关于用软件VLAN处理IPTV的方法

spicahan

chmjiong 发表于 2012-2-11 20:47
无论何种vlan配置，都是下面这个结果：
  [2 [2 s& E5 n7 S/root$ swconfig dev ar8216 show
Failed to connect to the swit ...

那你在正常起来之后，跑一下dmesg, 把结果贴一下吧。或者你试试 swconfig dev eth0 show

spicahan

tywg001 发表于 2012-2-11 21:19
: j# O* H' H9 p不好意思,openwrt的端口映射怎么操作?我怎么做都不对,是写在firewall.user里
( f: ]5 m+ f1 q! J- r### Forward uTorrent GUI
* z6 k9 j! D: [) G# Ii ...

* y  Q! ]4 V. @6 N- ^我一般直接改 /etc/config/firewall 这个文件，比 iptables 直观一点。

IPTABLES我玩得也不是特别好。。你这个需求，似乎应该这样写：
" J, Q' c/ k! D% oiptables -I INPUT -p tcp --dport 800 -j ACCEPT
iptables -A PREROUTING -t nat -p tcp --dport 800 -j DNAT --to 192.168.1.90:800
可能还需要这一行
iptables -A FORWARD -p tcp -d 192.168.1.90 --dport 800 -j ACCEPT

0 b. j( n9 n8 |: V' c* @如果还是不行的话，你运行一下 iptables-save 把结果贴上来看看

chmjiong

: y6 ]: C9 D. N; k3 y& a$ n
/ p* Y$ y3 v, J! ?5 W晕死了，trunk版的swconfig跑下来是这个结果：
6 a& b" B: m$ |/etc/config$  swconfig dev eth0 show
Global attributes:
        enable_vlan: 1
! l1 h1 |/ U+ F" S6 [2 uPort 0:
        link: port:0 link:down
! f2 v& r& g9 j" C+ R: C        pvid: 1
" N  |  x. j; I' n5 w. }Port 1:
        link: port:1 link:up speed:100baseT full-duplex txflow rxflow auto
        pvid: 1
7 @2 a9 A0 Q' X9 Q- s6 dPort 2:
" D" l0 K1 f0 o" |5 ^        link: port:2 link:down
+ s( _* u$ Z" a6 {0 }        pvid: 1
1 O. k6 O- f; Y& m- PPort 3:
        link: port:3 link:down
        pvid: 1
Port 4:
, n! p1 V9 b/ {. f        link: port:4 link:down
        pvid: 1
/ n( ^% ~  A4 s# z* m( J" ~4 UPort 5:
        link: port:5 link:up speed:100baseT full-duplex txflow rxflow auto
5 s- f- S& e# ~4 l! A5 N        pvid: 0
VLAN 1:
        vid: 1
0 v' C9 t6 x8 z. o! v1 G* E& ^        ports: 0 1 2 3 4
port5竟然是eth1，好多资料都说tew632有独立wan的

spicahan

chmjiong 发表于 2012-2-12 14:14
晕死了，trunk版的swconfig跑下来是这个结果：
( [  w" g$ F* ]3 ^3 x/etc/config$  swconfig dev eth0 show
1 d# A+ z7 S$ x9 ]" d/ c/ k1 L& aGlobal attributes ...

"port5竟然是eth1，好多资料都说tew632有独立wan的", 这句话我完全没看明白。
从你这里显示的结果来看， port 5明明是eth0所在的交换机上的，估计是CPU端口。
从OpenWrt里的默认设置来看，wan是走eth1的，所以这个tew632就是有独立的wan的。

最后，我刚搜了一下 AR8216 的 datasheet, 我觉得你不用再去折腾硬件VLAN了，它上面清清楚楚地写着只支持16个VLAN entries.

chmjiong

' m, `& x# f% ?

spicahan 发表于 2012-2-12 16:43
' m8 L& C) ?% \% R" }5 U% n1 X( P"port5竟然是eth1，好多资料都说tew632有独立wan的", 这句话我完全没看明白。
从你这里显示的结果来看， ...

9 a7 K4 i, f. n* [1 z% d* Z
/ p' u8 d6 V# q$ O. |我一早就怀疑8216只支持到16个valn{{gangzai10{{
但是port5的事情还是很难理解，我配wan到eth0.2，valn2写为'0t 4‘的时候，port4可以通外网

/etc/config$  swconfig dev eth0 show
Global attributes:
        enable_vlan: 1
Port 0:
6 n& j7 _0 P$ j8 F- I        link: port:0 link:down
# s$ d3 ]* I* m        pvid: 0
Port 1:
- A; e5 Z: x+ h  Z! _        link: port:1 link:up speed:100baseT full-duplex txflow rxflow auto
        pvid: 1
1 {! `: F' i  f6 x8 I. X# oPort 2:
        link: port:2 link:down
$ B* [4 ~% F8 R9 D: l        pvid: 1
- ?' w! H* g3 j$ y8 yPort 3:
        link: port:3 link:down
5 V) r+ }* w4 S% f. H8 t6 H, _, W        pvid: 1
Port 4:
        link: port:4 link:up speed:100baseT full-duplex txflow rxflow auto
4 J/ x4 w5 ^! \2 ^! u. s* C        pvid: 2
Port 5:
$ c. n9 }8 q1 r4 d# A        link: port:5 link:down
  n9 y7 Y+ }: O: i0 q. l- C        pvid: 0
VLAN 1:
2 R" V, s7 m, i/ g        vid: 1
        ports: 0t 1 2 3
VLAN 2:
$ g3 j$ l6 ?! A1 _3 s2 R        vid: 2
        ports: 0t 4

! T( n. k% Y2 ~. _/ y  K" t这个时候port4拿到外网IP了
network如下：
. m& k( N! M" R+ e" Lconfig 'interface' 'lan'
        option 'ifname' 'eth0.1'
8 Z8 L% U* z+ W3 S! a6 ~        option 'type' 'bridge'
        option 'proto' 'static'
        option 'ipaddr' '192.168.1.1'
        option 'netmask' '255.255.255.0'

1 w/ A/ h' }( k: F" T" x6 Q- rconfig 'interface' 'wan'
3 }. P( P6 d8 y: \        option 'ifname' 'eth0.2'
        option 'proto' 'dhcp'
- v. P5 l9 L3 z+ B8 J/ v; Q# R
config 'switch'
        option 'name' 'eth0'
* X) D2 Y2 V) T4 D7 p        option 'reset' '1'
/ x' {) |! s5 t, h6 j4 T& z        option 'enable_vlan' '1'
# V9 |6 z* }* s- z  s/ \
9 G$ i$ C( ]" N4 ]config 'switch_vlan'
        option 'device' 'eth0'
        option 'vlan' '1'
        option 'ports' '0t 1 2 3'


; G+ E' s, ?" X* @$ H% H2 j( o5 {config 'switch_vlan'
) v+ e1 z' S+ o- b$ x. V  K1 C6 T: A        option 'device' 'eth0'
        option 'vlan' '2'
$ X: k) v$ |/ X/ F# ~$ k/ C* k7 M! @        option 'ports' '0t 4'

spicahan

chmjiong 发表于 2012-2-12 17:23
# X2 k: n* p2 l4 V$ I4 |4 n我一早就怀疑8216只支持到16个valn
. @/ m. ?$ t: A7 ]6 ]但是port5的事情还是很难理解，我配wan到eth0.2，val ...

这个事情是这样的，因为它只支持16个vlan, 所以你设的 51, 85, 81 其实只有二进制的低四位是有用的，也就是 51 % 16 = 3, 85 % 16 = 5, 81 % 16 = 1, 可以看出来这里 81 其实就是 1， 这样就和 LAN 冲突了（已经是1了）。如果你想再验证一下的话，可以试试保持 WAN 设成 VLAN 81, 把 LAN 设成 2, 应该是一样的。

chmjiong

spicahan 发表于 2012-2-12 18:10
这个事情是这样的，因为它只支持16个vlan, 所以你设的 51, 85, 81 其实只有二进制的低四位是有用的，也就 ...

6 j  [; n2 U: S不是，我现在还是搞不明白它的CPU接口究竟是port0还是port5
说是port0吧，它的wan是连到port5上的，说是port5吧，它的port0明明就是连cpu的
: A! G% P, T' W( p

spicahan

chmjiong 发表于 2012-2-12 21:58
不是，我现在还是搞不明白它的CPU接口究竟是port0还是port5
说是port0吧，它的wan是连到port5上的，说是 ...

3 L) ]/ h; H. X+ G* v你把所有的网线都拔掉，只用wifi连上去，看 swconfig dev eth0 show, 哪个 port 不是 disconnected 的，那个就是 cpu 端口。

tywg001

我把你给我的命令写了，还是不好用，这是我用iptables -S命令的结果
) k  E7 A  F% q) ~root@OpenWrt:/etc# iptables -S
( l: H4 i: P2 Q0 t-P INPUT ACCEPT
0 Y% ]3 a( I* \9 W$ |5 l4 S-P FORWARD DROP
-P OUTPUT ACCEPT
-N forward
-N forwarding_lan
$ K2 _: w' l& \4 j8 `# Z' A+ o-N forwarding_rule
' C' u3 \4 @9 ^2 z3 \, ~. I7 S-N forwarding_wan
-N input
: c. ]+ I8 F6 X  X8 a-N input_lan
, d1 E* b  R# w* N% S2 U3 p2 [-N input_rule
5 V& _1 d# @2 Y: `9 R4 s-N input_wan
-N output
# w* a9 ?/ v7 c* u-N output_rule
' x) i( _: ^7 R-N reject
-N syn_flood
-N zone_lan
-N zone_lan_ACCEPT
7 A" x- P" [  W/ x- _-N zone_lan_DROP
-N zone_lan_MSSFIX
-N zone_lan_REJECT
-N zone_lan_forward
-N zone_wan
-N zone_wan_ACCEPT
# ]! z' ~; I6 Q# H2 X# q-N zone_wan_DROP
-N zone_wan_MSSFIX
3 P' T# _" z2 ?/ `$ ~% w1 Z% f-N zone_wan_REJECT
-N zone_wan_forward
-A INPUT -p tcp -m tcp --dport 3389 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j syn_flood
7 |$ `0 f8 O+ D$ c7 M8 j-A INPUT -j input_rule
-A INPUT -j input
-A FORWARD -j zone_wan_MSSFIX
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -j forwarding_rule
; M) Q5 H" d  o8 m, B' T# a4 `/ G-A FORWARD -j forward
-A FORWARD -j reject
8 l& V9 V8 X+ J6 N1 m4 E+ h-A FORWARD -d 192.168.1.90/32 -p tcp -m tcp --dport 3389 -j ACCEPT
8 j% H$ x$ F9 N5 p; W-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
' d5 B- ?3 ^1 u% R+ z6 L-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -j output_rule
  K% i1 ^* K8 ^$ e5 `& }-A OUTPUT -j output
% j7 }7 H- B' L5 y' r, Y$ z-A forward -i br-lan -j zone_lan_forward
, r+ w7 a% o- K/ o9 Y8 G-A forward -i pppoe-wan -j zone_wan_forward
-A forwarding_rule -i tun0 -o br-lan -j ACCEPT
- N5 m+ b7 m5 c( Q* t) p-A forwarding_rule -i br-lan -o tun0 -j ACCEPT
-A input -i br-lan -j zone_lan
-A input -i pppoe-wan -j zone_wan
5 ?1 G7 x) }6 S-A output -j zone_lan_ACCEPT
- x$ [2 ?7 e  n5 }4 {-A output -j zone_wan_ACCEPT
-A reject -p tcp -j REJECT --reject-with tcp-reset
- D4 {8 k2 b, U  [( ?1 p7 k-A reject -j REJECT --reject-with icmp-port-unreachable
8 _4 i4 B8 K+ k! @8 C$ }-A syn_flood -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 25/sec --limit-burst 50 -j RETURN
-A syn_flood -j DROP
. u' a% P/ }" T' L; j. A' s-A zone_lan -j input_lan
-A zone_lan -j zone_lan_ACCEPT
-A zone_lan_ACCEPT -i br-lan -j ACCEPT
2 W  d' o  R( C! U% R-A zone_lan_ACCEPT -o br-lan -j ACCEPT
-A zone_lan_DROP -i br-lan -j DROP
-A zone_lan_DROP -o br-lan -j DROP
( h5 t/ Z+ J) p9 ?( x3 C-A zone_lan_MSSFIX -o br-lan -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
$ }( k) b6 k% u2 Q-A zone_lan_REJECT -i br-lan -j reject
+ a' \9 v) f% x* O: x-A zone_lan_REJECT -o br-lan -j reject
-A zone_lan_forward -j zone_wan_ACCEPT
. o! m' E! f1 r% ^: e( u( p9 L-A zone_lan_forward -j forwarding_lan
' {0 k9 U$ l3 B-A zone_lan_forward -j zone_lan_REJECT
-A zone_wan -p udp -m udp --dport 68 -j ACCEPT
( e1 i/ Y. r1 v5 }- d, w- T-A zone_wan -p tcp -m tcp --dport 2601 -j ACCEPT
) b; h% t! Y$ E$ y4 ]# F; ^-A zone_wan -p tcp -m tcp --dport 800 -j ACCEPT
-A zone_wan -p udp -m udp --dport 3389 -j ACCEPT
3 |. n+ b1 [  N! Q9 s' z-A zone_wan -p tcp -m tcp --dport 3389 -j ACCEPT
. j9 n: \2 c# i9 }- c5 B' X5 H-A zone_wan -j input_wan
- v* C  \& S5 p, G3 k-A zone_wan -j zone_wan_ACCEPT
-A zone_wan_ACCEPT -i pppoe-wan -j ACCEPT
-A zone_wan_ACCEPT -o pppoe-wan -j ACCEPT
% }1 Y7 x8 c6 J  S-A zone_wan_DROP -i pppoe-wan -j DROP
-A zone_wan_DROP -o pppoe-wan -j DROP
-A zone_wan_MSSFIX -o pppoe-wan -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
3 `9 y+ Z' }$ f- ~3 @; W-A zone_wan_REJECT -i pppoe-wan -j reject
-A zone_wan_REJECT -o pppoe-wan -j reject
" E' s) F" u1 @% g% Q& }: j" j-A zone_wan_forward -j forwarding_wan
-A zone_wan_forward -j zone_wan_REJECT
这样3389我还是从外网连接不上

spicahan

tywg001 发表于 2012-2-13 16:27
我把你给我的命令写了，还是不好用，这是我用iptables -S命令的结果
root@OpenWrt:/etc# iptables -S
4 P  R1 R, e+ O-P  ...

2 s, e* G* y( t5 e8 e, }$ ^% s! P& V你这个 -S 只给出了默认的表的规则，还需要执行 iptables -t nat -S, 看一下 nat 表的规则。
我建议你先执行 iptables -F 和 iptables -t nat -F
然后再执行我前面说的命令试试看。