裝和配置

在策略管理中增加一個數據通道“NetWork”,按照辦理的寬帶帶寬,配置通道帶寬。

為該通道編輯每個優先級調度的保證帶寬。按照我的理解,最高優先級調度不需要配置保證帶寬,只需要為低優先級調度配置一個較小的保證帶寬即可(為了低優先級調度不至於被餓死)。我的配置裡,只用了1和6兩個優先級,家裡是50M光纖,所以就為優先級6配置10M的保證帶寬。

正版免費的企業級路由器的安裝和配置

在策略管理裡創建一個策略組“優先級調度”。

正版免費的企業級路由器的安裝和配置

為這個策略組添加策略,將下行的“上網”協議的優先級設置為1,放到數據通道“Network”中。

正版免費的企業級路由器的安裝和配置

將下行的“受限協議”協議的優先級設置為6,放到數據通道“Network”中。配置完,如下圖。

正版免費的企業級路由器的安裝和配置

最後在策略調度中,將“優先級調度”設置為缺省策略組。

正版免費的企業級路由器的安裝和配置

這樣,一個最簡單的調度規則就可以使用了。

第三步,pfSense

A. 下載和安裝

  1. 下載地址,對於64位CPU,請下載AMD64(64-bit)的Live CD with installer,目前最新版本為2.2.3。將下載的ISO文件上傳到加載到ESXi的數據存儲器上。
  2. 通過vSphere Client創建新的虛擬機。配置:選擇“自定義”;虛擬機版本:選擇“版本:8”;客戶機操作系統,選擇“其他->FreeBSB(32位)”;CPU分配1個;內存分配1G;網卡分配3個(全部選E1000模式,pfSense系統默認第一個口是WAN口,第二個口是LAN口,為了簡單起見,就按照這樣配);磁盤分配1G;
正版免費的企業級路由器的安裝和配置

正版免費的企業級路由器的安裝和配置

  1. 將上傳的ISO加載到虛擬機的CD驅動器。
正版免費的企業級路由器的安裝和配置

  1. 啟動虛擬機,等待若干分鐘後,會提示安裝系統到硬盤,輸入99。後面的步驟就不贅述了(一頁一頁截屏太辛苦了),安裝好會提重啟。
  2. 重啟後系統默認WAN1用動態DHCP IP,LAN口IP是192.168.1.1。選擇Option2,把LAN口的默認IP改為自己想要的地址,比如我用的是192.168.18.1,同時啟動LAN口的DHCP和webConfigurator。
正版免費的企業級路由器的安裝和配置

B. 配置

通過web登錄到“IP:80”來管理pfSense路由器,默認的登錄用戶是admin,密碼是pfsense。第一次登陸,會有一個用戶指引,幫助你完成最初的配置。

Hostname隨便配。

正版免費的企業級路由器的安裝和配置

設置時間同步服務器和時區,這一步還是比較重要的,不配對有可能造成無法升級或安裝擴展包。

正版免費的企業級路由器的安裝和配置

配置WAN口,根據自家運營商的情況配。一般ADSL是PPPoE,光纖接入很多都是DHCP了。

正版免費的企業級路由器的安裝和配置

配置LAN口IP和掩碼

正版免費的企業級路由器的安裝和配置

更改pfSense的密碼

正版免費的企業級路由器的安裝和配置

點擊Reload,路由器就可以使用了。

正版免費的企業級路由器的安裝和配置

此時,請一定要安裝VMWareTools。方法是:通過web登錄路由器,點擊 System>Packages。然後在“Available Packages”中選擇“Open-VM-Tools”,並點擊安裝。(有可能需要disble WAN口的IPv6才行)。

正版免費的企業級路由器的安裝和配置

正版免費的企業級路由器的安裝和配置

關於其他配置和應用,有詳細的教程,請看這篇(中文)~~以及這篇(英文,官方)。

補充說明:

  1. 注1:關於多WAN的配置,請看這篇。由於我家裡只有電信寬帶,而且不支持多撥。沒有實踐沒有發言權,所以這一塊就不說了。
  2. 注3:關於如何解決DNS汙染,這個正好也是搞虛擬機的長項,不過講講也要一篇文章了。個人感覺目前這個問題還不算是大家的痛點,那就有空再寫吧。

總結

寫了半天,怎麼才能體現出pfSense+panabit的優越性呢?想了半天,還真不好寫。

最後還是舉個例子吧。本人目前在某公司的杭州分部工作。一共十來個人,一共有二三十個終端設備(電腦+手機)的上網需求。由於人數比較少,所以總部一直沒有給我們配專用的企業路由器,而是拿一個家用路由器湊合著用(屌絲公司......)。於是時不時就會發生網絡沒響應,或者路由器死機的情況,民怨極大。

自從我上個月引入了ESXi+pfSense+panabit的組合(硬件是7年前的Q35+E8400),十幾個人擠一個4M的小水管,居然再也沒有發生過網絡不可用的故障。即使有多個人同時下載,也不會影響上網查詢資料。好評率爆棚啊!!

下面是一些panabit的統計截圖:

正版免費的企業級路由器的安裝和配置

正版免費的企業級路由器的安裝和配置

正版免費的企業級路由器的安裝和配置

正版免費的企業級路由器的安裝和配置

老實說,這篇文章只講到了一些皮毛,僅供入門而已。網上有各路大神對pfSense和panabit的各種玩法,建議大家上網搜搜,保證能夠大開眼界。

本文源自什麼值得買

相關推薦

推薦中...