摘要概述：

        三层交换机通过VLAN间路由实现不同VLAN的通信，其核心在于SVI（交换虚拟接口）的配置。实验演示了如何配置三层交换机实现销售部和客服部（分属VLAN10和VLAN20）的互联互通。三层交换机的优势包括：控制广播风暴、增强安全性、提高网络灵活性，以及支持负载均衡和冗余备份。相比传统单臂路由，三层交换机具有更高的转发效率和带宽利用率，成为现代企业网络的首选方案。

目录

一、VLAN 间路由：原理大揭秘

（一）数据包的奇妙旅程

（二）SVI：连接 VLAN 的桥梁

二、实战演练：手把手教你配置

原理概述

场景复现

拓扑图

设备编址表

实验步骤

1.基本配置

2.配置三层交换机实现VLAN间通信

三、三层交换机的优势

（一）控制广播风暴

（二）增强安全性

（三）提高灵活性和可扩展性

（四）实现负载均衡和冗余备份

四、总结与展望：网络世界任我行

一、VLAN 间路由：原理大揭秘

（一）数据包的奇妙旅程

        要理解三层交换机如何实现 VLAN 间路由，首先得深入了解数据包在其中的传输过程。这就好比我们在城市中寄快递，每个快递都有一个目的地地址（就如同数据包中的 IP 地址） 。当一个处于 VLAN 10 的设备 A 想要向处于 VLAN 20 的设备 B 发送数据时，设备 A 会先检查设备 B 的 IP 地址，发现其与自己不在同一网段。这就像你发现要寄的快递地址不在自己所在的小区，于是你会把快递交给小区门口的快递代收点（这个代收点就相当于设备 A 的默认网关）。

        在网络中，这个默认网关就是三层交换机上对应 VLAN 10 的虚拟接口。三层交换机收到数据包后，会像经验丰富的快递分拣员一样，查看数据包的目标 IP 地址，并在自己的路由表中查找对应的路由信息。路由表就如同一份详细的城市地图，记录着去往各个目的地的最佳路径。通过查找路由表，三层交换机确定了将数据包转发到 VLAN 20 的最佳路径。然后，三层交换机重新封装数据包，将源 MAC 地址改为自己对应 VLAN 20 虚拟接口的 MAC 地址，目标 MAC 地址改为设备 B 的 MAC 地址，再将数据包发送出去 ，这样，数据包就成功地从 VLAN 10 跨越到了 VLAN 20 。

（二）SVI：连接 VLAN 的桥梁

        在这个过程中，SVI（交换虚拟接口）扮演着至关重要的角色。简单来说，SVI 就是为每个 VLAN 在三层交换机上创建的一个虚拟的三层接口。可以把它想象成连接不同 VLAN 的桥梁，每个 VLAN 都有自己专属的桥梁与其他 VLAN 相连。当我们为 VLAN 10 创建 SVI 并配置 IP 地址 192.168.10.1/24 后，这个 IP 地址就成为了 VLAN 10 内所有设备的默认网关。同理，为 VLAN 20 创建的 SVI 配置 IP 地址 192.168.20.1/24，它就是 VLAN 20 设备的默认网关。通过这些 SVI，不同 VLAN 之间就能够实现互联互通，数据可以在它们之间自由传输 。

二、实战演练：手把手教你配置

原理概述

        VLAN将一个物理的LAN在逻辑上划分成多个广播域。VLAN内的主机间可以直接通信，而VLAN间不能直接互通。

        在现实网络中，经常会遇到需要跨VLAN相互访问的情况，工程师通常会选择一些方法来实现不同VLAN间主机的相互访问，例如单臂路由。但是单臂路由技术中由于存在一些局限性，比如带宽、转发效率等，使得这项技术应用较少。

        三层交换机在原有二层交换机的基础之上增加了路由功能，同时由于数据没有像单臂路由那样经过物理线路进行路由，很好地解决了带宽瓶颈的问题，为网络设计提供了一个灵活的解决方案。

        VLANIF接口是基于网络层的接口，可以配置IP地址。借助VLANIF接口，三层交换机就能实现路由转发功能。

场景复现

        本实验模拟企业网络场景。公司有两个部门——销售部和客服部，分别规划使用VLAN10和VLAN20。其中销售部下有两台终端PC-1和PC-2,客服部下有一台终端PC-3。所有终端都通过核心三层交换机S1相连。现需要让该公司所有三台主机都能实现互相访问，网络管理员将通过配置三层交换机来实现。

拓扑图

设备编址表

设备	接口	IP地址	子网掩码	网关
PC1	E 0/0/1	192.168.1.1	255.255.255.0	192.168.1.254
PC2	E 0/0/2	192.168.1.2	255.255.255.0	192.168.1.254
PC3	E 0/0/1	192.168.2.1	255.255.255.0	192.168.2.254
SW1	VLANIF 10	192.168.1.254	255.255.255.0	N/A
	VLANIF 20	192.168.2.254	255.255.255.0	N/A

实验步骤

1.基本配置

根据实验编址表在PC上进行相应的基本IP地址配置，三层交换机S1上暂先不做配置。配置完成后，测试销售部两台终端PC-1与PC-2间的连通性。

PC>ping 192.168.1.2
Ping 192.168.1.2: 32 data bytes, Press Ctrl_C to break
From 192.168.1.2: bytes=32 seq=1 ttl=128 time=62 ms
From 192.168.1.2: bytes=32 seq=2 ttl=128 time=47 ms
From 192.168.1.2: bytes=32 seq=3 ttl=128 time=47 ms
From 192.168.1.2: bytes=32 seq=4 ttl=128 time=62 ms
From 192.168.1.2: bytes=32 seq=5 ttl=128 time=47 ms
--- 192.168.1.2 ping statistics ---
  5 packet(s) transmitted
  5 packet(s) received
  0.00% packet loss
  round-trip min/avg/max = 47/53/62 ms

测试销售部PC-1与客服部PC-3间的连通性。

PC>ping 192.168.2.1
Ping 192.168.2.1: 32 data bytes, Press Ctrl_C to break
From 192.168.1.1: Destination host unreachable
From 192.168.1.1: Destination host unreachable
From 192.168.1.1: Destination host unreachable
From 192.168.1.1: Destination host unreachable
From 192.168.1.1: Destination host unreachable
--- 192.168.1.254 ping statistics ---
  5 packet(s) transmitted
  0 packet(s) received
  100.00% packet loss

PC-1与PC-3间无法正常通信，下面简要分析主机PC-1发出数据包，直至反馈目的无法到达的整个过程：

        主机发出数据包前，将会查看数据包中的目的IP地址，如果目的IP地址和本机IP地址在同一个网段上，主机会直接发出一个ARP请求数据包来请求对方主机的MAC地址，封装数据包，继而发送该数据包。但如果目的IP地址与本机IP地址不在同一个网段，那么主机也会发出一个ARP数据包请求网关的MAC地址，收到网关ARP回复后，继而封装数据包后发送。

        所以，销售部主机PC-1在访问192.168.2.1这个IP地址时发现这个目的IP地址与本机IP地址不在同一个IP地址段上，PC-1便会发出ARP数据包请求网关192.168.1.254的MAC地址。但由于交换机没有做任何IP配置，因此没有设备应答该ARP请求，导致销售部主机PC-1无法正常封装数据包，因此无法与客服部PC-3正常通信。

2.配置三层交换机实现VLAN间通信

        通过在交换机上设置不同的VLAN使得主机实现相互隔离。在三层交换机S1上创建VLAN10和VLAN20,把销售部的主机全部划入VLAN10中，客服部的主机划入VLAN20中。

[SW1]interface GigabitEthernet 0/0/1	
[SW1-GigabitEthernet0/0/1]port link-type access 	
[SW1-GigabitEthernet0/0/1]port default vlan 10
[SW1-GigabitEthernet0/0/1]quit
[SW1]interface GigabitEthernet 0/0/2	
[SW1-GigabitEthernet0/0/2]port link-type access 	
[SW1-GigabitEthernet0/0/2]port default vlan 10
[SW1-GigabitEthernet0/0/2]quit
[SW1]interface GigabitEthernet 0/0/3	
[SW1-GigabitEthernet0/0/3]port link-type access 	
[SW1-GigabitEthernet0/0/3]port default vlan 20
[SW1-GigabitEthernet0/0/3]quit

        现在需要通过VLAN间路由来实现通信，在三层交换机上配置VLANIF接口。在S1上使用interface VLANif命令创建VLANIF接口，指定VLANIF接口所对应的VLANID为10，并进入VLANIF接口视图，在接口视图下配置IP地址192.168.1.254/24。再创建对应VLAN20的 VLANIF接口，地址配置为192.168.2.254/24。配置完成后，查看接口状态。

[SW1]interface Vlanif 10
[SW1-Vlanif10]ip address 192.168.1.254 24
[SW1-Vlanif10]quit
[SW1]interface Vlanif 20
[SW1-Vlanif20]ip address 192.168.2.254 24
[SW1-Vlanif20]quit

[SW1]display ip interface brief 
*down: administratively down
^down: standby
(l): loopback
(s): spoofing
The number of interface that is UP in Physical is 3
The number of interface that is DOWN in Physical is 2
The number of interface that is UP in Protocol is 3
The number of interface that is DOWN in Protocol is 2
Interface                         IP Address/Mask      Physical   Protocol  
MEth0/0/1                         unassigned           down       down      
NULL0                             unassigned           up         up(s)     
Vlanif1                           unassigned           down       down      
Vlanif10                          192.168.1.254/24     up         up        
Vlanif20                          192.168.2.254/24     up         up 

可以观察到，两个VLANIF接口已经生效。再次测试PC-1与PC-3间的连通性。

可见通信正常，实现了销售部终端与客服部终端间的通信。

三、三层交换机的优势

在网络世界里，三层交换机就像是一位全能的超级英雄，相较于传统的二层交换机和路由器，有着诸多不可比拟的优势，让它成为实现 VLAN 间路由的首选设备 。

（一）控制广播风暴

        在一个规模较大的网络中，如果没有有效的控制手段，广播风暴就像一场肆虐的暴风雨，会让整个网络陷入瘫痪。广播风暴是指网络中大量的广播数据包在网络中不断循环转发，占用大量的网络带宽和设备资源。而三层交换机划分的 VLAN 就像一个个独立的小房间，每个 VLAN 是一个独立的广播域，广播数据包只能在自己所属的 VLAN 内传播，无法跨越到其他 VLAN 。这样一来，就大大减少了广播数据包对整个网络的影响，确保网络的稳定运行。例如在一个有上千台设备的企业园区网络中，如果不进行 VLAN 划分，一个设备发送的广播数据包可能会传遍整个园区，导致网络拥堵。但通过三层交换机划分 VLAN 后，每个部门的设备处于不同 VLAN，广播数据包就被限制在各个部门的 VLAN 内，网络性能得到了极大提升 。

（二）增强安全性

        安全性是网络建设中至关重要的一环，三层交换机在这方面表现出色。不同 VLAN 之间默认是隔离的，这就像给每个部门都上了一把锁，只有经过授权的设备才能进行通信。同时，通过配置访问控制列表（ACL），可以进一步细化对不同 VLAN 之间流量的控制。比如在企业网络中，通过 ACL 可以设置销售部门的设备只能访问财务部门的特定服务器，而不能随意访问财务部门的其他设备，有效防止了信息泄露和恶意攻击，保护企业的核心数据安全 。

（三）提高灵活性和可扩展性

        随着企业的发展和网络需求的变化，网络的灵活性和可扩展性变得越来越重要。三层交换机就像一个灵活的积木搭建系统，网络管理员可以根据实际需求随时创建、删除或修改 VLAN 。当企业新成立一个项目组时，只需在三层交换机上创建一个新的 VLAN，并将相关设备划分到该 VLAN 中，就可以快速构建一个独立的网络环境，无需对整个网络的拓扑结构进行大规模改动。而且，三层交换机还支持堆叠和集群技术，通过将多个三层交换机连接在一起，可以轻松扩展网络的端口数量和性能，满足企业不断增长的网络需求 。

（四）实现负载均衡和冗余备份

        对于一些对网络稳定性要求极高的企业，如金融机构、电商平台等，负载均衡和冗余备份至关重要。三层交换机可以实现 VLAN 间的负载均衡，就像一位优秀的交通调度员，将网络流量均匀地分配到多个链路或设备上，避免某一条链路或设备因流量过大而出现拥堵或故障。例如，当企业有多个服务器提供相同的服务时，三层交换机可以根据预设的负载均衡算法，将用户的请求均衡地转发到各个服务器上，提高服务器的利用率和响应速度。同时，通过冗余备份技术，当某一台三层交换机出现故障时，其他交换机可以自动接管其工作，确保网络的正常运行，就像有一位替补队员时刻准备上场，保障网络的高可用性 。

四、总结与展望：网络世界任我行

        通过利用三层交换机实现 VLAN 间路由，我们为网络搭建了一座高效、安全、灵活的桥梁。从理解数据包的传输原理到亲手配置三层交换机，每一步都充满了挑战与乐趣 。三层交换机在控制广播风暴、增强安全性、提高灵活性和可扩展性以及实现负载均衡和冗余备份等方面的优势，使其成为现代网络建设中不可或缺的关键设备 。