三层交换机+二层交换机VLAN配置

两层三层交‎换机基本配‎置具有两层三‎层交换功能‎的交换机都‎是可管理的‎，在工程实施‎管理等方面‎它们起着重‎要的作用，目前我们在‎工程中用到‎的基本上都‎是具有两层‎三层交换能‎力的交换机‎。

一般我们把‎拥有三层交‎换的交换机‎作为核心交‎换机——起路由功能‎作为路由器‎使用，两层交换机‎主要用来实‎现工程需求‎的各个功能‎。

在工程中我‎们用到的交‎换设备主要‎是华为和思‎科的设备。

两层设备如‎华为的24‎03，Cisco‎的2950‎；三层设备如‎华为的35‎52，Cisco‎的3550‎。

下面我们简‎单的介绍一‎下这些设备‎的基本配置‎步骤和方法‎。

我们假设所‎有的两层三‎层智能交换‎设备在同一‎个局域网内‎，并且三层交‎换设备都做‎为核心路由‎设备，两层交换设‎备都作为可‎管理设备，并且局域网‎地址位启用‎192.168.*.*私有地址，根据习惯我‎们用vla‎n64作为‎设备管理v‎l an，其段地址相‎应的用19‎2.168.64.*，其中核心路‎由设备地址‎我们用19‎2.168.64.254，其余智能交‎换设备从1‎92.168.64.230开始‎依次向后用‎，如果不够则‎再从230‎依次向前推‎。

核心交换设‎备的出口出‎在局域网防‎火墙的LA‎N（或者ins‎i de）口上，根据习惯我‎们给局域网‎的LAN（或者ins‎i de）配置端口地‎址是：192.168.64.253 netma‎sk255.255.255.0，W AN（或者out‎si de）配置端口地‎址为172‎.19.2.253 netma‎sk 255.255.255.128，其外部最近‎的一跳路由‎地址为17‎2.19.2.254，DMZ区配‎置端口地址‎为172.19.2.1 netma‎sk 255.255.255.128。

以下的所有‎示例都基于‎以上的假设‎配置环境。

一：Cisco‎系列无论是两层‎还是三层设‎备，其基本配置‎步骤是一样‎的。

PacketTracer5.3 三层交换机实现vlan间通信拓扑图如下：要求：1、PC0属于vlan 10;PC1属于vlan 20;2、PC0、PC1能相互PING通。

具体步骤如下：1、三层交换机上配置：Switch>enSwitch#vlan daSwitch#vlan database% Warning: It is recommended to configure VLAN from config mode,as VLAN database mode is being deprecated. Please consult user documentation for configuring VTP/VLAN in config mode.Switch(vlan)#vlan 10VLAN 10 added:Name: VLAN0010Switch(vlan)#vlan 20VLAN 20 added:Name: VLAN0020Switch(vlan)#exitAPPL Y completed.Exiting....Switch#config tEnter configuration commands, one per line. End with CNTL/Z.Switch(config)#int vlan 10%LINK-5-CHANGED: Interface Vlan10, changed state to upSwitch(config-if)#ip add 192.168.10.1 255.255.255.0Switch(config-if)#int vlan 20%LINK-5-CHANGED: Interface Vlan20, changed state to upSwitch(config-if)#ip add 192.168.20.1 255.255.255.0Switch(config-if)#int f0/11Switch(config-if)#sw trunk encapsulation dot1qSwitch(config-if)#switchport mode trun%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/11, changed state to down %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/11, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan10, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan20, changed state to upSwitch(config)#endSwitch#%SYS-5-CONFIG_I: Configured from console by consoleSwitch#wrBuilding configuration...[OK]2、二层交换机上的配置；Switch>enSwitch#vlan daSwitch#vlan database% Warning: It is recommended to configure VLAN from config mode,as VLAN database mode is being deprecated. Please consult userdocumentation for configuring VTP/VLAN in config mode.Switch(vlan)#vlan 10VLAN 10 added:Name: VLAN0010Switch(vlan)#vlan 20VLAN 20 added:Name: VLAN0020Switch(vlan)#exitAPPL Y completed.Exiting....Switch#config tEnter configuration commands, one per line. End with CNTL/Z.Switch(config)#int f0/11Switch(config-if)#sw mode trunkSwitch(config-if)#int range f0/1 - 5Switch(config-if-range)#sw acc vlan 10Switch(config-if-range)#int range f0/6 - 10Switch(config-if-range)#sw acc vlan 20Switch(config-if-range)#end%SYS-5-CONFIG_I: Configured from console by consoleSwitch#wrBuilding configuration...[OK]3、在PC0和PC1上配置IP；用PING测试；用PC1 ping PC0 结果如下：PC>ping 192.168.10.2Pinging 192.168.10.2 with 32 bytes of data:Request timed out.Reply from 192.168.10.2: bytes=32 time=125ms TTL=127Reply from 192.168.10.2: bytes=32 time=125ms TTL=127Reply from 192.168.10.2: bytes=32 time=125ms TTL=127Ping statistics for 192.168.10.2:Packets: Sent = 4, Received = 3, Lost = 1 (25% loss), Approximate round trip times in milli-seconds:Minimum = 125ms, Maximum = 125ms, Average = 125ms用PC0 ping PC1 结果如下：PC>ping 192.168.20.2Pinging 192.168.20.2 with 32 bytes of data:Reply from 192.168.20.2: bytes=32 time=125ms TTL=127Reply from 192.168.20.2: bytes=32 time=125ms TTL=127Reply from 192.168.20.2: bytes=32 time=112ms TTL=127Reply from 192.168.20.2: bytes=32 time=110ms TTL=127Ping statistics for 192.168.20.2:Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds:Minimum = 110ms, Maximum = 125ms, Average = 118ms 测试结果PC1能相互PING通；实验成功！。

实验：串联三层、二层交换机、路由器的配置（二层交换机划分两个VLAN）一、实验介绍：1、实验名称：三层交换机，二层交换机，路由器连通配置2、实验目的：理解二层交换机、三层交换机、路由器串联后，怎样ping通3、实验设备：PC1、PC2、PC3、路由器一个、三层交换机一个、二层交换机一个二、实验拓扑：三、实验步骤1.PC1和路由器的配置：A．PCI配置IP ,：172.16.1.2 掩码：255.255.255.0 网关：172.16.1.1验证：c:\>ipconfigB．路由器F0/0 IP：172.16.1.1 掩码：255.255.255.0F0/1 IP：172.16.2.1 掩码：255.255.255.0>enable 进入特权模式# configure terminal 进入全局模式(config)# interface fastethernet 0/0 进入以太网fa 0/0配置模式(config-if)# ip address 172.16.1.1 255.255.255.0 配置以太网接口0 IP地址、掩码(config-if)# no shutdown 开启端口(config-if)# exit 退回全局模式(config)# interface fastethernet 0/1 进入以太网fa 0/1配置模式(config-if)# ip address 172.16.2.1 255.255.255.0 配置以太网接口1 IP地址、掩码(config-if)# no shutdown 开启端口验证方法：# show running-config 或#show interface serial 2(config-if)# exit 退回全局模式(config)# ip toute 172.16.3.0 255.255.255.0 172.16.2.2 配置3 号网段静态路由(config)# ip toute 172.16.4.0 255.255.255.0 172.16.2.2 配置4 号网段静态路由验证方法：特权模式下打show ip route# write 保存配置2.三层交换机的配置：A．F0/1端口配置IP：172.16.2.2 掩码：255.255.255.0创建VLAN 11 VLAN 22 配置IP：VLAN 11 :172.16.3.1 vlan 22 ：172.16.4.1>enable 进入特权模式# configure terminal 进入全局模式(config)# interface fastethernet 0/1 进入以太网fa 0/1配置模式(config-if)# no switchport 端口开启三层交换(config-if)# ip address 172.16.2.2 255.255.255.0 为端口配置IP(config-if)# no shutdown 开启端口（config-if）# exit 退回全局模式（config）# vlan 22 创建vlan 22(config)# vlan 33 创建vlan 33验证：特权模式下打show vlan（config-if）# exit 退回全局模式(config)# interface vlan 22 进入vlan 22 配置模式（config-if）# ip address 172.16.3.1 255.255.255.0 配置vlan 22的IP（config-if）# no shutdown 激活(config)# interface vlan 33 进入vlan 33 配置模式（config-if）# ip address 172.16.4.1 255.255.255.0 配置vlan 33的IP（config-if）# no shutdown 激活（config-if）# exit 退回全局配置模式(config)# ip route 172.16.1.0 255.255.255.0 172.16.2.1 添加1 号网段静态路由(config)# interface fastethernet 0/4 进入以太网fa 0/4配置模式（config-if）# switchport mode trunk 设置为干道# write 保存配置验证：# show running-config 或#show interface serial 2路由验证：show ip route3.二层交换机，PC2,PC3的配置：A．二层交换机划分两个vlanB．P C2 IP：172.16.3.2 掩码：255.255.255.0PC2 IP：172.16.4.2 掩码：255.255.255.0二层交换机配置>enable 进入特权模式# configure terminal 进入全局模式(config)# vlan 22 创建vlan 22(config)# vlan 33 创建vlan 33(config)# interface fastethernet 0/2 进入2端口配置模式（config-if）# switchport access vlan 22 将2 端口加入vlan 22（config-if）# exit 退回全局配置模式(config)# interface fastethernet 0/3 进入3端口配置模式（config-if）# switchport access vlan 33 将3 端口加入vlan 33config-if）# exit 退回全局模式(config)# interface fastethernet 0/4 进入4端口配置模式（config-if）# switchport mode trunk 设置为干道# write 保存配置验证：show vlanPC配置A．PC2 IP：172.16.3.2 掩码：255.255.255.0 网关：172.16.3.1 B．PC2 IP：172.16.4.2 掩码：255.255.255.0 网关：172.16.4.14.测试：PCI ping 172.16.1.1 172.16.2.1 172.16.2.2172.16.3.1172.16.4.1172.16.3.2 172.16.4.2PC2 Ping 172.16.3.1 172.16.4.1 172.16.4.2172.16.2.2172.16.2.1172.16.1.1 172.16.1.2PC3 ping 172.16.4.1 172.16.3.1 172.16.3.2172.16.2.2 172.16.2.1172.16.1.1 172.16.1.2。

Ciｓｃo三层互换机＋二层互换机VLAN配备Ｃｉscｏ旳VLAN实现一般是以端口为中心旳。

与节点相连旳端口将拟定它所驻留旳VLAN。

将端口分派给VLAN旳方式有两种,分别是静态旳和动态旳. 形成静态VLAＮ旳过程是将端口强制性地分派给VLAN旳过程。

即我们先在VTP (VLAN Trunking Pｒotｏcoｌ)Ser ｖer上建立VLAN,然后将每个端口分派给相应旳VLAN旳过程。

这是我们创立VLAN最常用旳措施。

ﻫ动态VLAN形成很简朴,由端口决定自己属于哪个VLAN。

即我们先建立一种VMPS（VＬＡＮMembershiｐPoliｃy Seｒver）VLA Ｎ管理方略服务器，里面涉及一种文本文献,文献中存有与ＶLAN映射旳MＡＣ地址表。

互换机根据这个映射表决定将端口分派给何种VLＡN。

这种措施有很大旳优势，但是创立数据库是一项非常艰苦并且非常繁琐旳工作。

ﻫ下面以实例阐明如何在一种典型旳迅速以太局域网中实现VLＡN。

所谓典型旳局域网就是指由一台具有三层互换功能旳核心互换机接几台分支互换机(不一定具有三层互换能力）。

我们假设核心互换机名称为：CＯM;分支互换机分别为:PAＲ1、PAR２、PＡR３……,分别通过Ｐｏｒt１旳光线模块与核心互换机相连；并且假设VLAN名称分别为COUNTＥＲ、ＭARKET、MＡNAGINＧ……。

1、设立VTP DOMAＩNﻫﻫ称为管理域。

互换ＶTＰ更新信息旳所有交换机必须配备为相似旳管理域。

如果所有旳互换机都以中继线相连,那么只要在核心互换机上设立一种管理域,网络上所有旳互换机都加入该域,这样管理域里所有旳互换机就可以理解彼此旳VＬAN 列表。

ﻫﻫCOM#vlaｎdatabasｅ进入VLAN配备模式ﻫCOM(vｌａn)#vｔp ｄomain ＣOM 设立VＴP管理域名称CＯＭCOM(vlan)#ｖtp ｓervｅr 设立互换机为服务器模式PAR１＃vｌan ｄatabａｓe 进入ＶＬＡN配备模式PAR1(ｖｌan)#vｔp ｄoｍａiｎCOM 设立VＴP管理域名称ＣＯMＰAR１(vｌａn)#vｔp Clieｎt 设立互换机为客户端模式ﻫPAＲ2#vlan ｄaｔａbａse 进入VＬAN配备模式ＰAR２（ｖlａn)＃vtp domaiｎCOM 设立VTP管理域名称C ＯＭﻫPＡR2(vｌan)#vtp Clｉent 设立互换机为客户端模式ﻫPAR3#vlan ｄataｂａse 进入VＬAN配备模式ＰＡＲ3（vlaｎ)#vtp domain ＣＯM 设立VTP管理域名称COM PAＲ３(vlａn)＃vtp Cｌiｅｎｔ设立互换机为客户端模式ﻫﻫ注意：这里设立互换机为Serveｒ模式是指容许在本互换机上创立、修改、删除VＬAN及其他某些对整个VTＰ域旳配备参数，同步本VTP域中其他互换机传递来旳最新旳VＬAＮ信息；Ｃｌiｅnt模式是指本互换机不能创立、删除、修改VLＡN配备，也不能在NVＲＡM 中存储ＶLAN配备,但可以同步由本ＶＴP域中其他互换机传递来旳VLAＮ信息。

Cｉsco三层交换机+二层交换机VＬAＮ配置Cisｃo得ＶLAＮ实现通常就是以端口为中心得。

与节点相连得端口将确定它所驻留得VLA Ｎ。

将端口分配给VLAＮ得方式有两种，分别就是静态得与动态得、形成静态VLAN得过程就是将端口强制性地分配给VLAN得过程。

即我们先在VTP（VLAN Tｒuｎｋiｎg Proｔoｃｏｌ)Ｓerver上建立VLAN,然后将每个端口分配给相应得VLAN得过程。

这就是我们创建ＶLAN最常用得方法。

ﻫﻫ动态VLＡN形成很简单,由端口决定自己属于哪个ＶLA Ｎ。

即我们先建立一个VＭPS(VLAN ＭｅmbeｒsｈiｐPoｌｉcy Ｓerver)VLAN管理策略服务器，里面包含一个文本文件,文件中存有与VLAN映射得ＭAC地址表。

交换机根据这个映射表决定将端口分配给何种VＬAN。

这种方法有很大得优势,但就是创建数据库就是一项非常艰苦而且非常繁琐得工作。

ﻫﻫ下面以实例说明如何在一个典型得快速以太局域网中实现VLＡＮ。

所谓典型得局域网就就是指由一台具备三层交换功能得核心交换机接几台分支交换机（不一定具备三层交换能力)。

我们假设核心交换机名称为:;分支交换机分别为:ＰＡR1、ＰAR2、PAR3……,分别通过Pｏｒt１得光线模块与核心交换机相连；并且假设ＶLAN 名称分别为COUNTＥR、MARKＥT、MANAＧINＧ……。

1、设置VTP DＯMＡINﻫﻫ称为管理域。

交换VＴP更新信息得所有交换机必须配置为相同得管理域。

如果所有得交换机都以中继线相连,那么只要在核心交换机上设置一个管理域,网络上所有得交换机都加入该域，这样管理域里所有得交换机就能够了解彼此得ＶLAN 列表。

ﻫ#vｌａnｄatabase进入VLAN配置模式（ｖlan）#vｔpｄoｍain 设置VTP管理域名称ﻫ(vlａn）#ｖｔp sｅrvｅr 设置交换机为服务器模式PＡR1#ｖlanｄａｔａbａse 进入ＶＬAＮ配置模式ＰＡＲ１(ｖｌａn)#ｖｔp domａin 设置VＴP管理域名称ＰAR1（vlan）#ｖｔp Cliｅnt设置交换机为客户端模式PAR２#vlａn ｄatａbase 进入ＶLAN配置模式ﻫＰAR2（vlａn)#vｔp domain 设置ＶTＰ管理域名称ﻫPＡR２（ｖlan)＃ｖtp Clieｎｔ设置交换机为客户端模式ﻫPAR3#vlan ｄａtabaｓｅ进入VＬAN配置模式ﻫPAR3（ｖlan)#vtp ｄomaｉn 设置ＶTP管理域名称PＡR3(vlaｎ)#ｖtp Cｌｉent 设置交换机为客户端模式注意:这里设置交换机为Seｒｖer模式就是指允许在本交换机上创建、修改、删除ＶLAN及其她一些对整个VTＰ域得配置参数，同步本VTP域中其她交换机传递来得最新得ＶLAN 信息;Ｃlient模式就是指本交换机不能创建、删除、修改ＶLAN配置,也不能在NVＲAM中存储VLＡＮ配置，但可以同步由本ＶTＰ域中其她交换机传递来得VＬAN信息。

华为三层交换机如何让VLAN间不能互通配置『配置环境参数』1. 交换机E0/1和E0/2属于vlan102. 交换机E0/3属于vlan203. 交换机E0/4和E0/5属于vlan304. 交换机E0/23连接Server15. 交换机E0/24连接Server26. Server1和Server2分属于vlan40和vlan507. PC和Server都在同一网段8. E0/10连接BAS设备，属于vlan60『组网需求』1. 利用二层交换机端口的hybrid属性灵活实现vlan之间的灵活互访；2. Vlan10、vlan20和vlan30的PC均可以访问Server 1；3. vlan 10、20以及vlan30的4端口的PC可以访问Server 2；4. vlan 10中的2端口的PC可以访问vlan 30的PC；5. vlan 20的PC可以访问vlan 30的5端口的PC；6. vlan10的PC访问外网需要将vlan信息送到BAS，而vlan20和vlan30则不需要。

2 数据配置步骤『端口hybrid属性配置流程』hybrid 属性是一种混杂模式，实现了在一个untagged端口允许报文以tagged形式送出交换机。

同时可以利用hybrid属性定义分属于不同的vlan的端口之间的互访，这是access和trunk端口所不能实现的。

在一台交换机上不允许trunk端口和hybrid端口同时存在。

1. 先创建业务需要的vlan[SwitchA]vlan 10[SwitchA]vlan 20[SwitchA]vlan 30[SwitchA]vlan 40[SwitchA]vlan 502. 每个端口，都配置为hybrid状态[SwitchA]interface Ethernet 0/1[SwitchA-Ethernet0/1]port link-type hybrid3. 设置端口的pvid等于该端口所属的vlan[Switch-Ethernet0/1]port hybrid pvid vlan 104. 将希望可以互通的端口的pvid vlan，设置为untagged vlan，这样从该端口发出的广播帧就可以到达本端口[Switch-Ethernet0/1]port hybrid vlan 10 40 50 60 untagged实际上，这种配置是通过hybrid 端口的pvid 来唯一的表示一个端口，接收端口通过是否将vlan 设置为untagged vlan，来控制是否与pvid vlan 为该vlan 的端口互通。

一、实验目的：（2学时）掌握如何使用三层交换机配置VLAN。

利用三层交换实现VLAN间的路由。

熟悉VLAN的原理。

二、实验环境和要求：选择桌面上的“Boson NetSim for CCNP”图标进入实验环境，选择“Boson Network Designer”图标进入拓扑结构设计环境。

本实验要求完成两个网络拓扑结构的VLAN配置：(一)单个交换机环境下的VLAN配置实验环境：Cisco Catalyst 3550交换机1台，PC98计算机4台，编号分别为PC1、PC2、PC3、PC4。

实验要求：计算机PC1、PC2分到第一组VLAN，VLAN ID编号为2，VLAN的名称为JSJ1；计算机PC3、PC4分到第二组VLAN，VLAN ID编号为3，VLAN的名称为JSJ2。

网络拓扑结构图如下：图1 1台3550交换机的VLAN配置(二)多个交换机环境下的VLAN配置实验环境：Cisco Catalyst 3550交换机2台，PC98计算机4台，编号分别为PC1、PC2、PC3、PC4。

实验要求：计算机PC1、PC4分到第一组VLAN，VLAN ID编号为2，VLAN的名称为JSJ1；计算机PC2、PC5分到第二组VLAN，VLAN ID编号为3，VLAN的名称为JSJ2; 计算机PC3、PC6分到第三组VLAN，VLAN ID编号为4，VLAN的名称为JSJ3。

网络拓扑结构图如下：图2 2台3550交换机的VLAN配置三、实验内容和步骤：(一)单个交换机环境下的VLAN配置第一步：进入实验环境，按照实验要求，在Boson Network Designer中完成网络拓扑结构的设计。

注意：3550交换机Switch1的Fast Ethernet 0/1端口和PC1的Ethernet 0端口连接，Fast Ethernet 0/2端口和PC2的Ethernet 0端口连接，Fast Ethernet 0/3端口和PC3的Ethernet 0端口连接，Fast Ethernet 0/4端口和PC4的Ethernet 0端口连接。

H3C交换机二层应用及三层交换基本配置模拟软件华三云实验室H3C Cloud Lab版本2.1.1注意：华三云实验室软件HCL有两个版本，老版本是7.1.59，无法同时模拟两台电脑，现在已经停止已经开发，重新设计了新版本的软件，目前版本号是2.1.1，修正了一些缺陷，增加了多个功能。

下载时请注意区别。

打开HCL软件，拖一个交换机，一个路由器，两个PC机到工作区，见图1鼠标右键点交换机图标，左键选【启动】，鼠标右键点PC1图标，左键选【启动】，鼠标右键点PC2图标，左键选【启动】再次鼠标右键点PC1图标，左键选【连线】，将PC1连接至交换机GE_0/10, 将PC2连接至交换机GE_0/20再次鼠标右键点PC1图标，左键选【配置】见图2接口管理点【启动】IPV4配置选【静态】，IP地址设置：192.168.10.1 掩码地址设置：255.255.255.0 点【启用】IPV6配置不用设置点【刷新】看到该pc状态为UP即可同样，PC2 的IPV4配置选【静态】，IP地址设置：192.168.10.2 掩码地址设置：255.255.255.0 点【启用】点【刷新】看到该pc状态为UP即可再次鼠标右键点PC1图标，左键选【启动命令行终端】ping 本机192.168.10.1 和PC2 192.168.10.2 都是通的见图3(如果有问题，可能是交换机端口没有打开，请检查后用命令开启。

)[H3C]system-view[H3C]int ge1/0/10 //进入端口[H3C]undo shutdown //打开端口这个就是我们平常最喜欢使用的非网管模式，方便快捷，插上就可以，只要是一个网段，就可以连通，但非网管交换机容易发生通讯变慢、网络瘫痪、信息泄露等缺点，很多时候我们需要使用网管交换机来保证安全接下来我们把这两台的加到两个不同的VLAN右键点交换机图标，左键选【启动命令行终端】[H3C]system-view //进入系统视图[H3C]vlan 100 //创建vlan 100[H3C]quit //退出[H3C]interface ge1/0/10 //进入10端口[H3C]port link-type access //设置端口类型为access//Access类型的端口只能属于1个VLAN,一般用于连接计算机的端口;//Trunk类型的端口可以允许多个VLAN通过，可以接收和发送多个VLAN的报文，一般用于交换机之间连接的端口[H3C]port access VLAN 100 //将10端口加入VLAN 100[H3C]quit //退出[H3C]vlan 200 //创建vlan 200[H3C]quit[H3C]interface ge1/0/20 //进入20端口[H3C]port link-type access //设置端口类型为access[H3C]port access VLAN 100 //将20端口加入VLAN 200这个时候PC1和PC2 分属不同的vlan，虽然在同一个网段，但已经各自无法ping通对方了见图4有时候，我们需要把不同的部门划分到不同的网段，但又需要连通怎么办？这个就需要用到网管交换机的三层交换了。

交换机怎么设置实现三层交换功能交换机是网络中非常重要的设备，主要用于局域网中的数据交换。

传统的交换机是二层交换机，主要用于数据链路层的转发，而三层交换机则可以在网络层上实现数据的转发和路由功能。

接下来，我将详细介绍如何设置实现三层交换功能的交换机。

首先，需要说明的是，要实现三层交换功能，必须确保交换机具备三层路由功能的硬件支持。

如果交换机不支持三层功能，那么无论怎样设置都无法实现三层交换功能。

设置三层交换功能的步骤如下：第一步：连接三层交换机和路由器将三层交换机的一个接口连接到路由器的一个接口上，确保能够进行物理连通。

第二步：配置三层交换机的网络接口登录到三层交换机的管理界面，进入接口配置界面，为与路由器相连接的接口设置IP地址和子网掩码。

这些IP地址和子网掩码必须与同一个子网的其他设备相一致，以确保能够进行通信。

第三步：配置三层交换机的默认路由为了实现三层交换机的通信功能，需要设置默认路由。

在三层交换机的管理界面中，找到路由表配置界面，添加一条默认路由项，将下一跳设置为与交换机相连接的路由器的IP地址。

第四步：配置交换机的VLANVLAN是虚拟局域网，可以将不同的接口分为不同的VLAN，实现不同VLAN之间的隔离。

在三层交换机的管理界面中，进入VLAN配置界面，创建所需的VLAN，并将相应的接口加入到对应的VLAN中。

第五步：配置三层交换机的子接口子接口允许三层交换机同时连接到多个不同的子网，实现不同子网之间的转发。

在三层交换机的管理界面中，进入子接口配置界面，为每个需要连接的子网创建一个子接口，并在子接口上配置对应的IP地址和子网掩码。

第六步：配置三层交换机的路由协议路由协议是用于交换和更新路由表的机制。

根据实际情况选择适合的路由协议，如OSPF、RIPv2等，并在三层交换机上进行相应的配置。

第七步：配置三层交换机的ACL和QoS访问控制列表（ACL）用于过滤和限制网络中的数据流，提高网络的安全性。

三层交换VLAN路由配置技巧详解三层交换VLAN路由配置技巧详解在华为三层交换机上创建VLAN，端口划分，三层VLAN接口地址配置，静态路由或是RIP协议配置。

跟店铺来学习一下配置过程。

静态路由配置过程：PCA:ip address:10.1.1.2/24 gw:10.1.1.1/24(VLAN2路由接口IP 地址)PCB:ip address:10.1.2.2/24 gw:10.1.2.1/24(VLAN3路由接口IP 地址)PCC:ip address:10.1.3.2/24 gw:10.1.3.1/24(VLAN2路由接口IP 地址)S3526A和S352B之间的`互联网段为10.1.4.0、24分配S3526A VLAN4路由接口IP地址为10.1.4.1/24,S3526B VLAN4路由接口IP地址为10.1.4.2/24三层交换机配置创建VLAN，把PC划到特定VLAN中：//创建VLAN[S3526A]vlan 2//把端口划到VLAN中[S3526A-VLAN 2]port ethernet0/9 to ethernet0/12[S3526A-VLAN 2]vlan 3[S3526A-VLAN 2]port ethernet0/13 to ethernet0/16[S3526A-VLAN 2]vlan 4//交换机B的配置：[S3526B]vlan 2[S3526B-VLAN 2]port ethernet0/9 to ethernet0/12[S3526B-VLAN 2]vlan 4配置各台PC的网关地址和交换机之间的网段地址：//进入VLAN接口配置模式：[S3526A]interface Vlan-interface 2//配置三层VLAN路由接口地址[S3526A-Vlan-interface2]ip address 10.1.1.1 255.255.255.0 [S3526A-Vlan-interface2] interface Vlan-interface 3[S3526A-Vlan-interface3]ip address 10.1.2.1 255.255.255.0 [S3526A-Vlan-interface3] interface Vlan-interface 4[S3526A-Vlan-interface4]ip address 10.1.4.1 255.255.255.0 [S3526B]interface Vlan-interface 2[S3526B-Vlan-interface2]ip address 10.1.3.1 255.255.255.0 [S3526B-Vlan-interface2] interface Vlan-interface 4[S3526B-Vlan-interface4]ip address 10.1.4.2 255.255.255.0 在二台三层交换机上配置非直连网段静态路由：[S3526A]ip route-static 10.1.3.0 255.255.255.0 10.1.4.2 [S3526B]ip route-static 10.1.1.0 255.255.255.0 10.1.4.1 [S3526B]ip route-static 10.1.2.0 255.255.255.0 10.1.4.1查看路由表，查看网络互通情况：[S3526B]display ip routing-tableRouting Table: public netDestination/Mask Proto Pre Cost Nexthop Interface10.1.1.0/24 STATIC 60 0 10.1.4.1 Vlan-interface410.1.2.0/24 STATIC 60 0 10.1.4.1 Vlan-interface410.1.3.0/24 DIRECT 0 0 10.1.3.1 Vlan-interface210.1.3.1/32 DIREC T 0 0 127.0.0.1 InLoopBack010.1.4.0/24 DIRECT 0 0 10.1.4.2 Vlan-interface40.1.4.2/32 DIRECT 0 0 127.0.0.1 InLoopBack0127.0.0.0/8 DIRECT 0 0 127.0.0.1 InLoopBack0127.0.0.1/32 DIRECT 0 0 127.0.0.1 InLoopBack0RlP协议在三层交换机上的配置1.继续上面的，删除前面配置的静态路由。

如何配置三层交换机创建VLAN以下的介绍都是基于Cisco交换机的VLAN。

Cisco的VLAN实现通常是以端口为中心的。

与节点相连的端口将确定它所驻留的VLAN。

将端口分配给VLAN的方式有两种，分别是静态的和动态的。

形成静态VLAN的过程是将端口强制性地分配给VLAN的过程。

即我们先在VTP （VLAN Trunking Protocol）Server上建立VLAN，然后将每个端口分配给相应的VLAN的过程。

这是我们创建VLAN最常用的方法。

动态VLAN形成很简单，由端口决定自己属于哪个VLAN。

即我们先建立一个VMPS（VLAN Membership Policy Server）VLAN管理策略服务器，里面包含一个文本文件，文件中存有与VLAN映射的MAC地址表。

交换机根据这个映射表决定将端口分配给何种VLAN。

这种方法有很大的优势，但是创建数据库是一项非常艰苦而且非常繁琐的工作。

下面以实例说明如何在一个典型的快速以太局域网中实现VLAN。

所谓典型的局域网就是指由一台具备三层交换功能的核心交换机接几台分支交换机（不一定具备三层交换能力）。

我们假设核心交换机名称为：COM；分支交换机分别为：PAR1、PAR2、PAR3……，分别通过Port 1的光线模块与核心交换机相连；并且假设VLAN名称分别为COUNTER、MARKET、MANAGING……设置VTP DOMAINVTP DOMAIN 称为管理域。

交换VTP更新信息的所有交换机必须配置为相同的管理域。

如果所有的交换机都以中继线相连，那么只要在核心交换机上设置一个管理域，网络上所有的交换机都加入该域，这样管理域里所有的交换机就能够了解彼此的VLAN列表。

COM#vlan database 进入VLAN配置模式COM(vlan)#vtp domain COM 设置VTP管理域名称COMCOM(vlan)#vtp server 设置交换机为服务器模式PAR1#vlan database 进入VLAN配置模式PAR1(vlan)#vtp domain COM 设置VTP管理域名称COMPAR1(vlan)#vtp Client 设置交换机为客户端模式PAR2#vlan database 进入VLAN配置模式PAR2(vlan)#vtp domain COM 设置VTP管理域名称COMPAR2(vlan)#vtp Client 设置交换机为客户端模式PAR3#vlan database 进入VLAN配置模式PAR3(vlan)#vtp domain COM 设置VTP管理域名称COMPAR3(vlan)#vtp Client 设置交换机为客户端模式注意：这里设置交换机为Server模式是指允许在本交换机上创建、修改、删除VLAN及其他一些对整个VTP域的配置参数，同步本VTP域中其他交换机传递来的最新的VLAN信息；Client模式是指本交换机不能创建、删除、修改VLAN配置，也不能在NVRAM中存储VLAN配置，但可以同步由本VTP域中其他交换机传递来的VLAN信息。

思科模拟器三层交换机VLAN配置一、实验拓扑图:交换机switch 1的端口fei_0/1和交换机switch 2的端口fei_0/1属于VLAN 10；交换机switch 1的端口fei_0/2和交换机switch 2的端口fei_0/2属于VLAN 20，均为Access端口。

两台交换机通过端口fei_0/16以Trunk方式连接，两端口为Trunk端口。

二、操作步骤:1、在switch 1上配置VLAN10和VLAN20，VLAN10的成员包括fei_0/1和上行端口fei_0/16，VLAN20的成员包括fei_0/2上行端口fei_0/16。

2、在switch 2上配置VLAN10和VLAN20，VLAN10的成员包括fei_0/1和上行端口fei_0/16,VLAN20的成员包括fei_0/2和上行端口fei_0/16。

switch 1配置命令如下:ZXR10>enableZXR10#vlan database------在特权模式下配置VLAN数据库ZXR10(vlan)#vlan 10-------创建VLAN 10ZXR10(vlan)#vlan 20------创建VLAN 20ZXR10(vlan)#exitZXR10#configure terminalZXR10(config)#1、进入端口fei_0/1，把端口fei_0/1加入vlan 10，fei_0/1模式为access；ZXR10(config)#interface fastethernet 0/1ZXR10(config-if)#switchport mode accessZXR10(config-if)#switchport access vlan 10ZXR10(config-if)#exit2、进入端口fei_0/2，把端口fei_0/2加入vlan 20，fei_0/2模式为access；ZXR10(config)#interface fastethernet 0/2ZXR10(config-if)#switchport mode accessZXR10(config-if)#switchport access vlan 20ZXR10(config-if)#exit3、进入fei_0/16端口，将该端口设置成trunk模式，并且把端口fei_0/16以trunk模式加入vlan10，vlan 20ZXR10(config)#interface fastethernet 0/16ZXR10(config-if)#switchport mode trunkZXR10(config-if)#switchport trunk allowed vlan 10,20ZXR10(config-if)#endZXR10#write---------保存文件（备注：switch 2配置命令同switch 1一样）三、验证方法:1. PC-1和PC-2不能互通，PC-3和PC-4不能互通2. PC-1和PC-3互通，PC-2和PC-4互通。

H3C三层交换机VLAN配置实例<H3C><H3C>dis cu#sysname H3C#radius scheme system#domain system#acl number 2011rule 0 denyrule 1 permit source 172.16.11.0 0.0.0.255 acl number 2012rule 0 denyrule 1 permit source 172.16.12.0 0.0.0.255 acl number 2013rule 0 denyrule 1 permit source 172.16.13.0 0.0.0.255 acl number 2021rule 0 denyrule 1 permit source 172.16.21.0 0.0.0.255 acl number 2022rule 0 denyrule 1 permit source 172.16.22.0 0.0.0.255 acl number 2023rule 0 denyrule 1 permit source 172.16.23.0 0.0.0.255 acl number 2031rule 0 denyrule 1 permit source 172.16.31.0 0.0.0.255 acl number 2032rule 0 denyrule 1 permit source 172.16.32.0 0.0.0.255 acl number 2033rule 0 denyrule 1 permit source 172.16.33.0 0.0.0.255 acl number 2041rule 0 denyrule 1 permit source 172.16.41.0 0.0.0.255 acl number 2042rule 0 denyrule 1 permit source 172.16.42.0 0.0.0.255 acl number 2043rule 0 denyrule 1 permit source 172.16.43.0 0.0.0.255 acl number 2080rule 0 denyrule 1 permit source 172.16.80.0 0.0.0.255 #vlan 1#vlan 11#vlan 12#vlan 13#vlan 21#vlan 22#vlan 23#vlan 31#vlan 32#vlan 33#vlan 41#vlan 42#vlan 43#vlan 80#interface Aux1/0/0#interface Ethernet1/0/1port link-type hybridport hybrid vlan 1 11 untaggedport hybrid pvid vlan 11packet-filter inbound ip-group 2011 rule 0packet-filter inbound ip-group 2011 rule 1 #interface Ethernet1/0/2port link-type hybridport hybrid vlan 1 12 untaggedport hybrid pvid vlan 12packet-filter inbound ip-group 2012 rule 0 packet-filter inbound ip-group 2012 rule 1 #interface Ethernet1/0/3port link-type hybridport hybrid vlan 1 13 untaggedport hybrid pvid vlan 13packet-filter inbound ip-group 2013 rule 0 packet-filter inbound ip-group 2013 rule 1 #interface Ethernet1/0/4port link-type hybridport hybrid vlan 1 21 untaggedport hybrid pvid vlan 21packet-filter inbound ip-group 2021 rule 0 packet-filter inbound ip-group 2021 rule 1 #interface Ethernet1/0/5port link-type hybridport hybrid vlan 1 22 untaggedport hybrid pvid vlan 22packet-filter inbound ip-group 2022 rule 0 packet-filter inbound ip-group 2022 rule 1 #interface Ethernet1/0/6port link-type hybridport hybrid vlan 1 23 untaggedport hybrid pvid vlan 23packet-filter inbound ip-group 2023 rule 0 packet-filter inbound ip-group 2023 rule 1 #interface Ethernet1/0/7port link-type hybridport hybrid vlan 1 31 untaggedport hybrid pvid vlan 31packet-filter inbound ip-group 2031 rule 0 packet-filter inbound ip-group 2031 rule 1 #interface Ethernet1/0/8port link-type hybridport hybrid vlan 1 32 untaggedport hybrid pvid vlan 32packet-filter inbound ip-group 2032 rule 0 packet-filter inbound ip-group 2032 rule 1 #interface Ethernet1/0/9port link-type hybridport hybrid vlan 1 33 untaggedport hybrid pvid vlan 33packet-filter inbound ip-group 2033 rule 0 packet-filter inbound ip-group 2033 rule 1 #interface Ethernet1/0/10port link-type hybridport hybrid vlan 1 41 untaggedport hybrid pvid vlan 41packet-filter inbound ip-group 2041 rule 0 packet-filter inbound ip-group 2041 rule 1 #interface Ethernet1/0/11port link-type hybridport hybrid vlan 1 42 untaggedport hybrid pvid vlan 42packet-filter inbound ip-group 2042 rule 0 packet-filter inbound ip-group 2042 rule 1 #interface Ethernet1/0/12port link-type hybridport hybrid vlan 1 43 untaggedport hybrid pvid vlan 43packet-filter inbound ip-group 2043 rule 0 packet-filter inbound ip-group 2043 rule 1 #interface Ethernet1/0/13#interface Ethernet1/0/14#interface Ethernet1/0/15#interface Ethernet1/0/16#interface Ethernet1/0/17interface Ethernet1/0/18#interface Ethernet1/0/19#interface Ethernet1/0/20port link-type hybridport hybrid vlan 1 80 untaggedport hybrid pvid vlan 80packet-filter inbound ip-group 2080 rule 0packet-filter inbound ip-group 2080 rule 1#interface Ethernet1/0/21#interface Ethernet1/0/22port link-type hybridport hybrid vlan 1 11 to 13 21 to 23 31 to 33 41 to 43 80 untagged #interface Ethernet1/0/23port link-type hybridport hybrid vlan 1 11 to 13 21 to 23 31 to 33 41 to 43 80 untagged #interface Ethernet1/0/24port link-type hybridport hybrid vlan 1 11 to 13 21 to 23 31 to 33 41 to 43 80 untagged #interface GigabitEthernet1/1/1#interface GigabitEthernet1/1/2#interface GigabitEthernet1/1/3port link-type hybridport hybrid vlan 1 11 to 13 21 to 23 31 to 33 41 to 43 80 untagged #interface GigabitEthernet1/1/4port link-type hybridport hybrid vlan 1 11 to 13 21 to 23 31 to 33 41 to 43 80 untagged #undo irf-fabric authentication-mode#interface NULL0#user-interface aux 0 7user-interface vty 0 4returnF100-C的设置问题回复方法一：F100-C恢复出厂设置，你以前的配置就会删除了，你可以重新配置你的固定IP配置固定IP配置实例：[H3C]dis cur#sysname H3C#firewall packet-filter enablefirewall packet-filter default permit#insulate#undo connection-limit enableconnection-limit default denyconnection-limit default amount upper-limit 50 lower-limit 20#nat address-group 1 218.94.*.* 218.94.*.*#firewall statistic system enable#radius scheme system#domain system#local-user wjmpassword simple wjmservice-type telnetlevel 3#acl number 2000 match-order autorule 0 permit source 192.168.0.0 0.0.255.255#interface Aux0async mode flow#interface Ethernet0/0ip address 192.168.0.1 255.255.255.0#interface Ethernet0/1#interface Ethernet0/2#interface Ethernet0/3#interface Ethernet1/0ip address 218.94.*.* 255.255.255.240#interface Ethernet1/1#interface Ethernet1/2#interface NULL0#firewall zone localset priority 100#firewall zone trustadd interface Ethernet0/0add interface Ethernet0/1add interface Ethernet0/2add interface Ethernet0/3set priority 85#firewall zone untrustadd interface Ethernet1/0add interface Ethernet1/1add interface Ethernet1/2set priority 5#firewall zone DMZset priority 50#firewall interzone local trust#firewall interzone local untrust#firewall interzone local DMZ#firewall interzone trust untrust#firewall interzone trust DMZ#firewall interzone DMZ untrust#ip route-static 0.0.0.0 0.0.0.0 218.94.*.*preference 60##user-interface con 0user-interface aux 0user-interface vty 0 4authentication-mode scheme#return华为交换机配置命令本文网址:/121555 复制华为QuidWay交换机配置命令手册：1、开始建立本地配置环境，将主机的串口通过配置电缆与以太网交换机的Console口连接。

VLAN与三层交换机的原理与配置，你懂了吗？⼀、VLAN概述与优势1、VLAN的概述分割⼴播域物理分割（交换机）逻辑分割（VLAN）：Vlanif →interface vlan 是逻辑端⼝，通常这个接⼝地址作为vlan下⾯⽤户的⽹关例如：补充知识⼴播：将⼴播地址作为⽬的地址的数据帧⼴播域：⽹络中能接收任⼀设备发出的⼴播帧的所有设备的集合（局域⽹就是⼀个⼴播域）2、VLAN的优势控制⼴播增强⽹络安全性（隔离⼴播域）简化⽹络管理3、VLAN的种类①　静态VLAN基于端⼝划分静态VLAN②　动态VLAN基于MAC地址划分动态VLAN注意：动态VLAN是要把主机的接⼝MAC地址与VLAN绑定，在实际⽣产环境中运营商不会⽤动态VLAN，因为维护量⼤，绑定复杂等，⽤的是静态VLAN4、VLAN ID的范围VLAN ID是：交换机⼀般可以划分255个vlan，每个vlan的id，可以是1~4096之间的任意数字。

ID的作⽤就是⽤于区分不同vlan，可以设置TAG UNTag member属性，可以让该端⼝的下⾏或上⾏数据报打上标签。

5、华为交换机接⼝的三种模式1、Access涵义：只能属于⼀个VLAN，也只能允许这⼀个VLAN的流量通过（数据进交换机加标签，出交换机脱标签）2、Trunk涵义：可以同时属于多个VLAN，也能同时允许这些VLAN的流量通过是⽤来实现不同交换机上相同VLAN的主机之间的通信，即跨交换机的VLAN通信3、Hybrid涵义：可以根据需要以tagged或untagged⽅式加⼊某个VLAN 或者多个VLAN和Trunk接⼝⼀样在设置允许指定的VLAN通过Hybrid端⼝之前，该VLAN必须已经存在。

Hybrid端⼝和Trunk端⼝在接收数据时，处理思路⽅法是⼀样的，唯⼀区别之处在于发送数据时，Hybrid端⼝具有解除多VLAN标签的功能，Hybrid端⼝可以允许多个VLAN的报⽂发送时不打标签，从⽽增加了⽹络的灵活性，在⼀定程度上也增加了安全性，⽽Trunk端⼝只允许缺省VLAN的报⽂发送时不打标签。