Introduction à Vyatta

Introduction du cours

Bonjour à tous !

Vous êtes de plus en plus nombreux à vous intéresser à la virtualisation, cette technologie présent en effet de nombreux avantages que ce soit pour les professionnels ou les particuliers. Provisioning rapide, maîtrise des coûts, plateformes de tests et maquettage simplifié, les désavantages à la virtualisation sont peu nombreux, mais saviez vous que l'on pouvait virtualiser autre chose que des OS de type serveur (FreeBSD, Debian, Windows Server, Solaris etc) ou grand public (Windows Seven, Ubuntu et autres Linux) ?

Je vais vous présenter ici une distribution orientée routage que nous allons virtualiser : Vyatta

Pour ceux à qui la virtualisation ne dit pas grand-chose, ne vous inquiétez pas, vous n'avez pas besoin d'avoir de connaissances particulières dans ce domaine, il suffit d'accepter qu'un routeur n'est pas nécessairement une boîte avec Cisco ou Netgear marqué dessus.

Je ne présenterais ici que le fonctionnement propre à Vyatta, je ne détaillerais pas les implémentations de tous les protocoles, il ne s'agit pas ici de faire un cours de réseau, mais il est évident que vous en aurez besoin si vous comptez utiliser Vyatta par la suite.

Allez on commute ses neurones et on se met en marche !

Vyatta, présente toi ! C'est quoi un routeur ?

Un routeur est un équipement informatique permettant de faire communiquer deux réseaux. Votre réseau local où vous vous trouvez actuellement est connecté à Internet par l'intermédiaire d'un routeur, il s'agit sûrement de votre box. Un routeur permet de connecter deux réseaux, mais aussi de les séparer. Dans une entreprise, pour des raisons de sécurité, on pourrait souhaiter séparer le réseau des employés de celui de la direction afin que des informations sensibles ne circulent pas n'importe où.

Le routeur est l'équipement au cœur d'Internet. C'est grâce à lui que vous pouvez communiquer d'un bout à l'autre de la planète, son rôle principal étant de trouver le chemin entre vous et votre correspondant. C'est ce qu'on appelle le routage, chaque routeur indique à une information quel est le prochain routeur qu'elle doit utiliser pour atteindre sa destination. Nous reviendrons sur cette notion à la fin du tutoriel.

Vyatta est donc un OS assurant des fonctions de routage, il peut donc servir à vous connecter à Internet, il peut être utilisé comme firewall dans votre réseau et il peut aussi permettre de séparer votre ordinateur du réseau local de votre maison et ainsi disposer d'un réseau local connecté mais indépendant du premier.

On pourrait ainsi comparer Vyatta aux OS des grands constructeurs de matériels réseau comme IOS de chez Cisco Systems ou JUNOS de Juniper Networks. Mais à la différence de ses concurrents, Vyatta n'est pas fourni sur un équipement physique, il s'agit d'un OS comme n'importe quelle distribution Linux que vous pouvez installer sur n'importe quelle machine disposant d'un processeur de type x86 (c'est-à-dire la quasi-totalité des ordinateurs actuels).

Vyatta existe sous deux versions différentes, une payante et une open source gratuite. Nous utiliserons dans ce tutoriel la deuxième version, toutes les fonctions importantes attendues d'un routeur sont présentes, en revanche l'interface web n'est désormais plus présente dans la version gratuite.
Mais personne ici ne comptait l'utiliser de toute façon, n'est-ce pas ?

Vyatta se pilote via une interface en ligne de commande, la syntaxe est proche de celle de JUNOS mais reste relativement proche d'IOS pour que les habitués de chez Cisco ne se sentent pas perdus.

Basé sur une distribution Debian, il est intéressant de noter que Vyatta peut être amélioré/complété en installant des packages supplémentaires (les dépôts Debian sont accessibles) ce qui est impossible chez les constructeurs commerciaux qui ne donnent pas accès à l'OS.

Dans la suite du tutoriel, plusieurs machines virtuelles seront utilisées afin de simuler un réseau "complet". Il est possible que votre ordinateur personnel ne supporte pas un nombre aussi élevé de machines virtuelles.
Nous aurons besoin au final de 2 machines virtuelles tournant sous Vyatta ainsi qu'au moins une machine virtuelle où sera installé le système d'exploitation de votre choix. Néanmoins vous pouvez tout à fait suivre le tutoriel sans expérimenter vous même tout ce qui sera décrit et présenté.

Ce tutoriel n'est pas un cours complet de réseau ! Aucune compétence particulière n'est attendue en réseau, seulement être à l'aise avec les adresses IP et les masques de sous-réseau. Vous trouverez un cours sur l'adressage IP dans le tuto d'Elalitte si besoin est.
Dans le cas où vous souhaiteriez effectuer les manipulations de votre côé, savoir configurer une IP fixe sur le système d'exploitation de votre choix est nécessaire.

Configuration et installation de la machine virtuelleTéléchargement

Commençons par nous rendre sur la page de téléchargement du site officiel.
On vous demande quelques informations avant de vous proposer deux versions différentes de Vyatta.

• La première est une image "normale", comme celle que vous avez peut être l'habitude de télécharger pour installer une distribution Linux.

• La seconde est une image optimisée pour être installée sur une machine virtuelle Vmware, Xen ou Hyper-V.

Vyatta peut tout à fait fonctionner en live-cd (avec la première image), cependant un support de stockage peut être nécessaire pour sauvegarder votre configuration.

Passons maintenant à l'installation !

Configuration de notre machine virtuelle

Nous effectuerons nos tests sur une machine virtuelle, j'utilise pour ma part Vmware Workstation 8, mais si vous préférez VirtualBox ou que vous avez votre propre serveur de virtualisation, pas de soucis ^^

Cependant la configuration matérielle de notre VM va devoir respecter quelques points. Vyatta est un routeur, il va lui falloir plusieurs interfaces réseaux pour qu'il serve à quelque chose. Pour ce tutoriel, 2 me semblent suffisant. La RAM et le processeur importent peu, nous ne brusquerons pas trop notre Vyatta, quant à l'espace disque, 3Go devrait suffire.
Voici ma configuration :

Il y a un point en revanche où il est important de faire particulièrement attention, c'est celui des cartes réseau. Les sociétés éditant les logiciels de virtualisation ont crée plusieurs modes de connexion pour les cartes réseau donnant à votre VM accès ou non au LAN et/ou à Internet.

Un routeur sert d'interconnexion entre deux réseaux, il va donc nous falloir simuler ces deux réseaux, et il faudra faire attention à ce que ceux-ci soient bien distincts.
Workstation/Vmware Player et Virtualbox proposent plusieurs modes pour les cartes réseaux, chacun a un comportement différent et il est important de choisir le bon en fonction du résultat que l'on souhaite obtenir.

Le mode bridge ou pont

Le mode bridge ou pont permet à la VM de devenir une machine à part entière du réseau local de la machine physique. Votre machine virtuelle a accès à Internet (à condition que votre machine physique l'ait aussi ^^) ainsi qu'au reste du réseau local. Il y a de fortes chances que votre VM récupère une adresse par votre serveur DHCP, typiquement votre box. C'est le mode que je vous conseille d'utiliser lorsque vous créez une machine virtuelle dans un but de test et qu'aucune configuration réseau particulière ne vous ait demandé.

Le mode NAT

Le mode NAT place votre machine virtuelle dans un autre réseau indépendant du LAN de la machine physique. Une connexion existe entre ces deux réseaux et c'est votre machine physique qui assure l'interconnexion. Lorsque vous sortez du réseau de la VM pour aller sur Internet ou dans le LAN de la machine hôte, celle-ci va temporairement vous "prêter" son adresse. Le NAT est la technique utilisée par vos box pour vous donner accès à Internet, tous les ordinateurs chez vous sortent sur Internet avec la même adresse IP, celle de votre box.

Le mode Host-only

Le mode Host-only ressemble fortement au NAT si on le représentait par un schéma. La différence majeure étant qu'il n'y a pas de mécanisme de translation effectué par la machine hôte. Votre VM est cantonnée à son réseau local et ne peut en sortir. Sauf manipulation particulière que l'on verra un peu plus loin dans le tuto.
Depuis la version 8, Workstation propose un nouveau mode : le lan segment. Son comportement est le même que le Host-only à une différence près. Pour que deux machines soient dans le même réseau, elles doivent à la fois avoir une adresse de réseau identique et se trouver dans le même lan segment. Il s'agit en fait d'une sorte de VLAN pour ceux à qui le terme dit quelque chose. Ce n'est pas très important ici, vous pouvez utiliser les lan segments si vous le souhaitez, veillez juste à utiliser le même pour les machines faisant partie du même réseau.

Dans mon exemple j'ai placé une de mes cartes en bridge et l'autre en lan segment que j'ai nommé "lan_sdz".

Premiers pas avec VyattaInstallation de Vyatta

Notre machine est donc prête à être lancée. Veillez bien à placer l'iso téléchargé précédemment dans le lecteur CD de votre machine virtuelle et allumez celle-ci.

Vous devez arriver sur cet écran-ci :

Pressez la touche "entrer" pour booter sur Vyatta.
Vous finissez si tout se passe bien devant une demande de login et de mot de passe.

Le login et le mot de passe sont vyatta

Attention, la configuration du clavier par défaut de Vyatta est un qwerty, vous devez donc taper vyqttq ;)

Le prompt indique ensuite : vyatta@vyatta:~$
Nous sommes actuellement dans le mode livecd de Vyatta, mais nous préférons l'installer sur la machine virtuelle que nous venons de créer.
La commande est install-system
Les questions habituelles lors d'une installation vont vous être demandées : Êtes-vous sûr de vouloir l'installer ? Sur quelle partition (nous n'en avons qu'une seule) ? Toutes les données vont être perdues (le disque est vide) ? etc.
Normalement les choix par défaut conviennent mis à part lorsqu'on vous demandera de valider la suppression des données sur la partition d'installation.

L'installation ne vous prendra pas plus de 5 minutes.
Une fois finie, vous pouvez rebooter votre machine virtuelle. Pensez à déconnecter votre lecteur CD pour ne pas booter une nouvelle fois sur le livecd.
Saisissez vos identifiants et vous voilà logué sur votre premier routeur virtuel !

Première configuration

A la manière du système d'exploitation IOS de Cisco, Vyatta dispose de plusieurs modes de configuration, au nombre de deux.
Vous êtes logués dans le mode "normal", symbolisé par la caractère à la fin de votre prompt $
Pour passer en mode de "configuration", vous devez taper configure.
Votre prompt change et le symbole de fin devient : #
La commande exit vous fait revenir au mode normal.

Bien que sous UNIX ces symboles permettent de différencier un utilisateur ayant un niveau de privilège normal d'un utilisateur "root", sous Vyatta la différence entre ces deux signes s'arrête au mode de configuration.
Vous pouvez essayer si vous le voulez de lancer un apt-get update en mode configure, ça ne marchera pas ;)

Nous sommes donc en mode de configuration.
Vyatta a prévu (à la manière de Cisco et d'autres constructeurs) une aide pour vous assister lors de la configuration de votre routeur. Cette aide se caractérise par une auto-complétion de vos commandes accessibles soit grâce à la touche de tabulation soit par la touche du point d'interrogation. Un appui affiche la liste des mots-clés disponibles, un deuxième appuie, affiche la description de ceux-ci.

vyatta@vyatta# comment         copy            load            run commit          delete          loadkey         save commit-confirm  discard         merge           set compare         edit            rename          show confirm         exit            rollback [edit] vyatta@vyatta# Possible completions:   confirm       Confirm prior commit-confirm   comment       Add comment to this configuration element   commit        Commit the current set of changes   commit-confirm                 Commit the current set of changes with 'confirm' required   compare       Compare configuration revisions   copy          Copy a configuration element   delete        Delete a configuration element   discard       Discard uncommitted changes   edit          Edit a sub-element   exit          Exit from this configuration level   load          Load configuration from a file and replace running configuration   loadkey       Load user SSH key from a file   merge         Load configuration from a file and merge running configuration   rename        Rename a configuration element   rollback      Rollback to a prior config revision (requires reboot)   run           Run an operational-mode command   save          Save configuration to a file   set           Set the value of a parameter or create a new element   show          Show the configuration (default values may be suppressed) [edit] vyatta@vyatta#

La plupart des commandes qui vont nous intéresser commence par set. Si vous faites un petit tab derrière, vous vous rendez compte que les choix sont nombreux ensuite.
Chez Cisco, la configuration d'un équipement se fait par le passage dans des modes de configuration successifs, ceux-ci sont imbriqués.
Sur Vyatta, la configuration se fait toujours sur une seule ligne de commande, ce qui induit automatiquement des commandes relativement longues.

Voyons quelques exemples afin de rendre ceux-ci plus parlant :

La première chose que nous allons faire est d'activer les connexion SSH sur Vyatta. Il sera en effet bien plus simple de s'y connecter de cette façon et nous retrouverons notre bon vieux clavier azerty.
L'opération se déroule en trois étapes : on passe en mode configuration, on exécute la commande appropriée, on applique les changements au système.

vyatta@vyatta:~$ configure [edit] vyatta@vyatta# set service ssh listen-address 0.0.0.0 [edit] vyatta@vyatta# commit [ service ssh ] Restarting OpenBSD Secure Shell server: sshd. [edit] vyatta@vyatta#

Le service SSH est maintenant activé.

A quoi sert la commande commit ?

Tandis que sous Cisco, une fois la commande exécutée celle-ci est automatiquement appliquée, sous Vyatta, il faut "valider" afin que la commande soit appliquée au système.
En cas d'erreur de syntaxe, d'incohérence dans la configuration (adresse IP configurée à la fois en statique et en dhcp par exemple), le système vous préviendra de l'erreur au moment du commit.

Maintenant que le service SSH est activé, il nous faudrait une IP sur laquelle se connecter.
On aimerait pouvoir consulter l'état de nos interfaces réseau. Pour cela nous allons repasser en mode normal et utiliser la commande show.

vyatta@vyatta:# exit [edit] vyatta@vyatta:~$ show interfaces Codes: S - State, L - Link, u - Up, D - Down, A - Admin Down Interface    IP Address                        S/L  Description ---------    ----------                        ---  ----------- eth0         -                                 u/u eth1         -                                 u/u lo           127.0.0.1/8                       u/u...