思科三层交换机配置命令是网络工程中实现路由功能、VLAN间通信以及网络服务部署的核心技能，三层交换机在传统二层交换的基础上增加了路由功能，能够根据IP地址进行数据包转发，适用于企业网络的核心层或汇聚层，以下将从基础配置、VLAN与接口管理、静态路由与动态路由、DHCP服务、ACL访问控制以及NAT地址转换等维度,详细解析常用配置命令及操作逻辑。

基础配置与初始化

在配置三层交换机前，需完成设备初始化，包括设置设备名称、管理IP、登录密码等基础操作，确保设备可被远程管理。

• 进入全局配置模式：

  enable                  # 进入特权模式
  configure terminal       # 进入全局配置模式

• 设置设备名称：

  hostname SW-Core-01      # 将设备名称命名为SW-Core-01

• 配置管理IP地址：三层交换机需通过SVI（交换虚拟接口）或物理接口管理，此处以SVI为例（VLAN 1为默认VLAN）：

  interface vlan 1         # 进入VLAN 1的SVI接口
  ip address 192.168.1.1 255.255.255.0  # 设置管理IP
  no shutdown              # 激活接口

• 设置登录密码：

  enable password Cisco123  # 设置特权模式密码（明文，不推荐）
  enable secret EncryptedPass  # 设置加密特权密码（推荐）
  line console 0           # 进入控制台线路
  password ConsolePass     # 设置控制台登录密码
  login                    # 启用密码验证
  line vty 0 15            # 进入虚拟终端线路（0-15为并发连接数）
  password TelnetPass      # 设置Telnet/SSH登录密码
  login

VLAN与接口配置

VLAN（虚拟局域网）是划分网络广播域的基础，三层交换机需通过SVI接口实现VLAN间路由。

创建VLAN并分配端口

• 创建VLAN：

  vlan 10                  # 创建VLAN 10
  name Sales               # 命名为VLAN Sales
  vlan 20                  # 创建VLAN 20
  name IT                  # 命名为VLAN IT

• 将端口划入VLAN：以FastEthernet0/1为例（假设为接入层连接端口）：

  interface fastethernet 0/1
  switchport mode access   # 设置端口为接入模式
  switchport access vlan 10 # 将端口划入VLAN 10

• 配置Trunk端口（连接其他交换机的端口，允许多VLAN通过）：

  interface gigabitethernet 0/1
  switchport mode trunk    # 设置端口为Trunk模式
  switchport trunk allowed vlan 10,20  # 允许VLAN 10和20通过

配置SVI接口实现VLAN间路由

SVI是VLAN的逻辑接口，需为每个需要路由的VLAN配置IP地址作为网关：

interface vlan 10          # 进入VLAN 10的SVI
ip address 192.168.10.1 255.255.255.0  # 设置VLAN 10网关
no shutdown
interface vlan 20          # 进入VLAN 20的SVI
ip address 192.168.20.1 255.255.255.0  # 设置VLAN 20网关
no shutdown

路由协议配置

三层交换机支持静态路由和动态路由（如RIP、OSPF、EIGRP），用于实现不同网络间的互通。

静态路由配置

静态路由需手动指定目标网络和下一跳地址，适用于小型网络：

ip route 192.168.30.0 255.255.255.0 192.168.20.254  # 目标网络192.168.30.0/24，下一跳192.168.20.254
ip route 0.0.0.0 0.0.0.0 10.1.1.1                    # 默认路由，下一跳10.1.1.1

动态路由配置（以OSPF为例）

OSPF（开放最短路径优先）是常用的内部网关协议（IGP），基于链路状态算法：

router ospf 1              # 启动OSPF进程，进程号为1
router-id 1.1.1.1          # 设置Router ID（必须唯一，通常用Loopback接口IP）
network 192.168.10.0 0.0.0.255 area 0  # 宣告VLAN 10网络属于区域0
network 192.168.20.0 0.0.0.255 area 0  # 宣告VLAN 20网络属于区域0
network 10.1.1.0 0.0.0.3 area 0       # 宣告与路由器直连的10.1.1.0/30网络

• Loopback接口配置（用于Router ID或管理）：

  interface loopback 0
  ip address 1.1.1.1 255.255.255.255

DHCP服务配置

三层交换机可充当DHCP服务器，为客户端自动分配IP地址、子网掩码、网关等参数：

ip dhcp pool VLAN-10       # 创建DHCP地址池VLAN-10
  network 192.168.10.0 255.255.255.0  # 分配网络地址
  default-router 192.168.10.1          # 设置默认网关
  dns-server 8.8.8.8 114.114.114.114   # 设置DNS服务器
  lease 7                                  # 地址租期7天
ip dhcp excluded-address 192.168.10.1 192.168.10.10  # 排除静态IP（1-10保留）

ACL访问控制列表

ACL用于控制数据流的访问权限，基于源/目标IP、端口等条件过滤流量，分为标准ACL（基于IP）和扩展ACL（基于IP、端口等）。

标准ACL示例（允许VLAN 10访问VLAN 20，拒绝其他）

access-list 10 permit 192.168.10.0 0.0.0.255  # 允许VLAN 10网段
access-list 10 deny any                        # 拒绝其他
interface vlan 20                               # 应用到VLAN 20的入方向
  ip access-group 10 in

扩展ACL示例（禁止192.168.10.0访问192.168.20.100的TCP 80端口）

access-list 101 deny tcp 192.168.10.0 0.0.0.255 host 192.168.20.100 eq 80
access-list 101 permit ip any any             # 允许其他流量
interface vlan 20
  ip access-group 101 in

NAT地址转换

NAT用于将私有IP转换为公网IP，实现内网访问互联网，以PAT（端口地址转换）为例：

interface gigabitethernet 0/2  # 假设该接口连接外网（WAN）
ip address 203.0.113.1 255.255.255.0
ip nat outside                 # 标记为外网接口
interface vlan 10              # 内网接口
ip nat inside                  # 标记为内网接口
ip nat pool POOL-203 203.0.113.10 203.0.113.20 netmask 255.255.255.0  # 定义NAT地址池
ip nat inside source list 10 pool POOL-203 overload  # 将ACL 10的流量转换为POOL-203的IP，并启用端口复用

常用监控与维护命令

配置完成后，需通过命令验证功能并排查故障：

show ip route              # 查看路由表
show ip protocols          # 查看路由协议配置
show running-config        # 查看当前配置
show vlan brief            # 查看VLAN信息
show ip dhcp binding       # 查看DHCP地址分配情况
show access-lists          # 查看ACL规则
ping 192.168.10.1         # 测试网络连通性
traceroute 8.8.8.8        # 跟踪路由路径

FAQs

问题1：三层交换机的SVI接口无法ping通，可能的原因及排查步骤？
解答：

1. VLAN存在性检查：使用show vlan brief确认VLAN已创建，否则需重新创建VLAN；
2. 端口状态检查：确认连接该VLAN的物理端口已no shutdown，且模式正确（接入端口需划入对应VLAN）；
3. IP地址配置检查：确认SVI接口IP地址与客户端在同一网段，且no shutdown；
4. 路由检查：若跨VLAN通信，需确认路由表中有对应路由（静态路由或动态路由条目）；
5. ACL或防火墙策略：检查是否存在ACL阻止流量，或接口安全策略（如端口安全）导致MAC地址被阻塞。

问题2：三层交换机配置OSPF后，邻居无法建立，如何排查？
解答：

1. 区域ID一致性：确认双方OSPF区域ID（Area ID）配置一致，不同区域无法建立邻居；
2. Router ID冲突：使用show ip ospf neighbor检查是否有重复Router ID，需通过router-id命令修改为唯一值；
3. 网络类型匹配：确认接口网络类型（如Broadcast、Point-to-Point）一致，以太网默认为Broadcast；
4. Hello/Dead Timer：检查双方Hello间隔和Dead时间是否一致（默认Hello 10s，Dead 40s）；
5. ACL或访问控制：确认是否配置ACL阻止OSPF组播流量（OSPF使用224.0.0.5和224.0.0.6），或接口被shutdown；
6. 物理链路问题：确认接口状态为up/up,链路无CRC错误或丢包。