第三层交换机的ip和路由配置

引自免费微信小程序：皆我百晓生

解决第三层交换机的IP和路由配置，你需要遵循以下步骤：

1. 初始化第三层连接: a. 在switch3上启用三层接口，并为其分配一个网络地址：

   sudo ip addr add 192.168.1.1/24 dev trunk0
   

   b. 使用命令将这个IP地址与VMNet100建立直连连接，并开启IPv4广播：

   sudo ip link set mac address 192.168.1.1 broadcast 192.168.1.255
   sudo ip route add default via 192.168.1.1
   

   c. 同样，为VMNet200配置直连IP和默认网关：

   sudo ip link set mac address 192.168.2.1 broadcast 192.168.2.255
   sudo ip route add default via 192.168.2.1
   

2. 配置静态路由: a. 配置IPSec隧道，允许从VMNet100和VMNet200之间的单向数据包通过到 switch3：

   sudo firewall-cmd --permanent --add-source=192.168.1.1 --remote-ports=179/0/0-to-179/0/0
   sudo firewall-cmd --permanent --add-source=192.168.2.1 --remote-ports=179/0/0-to-179/0/0
   

   b. 添加IPsec策略，在VMNet100和VMNet200之间允许通过这两个隧道进行数据传输：

   sudo firewall-cmd --permanent --policy inbound --satisfy --remote-type both --remote-as 192.168.1.1 --remote-host 192.168.1.1 --remote-port 179/0/0-to-179/0/0
   sudo firewall-cmd --permanent --policy outbound --satisfy --remote-type both --remote-as 192.168.2.1 --remote-host 192.168.2.1 --remote-port 179/0/0-to-179/0/0
   

3. 添加第三层转换设备: a. 安装Trunk Switch软件（例如PxeTRUNK）并将其集成到第三层接口下：

   wget https://download.sccn.net/pub/scn/releases/pxe-trunk-6.3.26.tar.gz
   tar -xzf pxetrantrunk-6.3.26.tar.gz
   cd pxetrantrunk-6.3.26
   sudo ./configure
   sudo make && sudo make install
   

4. 配置第三层桥接（如果适用）: a. 如果你的第三层交换机支持桥接，确保它被正确配置为多个VLAN并监听特定的端口号：

   # 创建桥接VLAN100
   sudo vlan create vlan 100
   sudo ip link set bridge mode vigrp 100
   sudo ip route add default via 192.168.1.1
   
   # 创建桥接VLAN200
   sudo vlan create vlan 200
   sudo ip link set bridge mode vigrp 200
   sudo ip route add default via 192.168.2.1
   
   # 配置桥接的端口映射
   sudo interface br-ex-vlan100
     vbr-pf enable
     ip forward-packet eth0 to eth0 port 179/0/0
     ip forward-packet eth0 to eth0 port 179/0/0-through tunnel 1
     ip forward-packet eth0 to eth0 port 179/0/0-through tunnel 2
   sudo interface br-ex-vlan200
     vbr-pf enable
     ip forward-packet eth0 to eth0 port 179/0/0
     ip forward-packet eth0 to eth0 port 179/0/0-through tunnel 1
     ip forward-packet eth0 to eth0 port 179/0/0-through tunnel 2
   

   b. 对于IPSec隧道（在第2步中），分别创建一个子隧道并在相应VLAN下配置端口映射：

   # 子隧道1
   sudo networkvrrp pool vigrp100
     peer name vigrp100
       source system-name = eui-0123456789abcdef
       static cost = 1
       static latency = 1
       ip address 192.168.1.1 255.255.255.0
       is server
   
   # 子隧道2
   sudo networkvrrp pool vigrp200
     peer name vigrp200
       source system-name = eui-0123456789abcdef
       static cost = 1
       static latency = 1
       ip address 192.168.2.1 255.255.255.0
       is server
   
   # 子隧道1端口映射到VMNet100
   sudo vrouter nat pool pxe-trunk
     nat protocol ip
     dst network=192.168.1.1
     src host=192.168.1.1
     dst ip=192.168.1.1
     src port=179/0/0
     dst port=179/0/0
   
   # 子隧道2端口映射到VMNet200
   sudo vrouter nat pool pxe-trunk
     nat protocol ip
     dst network=192.168.2.1
     src host=192.168.2.1
     dst ip=192.168.2.1
     src port=179/0/0
     dst port=179/0/0
   

   5. **运行Trunk Switch软件并测试**:
   a. 将`pxetrantrunk-6.3.26`文件夹复制到switch3所在的目录下。
b. 进入`sudo /opt/pxe-trunk/pxetrantrunk-6.3.26`目录下，然后运行以下命令启动Trunk Switch服务并设置参数：
   ```bash
   sudo ./start.sh
   sudo /opt/pxe-trunk/pxetrantrunk-6.3.26/bin/ipfw config export
   sudo ipfw config apply
   sudo ipfw status

c. 检查Trunk Switch是否成功工作，并检查三者之间的互访情况。应该能看到三个三层交换机之间的直连链路（用数字1-3代表）和三个隧道通道（用数字1-2代表）在各自的VLAN内打开。

如果你在实施过程中遇到任何问题，可以参考以下文档：

• Trunk Switch基本配置指南：https://www.sccn.net/books/trunk-switch/
• IPSec Tunnel配置教程：https://www.sccn.net/docs/ipsec-tunnel
• Linux系统Trunk Switch常见错误与解决方法：https://www.sccn.net/wiki/Linux_trunk_switch

请根据实际需求调整上述配置，特别是VLAN的数量、端口映射方式、子隧道等细节。同时，确保所有三台计算机都具有相同的IP地址范围和可访问的网络服务。

注意：由于IPSec隧道可能会影响网络性能和安全性，建议在生产环境中谨慎应用。在任何涉及网络安全的项目中，都应该在充分评估风险后再进行配置。如果您不熟悉Linux系统的IPSec配置，可能需要寻找专业的IT人员协助。在本示例中，我们仅提供了一个基本的指导框架。对于更复杂的应用场景，可能需要查阅相关的防火墙或路由器手册，并结合实际情况进行调整。