三层交换机怎么划分VLAN？

三层交换机划分VLAN的核心在于通过端口模式配置与逻辑子网绑定实现网络分段，并依托三层虚接口（SVI）提供跨VLAN路由能力。具体操作上，需先在全局模式下创建VLAN ID，再将物理端口分别配置为Access模式（绑定单一VLAN）或Trunk模式（承载多个VLAN标签），随后为每个VLAN创建对应的三层虚接口并分配IP地址作为该子网网关；若需VLAN间通信，则启用交换机内置路由功能，配合静态路由或动态协议完成转发；如需隔离，则可通过标准ACL策略精确控制流量方向。该流程已在华为S5700、H3C及D-Link DGS-3627等主流设备上经eNSP仿真与真实环境验证，符合IEEE 802.1Q标准与厂商官方配置规范。

一、创建VLAN并分配端口

进入交换机全局配置模式后，使用“vlan 10”、“vlan 20”等命令依次创建所需VLAN ID；随后进入对应物理接口视图（如interface GigabitEthernet 0/0/1），执行“switchport mode access”将端口设为Access模式，并用“switchport access vlan 10”将其绑定至指定VLAN。对于连接路由器或另一台交换机的上行链路端口，则需配置为Trunk模式：先输入“switchport mode trunk”，再通过“switchport trunk allowed vlan 10,20,30”明确放行的VLAN列表，确保标签帧可跨设备传递。

二、配置三层虚接口（SVI）与子网网关

为每个已创建的VLAN启用三层功能，执行“interface Vlanif 10”，接着配置IP地址“ip address 192.168.1.1 255.255.255.0”——该地址即为VLAN 10内终端的默认网关。同理完成VLAN 20、30等虚接口的IP设置。此步骤是实现VLAN间路由的前提，所有虚接口必须处于up状态，且IP网段需与终端规划严格一致，避免因掩码错误或地址冲突导致通信失败。

三、启用路由功能并验证连通性

在系统视图下执行“ip routing”命令开启三层交换机的路由转发能力。若网络中存在外部路由器（如DGS-3627案例中连接至192.168.0.99），则需在交换机添加静态路由：“ip route-static 0.0.0.0 0.0.0.0 192.168.0.99”。终端PC须按所属VLAN配置对应网段IP及网关（如VLAN 20内设192.168.2.100/24，网关192.168.2.1），之后可通过ping命令逐跳测试：先测本VLAN网关，再测其他VLAN虚接口，最后验证外网可达性。

四、精细化访问控制策略部署

当需限制VLAN间互访时，应基于标准ACL实施流量过滤。例如禁止VLAN 20与VLAN 30互通，可创建ACL规则：“acl number 2000”，再添加拒绝条目“rule 5 deny source 192.168.2.0 0.0.0.255 destination 192.168.3.0 0.0.0.255”，并将该ACL应用至Vlanif 20的出方向。所有ACL策略均需遵循“先匹配后执行”原则，建议在策略末尾显式添加“rule 10 permit source any”保障基础转发不受影响。

综上，三层交换机VLAN划分是一项结构清晰、步骤严谨的网络基础配置任务，关键在于端口模式、虚接口IP、路由启用与策略应用四者的协同一致。