1.1) можно было просто в txt формате, в pdf вижу впервые
1.2) ну конфиг не простой, много чего пере-копировано и до-делано
Главное мне не понравилось:
а) зачем Вы создали бридж ИНТЕРНЕТ ? Я так понимаю, у Вас банальное подключение
от провайдером, но зачем делать БРИДЖ, в него включать порт который подключён к провайдеру?
Такую схему делают когда это надо, а тут зачем такое "вложение"?
а.2) опять же, БРИДЖ Интернет, Вы включили туда порт1 и порт6 (который как тестовый идёт, я советовал
взять другие порты из пула 100мбит), но тут иная проблема, опять же из-за бриджа,
Вы создав бридж, и соединив порт1 и порт6, формально гоняете трафик провайдера между 1 и 6 портом,
а так как порты находятся в разных группах, то такой трафик идёт "программно", через процессор роутера,
и нагружает роутер.
СОВЕТ: оставлять порт6, на порту 6 давать адрес/настраивать получение адреса автоматом, порт1 из бриджа
ИНТЕРНЕТ изъять, бридж ИНТЕРНЕТ удалить.
У бриджа есть ряд функций, которые могут свитчу провайдера не нравиться. А значит и отсюда могут
идти дисконнекты (почитайте например как провайдеры не любят BPDU пакеты).
б) Вы сказали роутер не нагружен, и тут я в конфиге вижу L7 правила?
Они грузят мощные роутеры, а Вы на старом роутере с одним ядром их применили.
Видно же что процессор работает. Советую эти правила L7 отключить и дать роутеру
отдохнуть, отработка по ним не в приоритете.
б.1) лучше график утилиты Profile - отсортировать по нагрузке, это вроде же итак напрашивается?
в) если нет подключённых клиентов в портах 7-8-9, лучше эти порты убрать из локального
бриджа, или как то подключить клиентов в свитч другой, опять же, в рамках одной логики,
скажем локальная сеть, удобно использовать порты одной группы, порт1-по-5,
и для этих портов включить HW поддержку, что ускорит работу, но гоняя трафик
между портами разных групп - Вы нагружаете роутер, я не говорю что делать этого
нельзя, но все нюансы в деталях, и мелочная оптимизация тут не помешает уж точно.
г) теперь вопрос по IP-адресациями и знаний масок сетей!?
у Вас стоит на одном интерфейсе 10.12.0.1/20, а на другом гостевом стоит 10.11.12.1/24,
а если учесть, что при маске /20, адрес 10.11.12(и сеть 10.11.12.0/24) УЖЕ внутри основной локальной сети.
Смысл?
И я не уверен, что Ваши правила файрвола ограничения доступа гостевой сети к локальной срабатывали.
Но такое я проверять не буду, но я вижу формальную не стыковку и не правильное понимание масок сетей.
И ещё, на этом фоне у Вас как раз не могут быть конфликты с провайдером?
Провайдеры тоже используют сети, а Вы засунули себе маску /20, я не думаю что у Вас
в организации 4000 хостов есть или будут даже в будущем?
(могу по данному абзацу ошибаться конечно, но тестировать полностью у меня нет возможности)
д) я бы привёл файрвол в порядок, ряд правил надо первее ставить.
Теже же правила убивать Инвалидные пакеты, зачем Вы их проверяете в середине ?
Опять же, зачем netmap используете? Хотя может у Вас сеть 1:1 идёт.
Маскарайдинг? Во первых он срабатывает позже, чем DST и NETMAP, поэтому
маскарайдинг можно почти вниз ставить, и второе, тренера давали совет:
если у Вас статика от провайдера, зачем Вам маскарадинг? При маскарайдинге,
роутер проверяет каждый раз для каждого пакета внешний адрес на внешнем интерфейсе,
и потом уже заменяет его в пакете на отправку, если у Вас статика, надо выбирать SRC-NAT,
на 2-5% думаю сэкономите роутеру процессорное время.
(по правилам от производителя, рекомендуется 25 правил файрвола).
е) скрипты и всё такое - прям необходимо ? Я так понимаю на роутере не делаются ежечасные
изменения, не уж то надо всё логировать, отправлять, и бэкапить?
Пока это все у меня замечания. Роутер ещё раз (со своих слов) для своей организации
Вы выбрали в корне не верный. Надо было ориентироваться на что-то более мощнее,
лучше, ну и естественно, призываю не делать из роутера свитч, хотя он на него похож.
В роутере (в организациях хороших, где есть свитчи), должно входить два провода,
внешка и внутренняя сеть. И всё.
