Cisco 三层交换机划分VLan与普通路由器连接配置

根据一些中小企业的一些业务需求，设计一套方案：

计划目标：针对不同部门划分不同的VLAN，前期满足能够同时上网的需求，后期需要能够隔离不同部门的资源访问(本次配置操作不涉及)。

因之前未接触CISCO交换机，在参考了网上众多配置后，发现该交换机部分命令和服务并不支持，比如DHCP Server 。所以配置过程以Console 为主，Web界面为辅的方式进行。

配置过程：

1.更改交换机工作模式

交换机自身带有Web界面，英文版，不熟悉的可以通过官方下载固件版本对应的中文语言包进行切换，默认IP地址 192.168.1.254 用户名密码均为cisco 首次登陆后需要修改密码，在管理中将工作模式更改为三层模式，然后重启。

2.为交换机划分VLAN

交换机默认所有端口均属于VLAN1，分别建立 vlan 10 , vlan 20 , vlan 30 。在WEB界面中可以直接配置，但实际操作却发现点击确定提交后，网络会断开，最后还是得以Console 串口线配置。命令如下:

# conf t  //进入配置模式

# vlan 10

# vlan 20

# vlan 30  //分别创建3个VLAN

# exit  //退出配置.

3.配置基于端口的VLAN (Port to VLAN),即多个端口同属于一个VLAN，以便直接接入PC.

规划示例：

VLAN 标示  物理端口  VLAN网关

vlan 10  gi2-10  192.168.1.1

vlan 20  gi11-30  192.168.2.1

vlan 30  gi31-52  192.168.3.1

先给每个Vlan 指定网关IP.命令如下

# interface vlan 10

# ip address 192.168.1.1  255.255.255.0

# exit

# interface vlan 20

# ip address 192.168.2.1 255.255.255.0

# exit

# interface vlan 30

# ip address 192.168.3.1 255.255.255.0

# exit

指定物理端口范围，并加入到对应Vlan

# interface range gi2-10  //指定vlan 10 端口范围, gi 为物理端口号

# switchport mode access  //指定端口工作模式，连接PC为 access

# switchport access vlan 10  //将指定端口划分为 vlan 10

# exit

# interface range gi11-20

# switchport mode access

# switchport access vlan 20

# exit

# interface range gi21-52

# switchport mode access

# switchport access vlan 30

# exit

//以下这一步有二种方法：

方法1、为交换机默认的vlan1 添加网关，用于连接路由器（前面的操作并未指定gi1 端口，默认它属于vlan 1 ）

# interface vlan 1

# ip address 192.168.0.2 255.255.255.0

# exit

方法2：# interface  gi1

# no switch port

# IP address  192.168.0.2 255.255.255.0     /使用no switchport 设置为三层接口/

添加一条默认路由规则，指向路由器IP 192.168.0.1

# conf t

# ip route 0.0.0.0 0.0.0.0 192.168.0.1

# exit

将当前配置的运行参数写入到启动配置文件中

# copy running-config startup-config

完成后分别在 VLAN 10，20，30 对应的端口连接上PC，并配置网卡IP地址 192.168.1.x/2.x/3.x 网关为 192.168.1.1/2.1/3.1  能够ping通对方IP和vlan 网关即表示成功.

普通路由器的配置.

常用的路由器TP-link,磊科，腾达，都可以配置静态路由，分别添加3条规则并指向三层交换机默认vlan1 所配置的网关，有ARP攻击防御和内网病毒防御功能的需要关闭。

目的地址  掩码  网关

192.168.1.0  255.255.255.0  192.168.0.2

192.168.2.0  255.255.255.0  192.168.0.2

192.168.3.0  255.255.255.0  192.168.0.2

注意：以上三条路由可合成一条路由即：192.168.0.0 255.255.0.0 192.168.0.2

完成后，保存路由器配置，并重启，将LAN口接入SG300-52 的gi1 端口，再配置每台PC的DNS服务器地址，即可满足每个vlan 中的PC上网

DHCP 服务器的配置

因 SG300系列交换机不支持 DHCP Server ,但支持DHCP中继，要使用DHCP还得单独使用一台PC安装DHCP服务端，并分别配置3个DHCP网段，在然后在交换机DHCP中继中填写DHCP Server 的IP即可正常工作。DHCP服务器IP不能使用默认VLAN1的IP段，只能使用VLAN10，20，30段内任意一个即可。

经验总结

在未配置三层交换机之前，也曾大致了解过配置方法，无非划分VLAN，做ACL规则，配置上行接口，将路由指向该接口。但实际操作起来还是稍有难度，如IOS了解不足，缺少一些命令，可能是SMB机型精简的缘故,

但好在IOS还是提供了命令后加上? 来提供命令描述。网上参考文章大多是CISCO三层搭配CISCO路由器使用，很少有和普通路由器搭配的，千篇一律的都是将某个物理端口分配一个固定IP，使用no switchport 设置为三层接口，用于和上层路由器连接，实际操作中却行不通，只需要将路由器所在的IP单独划分一个网段，默认的VLAN1中即可。