三层交换机VLAN配置实例详解怎么划分VLAN？

三层交换机划分VLAN，本质是通过逻辑隔离广播域实现网络分段与策略管控。具体操作需依循“创建VLAN→分配端口→配置SVI接口→启用三层路由”的标准流程：例如在华为S5700或H3C S6850等主流设备上，可先创建VLAN 10与VLAN 20，再将指定物理端口以Access模式分别加入对应VLAN；随后为每个VLAN配置SVI接口（如Vlanif10地址设为192.168.1.1/24），该地址即作为该子网默认网关；当需跨VLAN通信时，三层交换机自动启用内部路由功能，无需外接路由器。实际部署中，还需结合端口类型（Access/Trunk/Hybrid）、IP地址规划、静态路由或ACL策略协同配置，确保隔离性与连通性按需达成。

一、创建VLAN并规范命名与编号

首先需进入交换机系统视图，使用vlan命令批量或逐个创建VLAN。例如在H3C设备中执行“vlan 10 to 20”可一次性建立VLAN 10至20；华为设备则常用“vlan batch 10 20”实现相同效果。建议遵循企业网络规划惯例：业务VLAN从10起始递增，管理VLAN固定为99，语音VLAN设为100，避免使用默认VLAN 1承载用户流量。每个VLAN应配置描述信息，如“description Finance_Department”，便于后期运维识别。创建后务必通过display vlan brief命令验证VLAN状态及成员端口列表，确保无遗漏或误配。

二、端口划分与模式配置

根据终端接入类型选择端口模式：接入层PC或打印机统一配置为Access端口，并指定PVID（如port access vlan 10）；若需上联至另一台交换机或路由器，则必须将对应端口设为Trunk模式，允许特定VLAN通过，例如“port trunk allow-pass vlan 10 20 40”。特别注意Hybrid端口适用于复杂场景，如同一端口需同时承载多个VLAN的未标记流量（如监控摄像头）和标记流量（如IP电话）。所有端口配置完成后，须用display port vlan命令确认实际归属关系。

三、SVI接口配置与三层路由启用

为实现VLAN间通信，必须为每个业务VLAN创建对应的SVI接口（即Vlanif逻辑接口），并分配唯一网关IP地址。例如Vlanif10配置为192.168.1.1/24，Vlanif20为192.168.2.1/24。该步骤在华为设备中通过interface Vlanif10 → ip address 192.168.1.1 255.255.255.0完成；H3C设备语法类似。配置完毕后，三层交换机自动启用本地路由表，无需额外开启路由功能（部分老型号需执行ip routing-enable）。可通过display ip routing-table查看直连路由条目是否生成。

四、策略强化与连通性验证

若需限制VLAN互访，应在SVI接口下应用ACL规则，例如拒绝VLAN20访问VLAN10子网（rule deny ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255）。最后使用ping、tracert及display arp命令交叉验证：同VLAN内PC能互通，跨VLAN通信经SVI接口转发成功，ARP表中存在对应网关MAC映射。全部测试通过后执行save命令永久保存配置。

综上，VLAN划分不是孤立操作，而是涵盖规划、配置、验证、加固的闭环工程。