三层交换机如何划分VLAN？

三层交换机通过在VLAN虚接口（SVI）上配置IP地址作为网关，结合端口模式设定与VLAN成员划分，实现逻辑隔离与三层互通。它不依赖外部路由器即可完成跨VLAN路由转发，核心在于为每个VLAN创建独立的虚拟三层接口，并为其分配唯一子网网关地址；端口需按角色明确配置为Access（接入终端）、Trunk（承载多VLAN流量）或Hybrid模式，确保数据帧携带正确VLAN标签；实际部署中，还需同步规划子网掩码（推荐24位）、启用DHCP服务或静态路由策略，以支撑终端自动获取地址及回程路径可达。这一机制已在华为S5700、H3C系列等主流设备中经eNSP仿真与现网验证，符合IEEE 802.1Q标准与厂商官方配置规范。

一、创建VLAN并分配端口成员

首先在全局配置模式下使用命令创建VLAN，例如“vlan 10”“vlan 20”，随后进入对应物理接口视图，将下行连接PC或IP电话的端口配置为Access模式，并执行“port access vlan 10”指令将其绑定至指定VLAN。对于H3C设备，可批量配置如“interface range GigabitEthernet 1/0/1 to 1/0/8”，再统一加入VLAN 10；华为设备则支持通过端口组简化操作。务必避免将未规划端口保留在默认VLAN 1中，以防管理流量与业务流量混杂。

二、配置VLAN虚接口（SVI）并设置网关地址

为每个已创建VLAN启用三层接口，输入“interface Vlan-interface 10”，接着配置IP地址与子网掩码，例如“ip address 192.168.10.1 255.255.255.0”。此处必须采用24位掩码以保障终端地址段规整，便于后续DHCP池划分与ACL策略部署。所有VLAN接口需处于up状态，可通过“display ip interface brief”验证其协议状态及IP可达性，确保三层转发引擎已激活对应路由条目。

三、配置Trunk链路与VLAN透传规则

上行连接核心网络或防火墙的端口须设为Trunk模式，执行“port link-type trunk”，再使用“port trunk allow-pass vlan 10 20 30”明确放行所需VLAN。禁止使用“allow-pass vlan all”，以防未知VLAN泛洪带来安全隐患。若对接路由器，还需确认对端同样启用802.1Q封装，并匹配本征VLAN（PVID）设置，避免标签剥离异常导致通信中断。

四、启用DHCP服务并划分地址池

在交换机上启用DHCP全局功能后，为各VLAN创建独立地址池，例如针对VLAN 10配置“dhcp server ip-pool vlan10”，指定网段为192.168.10.100～192.168.10.200，排除网关与保留地址，同时设置dns-list和gateway-list指向本VLAN虚接口IP。完成配置后执行“dhcp enable”，终端即可自动获取IP、掩码、网关及DNS，无需手工干预。

五、验证与连通性测试

使用ping命令分别测试同VLAN内互通（如PC1 ping PC2）、跨VLAN互通（PC1 ping PC3）、以及网关响应（PC1 ping 192.168.10.1）。进一步通过“display vlan”“display ip routing-table”确认VLAN成员关系与直连路由是否存在。若出现跨VLAN不通，优先检查SVI状态、Trunk允许列表及终端网关设置是否一致。

综上，三层交换机VLAN划分是一项标准化、可复现的网络基础工程，关键在于配置顺序严谨、参数匹配准确、验证手段完整。