Vyatta 6 наконец вышла! Скачать, как и обычно, можно здесь, доступна и документация.
В полном тексте сообщения есть список изменений с примерами использования.
Теперь уже можно с уверенностью говорить, что изменилось. А именно:
- Реализована поддержка NetFlow и sFlow. Смотреть в «set system flow-accounting.
- Добавлен межсетевой экран для IPv6.
Наборы правил создаются через «set firewall ipv6-name NAME». Сами правила мало чем отличаются от правил для IPv4, просто там можно писать IPv6-адреса и ряд специфичных для него протоколов (вроде ICMPv6). Живой пример:
rule 20 { action accept description "Allow SMTP access from the Internet" destination { address 2001:470:1f0b:a80::10 port smtp } protocol tcp } - Появился межсетевой экран, основанный на «зонах безопасности».
Теперь можно определить зоны (например, Интернет и локальная сеть), присвоить их зонам и указать наборы правил для фильтрации трафика между зонами. Удобно, если интерфейсов много.
- Появилась поддержка 802.11 WiFi
Может работать в режиме точки доступа или клиента, в том числе ходить за аутентификацией к RADIUS-серверу. Смотреть в «set interfaces wireless wlanX ...».
- Появились политики маршрутизации для IPv6.
Описываются в «set policy ipv6 access-list6» и «set policy ipv6 prefix-list6», могут быть использованы в картах маршрутизации наравне с обычными.
- К числу протоколов маршрутизации добавили OSPFv3.
Поддержка пока не совсем полная, но основное работает. Это довольно сильно переработанный OSPF, который к тому же поддерживает IPv6.
- Добавили несколько новых алгоритмов QoS
Пятой вьятты под рукой нет, поэтому сказать, какие именно из них новые так с ходу не могу. Но rate-limit (он поддерживает burst'ы) и network-emulator (эмулирует глобальную сеть, внося латентность, повреждения и потери пакетов и прочие ужасы) точно в VC5 не было.
- Появилась «бинарная установка»
Суть ее в том, что кроме классического метода с распаковкой образа на диск, теперь можно поставить сам образ, который будет распакован при загрузке (примерно как это делается в LiveCD). Все изменения хранятся отдельно от образа. Но главное, что теперь можно добавить новый образ без переустановки всей системы, что очень удобно при обновлении, тестировании или участии в разработке (можно легко сравнить разные образы или откатится, если новый не понравился).
Чтобы установить новым методом, используется «install-image», а чтобы добавить новый образ, «add system image <путь>». Выбрать образ для загрузки можно через «set system image».
- Теперь можно руками указать опцию DHCP-сервера, если не хватило стандартных команд. «set service dhcp-server global-option "..."». Синтаксис опций унаследован от самого dhcpd.conf, они передаются в его конфиг без изменений.
Кроме технических нововведений есть и не менее интересные организационные. В частности, смена названия Vyatta Community на Vyatta Core означает то, что теперь доступная по подписке версия будет не параллельной веткой, а просто будет содержать дополнительные компоненты (в этой версии такими будут API удаленного доступа, аутентификация на сервере TACACS+ и коммерческая система фильтрации URL вместо SquidGuard).
Еще собираются убрать несвободные драйверы интерфейсов T/E-carrier, V.35 и DSL. Меня это не особо огорчает, поскольку V.35 остался только в унаследованных системах, E-carrier для данных никто не применяет, а карты DSL-портов у нас мало кто в реальности видел. Но если кому сильно захочется, все эти драйверы лежат на сайте производителя (Sangoma). В США T1 почему-то широко применяется для подключения корпоративных пользователей
Заключение
В общем и целом, со времен VC5 Vyatta стала гораздо лучше. Несмотря на то, что я следил за разработкой с первой альфы, релиз для меня все равно был ожидаемым и радостным событием. Тем, кто еще использует VC5, настоятельно рекомендую обновить, обратная совместимость конфига там не сломалась.
P.S. А еще директор по маркетингу Том МакКафферти оценил и выложил мой плакат для серии Ads not fit for print. Лежит здесь на самом верху: http://www.vyatta.org/community/ads.
Ну какбэ хорошо, но напрашивается только одно слово: "Закапать!".
ОтветитьУдалитьПочему? Да потому, что большинство вещей уже давно реализованы в других системах, а тут они только появились.
Но все равно я рад за пользователей этой системы..
По этой логике надо закопать все сетевые операционные систем, кроме какой-то одной :)
ОтветитьУдалитьМикроТик не нада закапывать, я его прям всей душой полюбил :)
ОтветитьУдалитьКаждому свое. Кто не готов платить килобаксы за никогда, возможно, не нужный ему функционал выберет правильный продукт.
ОтветитьУдалитьУилобаксы - это иос, жунипер и им подобное. А микротик стоит копейки.
ОтветитьУдалитьХотя согласен, не каждому нужен продакшн решение дома. Хотя, с другой стороны, не каждому дома вообще нужен маршрутизатор :)
микротик очень удобен, но у него огромный глюк с непрозрачностью, только на днях там обновили ядро, и теперь он наконец поддерживает новые сетевые интел на 576/575 чипах, но хоть и поддерживает, а MSI-X не использует, то как распределяются очереди по процессорам (разпределяются ли вобще) непонятно, тестируют mikrotiki относительно небольшое количество людей, глюки постоянно вылазят. Короче для бордера он пока не годится. Для wifi самое оно. Может когда-то доделают, но пока Vyatta будет получше
ОтветитьУдалитьТак микротик предназначен в первую очередь для железок, а не для х86 машин. Отсюда и нехватка драйверов для поддержки оборудования. Однако все стандартное оборудование он поддерживает.
ОтветитьУдалитьМногопроцессорность, как и многоядерность микротик поддерживает давно.
А о каких глюках идет речь, не подскажите? Сейчас на продакшине стоит 4ая ветка и работает как танк в режиме центрального узла.
А вот для вифи-то как раз, микротик не самый лучший вариант.
) по поводу многоядерности - очень наивно
ОтветитьУдалитьон то пишет, что поддерживает много процессоров, вопрос как эти процессоры используются
исходя из личного опыта и опыта форумчан микротика пока для роутинга реально используется один процессор, остальные занимаются административными функциями (меню, днс, утилиты, короче ничем толковым). То что там пишется в загрузке процессора вычисляется как сумма загрузок процессоров деленное на их количество, как конкретно распределяется загрузка по отдельным процессорам понятно только по потерям на интерфесах.
Т.е если 25% цпу на 4-х ядерном, то это может быть 100 0 0 0 или 75 на 25 0 0 и т.д
Я правильно понял, конференции на Jabber.ru уже нет?
ОтветитьУдалить