Cisco三层交换机网络配置方案二vlan设置此处的实验划分了3个vlan，一个服务器组，一个子站的主环形通道，一个子站的备环形通道。

如果有多个环形通道，按照文章中的主备环形通道的配置方法增加配置即可。

本片文章是以Cisco 3560编写的，配置3750与3560不一样的地方会在每一部分的开头标出，如果没有标出就是两种交换机的配置方法是一样的。

如果配置的是3750(或者其他型号的可堆叠Cisco交换机)，请先参阅4.6。

2.1 进入配置模式2.1.1 进入特权模式Switch>en如图6所示。

图 62.1.2 进入配置模式Switch#configure terminal如图7所示。

hou图7进入配置模式后就可以开始划分vlan了(关于“模式”的解释请查阅4.2)。

2.2 划分vlan2.2.1 配置交换机的名称Switch(config)#hostname switch1如图8所示。

图82.2.2 划分3个vlanswitch1(config)#vlan 10 !全局配置模式下进入vlan模式并创建vlan10 switch1(config-vlan)#name commmaster !把vlan10命名为commmasterswitch1(config-vlan)#vlan 20 !vlan模式下创建vlan20switch1(config-vlan)#name commbak !把vlan20命名为commbakswitch1(config-vlan)#vlan 30 !vlan模式下创建vlan30switch1(config-vlan)# name server !把vlan30命名为serverswitch1naswitch1(config)#如图9所示。

图92.2.3 分配端口3560端口1的名称是g0/1,3750堆叠后交换机1的端口1名称是Gi1/0/1。

交换机端口的名字是什么可在特权模式(即switch1#)下用sh vlan brief查看。

2.2.3中的命令是在3560下做的测试。

gi1/0/21-22switch1(config)#interface range g0/1-2 !进入一组端口g0/1-2switch1(config-if-range)#switchport mode access !配置这组端口的模式为接入模式(可省略)switch1(config-if-range)#switchport access vlan 10 !把该组端口接入到vlan10switch1(config-if-range)#interface range g0/23-24 !同上switch1(config-if-range)#switchport mode accessswitch1(config-if-range)#switchport access vlan 20switch1(config-if-range)#interface range g0/13-14switch1(config-if-range)#switchport mode accessswitch1(config-if-range)#switchport access vlan 30switch1(config-if-range)#exitswitch1(config)# !退回到全局配置模式如图10所示。

图10备注：如果想把交换机的g0/1端口分配给多个vlan，比如分给配vlan 10，vlan 20，valn 30，那么必须将g0/1端口设置为trunk。

步骤解析1、switch1(config)#interface range g0/1 !是进入要分配的端口2、switchport trunk encapsulation dot1q !是将gi1/0/11封装成trunk,必须先封装；3、switchport mode trunk !是将g0/1端口模式改为trunk模式4、switchport trunk allowed vlan 10,20,30 !是指将g0/1端口同时分配给vlan 10，vlan 20，vlan30这时，这g0/1端口，可以供vlan 10，vlan 20，vlan30三个网段同时使用了。

回到“特权模式”可用show run可进行全局配置查看扩展：switchport为交换接口No switchport 即为非交换接口2.3.4 设置网关为每个vlan设置网关，划分网段。

子站RTU或者主站计算机配置上所属vlan 的子网IP、网关，启动路由后即可进行主站与子站之间的通信。

switch1(config)#interface vlan 10 !进入SVI端口vlan 10(关于“SVI”，请查阅4.3) 如果给端口分配IP，进入端口int gi0/1;改变端口模式no switchport；然后可配置IP。

switch1(config-if)#ip address 10.202.31.1 255.255.255.0 !设置vlan 10的端口网关、子网掩码switch1(config-if)#no shutdown !将该端口激活switch1(config-if)#interface vlan 20 !同上switch1(config-if)#ip address 10.202.32.1 255.255.255.0switch1(config-if)#no shutdownswitch1(config-if)#interface vlan 30switch1(config-if)#ip address 192.168.1.1 255.255.255.0switch1(config-if)#no shutdownswitch1(config-if)#exit !退回到全局配置模式switch1(config)#ip routing !启动路由功能Switch1(config)#如图11所示。

图112.3.5 设置ACL公司项目的需求：各个子站之间不能相互访问，主站与各个子站之间可以相互访问。

那么这就需要设置访问控制列表(Access Control List)。

为vlan 10 设置访问控制列表，vlan 10里的RTU只允许与192.168.1.0(即服务器组的主机)网段的主机通信。

switch1(config)#access-list 110 permit ip 10.202.31.0 0.0.0.255 10.10.1.0 0.0.0.255!10.202.31.0是源地址网段，192 .168.1.0是目的地址网段。

0.0.0.255是反向掩码，是掩码的取反。

access-list 107 permit ip 10.202.107.0 0.0.0.255 10.10.1.0 0.0.0.255switch1(config)#access-list 110 deny ip 10.202.31.0 0.0.0.255 anyswitch1(config)#interface vlan 10 (如果接入端口，则int gi0/1)swith1(config-if)#ip access-group 110 inswitch1(config-if)#exitswitch1(config)#同上，为vlan 20 设置访问控制列表。

switch1(config)#access-list 120 permit ip 10.202.32.0 0.0.0.255 192.168.1.0 0.0.0.255switch1(config)#access-list 120 deny ip 10.202.32.0 0.0.0.255 anyswitch1(config)#interface vlan 20swith1(config-if)#ip access-group 120 inswitch1(config-if)#exitswitch1(config)#exitswitch1#访问控列表的序号取值的范围查阅4.4。

vlan之间的通信默认都是允许的，服务器组(位于vlan 30中)需要允许各子站访问，所以不需要为vlan 30设置访问控制列表。

对vlan 10、vlan20的设置如图12所示。

图12最后需要对做的配置信息保存。

switch1#write保存配置，在没输入该命令，Cisco设备是不保存配置的，如果设备重启，期间所做的配置将不会生效。

如图13。

图13至此对vlan的设置已经完成。

如果配置过程中，由于某种原因需要删除，以重新配置请参阅4.5。

如果遇到：server可以拼通自己的网关（如只能拼通自己192.168.1.1，其余子站拼不通），而其余子站VLAN也不可用（拼不通自己网关），说明ACL 设置有问题，删除之前的ACL，重新设置。

2.3 显示设置的效果2.3.1 显示vlanswitch1#show vlan brief如图14示。

图142.3.2 显示路由switch1#show ip route如图15所示。

（交换机端口接设备后，才会显示对应VLAN的路由）图152.3.3 显示访问控制列表switch1#show access-list如图16所示。

图162.3.4显示全局配置show run可查看所有配置，包括trunk.三测试准备一台三层交换机，两个傻瓜交换机(即不可配置的两层交换机)，3台计算机，网线7根。

在交换机上，服务器组(vlan 30)的端口有13、14，选择一根网线、一台计算机。

网线一端插入交换机的13(或14)端口，一端插入一台计算机A(计算机的ip：192.168.1.2，子网掩码255.255.255.0，网关192.168.1.1)。

主环形通道(即vlan 10)的端口有1、2，选择3根网线、一个傻瓜交换机、一台计算机。

两根网线的一端分别插入交换机的端口1、端口2，另外一端分别插到傻瓜交换机上。

选择一根网线，一端插入傻瓜交换机，另一端插入计算机B(计算机的ip：10.202.31.2，子网掩码：255.255.255.0，网关：10.202.31.1)。

备环形通道(即vlan 20)的端口有23、24，选择3根网线、一个傻瓜交换机、一台计算机。

两根网线的一端分别插入端口23、端口24，另外一端插到傻瓜交换机上。

另一根网线一端插入傻瓜交换机，其余一端插入计算机C(计算机ip：10.202.32.1，子网掩码：255.255.255.0，网关：10.202.32.1)。

3.1 在服务器上ping子站ping计算机B，如图17所示。