三层交换机怎么分配IP才合理？

三层交换机合理分配IP的核心在于“按VLAN分网段、以SVI设网关、用DHCP统管理”。它并非为物理接口配置地址，而是为每个VLAN创建唯一的SVI虚拟接口并赋予对应子网的网关IP，例如VLAN 10使用192.168.10.1/24，VLAN 20则采用192.168.20.1/24，确保各子网地址空间互不重叠；所有接入终端必须严格匹配所属VLAN的子网范围，并通过集中式DHCP服务器按VLAN划分作用域，同时排除网关、服务器及网络设备等固定地址；全网还需启用IP路由功能并校验ARP绑定状态，最终通过跨VLAN互通测试验证逻辑隔离与通信能力的双重达成。

一、VLAN划分与端口归属必须前置完成

在配置IP前，需先明确业务逻辑边界，按部门、楼层或功能划分VLAN。例如行政部划入VLAN 10，技术部划入VLAN 20，服务器区划入VLAN 100。使用vlan batch 10 20 100命令批量创建，再通过interface GigabitEthernet 0/0/1进入接入端口，执行port link-type access与port default vlan 10完成终端侧绑定；上联至核心层的端口则需设为Trunk模式，执行port link-type trunk与port trunk allow-pass vlan 10 20 100，确保多VLAN流量可跨设备透传。此步骤若遗漏或错配，后续SVI地址将无法生效。

二、SVI接口配置须严格遵循子网规划

进入全局配置后，依次执行interface Vlanif 10、ip address 192.168.10.1 255.255.255.0、undo shutdown启用VLAN 10网关；同理配置Vlanif 20地址为192.168.20.1/24，Vlanif 100为192.168.100.1/24。关键点在于：所有SVI子网掩码必须统一为/24（或按实际需求采用/25-/27），且各网段起始地址不得相邻（如避免192.168.10.0/24与192.168.11.0/24紧邻），预留至少一个完整子网间隔以利后期扩展。配置完成后，务必执行display ip interface brief核验状态为up且协议为up。

三、DHCP服务需分VLAN精细化部署

在三层交换机上启用DHCP全局功能后，为每个VLAN单独建立地址池。以VLAN 20为例：dhcp enable，ip pool vlan20，network 192.168.20.0 mask 255.255.255.0，gateway-list 192.168.20.1，excluded-ip-address 192.168.20.1 192.168.20.10——该排除段涵盖网关、打印机、监控NVR等固定设备地址。同时，在对应VLANIF接口下执行dhcp select global，使终端获取地址时自动关联正确池体。严禁在任意接入层无线路由器上开启DHCP，否则将引发地址冲突与网关劫持。

四、路由与安全机制必须同步启用

执行ip routing-enable全局启用三层路由功能，否则VLAN间仅能单向通信或完全中断。随后配置静态ARP绑定：arp static 192.168.10.1 0000-1111-2222（对应VLAN 10网关MAC），并批量生成未分配地址的虚拟绑定条目，防止ARP欺骗。最后执行逐项验证：同一VLAN内两台PC互ping通；VLAN 10终端ping通VLAN 20网关192.168.20.1；跨楼层终端（如一层VLAN 10与三层VLAN 20）双向互通，丢包率为零。

综上，IP分配合理性的本质是规划先行、配置闭环、验证到位。