以下是关于三层交换机的配置命令、方法与应用实例的详细介绍（基于主流厂商如Cisco的常见配置逻辑）：

一、三层交换机核心概念

• 本质： 二层交换机 + 三层路由器功能集成在一个硬件中。
• 核心功能：
  • VLAN间路由： 在交换机内部实现不同VLAN之间的高速通信，无需外接路由器。
  • IP路由： 支持静态路由和动态路由协议(RIP, OSPF, EIGRP, BGP等)，实现网络层的互联互通。
  • 高性能转发： 通过硬件ASIC实现三层数据包的线速转发，性能远高于传统“路由器-on-a-stick”方案。

二、基础配置方法

1. 基础设置：

   • 进入特权模式：enable (en)
   • 进入全局配置模式：configure terminal (conf t)
   • 设置主机名：hostname <名称> (如 hostname Core-Switch)
   • 配置管理IP地址（通常在管理VLAN接口上）：

     interface vlan 99      # 进入管理VLAN接口(假设VLAN 99为管理VLAN)
     ip address 192.168.99.1 255.255.255.0  # 配置IP地址和掩码
     no shutdown           # 开启接口

   • 设置默认网关(如果网络中有路由器)：ip default-gateway <网关IP>
   • 启用IP路由功能（关键！）：

     ip routing            # 在全局配置模式下启用三层路由功能！

2. 配置VLAN：

   • 创建VLAN：vlan <VLAN_ID> (如 vlan 10, vlan 20)
   • 命名VLAN：name <名称> (在VLAN配置模式下，如 name Sales-Dept)
   • 将端口划分到Access VLAN：

     interface range gigabitethernet 1/0/1-24  # 选择一组端口
     switchport mode access                   # 设置为Access模式
     switchport access vlan 10                # 分配给VLAN 10

   • 配置Trunk端口（连接其他交换机/路由器）：

     interface gigabitethernet 1/0/48
     switchport trunk encapsulation dot1q   # 指定封装协议(通常是dot1q)
     switchport mode trunk                   # 设置为Trunk模式
     switchport trunk allowed vlan <all/具体VLAN列表> # 允许通过的VLAN

3. 配置三层接口（SVI - Switched Virtual Interface）：

   • 功能： 作为VLAN的默认网关，处理该VLAN的三层流量。

     interface vlan 10                  # 进入VLAN 10的虚拟接口配置模式
     description Gateway for Sales VLAN # 可选：添加描述
     ip address 192.168.10.1 255.255.255.0 # 为该VLAN配置网关IP地址
     no shutdown                       # 开启接口

   • 重复此步骤为其他需要路由的VLAN（如 VLAN 20, VLAN 30等）配置SVI。

4. 配置路由：

   • 静态路由： 适用于小型网络或特定目的网络。

     ip route <目标网络> <子网掩码> <下一跳IP地址或本地出口接口>
     # 示例1 (下一跳是路由器接口IP)：
     ip route 10.0.0.0 255.0.0.0 192.168.99.254
     # 示例2 (点对点链路，可使用出口接口)：
     ip route 172.16.0.0 255.255.0.0 serial 0/1/0

   • 动态路由协议(以OSPF为例)：

     router ospf 1                   # 启用OSPF进程，进程ID为1 (进程ID本地有效)
     network 192.168.10.0 0.0.0.255 area 0 # 宣告VLAN 10网段到骨干区域(Area 0)
     network 192.168.20.0 0.0.0.255 area 0 # 宣告VLAN 20网段

5. 接口IP配置（物理路由端口 - Routed Ports）：

   • 场景： 需要将交换机的物理端口当作路由器的接口使用（如连接WAN路由器、防火墙或其它三层交换机）。

     interface gigabitethernet 1/0/47
     no switchport                 # 最关键一步！将端口从二层模式切换为三层模式
     ip address 172.16.1.1 255.255.255.252 # 配置三层IP地址
     no shutdown

三、关键应用实例

实例1：不同楼层/部门间通信

• 场景： 公司有销售部(VLAN 10)、技术部(VLAN 20)、财务部(VLAN 30)分布在多个楼层。
• 需求： 不同部门(VLAN)之间需要安全、可控的互访。
• 解决方案：
  1. 在各楼层接入交换机上划分相应VLAN。
  2. 汇聚层或核心层使用三层交换机：
     • 为每个部门VLAN创建SVI (interface vlan 10/20/30)。
     • 配置各SVI的IP地址作为该VLAN用户的网关。
     • 启用 ip routing。
     • 配置路由（小型网络静态，大型网络OSPF/EIGRP）。
  3. 在三层交换机上配置访问控制列表(ACL)：

     # 例：允许销售(VLAN10)访问服务器区(VLAN50)，但禁止访问财务(VLAN30)
     access-list 101 permit ip 192.168.10.0 0.0.0.255 192.168.50.0 0.0.0.255
     access-list 101 deny ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255
     access-list 101 permit ip any any
     interface vlan 10
     ip access-group 101 in  # 在销售网关入方向应用ACL

实例2：服务器集中访问

• 场景： 所有部门需要访问中心机房内的服务器区(VLAN 50)。
• 解决方案：
  1. 在三层交换机上为服务器区配置SVI (interface vlan 50, ip address 192.168.50.1/24)。
  2. 确保 ip routing 已开启。
  3. 所有用户的网关指向对应VLAN的SVI（如销售部用户网关是192.168.10.1）。
  4. 三层交换机自动知晓其直连网段(192.168.10.0/24, 192.168.20.0/24, 192.168.50.0/24)。
  5. 当销售部(10.0)用户访问服务器(50.100)时：
     • 流量送到网关10.1。
     • 三层交换机检查路由表，发现50.0是直连网段。
     • 直接将数据包从SVI 50接口转发给目标服务器。
  6. 可选： 在交换机连接服务器的端口启用端口安全(Port Security)、DHCP Snooping等技术提高安全性。

实例3：远程分支机构互连

• 场景： 总部核心交换机需要连接分支机构的边界路由器。
• 解决方案：
  1. 在核心三层交换机上选一个端口配置为路由端口(no switchport)：

     interface gigabitethernet 2/0/1
     no switchport
     ip address 172.16.254.1 255.255.255.252

  2. 该端口连接到分支路由器的WAN口（地址如172.16.254.2/30）。
  3. 在核心交换机上配置指向分支内部网络的静态路由：

     ip route 192.168.100.0 255.255.255.0 172.16.254.2

  4. 在分支路由器上配置指向总部内网的回程路由（汇总路由）：

     ip route 192.168.0.0 255.255.0.0 172.16.254.1  # 假设总部网段是192.168.0.0/16

  5. (高级) 核心和分支运行动态路由协议(如OSPF)自动交换路由信息。

四、配置注意事项

1. 版本与厂商差异： 不同品牌（Huawei: ip routing = Cisco, H3C）和版本命令可能有细微差别，请参考具体设备手册。
2. ip routing 是灵魂： 不启用此命令，SVI和路由端口无法工作。
3. 端口模式切换： switchport / no switchport 用于控制端口是二层交换口还是三层路由口。
4. SVI 状态依赖：
   • 相应的VLAN必须存在。
   • 该VLAN中有至少一个Trunk口或Access口处于UP状态。
5. 路由选择：
   • 小网络/简单路径用静态路由。
   • 中型以上/冗余网络用OSPF/EIGRP(收敛快，可靠性高)。
6. 安全策略： 在SVI或物理路由接口上应用ACL控制跨VLAN访问。
7. 默认网关： ip default-gateway 仅用于交换机自身管理流量(Telnet/SSH/SNMP等)，对用户流量无效。用户流量网关是其所属VLAN的SVI地址。
8. HSRP/VRRP： 核心层部署两台三层交换机时，通过HSRP(Cisco)/VRRP(通用)协议实现网关冗余。

五、总结

三层交换机是构建现代局域网/园区网的核心设备，其配置核心在于理解 ip routing、SVI(interface vlan)、路由端口(no switchport) 和路由协议 这四者的关系与应用场景。通过恰当配置，它能高效、安全地解决VLAN间互访、多网段路由、服务器访问控制、分支机构互联等关键需求，大幅简化网络架构并提升性能。掌握三层交换机是企业网络工程师的必备技能。