校园网搭建实战：用Cisco设备从零配置NAT、VLAN与三层交换（附完整命令）

校园网搭建实战：用Cisco设备从零配置NAT、VLAN与三层交换（附完整命令）

对于许多网络工程专业的学生或刚接手学校IT运维的朋友来说，理论课上学到的VLAN、NAT、路由协议，总感觉隔着一层纱。直到你面前摆着几台崭新的Cisco交换机和路由器，看着闪烁的指示灯和空白的命令行界面，那种“从何下手”的茫然感才真正袭来。这篇文章，就是为你准备的。我们不谈空洞的方案设计，而是聚焦于一次真实的“开箱到上线”之旅。我会带你像搭积木一样，从设备连线、基础配置开始，一步步构建一个功能完整的校园网原型，重点攻克NAT让内网上网、VLAN划分隔离不同部门、以及用三层交换机实现跨VLAN通信这三个核心实战场景。过程中每一个关键命令、每一个可能踩到的坑，我都会结合自己的实操经验详细拆解。我们的目标很简单：看完之后，你不仅能理解原理，更能真正在设备上敲出可运行的配置，并具备基础的排错能力。

1. 开局：设备上架与基础环境搭建

在开始敲入任何一行配置命令之前，物理层面的准备工作至关重要，这往往决定了后续排错的效率。想象一下，你走进机房，面对一堆设备，第一步绝对不是打开终端软件。

首先，我们需要规划并完成物理连接。一个典型的中小型校园网核心拓扑可以简化为：一台路由器作为出口网关，连接互联网；一台三层交换机作为核心，负责内部不同区域间的路由；多台二层交换机接入各楼宇或楼层，连接终端用户。设备之间通常使用以太网线缆连接。这里有个关键细节：路由器与三层交换机之间，以及三层交换机与二层交换机之间，建议使用千兆以太网线缆并连接设备的千兆以太网端口（如GigabitEthernet0/1）。对于Cisco 2900系列路由器，我们通常会使用其GigabitEthernet0/0或0/1接口作为内网网关接口；而三层交换机（如Catalyst 3560）则选择一个空闲的物理接口（如GigabitEthernet0/1）以三层路由模式与路由器对接。

完成连线后，就是控制台连接。你需要一根Console线（通常是RJ45转USB），将你的笔记本电脑与网络设备的Console口相连。使用如SecureCRT、Putty或MobaXterm这类终端软件，设置正确的串口参数（波特率9600，数据位8，停止位1，无奇偶校验，无流控），就能看到设备的启动信息并进入命令行界面。

首次进入设备，我们进行最基础的安全和访问配置。以一台Cisco Catalyst 3560三层交换机为例：

! 进入特权执行模式 Switch> enable Switch# configure terminal ! 设置设备主机名，便于识别 Switch(config)# hostname Core-SW-3560 ! 设置特权模式加密密码 Core-SW-3560(config)# enable secret YourStrongPassword123! ! 为VTY线路（用于远程Telnet/SSH登录）配置密码并启用登录 Core-SW-3560(config)# line vty 0 15 Core-SW-3560(config-line)# password RemoteAccessPass Core-SW-3560(config-line)# login Core-SW-3560(config-line)# transport input ssh telnet ! 允许SSH和Telnet Core-SW-3560(config-line)# exit ! 创建本地用户账户，用于SSH登录，比单纯用线路密码更安全 Core-SW-3560(config)# username admin privilege 15 secret AdminSecretPass ! 启用SSH服务，并配置域名（SSH必需） Core-SW-3560(config)# ip domain-name campus.lab Core-SW-3560(config)# crypto key generate rsa modulus 1024 ! 配置管理接口的IP地址，这样我们才能通过网络远程管理它 Core-SW-3560(config)# interface vlan 99 ! 创建一个专门用于管理的VLAN 99 Core-SW-3560(config-if)# description Management_VLAN Core-SW-3560(config-if)# ip address 10.10.99.1 255.255.255.0 Core-SW-3560(config-if)# no shutdown Core-SW-3560(config-if)# exit ! 将连接你电脑的交换机端口划入管理VLAN Core-SW-3560(config)# interface gigabitEthernet 0/24 Core-SW-3560(config-if)# switchport mode access Core-SW-3560(config-if)# switchport access vlan 99 Core-SW-3560(config-if)# no shutdown

完成这些后，你的笔记本电脑设置一个同网段IP（如10.10.99.100/24），网关指向10.10.99.1，就可以尝试通过Telnet或SSH远程登录到交换机了。强烈建议在后续所有配置中，都先通过Console口配置好管理IP和SSH，然后转为远程操作，这更符合实际运维场景。

注意：在实际校园网中，管理VLAN（如VLAN 99）应该是一个独立、安全的网段，只允许IT管理员的设备接入。切勿将用户终端划入此VLAN。

2. 构建逻辑边界：VLAN规划与二层接入配置

VLAN（虚拟局域网）是校园网逻辑隔离的基石。它能将物理上连接在同一台交换机上的设备，划分到不同的广播域中。比如，我们可以将学生机房、教师办公室、服务器区域、无线网络分别划分到不同的VLAN，这样既能增强安全性（例如防止学生机房的广播风暴影响教师办公），也能简化管理。

假设我们为一个小型校园网规划了以下VLAN：

配置从接入层交换机（二层交换机）开始。以一台连接学生机房的Cisco Catalyst 2950为例，我们需要创建VLAN，并将连接学生电脑的端口划入VLAN 10，将上联到核心交换机的端口配置为Trunk。

! 进入全局配置模式 Switch> enable Switch# configure terminal Switch(config)# hostname Access-SW-Student ! 创建VLAN 10并命名 Access-SW-Student(config)# vlan 10 Access-SW-Student(config-vlan)# name Student Access-SW-Student(config-vlan)# exit ! 将端口GigabitEthernet0/1到0/20划入VLAN 10（假设这些口接学生电脑） Access-SW-Student(config)# interface range gigabitEthernet 0/1 - 20 Access-SW-Student(config-if-range)# switchport mode access ! 端口模式为接入 Access-SW-Student(config-if-range)# switchport access vlan 10 ! 指定所属VLAN Access-SW-Student(config-if-range)# no shutdown Access-SW-Student(config-if-range)# exit ! 配置上联端口GigabitEthernet0/24为Trunk模式 Access-SW-Student(config)# interface gigabitEthernet 0/24 Access-SW-Student(config-if)# switchport mode trunk ! 端口模式为中继 ! 允许哪些VLAN通过Trunk链路。‘allowed vlan’命令可以精确控制。 Access-SW-Student(config-if)# switchport trunk allowed vlan 10,20,30,40,99 Access-SW-Student(config-if)# no shutdown Access-SW-Student(config-if)# end ! 保存配置 Access-SW-Student# write memory

这里有几个实战中容易出错的地方：

1. 忘记no shutdown：端口默认是关闭的，配置完一定要开启。
2. Trunk链路两端不匹配：核心交换机对应的上联端口也必须配置为switchport mode trunk，并且允许的VLAN列表要匹配或包含接入交换机上传的VLAN。可以使用show interfaces trunk命令来验证Trunk是否建立成功以及允许的VLAN列表。
3. Native VLAN不匹配：Trunk链路默认使用VLAN 1作为本征VLAN（Native VLAN），出于安全考虑，建议将其修改为一个不使用的VLAN ID，并确保链路两端一致。switchport trunk native vlan 999。

完成所有接入层交换机的VLAN和端口配置后，逻辑上各个区域的设备就已经被隔离了。此时，同一个VLAN内的设备可以互通（因为它们在同一个广播域），但不同VLAN间的设备是无法通信的。这就需要我们的核心——三层交换机登场。

3. 打通血脉：三层交换与SVI接口配置

二层交换机解决了“隔离”问题，而三层交换机的任务就是“有控制地连通”。它通过SVI（Switch Virtual Interface，交换机虚拟接口）来实现。你可以把SVI理解成交换机上一个专门为某个VLAN服务的虚拟路由器接口，这个接口的IP地址，就充当了该VLAN内所有设备的默认网关。

回到我们的核心三层交换机（Core-SW-3560），在上面为之前规划的每个VLAN创建SVI并配置IP地址。

Core-SW-3560# configure terminal ! 创建并配置VLAN 10的SVI，作为学生网段的网关 Core-SW-3560(config)# interface vlan 10 Core-SW-3560(config-if)# description Gateway_for_Student_VLAN Core-SW-3560(config-if)# ip address 192.168.10.1 255.255.255.0 Core-SW-3560(config-if)# no shutdown Core-SW-3560(config-if)# exit ! 创建并配置VLAN 20的SVI，作为教师网段的网关 Core-SW-3560(config)# interface vlan 20 Core-SW-3560(config-if)# description Gateway_for_Teacher_VLAN Core-SW-3560(config-if)# ip address 192.168.20.1 255.255.255.0 Core-SW-3560(config-if)# no shutdown Core-SW-3560(config-if)# exit ! 同理配置服务器VLAN和无线访客VLAN的SVI Core-SW-3560(config)# interface vlan 30 Core-SW-3560(config-if)# ip address 192.168.30.1 255.255.255.0 Core-SW-3560(config-if)# no shutdown Core-SW-3560(config-if)# exit Core-SW-3560(config)# interface vlan 40 Core-SW-3560(config-if)# ip address 192.168.40.1 255.255.255.0 Core-SW-3560(config-if)# no shutdown Core-SW-3560(config-if)# exit

配置完SVI后，最关键的一步来了：开启三层交换机的IP路由功能。默认情况下，Catalyst交换机是工作在二层模式的。

Core-SW-3560(config)# ip routing

这条命令执行后，交换机就变身为一台具备路由功能的设备了。现在，连接在学生VLAN（192.168.10.0/24）的电脑，如果将其网关设置为192.168.10.1，当它想访问教师VLAN（192.168.20.0/24）的电脑时，数据包会发送给网关192.168.10.1（即核心交换机的VLAN 10 SVI）。核心交换机查看自己的路由表（现在因为直连了这些网段，路由表里会有记录），就知道该从VLAN 20的SVI转发出去，从而实现跨VLAN通信。

我们可以用show ip route命令来验证路由表：

Core-SW-3560# show ip route Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP... Gateway of last resort is not set C 192.168.10.0/24 is directly connected, Vlan10 C 192.168.20.0/24 is directly connected, Vlan20 C 192.168.30.0/24 is directly connected, Vlan30 C 192.168.40.0/24 is directly connected, Vlan40 C 10.10.99.0/24 is directly connected, Vlan99

看到所有VLAN网段都显示为“直连（C）”，说明SVI配置正确且路由功能已启用。此时，内部不同VLAN之间已经可以相互ping通了。但整个网络还缺少通往外部世界（互联网）的出口。

4. 连接外部世界：出口路由器与NAT配置

校园内部网络使用的是私有IP地址（如192.168.x.x），这些地址在互联网上无法被路由。要让内网用户上网，就必须在出口路由器上配置NAT（网络地址转换），将内网的私有IP转换为公网IP。

我们的拓扑中，出口路由器（Cisco 2901）有一个接口连接核心交换机（内网侧），另一个接口连接运营商提供的线路（外网侧）。假设内网接口为GigabitEthernet0/0，地址为192.168.100.1/30；外网接口为GigabitEthernet0/1，从运营商获取的公网IP为203.0.113.10/29。

首先，配置路由器的基础接口IP和指向内网的回程路由。

Router> enable Router# configure terminal Router(config)# hostname Border-Router ! 配置内网接口，连接核心交换机 Border-Router(config)# interface gigabitEthernet 0/0 Border-Router(config-if)# description Link_to_Core_Switch Border-Router(config-if)# ip address 192.168.100.1 255.255.255.252 ! 使用/30子网 Border-Router(config-if)# no shutdown Border-Router(config-if)# exit ! 配置外网接口，连接互联网 Border-Router(config)# interface gigabitEthernet 0/1 Border-Router(config-if)# description Link_to_Internet Border-Router(config-if)# ip address 203.0.113.10 255.255.255.248 Border-Router(config-if)# no shutdown Border-Router(config-if)# exit ! 配置一条默认路由，指向运营商的网关（假设为203.0.113.9） Border-Router(config)# ip route 0.0.0.0 0.0.0.0 203.0.113.9

接下来是核心的NAT配置。我们需要定义一个ACL（访问控制列表）来“匹配”哪些内部流量需要做NAT转换（通常是所有去往互联网的流量），然后配置NAT过载（PAT，即端口地址转换），让所有内网用户共享一个公网IP出口。

! 第一步：定义一个标准ACL，匹配我们内部的所有私有网段 Border-Router(config)# access-list 10 permit 192.168.10.0 0.0.0.255 Border-Router(config)# access-list 10 permit 192.168.20.0 0.0.0.255 Border-Router(config)# access-list 10 permit 192.168.30.0 0.0.0.255 Border-Router(config)# access-list 10 permit 192.168.40.0 0.0.0.255 ! ACL 10现在允许所有我们规划的校园内网地址。 ! 第二步：配置NAT，将匹配ACL 10的内部地址，转换为外网接口的IP地址 Border-Router(config)# ip nat inside source list 10 interface gigabitEthernet 0/1 overload ! 这条命令是关键：`list 10`指定了ACL，`interface Gig0/1`指定转换后的公网IP使用该接口的地址，`overload`启用PAT（端口复用）。 ! 第三步：在接口上指定NAT的内外方向 Border-Router(config)# interface gigabitEthernet 0/0 Border-Router(config-if)# ip nat inside ! 该接口连接内部网络 Border-Router(config-if)# exit Border-Router(config)# interface gigabitEthernet 0/1 Border-Router(config-if)# ip nat outside ! 该接口连接外部网络 Border-Router(config-if)# end ! 保存配置 Border-Router# write memory

配置完成后，还需要在核心交换机上添加一条默认路由，指向路由器的内网接口地址，这样所有去往非本地网段的流量（包括互联网）才会被送到路由器。

Core-SW-3560(config)# ip route 0.0.0.0 0.0.0.0 192.168.100.1

现在，从内网任意一台电脑（网关已正确指向核心交换机SVI）尝试ping一个外网地址（如8.8.8.8），然后在路由器上使用show ip nat translations命令，应该能看到动态创建的NAT转换条目，这表明NAT工作正常。

提示：如果内部有需要对外提供服务的服务器（如Web服务器），则需要配置静态NAT，将公网IP的某个端口固定映射到服务器的私有IP。命令类似于ip nat inside source static tcp 192.168.30.10 80 203.0.113.10 80。

5. 自动化与策略：DHCP服务与基础ACL配置

手动为成百上千台终端配置IP地址是不现实的。我们需要在三层交换机上为各个VLAN配置DHCP服务，让终端自动获取IP、子网掩码、网关和DNS。

核心交换机可以为每个VLAN充当DHCP服务器。以下是为Student VLAN配置DHCP服务的示例：

Core-SW-3560(config)# ip dhcp excluded-address 192.168.10.1 192.168.10.10 ! 排除一段地址（如网关和预留的静态地址），不参与自动分配 Core-SW-3560(config)# ip dhcp pool STUDENT_POOL ! 创建名为STUDENT_POOL的地址池 Core-SW-3560(dhcp-config)# network 192.168.10.0 255.255.255.0 ! 定义分配的网络范围 Core-SW-3560(dhcp-config)# default-router 192.168.10.1 ! 指定默认网关 Core-SW-3560(dhcp-config)# dns-server 114.114.114.114 8.8.8.8 ! 指定DNS服务器 Core-SW-3560(dhcp-config)# lease 7 ! 设置租期为7天 Core-SW-3560(dhcp-config)# exit

按照同样的格式，为Teacher、Wireless_Guest等VLAN创建各自的DHCP地址池。配置完成后，连接到对应VLAN的终端设置为自动获取IP，就能拿到正确的网络配置了。

网络通了，基础的安全和访问控制也要跟上。ACL（访问控制列表）是实现简单策略的有力工具。例如，我们希望访客无线网络（VLAN 40）的用户只能访问互联网，不能访问内部的教师网络（VLAN 20）和服务器网络（VLAN 30）。

这个策略需要在核心交换机上实施，因为它是所有VLAN间流量的交汇点。我们可以使用扩展ACL来实现。

Core-SW-3560(config)# ip access-list extended DENY_GUEST_TO_INTERNAL ! 创建一条扩展ACL，命名为DENY_GUEST_TO_INTERNAL Core-SW-3560(config-ext-nacl)# deny ip 192.168.40.0 0.0.0.255 192.168.20.0 0.0.0.255 ! 拒绝从访客网段到教师网段的所有IP流量 Core-SW-3560(config-ext-nacl)# deny ip 192.168.40.0 0.0.0.255 192.168.30.0 0.0.0.255 ! 拒绝从访客网段到服务器网段的所有IP流量 Core-SW-3560(config-ext-nacl)# permit ip any any ! 允许所有其他流量（包括访问互联网） Core-SW-3560(config-ext-nacl)# exit ! 将这条ACL应用到访客VLAN（VLAN 40）的SVI接口的入方向 Core-SW-3560(config)# interface vlan 40 Core-SW-3560(config-if)# ip access-group DENY_GUEST_TO_INTERNAL in Core-SW-3560(config-if)# end

这样，从VLAN 40进入核心交换机的数据包，会先经过ACL检查，如果目的地址是20或30网段，就会被丢弃；如果是去往互联网或其他未禁止的网段，则被放行。

6. 排错锦囊：常见问题与诊断命令

配置过程中难免遇到问题。掌握一套清晰的排错思路和关键命令，比死记硬背配置更重要。我的习惯是按照OSI模型从低到高进行排查。

第1步：物理层与链路层检查

• 症状：端口指示灯不亮，或者一直闪烁橙色。
• 排查：
  1. 检查网线是否插紧、是否损坏。可以换一根线试试。
  2. 使用show interfaces status查看端口状态。如果显示notconnect，通常是物理问题。
  3. 使用show interfaces gigabitEthernet 0/24查看具体端口详情，确认双工和速度是否协商正确。有时强制设置速度和双工能解决兼容性问题：interface gig0/24->speed 100->duplex full。

第2步：VLAN与Trunk检查

• 症状：同一VLAN内设备无法互通，或跨VLAN不通。
• 排查：
  1. 在接入交换机上，用show vlan brief确认端口是否被划入了正确的VLAN。
  2. 在Trunk链路两端的设备上，使用show interfaces trunk。检查端口模式是否为trunk，以及“允许的VLAN”列表中是否包含了需要通信的VLAN ID。确保两端的Native VLAN一致。
  3. 在三层交换机上，用show ip interface brief确认对应VLAN的SVI接口状态是否为up/up。

第3步：三层路由与网关检查

• 症状：设备能ping通同VLAN的网关，但ping不通其他VLAN的地址或外网。
• 排查：
  1. 在终端上，用ipconfig（Windows）或ifconfig（Linux）确认获取的IP和网关地址是否正确。
  2. 在三层交换机上，用show ip route确认是否有到达目的网段的路由。对于内部VLAN，应该是直连（C）路由；对于默认路由，应该指向出口路由器。
  3. 在出口路由器上，同样用show ip route确认有指向内网网段的回程路由（通常是静态路由），以及有默认路由指向互联网。
  4. 使用traceroute命令（在设备上是traceroute，在Windows上是tracert）跟踪数据包路径，看在哪一跳中断。

第4步：NAT与ACL检查

• 症状：内网互访正常，但无法上网。
• 排查：
  1. 在出口路由器上，使用show ip nat translations查看是否有动态转换条目。当内网设备访问外网时，这里应该会出现记录。
  2. 使用show access-lists查看配置的ACL是否有命中计数器（matches）。如果ACL配置错误导致流量被拒绝，这里会有显示。
  3. 在路由器上，可以开启调试功能来实时观察NAT过程（生产环境慎用）：debug ip nat。观察后记得用undebug all关闭。

第5步：DHCP问题

• 症状：客户端无法获取IP地址。
• 排查：
  1. 确认客户端是否连接在正确的VLAN端口上。
  2. 在三层交换机上，使用show ip dhcp binding查看已分配的地址租约。
  3. 使用show ip dhcp pool查看地址池的使用情况，确认是否有可用地址。
  4. 在交换机上开启DHCP调试：debug ip dhcp server events，然后在客户端尝试续约，观察调试信息。

一套配置做完，别忘了使用copy running-config startup-config保存配置。养成修改前备份配置（show running-config复制出来）、修改后及时保存的好习惯，能在设备意外重启时避免灾难性后果。网络配置是一门实践的艺术，很多细微之处只有在真实的设备上敲打、测试、排错后才能深刻体会。希望这份从零开始的实战指南，能成为你探索更复杂网络世界的坚实起点。