本文主要讲解TP三层交换的配置方法:

一确定用户需求

例如某公司现有3个部门，销售部42名员工，研发部18名员工，财务部18名员工，5台内网服务器，一条外网线路。几个部门之间可以分别灵活的设置相应的网络权限。

二制定网络规划

根据用户需求，销售部员工较多，使用一台48口二层网管交换机做为接入交换机，研发部和财务部，各分别用一台24口二层网管交换机作为接入交换机，各个部分分网段进行管理，核心交换机使用带有静态路由功能的三层交换机，服务器和外网线路直接接在核心交换机上。

三层交换机端口划分：

销售部门：1-3号端口（1号口接48口交换机，其他2个口备用）

研发部门：4-6号端口（4号口接24口交换机，其他2个口备用）

财务部门：7-9号端口（7号口接24口交换机，其他2个口备用）

服务器群：10-19号端口（10-14号口接服务器，其他5个接口备用）

外网线路：20-24号端口（20号口接外网，其他4个接口备用）

IP地址分配：

销售部门：172.16.1.0/24

研发部门：172.16.0.0/24

财务部门：172.16.2.0/24

服务器群：172.16.3.0/24

路由器：192.168.1.0/24

拓扑图

三 配置交换机

1：划分VLAN

网线接三层交换机24口，设置电脑静态IP192.168.0.*(*为2-254）进入管理页面192.168.0.1—>VLAN—>802.1Q VLAN

根据上文规划划分VLAN：

VLAN1为Default VLAN 不动它；

VLAN2：1-3号端口（销售部门）

VLAN3：4-6号端口（研发部门）

VLAN4：7-9号端口（财务部门）

VLAN5：10-19号端口（服务器群）

VLAN6：20-23号端口（外网线路）

注意：电脑接在24号口进行管理，暂时不对24号口划分VLAN，后面在单独对这个口进行划分，否则会造成电脑管理不了交换机。

2：配置VLAN接口IP

进入管理界面—>路由功能—>静态路由—>接口管理

根据上文规划设置VLAN接口IP：

VLAN1为Default VLAN 不动它；

VLAN2：172.16.1.1 掩码 255.255.255.0（销售部门）

VLAN3：172.16.0.1 掩码 255.255.255.0（研发部门）

VLAN4：172.16.2.1 掩码 255.255.255.0（财务部门）

VLAN5：172.16.3.1 掩码 255.255.255.0（服务器群）

VLAN6：192.168.1.2 掩码 255.255.255.0（外网线路）

3：配置24号接口

将管理PC的IP设置为172.16.0.20，接在VLAN3中，使用172.16.0.1管理交换机。

将24号接口划分到VLAN 6中

4：配置外网线路的静态路由

将路由器的LAN口IP设置为192.168.1.1，在交换机上需要设置一条静态路由，表示所有外网IP都向路由器进行转发。

进入管理界面—>路由功能—>静态路由—>静态路由条目

添加条目

目的地址：0.0.0.0 子网掩码：0.0.0.0 下一跳：192.168.1.1

注意：在前端路由器上需要添加数据返回的路由条目

目的地址：172.16.0.0 子网掩码：255.255.255.0 下一跳：192.168.1.2

5：增加ACL规则

研发部门能够访问服务器，但是不能访问销售、财务和外网

需要3条ACL规则：

1、 研发部门允许访问自身

2、 研发部门允许访问服务器

3、 研发部门禁止访问其他

销售部门能够访问服务器和外网，但是不能访问研发和财务部门

需要2条ACL规则：

1、 销售部门禁止访问研发部门

2、 销售部门禁止访问财务部门

财务部门能够访问服务器和外网，但是不能访问研发和销售

需要2条规则：

1、 财务部门禁止访问研发部门

2、 财务部门禁止访问销售部门

5：开启DHCP服务

交换机管理页面—>路由功能—>DHCP服务器—>地址池设置

设置3个地址池

研发部门网络号：172.16.0.0 掩码：255.255.255.0 租期：120 默认网关：172.16.0.1 DNS：

销售部门网络号：172.16.1.0 掩码：255.255.255.0 租期：120 默认网关：172.16.1.1 DNS：

财务部门网络号：172.16.2.0 掩码：255.255.255.0 租期：120 默认网关：172.16.2.1 DNS：

启动DHCP服务器