锐捷三层交换机作为企业网络的核心设备,承担着VLAN间路由、路由策略部署及网络高可用性保障等关键任务,其配置需结合网络拓扑与业务需求,通过系统化命令实现功能部署,以下从基础配置、VLAN划分、接口IP配置、路由协议启用及安全策略五个维度,详细解析锐捷三层交换机的核心配置命令。
基础配置
首次登录交换机需完成初始化设置,包括设备名称、管理IP及登录权限配置,进入系统视图后,通过system-view命令进入全局配置模式,随后使用hostname SW-Core将设备命名为“SW-Core”,为方便远程管理,需配置管理VLAN(如VLAN 10)的接口IP,命令为interface Vlan-interface 10,进入接口视图后设置IP地址ip address 192.168.10.254 255.255.255.0,并激活接口undo shutdown,为保障安全,需创建管理员账号并分配权限,如local-user admin password cipher Admin@2023设置密码,authorization-attribute level 3赋予最高级别权限,service-type telnet ssh允许SSH和Telnet登录。
VLAN划分与端口分配
VLAN是实现网络隔离的基础,需根据部门或业务需求划分VLAN,创建VLAN使用vlan 10命令(例如行政部VLAN 10),进入VLAN视图后可通过description Administration添加描述信息,将端口划入VLAN时,进入接口视图(如interface GigabitEthernet 1/0/1),使用port link-type access将端口设置为接入模式,并port default vlan 10绑定至VLAN 10,对于连接其他交换机的 trunk 端口,需配置port link-type trunk,并允许相关VLAN通过,如port trunk allow-pass vlan 10 20 30表示允许VLAN 10、20、30通过。
三层接口配置
实现VLAN间路由需将SVI(交换虚拟接口)配置为三层接口,在全局视图下使用interface Vlan-interface 10进入VLAN 10的接口视图,配置IP地址ip address 192.168.10.254 255.255.255.0作为该VLAN的网关,同理,为VLAN 20配置interface Vlan-interface 20和ip address 192.168.20.254 255.255.255.0,若需将物理端口作为三层接口(如连接服务器的端口),进入接口视图后使用undo portswitch命令切换为路由模式,再配置IP地址ip address 10.0.0.1 255.255.255.0。
路由协议部署
三层交换机支持静态路由和动态路由协议,静态路由配置简单,适用于小型网络,命令为ip route-static 0.0.0.0 0.0.0.0 192.168.10.1(默认路由指向出口网关),对于中大型网络,通常启用OSPF动态路由协议,首先进入路由协议视图ospf 1,宣告直连网段area 0 network 192.168.10.0 0.0.0.255,其中area 0表示骨干区域,网段需与接口IP网段匹配,若需启用BGP,命令为bgp 65001,与对等体建立邻居关系peer 10.1.1.2 as-number 65002,并宣告网络network 192.168.30.0。
安全策略配置
为提升网络安全性,需配置ACL(访问控制列表)和端口安全,ACL用于控制流量访问,例如禁止VLAN 10访问VLAN 20的特定服务,可创建高级ACLrule deny tcp source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 destination-port eq 80,并在接口下应用traffic-filter inbound acl 3000,端口安全则限制接口下的MAC地址数量,进入接口视图后使用port-security max-num 2限制最多2个MAC地址,port-security mac-address sticky绑定MAC地址,防止非法设备接入。
锐捷三层交换机常用配置命令速查表
| 功能分类 | 命令示例 | 说明 |
|---|---|---|
| 基础配置 | system-view |
进入全局配置模式 |
interface Vlan-interface 10 |
进入VLAN接口视图 | |
ip address 192.168.10.254 24 |
配置接口IP地址和子网掩码 | |
| VLAN划分 | vlan 10 |
创建VLAN 10 |
port link-type access |
设置端口为接入模式 | |
port default vlan 10 |
将端口划入VLAN 10 | |
| 三层路由 | undo portswitch |
将物理端口切换为路由模式 |
ip route-static 0.0.0.0 0.0.0.0 10.0.0.1 |
配置静态默认路由 | |
| OSPF路由 | ospf 1 |
启动OSPF进程,进程ID为1 |
area 0 network 192.168.10.0 0.0.0.255 |
宣告直连网段至OSPF区域0 | |
| ACL控制 | acl advanced 3000 |
创建高级ACL编号3000 |
rule deny ip source 192.168.10.0 0.0.0.255 |
禁止指定网段访问 | |
| 端口安全 | port-security max-num 2 |
限制接口最大MAC地址数为2 |
相关问答FAQs
问题1:锐捷三层交换机中,如何验证VLAN间路由是否生效?
解答:可通过以下步骤验证:
- 在不同VLAN的PC上配置默认网关为对应SVI的IP地址(如VLAN 10的PC网关为192.168.10.254,VLAN 20的PC网关为192.168.20.254)。
- 在各VLAN的PC上使用
ping命令测试对端网关连通性(如ping 192.168.20.254),若通则说明本机网关配置正确。 - 跨VLAN互访测试(如VLAN 10的PC ping VLAN 20的PC IP),若通则证明三层路由功能正常;若不通,需检查ACL是否拦截、路由表是否包含目标网段(使用
display ip routing-table查看)。
问题2:如何配置锐捷三层交换机实现DHCP服务为不同VLAN分配IP地址?
解答:需全局启用DHCP服务,并为各VLAN创建地址池:
- 进入全局配置模式,使用
dhcp server ip-pool VLAN10创建VLAN 10的地址池,设置网关gateway-list 192.168.10.254、DNS服务器dns-list 8.8.8.8及IP地址范围network 192.168.10.0 mask 24,排除静态IP地址static-bind ip-address 192.168.10.10 mac-address 00e0-fc01-0001(可选)。 - 在对应VLAN接口下开启DHCP服务,如
interface Vlan-interface 10,执行dhcp select global使用全局地址池。 - 重复上述步骤为其他VLAN创建地址池(如
ip-pool VLAN20),确保各VLAN接口关联正确的地址池,最后使用display dhcp pool查看地址池配置,display ip pool interface检查接口绑定状态。
