Ответы пользователя WTPIX

Как организовать маршрутизацию через OpenWRT?

WTPIX @WTPIX Автор вопроса

фаервол простыня:

spoiler

Chain INPUT (policy ACCEPT 7417 packets, 493K bytes)
pkts bytes target prot opt in out source destination
117K 14M delegate_input all -- * * 0.0.0.0/0 0.0.0.0/0

Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
615K 437M delegate_forward all -- * * 0.0.0.0/0 0.0.0.0/0

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
109K 8904K delegate_output all -- * * 0.0.0.0/0 0.0.0.0/0

Chain delegate_forward (1 references)
pkts bytes target prot opt in out source destination
615K 437M forwarding_rule all -- * * 0.0.0.0/0 0.0.0.0/0 /* user chain for forwarding */
586K 434M ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED
29121 3010K zone_lan_forward all -- br-lan * 0.0.0.0/0 0.0.0.0/0
0 0 zone_wan_forward all -- pppoe-wan * 0.0.0.0/0 0.0.0.0/0
0 0 zone_wan_forward all -- eth0 * 0.0.0.0/0 0.0.0.0/0
0 0 zone_wan_forward all -- wlan0 * 0.0.0.0/0 0.0.0.0/0
0 0 reject all -- * * 0.0.0.0/0 0.0.0.0/0

Chain delegate_input (1 references)
pkts bytes target prot opt in out source destination
180 15021 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
117K 14M input_rule all -- * * 0.0.0.0/0 0.0.0.0/0 /* user chain for input */
22510 7246K ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED
42618 2211K syn_flood tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x17/0x02
2444 190K zone_lan_input all -- br-lan * 0.0.0.0/0 0.0.0.0/0
80548 4461K zone_wan_input all -- pppoe-wan * 0.0.0.0/0 0.0.0.0/0
4190 1767K zone_wan_input all -- eth0 * 0.0.0.0/0 0.0.0.0/0
0 0 zone_wan_input all -- wlan0 * 0.0.0.0/0 0.0.0.0/0

Chain delegate_output (1 references)
pkts bytes target prot opt in out source destination
180 15021 ACCEPT all -- * lo 0.0.0.0/0 0.0.0.0/0
108K 8889K output_rule all -- * * 0.0.0.0/0 0.0.0.0/0 /* user chain for output */
106K 8758K ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED
15 5011 zone_lan_output all -- * br-lan 0.0.0.0/0 0.0.0.0/0
1948 126K zone_wan_output all -- * pppoe-wan 0.0.0.0/0 0.0.0.0/0
0 0 zone_wan_output all -- * eth0 0.0.0.0/0 0.0.0.0/0
0 0 zone_wan_output all -- * wlan0 0.0.0.0/0 0.0.0.0/0

Chain forwarding_lan_rule (1 references)
pkts bytes target prot opt in out source destination

Chain forwarding_rule (1 references)
pkts bytes target prot opt in out source destination

Chain forwarding_wan_rule (1 references)
pkts bytes target prot opt in out source destination

Chain input_lan_rule (1 references)
pkts bytes target prot opt in out source destination

Chain input_rule (1 references)
pkts bytes target prot opt in out source destination

Chain input_wan_rule (1 references)
pkts bytes target prot opt in out source destination

Chain output_lan_rule (1 references)
pkts bytes target prot opt in out source destination

Chain output_rule (1 references)
pkts bytes target prot opt in out source destination

Chain output_wan_rule (1 references)
pkts bytes target prot opt in out source destination

Chain reject (4 references)
pkts bytes target prot opt in out source destination
0 0 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 reject-with tcp-reset
0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable

Chain syn_flood (1 references)
pkts bytes target prot opt in out source destination
42610 2211K RETURN tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x17/0x02 limit: avg 25/sec burst 50
8 404 DROP all -- * * 0.0.0.0/0 0.0.0.0/0

Chain zone_lan_dest_ACCEPT (4 references)
pkts bytes target prot opt in out source destination
15 5011 ACCEPT all -- * br-lan 0.0.0.0/0 0.0.0.0/0

Chain zone_lan_forward (1 references)
pkts bytes target prot opt in out source destination
29121 3010K forwarding_lan_rule all -- * * 0.0.0.0/0 0.0.0.0/0 /* user chain for forwarding */
29121 3010K zone_wan_dest_ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 /* forwarding lan -> wan */
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate DNAT /* Accept port forwards */
0 0 zone_lan_dest_ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0

Chain zone_lan_input (1 references)
pkts bytes target prot opt in out source destination
2444 190K input_lan_rule all -- * * 0.0.0.0/0 0.0.0.0/0 /* user chain for input */
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate DNAT /* Accept port redirections */
2444 190K zone_lan_src_ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0

Chain zone_lan_output (1 references)
pkts bytes target prot opt in out source destination
15 5011 output_lan_rule all -- * * 0.0.0.0/0 0.0.0.0/0 /* user chain for output */
15 5011 zone_lan_dest_ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0

Chain zone_lan_src_ACCEPT (1 references)
pkts bytes target prot opt in out source destination
2444 190K ACCEPT all -- br-lan * 0.0.0.0/0 0.0.0.0/0

Chain zone_wan_dest_ACCEPT (2 references)
pkts bytes target prot opt in out source destination
31069 3137K ACCEPT all -- * pppoe-wan 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all -- * eth0 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all -- * wlan0 0.0.0.0/0 0.0.0.0/0

Chain zone_wan_dest_REJECT (1 references)
pkts bytes target prot opt in out source destination
0 0 reject all -- * pppoe-wan 0.0.0.0/0 0.0.0.0/0
0 0 reject all -- * eth0 0.0.0.0/0 0.0.0.0/0
0 0 reject all -- * wlan0 0.0.0.0/0 0.0.0.0/0

Chain zone_wan_forward (3 references)
pkts bytes target prot opt in out source destination
0 0 forwarding_wan_rule all -- * * 0.0.0.0/0 0.0.0.0/0 /* user chain for forwarding */
0 0 zone_lan_dest_ACCEPT esp -- * * 0.0.0.0/0 0.0.0.0/0 /* @rule[7] */
0 0 zone_lan_dest_ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:500 /* @rule[8] */
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate DNAT /* Accept port forwards */
0 0 zone_wan_dest_REJECT all -- * * 0.0.0.0/0 0.0.0.0/0

Chain zone_wan_input (3 references)
pkts bytes target prot opt in out source destination
84738 6228K input_wan_rule all -- * * 0.0.0.0/0 0.0.0.0/0 /* user chain for input */
501 244K ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:68 /* Allow-DHCP-Renew */
2 72 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmptype 8 /* Allow-Ping */
98 2744 ACCEPT 2 -- * * 0.0.0.0/0 0.0.0.0/0 /* Allow-IGMP */
1 52 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22/* ssh */
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:22/* ssh */
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate DNAT /* Accept port redirections */
84136 5982K zone_wan_src_ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0

Chain zone_wan_output (3 references)
pkts bytes target prot opt in out source destination
1948 126K output_wan_rule all -- * * 0.0.0.0/0 0.0.0.0/0 /* user chain for output */
1948 126K zone_wan_dest_ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0

Chain zone_wan_src_ACCEPT (1 references)
pkts bytes target prot opt in out source destination
80545 4461K ACCEPT all -- pppoe-wan * 0.0.0.0/0 0.0.0.0/0
3591 1521K ACCEPT all -- eth0 * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all -- wlan0 * 0.0.0.0/0 0.0.0.0/0

Ответ написан более трёх лет назад

Комментировать

RSTP - как изменить рут порты?

WTPIX @WTPIX Автор вопроса

в итоге:
посидел покурил протоколы, на одном свитче стоял древний протокол, изменил на свежий. На еще одном свитче на линках был включен edge, выключил. Повключал везде, кроме магистральных линков, portfast\edge. Задал приоритет рут свитчу 12288.
Теперь изменения топологий на всех свитчах обозначается правильно, при падении линка в течении 30-60 секунд трафик начинает бежать в обход. Проверил пока только на паре свитчей, до конца недели остальные проверю. Пока все работает - все стабильно.

Ответ написан более трёх лет назад

Комментировать

RSTP - как изменить рут порты?

WTPIX @WTPIX Автор вопроса

@throughtheether
В общем, подумалось, что мало 2 минут. Опять замкнул кольцо, 5 минут ждал ничего не поднималось, решил на sw2 вернуть 350влан в сторону sw3 и все завелось так, как я этого хотел и sw5 говорит, что 26 порт "Alternate". Но вот беда: sw1, sw2, sw3, sw4, sw5 говорят, что топология изменилась (5 минут назад), все остальные свитчи в т.ч. root, говорит, что топология поменялась 2 часа назад. хотя все свитчи признают рута верно. Мне кажется или тут все равно что-то не то и при очередном отключении какого-либо свитча трафик не пойдет в обход?

Ответ написан более трёх лет назад

Комментировать

RSTP - как изменить рут порты?

WTPIX @WTPIX Автор вопроса

@throughtheether на серверах эти вланы не задействованы. Просто в рут свитч в 4 порт заходит другой провайдер, вланом через 8 порт, в который воткнут маршрутизатор, он заворачивает этот провайдер и отправляет до sw2, дабы там работала телефония.

Ответ написан более трёх лет назад

Комментировать

RSTP - как изменить рут порты?

WTPIX @WTPIX Автор вопроса

@throughtheether

Я не вполне понял, где какие вланы. Вы можете предоставить скриншоты настроек каждого порта в плане вланов и прочего?

1973461_10201958940916564_1015746505_o.j

на всех остальных нетегированый 1влан.
Я так понимаю, загвоздка именно в sw2 с нетегированым 350 вланом.

Ответ написан более трёх лет назад

Комментировать

RSTP - как изменить рут порты?

WTPIX @WTPIX Автор вопроса

@throughtheether

Вряд ли причина в этом коммутаторе (о причине ниже), но просьба указать, какие еще STP-коммутаторы есть в L2-домене.

больше нет таких. Спецом проверил все.

Далее, я тут рисую более внятную схему сети, уточните, пожалуйста bridge ID коммутаторов sw3-4,sw6-9. На вашей схеме часть, определяемая MAC-адресом, имеет длину 7 октетов вместо 6 (пример - sw9 32768-20:38:ea:a7:bb:7a:40), я этого тоже не понял.

грешен. Свитчи, которые hp, не дают инфо про bridge-id и я думал он составляется по принципу "Switch priority-max age:mac address".
Информация которую предоставляет свитч вот:
1932522_10201958794232897_1437435937_o.j