【Openwrt】高通qsdk6.10下IPQ4019的WAN/LAN网口自定义与VLAN隔离实战

1. 理解IPQ4019的网口架构与VLAN隔离需求

IPQ4019作为高通面向中高端路由设备的SoC芯片，其内置的ESS交换控制器管理着所有物理网口。在默认的qsdk6.10系统中，这些网口的WAN/LAN划分是通过DTS设备树文件硬编码实现的。这就带来一个问题：当我们需要实现胖瘦一体切换或特殊网络拓扑时，默认配置往往无法满足需求。

我曾在实际项目中遇到过这样的场景：客户需要将原本设计为LAN口的端口改为WAN口使用，同时要求多个LAN口之间实现二层隔离。如果直接修改UCI配置，虽然能临时生效，但会出现数据包泄露、组播异常等问题。根本原因在于ESS驱动对VLAN的处理方式特殊——它会在硬件层面拦截部分VLAN操作，导致软件层的配置不完全生效。

2. 定位和修改DTS设备树文件

2.1 查找目标DTS文件

在qsdk6.10代码树中，设备树文件通常位于：

qca/src/linux-3.14/arch/arm/boot/dts/

具体到IPQ4019方案，文件名可能包含qcom-ipq40xx前缀，例如qcom-ipq40xx-ap.dk04.1-c1.dts。建议通过以下命令快速定位：

find . -name "*ipq40xx*.dts" | grep -i "你的设备型号"

2.2 解析端口映射关系

IPQ4019的交换芯片通常管理7个物理端口（Port 0-6），其中：

• Port 0：固定连接CPU的内部端口
• Port 1-6：对应物理网口（具体数量因硬件设计而异）

假设我们有以下需求：

• Port 1作为WAN口（连接光猫/上级路由）
• Port 4-5作为LAN口（连接内网设备）
• 其他端口未使用

对应的二进制掩码计算如下：

# LAN区域（Port 0+4+5） 二进制：00110001 → 十六进制：0x31 # WAN区域（Port 1） 二进制：00000010 → 十六进制：0x02

2.3 修改ESS交换配置

在DTS文件中找到ess-switch@c000000节点，修改为：

ess-switch@c000000 { switch_cpu_bmp = <0x1>; // CPU端口必须包含 switch_lan_bmp = <0x31>; // LAN端口掩码 switch_wan_bmp = <0x02>; // WAN端口掩码 };

2.4 同步修改GMAC配置

在edma@c080000节点中，需要确保VLAN标签与ESS配置匹配：

gmac0 { vlan-tag = <2 0x31>; // 对应eth1（LAN） }; gmac1 { vlan-tag = <1 0x02>; // 对应eth0（WAN） };

3. 配置UCI网络参数

3.1 基础网络配置

修改/etc/config/network文件，确保与DTS设置一致：

config switch option name 'switch0' option enable_vlan '1' config switch_vlan 'wan' option device 'switch0' option vlan '1' option ports '0t 1' # CPU端口+WAN口 config switch_vlan 'lan' option device 'switch0' option vlan '2' option ports '0t 4 5' # CPU端口+LAN口

3.2 验证配置生效

编译刷机后，通过以下命令检查：

swconfig dev switch0 show

正常输出应显示类似：

VLAN 1: ports: 0t 1 VLAN 2: ports: 0t 4 5

4. 瘦模式下的特殊处理

4.1 网桥合并技巧

当设备运行在瘦模式（纯AP模式）时，需要合并WAN/LAN区域：

# 创建统一网桥 uci set network.lan.ifname='eth0 eth1' uci commit /etc/init.d/network restart

4.2 组播优化方案

修改DTS后会遇到组播卡顿问题，这是ESS驱动的已知特性。可通过IGMP代理缓解：

# 安装IGMP代理 opkg update opkg install igmpproxy # 配置/etc/config/igmpproxy config igmpproxy option quickleave 1 config phyint option network wan option zone wan option direction upstream config phyint option network lan option zone lan option direction downstream

5. 不修改DTS的替代方案

5.1 动态端口隔离

通过swconfig命令临时修改端口PVID：

swconfig dev switch0 port 4 set pvid 127 swconfig dev switch0 port 5 set pvid 127 swconfig dev switch0 vlan 127 set ports '0t 4 5' swconfig dev switch0 set apply

这种方法的缺点是：

• 重启后配置丢失
• 偶尔出现端口隔离失效
• 需要配合cron定时检查

5.2 防火墙规则补充

作为额外保护层，建议添加防火墙规则：

uci add firewall rule uci set firewall.@rule[-1].src='lan' uci set firewall.@rule[-1].dest='wan' uci set firewall.@rule[-1].target='ACCEPT' uci commit

在实际项目中，我通常会根据设备使用场景选择方案。如果是商用环境要求高稳定性，坚决采用DTS修改方案；如果是临时测试环境，才会考虑动态配置方案。记得每次修改后都要进行长时间的ping测试和iperf流量测试，确保没有隐蔽的数据泄露问题。