前言
这一篇主要讲如何利用All in One Home Server实现企业级路由需求。相信本篇一定会比上一篇招来更多的吐槽,善哉善哉!
其实,家用路由器在中国家庭中已经相当普及了。家用路由器的牌子很多,从销量最大的TP-LINK,到洋品牌的NetGear,Cisco,再到新进的小米(最近小米的404门也是够热闹的),360(一提360路由,不由得不想起孕妇模式....)等。价格呢,从几十元到几百元乃至上千,不一而足。从京东路由器的销量上可以看出,大多数家庭用的是150元以下较为低端的路由器。
还有一小部分有一定追求的同学(我估计这部分中很多都潜伏在张大妈),会去研究路由器的规格,比如主芯片的CPU性能,内存大小,天线多少,以及能否刷各种第三方固件(TOMATO,DD-WRT,Open-WRT....)。其实,家用路由器的处理器速度在500Mhz左右,内存不小于128M,应该就能够满足99%的家庭需要。比如我用了一年多的Netgear WNDR3700 V4(刷DD-WRT),就是不错的选择。
而顶级的家用路由器,如Netgear R8000(处理器ARMv7双核1GHz),或是Buffalo WXR-1900DHP(内存512M),简直可以说是Bigger爆表,是小众中的小众了。
然而我下面要介绍的,那可是比小众中的小众还要小众的玩法:利用虚拟化,几乎无成本的(应该算是利用闲置资源)构建正版且免费的企业级路由器,同时以满足各种可(奇)能(葩)的要求。
家里有各家宽带N路,要用到同时支持多个WAN口的路由器。家中人口众多,或者经营一个小公司,有几十个终端设备同时使用宽带。大家相互影响以至于无法正常提供网络服务。需要路由器具备很强的QoS(网络服务质量)处理能力。统一的科学上网方式,不需要单个终端进行配置。强大的防火墙功能。(家里有用吗?)各种VPN功能。利用dnsmasq做域名劫持,帮助Apple TV链接国内源。......只有想不到,没有做不到??......
类似的方案有很多,我选择的是pfSense panabit。
pfSense是一个基于FreeBSD,专为防火墙和路由器功能定制的开源版本,并以可靠性著称。在软路由中,pfSense的性能可能算不上顶尖(但绝对够用了),最大的优点是防火墙功能非常给力。
panabit同样基于FreeBSD,是一个流处理能力超强(据说可以到双向40G转发能力)的流控系统,有很全的应用匹配规则。
pfSense和panabit分工协作:pfSense负责路由和防火墙功能,panabit负责做业务流识别,整形和优先级调度。最给力的是两者都有免费版本,没有侵权风险,还不用焦虑升级问题!!!功能强大不花钱,相当于科学家会武术,流氓都挡不住!肯定会有不少同学推荐RouteOS,海蜘蛛,Wayos等,这些软路由都非常不错,不过这些要么没有官方的免费版本,要么偶尔才会有免费license提供,这里就不推荐了。
方案简介
网络大致的连接方案如下:
如果不使用虚拟化,改为在一台物理机上安装pfSense panabit。需要系统提供6个网口,结构如下:
但是如果用ESXi做虚拟化,只需要两个物理网口就可以了。而且可以把两套系统完美分隔开,结构如下:
利用存储服务器的硬件,几乎可以无成本的就可以搭建这套企业级的路由服务器。
ESXi真乃神器也!!
第一步、更改ESXi虚拟交换机的配置
为了pfSense虚拟机可以工作在网桥模式,需要先使能vSwitch0和vSwitch1的混杂模式。
第二步、panabit 的安装和配置
由于方案限制,在没有安装好panabit之前,从内网是无法连接到pfSense的内网口的。所以,为了简单起见,我们先安装panabit,再安装pfSense。
pfSense路由器其实带了很强的队列调度和流量整形的功能,不过相比panabit就是小巫见大巫了。专业的事,应该交给更专业的选手来做。
panabit有一键安装版下载,下载地址。但是由于这个版本是超精简版本,导致安装VMWareTools会非常麻烦。怕折腾的同学请选择这个,可以跳过第一至第三步(不过我建议,既然你已经开始折腾了,就再坚持一下下吧)。对于不折腾不舒服斯基,推荐先安装一个标准的FreeBSD(一定要安装32位版本,panabit还不支持64位系统),再安装panabit。FreeBSD9.3 32位下载地址,panabit升级包下载地址。
A. 安装FreeBSD9.3
安装FreeBSD虚拟机的方法和安装其他虚拟机是相似的,就不一一说了。磁盘分配3G,内存1G,网卡分配3个。
此外在选择FreeBSD组件时,一定要选上ports,为后期安装Perl语言以及VMWareTools做准备。
为第一个网口(panabit的管理口)配置一个静态IP地址
使能SSHD(随后需要用SSHD上传panabit升级包)。
安装完系统需要重启虚拟机。
B. 安装VMWareTools(对于ESXi,每个虚拟机总是推荐要安装VMWareTools的)
安装perl和compat6x库(此时虚拟机需要联网,由于这个时候pfSense还没有配置好,请保持原来的路由器处于工作状态)
cd /usr/ports/lang/perl5.18
make install clean
cd /usr/ports/misc/compat6x
make install clean
FreeBSD系统安装VMWareTools
mkdir -p /cdrom
mount -t cd9660 /dev/cd0 /cdrom
cd /tmp
tar zxf /cdrom/vmware-freebsd-tools.tar.gz
umount /cdrom
cd vmware-tools-distrib
./vmware-install.pl
判断VMWareTools是否安装好了
C. 安装最新的panabit升级包
先修改FreeBSD的ssh配置,使得可以使用root用户登录。编辑/etc/ssh/sshd_config文件,将一行PermitRootLogin no修改为PermitRootLogin yes。然后下发命令/etc/rc.d/sshd reload重启sshd服务。
通过WinScp(使用root的帐号和密码)将最新的panabit升级包(目前是PanabitFREE_SANGUOr9_20150325_FreeBSD9.2_dev.tar.gz)上传到虚拟机的/tmp目录。
执行下面的黑体命令,安装panabit升级包。
编辑/etc/rc.local文件,添加一行/usr/panabit/bin/ipectrl start。
cd /tmp
tar zxf PanabitFREE_SANGUOr9_20150325_FreeBSD9.2_dev.tar.gz
cd PanabitFREE_SANGUOr9_20150325_FreeBSD9.2_dev
./ipeinstall
D. panabit的配置
管理接口分配IP,然后就可以通过https://ip/ 来配置panabit了。默认的用户名为:admin,和密码为:panabit。
配置上行和下行数据接口,选择网桥1,同时注意不要把内网口和外网口配反了。
panabit关于网络服务质量的配置非常多。下面先讲一个非常简单的用法,更多的用法大家自己去研究吧。针对不同的网络应用,配置不同的优先级。
panabit支持非常多种网络应用的识别,多到我感觉有点多余的地步,试着摘了一部分。
首先添加一个高优先级的应用协议组上网,应用识别-
下一篇: apm线是什么意思