你公司网络是不是一到下午就卡成PPT？50台电脑抢IP地址抢到打起来？​​罪魁祸首可能就是用了普通交换机！​​ 今天手把手教你玩转三层交换机，保管让你的企业网从村道变高速！

---

第一步：开机别急着插网线

很多新手抄起网线就怼，结果把设备搞成砖头。​​正确姿势是先做三件事​​：

1. 用console线连电脑（就是那个蓝色扁口）
2. 打开SecureCRT选串口模式（波特率选9600）
3. 看到\"Press RETURN to get started\"赶紧敲回车

去年有个哥们把华为S5700当二层交换机用，VLAN都没划，200人公司共用192.168.1.x网段，结果每天上演\"IP争夺战\"。后来重新规划了三个网段：

• 192.168.10.0/24给办公电脑
• 192.168.20.0/24给无线设备
• 192.168.30.0/24给服务器

核心操作：VLAN划分就像分部门

假设你是行政部的王主任，肯定不想让销售部看到你们的薪资文件。​​VLAN就是这个道理​​：

1. 进系统视图打\"system-view\"
2. 创建VLAN：vlan 10（给行政部）
3. 改接口模式：port link-type access
4. 绑定端口：port default vlan 10

这里有个坑要注意：​​trunk口不配置会阻断VLAN通信​​！记得在连接路由器的端口上打：
port link-type trunk
port trunk allow-pass vlan all

路由配置才是重头戏

三层交换机最牛的功能就是​​既当交换机又当路由器​​。给财务部单独配静态路由的操作：
ip route-static 10.10.10.0 255.255.255.0 192.168.10.254
这串代码的意思是：去往10.10.10.0网段的数据，都扔给192.168.10.254这个网关

建议新手先从静态路由玩起，等摸清门道再上OSPF。上周帮朋友公司配了OSPF，30台设备自动学习路由表，网管每天能少干2小时活！

安全设置别当摆设

见过最离谱的案例：某公司三层交换机开着telnet，密码是admin，被黑产扫到后当成肉鸡挖矿。​​必做的安全三板斧​​：

1. 关telnet开ssh：user-interface vty 0 4 → protocol inbound ssh
2. 设复杂密码：local-user admin password irreversible-cipher Abcd@2023
3. 开ACL限制访问：acl 3000 → rule deny ip source any

还有个隐藏技巧：​​端口安全绑定MAC地址​​。在接口视图下输入：
port-security enable
port-security mac-address sticky
这样就算有人私接路由器，设备会自动断连并告警

故障排查神器命令

当你抓狂时，记住这三条救命指令：

1. display ip routing-table → 看路由表有没有漏网之鱼
2. display arp → 查IP和MAC对应关系，揪出ARP病毒
3. display interface brief → 秒看哪个端口宕机了

上个月遇到个灵异事件：某端口反复up/down。最后发现是​​协商模式不匹配​​，在接口视图下打：
negotiation auto（自适应）
speed 100（强制百兆）
duplex full（全双工）
三选一总能治好抽风病

搞网络十年，给三百多家企业配过交换机，最大的心得是：​​三层交换机不是路由器替代品，而是网络架构师的神笔​​！最近发现个新趋势——用SDN控制器管理多台三层交换机，像玩《红色警戒》一样拖拽配置。不过对小白来说，先把基础玩溜才是王道。下次见着三层交换机别再腿软，照着这三步走，保你从菜鸟变大神！