3层vlan交换机怎么设置

三层VLAN交换机的配置涉及物理连接、VLAN划分、接口配置、路由设置等多个环节。以下是具体步骤和关键点：

1. 物理连接与初始化

通过Console线或网线连接交换机管理端口，使用终端工具（如PuTTY）登录管理界面。

初始化时建议重置配置，清除残余配置：`erase startup-config` + `reload`。

2. VLAN创建与划分

创建VLAN并命名（以VLAN 10和20为例）：

vlan 10

name Sales

vlan 20

name HR

将端口划分到VLAN：

- Access端口（连接终端设备）：

interface GigabitEthernet1/0/1

switchport mode access

switchport access vlan 10

- Trunk端口（交换机互联）：

interface GigabitEthernet1/0/24

switchport mode trunk

switchport trunk allowed vlan 10,20

3. 三层功能配置

SVI接口配置（实现VLAN间路由）：

interface Vlan10

ip address 192.168.10.1 255.255.255.0

interface Vlan20

ip address 192.168.20.1 255.255.255.0

需启用IP路由功能：`ip routing`。

4. 路由协议（可选）

静态路由：`ip route 0.0.0.0 0.0.0.0 192.168.1.254`（默认网关）。

动态路由如OSPF：

router ospf 1

network 192.168.10.0 0.0.0.255 area 0

network 192.168.20.0 0.0.0.255 area 0

5. 安全与优化

端口安全：限制MAC地址数量防攻击：

interface GigabitEthernet1/0/1

switchport port-security

switchport port-security maximum 2

switchport port-security violation restrict

ACL控制流量：

access-list 100 deny ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255

access-list 100 permit ip any any

interface Vlan10

ip access-group 100 in

启用DHCP中继（若跨VLAN分配IP）：

interface Vlan10

ip helper-address 172.16.1.1

6. 验证与排错

检查命令：

- `show vlan brief`（VLAN状态）

- `show ip route`（路由表）

- `ping 192.168.10.1`（连通性测试）

- `show interface trunk`（Trunk端口状态）

扩展知识

VLAN间路由性能：三层交换机通过硬件ASIC实现线速转发，优于传统路由器。

Private VLAN：可进一步隔离同一VLAN内的终端，增强安全性。

QoS标记：在Trunk端口使用`mls qos trust cos`标记优先级，保障关键业务流量。

配置时注意交换机型号差异（如华为、H3C命令略有不同），建议提前备份配置，复杂环境可结合Spanning Tree协议防环。