中兴三层交换机作为企业网络中的核心设备，支持二层交换与三层路由功能，能够实现VLAN间路由、ACL访问控制、动态路由协议等高级特性，其命令行界面（CLI）是管理员进行配置和管理的主要工具，以下从基础配置、VLAN与接口管理、三层路由配置、安全策略、路由协议及维护命令六个方面,详细介绍中兴三层交换机的常用命令及操作逻辑。

基础配置命令

首次配置中兴三层交换机时，需先进入系统视图，完成设备基本信息设置，包括设备名称、管理IP、登录权限等。

1. 进入系统视图

   system-view  # 从用户视图进入系统视图，后续配置均在此视图下进行

2. 设备命名

   sysname Switch-Core  # 设置设备名称，便于网络管理中识别

3. 配置管理IP地址
   管理IP用于远程登录（如Telnet/SSH）和网络管理，通常配置在VLAN接口上（如VLAN1为默认管理VLAN）。

   
   （图片来源网络，侵删）

   interface vlan-interface 1  # 进入VLAN1接口视图
   ip address 192.168.1.1 255.255.255.0  # 配置管理IP及子网掩码
   description Management-VLAN  # 接口描述信息（可选，推荐配置）

4. 用户登录权限配置

   user-interface console 0  # 进入Console口视图
   authentication-mode password  # 设置密码认证模式
   set authentication password cipher Huawei@123  # 设置登录密码（加密存储）
   user privilege level 15  # 设置用户权限级别（15为最高级）

   若需SSH登录，还需生成RSA密钥并配置VTY用户界面：

   public-key local create rsa  # 生成RSA密钥对
   user-interface vty 0 4  # 进入VTY用户界面（0-4为并发数）
   authentication-mode scheme  # 设置AAA认证模式
   protocol inbound ssh  # 允许SSH协议登录

VLAN与接口管理

VLAN（虚拟局域网）是二层网络的核心，用于隔离广播域；接口配置则涉及物理端口与VLAN的关联，以及接口参数调优。

1. VLAN创建与分配

   
   （图片来源网络，侵删）

   vlan 10  # 创建VLAN 10（若VLAN存在则直接进入）
   description Sales-Department  # 为V添加描述
   port gigabitethernet 1/0/1 to gigabitethernet 1/0/10  # 将1/0/1至1/0/10端口加入VLAN 10（二层端口）

   对于三层路由场景，需将VLAN接口（SVI）配置为三层接口，并启用IP路由：

   interface vlan-interface 10  # 进入VLAN10的三层接口视图
   ip address 10.1.1.1 255.255.255.0  # 配置VLAN10的网关地址

2. 端口类型与模式配置

   • Access端口：连接终端设备（如PC、打印机），默认属于单一VLAN。

     interface gigabitethernet 1/0/1
     port link-type access  # 设置为Access端口
     port default vlan 10  # 绑定VLAN 10

   • Trunk端口：连接其他交换机，允许多个VLAN通过（默认允许所有VLAN，可手动过滤）。

     interface gigabitethernet 1/0/24
     port link-type trunk  # 设置为Trunk端口
     port trunk permit vlan 10 20  # 允许VLAN 10和20通过

   • Hybrid端口：灵活允许VLAN通过，可配置VLAN剥离（适用于特殊场景，如连接AP）。

3. 接口参数调优

   interface gigabitethernet 1/0/1
   speed 1000  # 设置端口速率（10/100/1000 auto）
   duplex full  # 设置双工模式（half/full auto）
   shutdown  # 关闭端口（no shutdown 启用）

三层路由配置

三层交换机的核心功能是实现VLAN间路由，需启用IP路由功能，并配置静态路由或动态路由协议。

1. 启用IP路由

   ip routing  # 全局启用IP路由功能（部分型号默认已启用）

2. 静态路由配置
   当网络结构简单或需指定下一跳时，使用静态路由：

   ip route-static 192.168.2.0 255.255.255.0 10.1.1.2  # 目标网段 掩码 下一跳地址
   ip route-static 0.0.0.0 0.0.0.0 10.1.1.254  # 配置默认路由（出口网关）

3. 动态路由协议配置

   • OSPF配置（适用于中大型网络，基于链路状态）：

     ospf 1  # 启动OSPF进程1
     area 0  # 进入骨干区域0
     network 10.1.1.0 0.0.0.255 area 0  # 宣告直连网段（反掩码表示）

   • RIP配置（适用于小型网络，基于距离矢量）：

     rip  # 启动RIP进程
     version 2  # 使用RIP v2（支持VLSM、认证）
     network 10.1.1.0  # 宣告直连网段
     no auto-summary  # 关闭自动汇总（v2默认关闭）

安全策略配置

通过ACL（访问控制列表）和端口安全，可限制非法访问，提升网络安全性。

1. 标准ACL配置（基于源IP地址控制）

   acl number 2000  # 创建标准ACL编号2000（范围1-99、1300-1999）
   rule deny source 192.168.1.100 0  # 拒绝源IP为192.168.1.100的流量
   rule permit  # 允许其他所有流量（ACL默认隐含deny any）

   将ACL应用在接口上（方向需明确）：

   interface vlan-interface 10
   traffic-filter inbound acl 2000  # 在入方向应用ACL

2. 扩展ACL配置（基于源/目的IP、端口等）

   acl number 3000  # 扩展ACL编号3000（范围100-199、2000-2699）
   rule deny tcp source 192.168.1.0 0.0.0.255 destination 10.1.1.0 0.0.0.255 destination-port eq 80  # 拒绝VLAN1访问VLAN10的HTTP服务
   rule permit ip  # 允许其他IP流量

3. 端口安全配置
   限制接口下的MAC地址数量，防止MAC地址泛洪攻击：

   interface gigabitethernet 1/0/1
   port security  # 启用端口安全
   port security max-mac-count 2  # 最大允许2个MAC地址
   port security action shutdown  # 超限后关闭端口（可选：protect丢弃、restrict报警）

路由协议与高级功能

1. VRRP（虚拟路由冗余协议）
   实现网关冗余，避免单点故障：

   interface vlan-interface 10
   vrrp vrid 1 virtual-ip 10.1.1.254  # 创建VRRP组1，虚拟IP为10.1.1.254
   vrrp vrid 1 priority 120  # 设置优先级（默认100，数值越大优先级越高）
   vrrp vrid 1 preempt-mode  # 启用抢占模式（主设备恢复后抢占主角色）

2. DHCP服务配置
   为终端自动分配IP地址：

   dhcp pool VLAN10  # 创建地址池VLAN10
   network 10.1.1.0 255.255.255.0  # 可分配网段
   gateway-list 10.1.1.1  # 网关地址
   dns-server 8.8.8.8 114.114.114.114  # DNS服务器
   interface vlan-interface 10
   dhcp select global  # 在接口上启用全局地址池

维护与调试命令

1. 基础查看命令

   display current-configuration  # 查看当前生效的配置
   display saved-configuration  # 查看保存的配置
   display ip routing-table  # 查看路由表
   display vlan  # 查看VLAN配置
   display interface  # 查看所有接口状态
   display mac-address  # 查看MAC地址表

2. 调试与故障排查

   ping 10.1.1.2  # 测试网络连通性
   tracert 10.1.1.2  # 路由跟踪（查看路径）
   debugging ospf packet  # 开启OSPF调试（慎用，影响性能）
   reset saved-configuration  # 清空保存的配置（重启前操作）
   reboot  # 重启设备

相关问答FAQs

Q1: 中兴三层交换机配置VLAN间路由不通，如何排查？
A: 可按以下步骤排查：

1. 检查VLAN是否已创建，端口是否正确加入VLAN（display vlan查看）；
2. 确认VLAN接口（SVI）是否已配置IP地址并启用（display interface vlan-interface 10查看状态）；
3. 检查设备是否开启IP路由功能（display ip routing查看）；
4. 验证ACL是否拦截流量（display acl及应用接口配置）；
5. 使用ping测试直连网关，tracert跟踪跨网段路径，定位故障点。

Q2: 如何配置中兴交换机实现SSH远程登录？
A: 配置步骤如下：

1. 生成RSA密钥对（SSH加密依赖）：

   public-key local create rsa

2. 配置VTY用户界面：

   user-interface vty 0 4
   authentication-mode scheme
   protocol inbound ssh
   user privilege level 15

3. 创建本地用户并设置密码：

   local-user admin
   password cipher Admin@123
   service-type ssh
   authorization-attribute level 15

4. 确保管理IP已配置（如VLAN1接口），防火墙未放行SSH端口（默认22）,即可通过SSH客户端登录。