一、实验目的

认识三层交换机

掌握使用三层交换机实现VLAN间单播通信的方法

二、 实验原理

2.1 三层交换机的基本概念与核心机制

（1）传统二层交换与三层路由的对比

二层交换机的局限性：普通的局域网二层交换机（工作在 OSI 体系结构的数据链路层）只能识别硬件 MAC 地址。它通过维护一张“MAC地址表”来实现同网段内的数据帧快速转发。然而，当网络规模扩大、划分了不同的 VLAN（虚拟局域网）之后，二层交换机无法识别网络层的 IP 头部信息，因此无法在不同的二层广播域（不同网段）之间建立通信。

传统路由器的性能瓶颈：传统路由器（工作在 OSI 体系结构的网络层）能够识别 IP 地址并维护“路由表”，从而实现跨网段的寻址与转发。但传统路由器依赖 CPU 进行软件查表和逐包转发，在大规模企业局域网内部面临海量的高速数据交互时，路由器的转发速度远远跟不上局域网的线速，极易成为整个网络的流量瓶颈。

（2）“一次路由，多次交换”的高速转发机制

首包路由调取引擎：三层交换机（Layer 3 Switch）在硬件架构上集成了“二层交换模块”与“三层路由模块”。当源主机向跨网段的目的主机发送第一个数据包时，三层交换机的路由模块（CPU）会介入，像传统路由器一样去查找路由表、确定最佳转发路径，并解析出目标网段的 ARP 信息。

后续数据包硬件线速转发：在完成第一个数据包的路由之后，三层交换机会将该特定 IP 路径与底层 MAC 地址、出端口的映射关系，直接记录到专用的硬件芯片——ASIC（专用集成电路）表中。当后续成千上万个同流向的数据包通过时，交换机不再调用 CPU 查表，而是由 ASIC 芯片直接进行硬件层面的线速换壳与转发。这种“一次路由，多次交换”的技术，使得三层交换机既拥有路由器的寻址能力，又具备了交换机无延迟的转发速度。

2.2 交换虚拟接口（SVI）的概念与网关作用

（1）SVI 的逻辑特性与诞生背景

物理接口的二层限制：在物理世界上，三层交换机面板上的物理接口（如 FastEthernet 0/1）在默认情况下属于二层交换端口（Switchport）。二层端口是无法直接配置 IP 地址的，这意味着物理端口不能直接作为各个子网主机的“默认网关”。

虚拟网卡的逻辑构建：为了解决上述矛盾，三层交换机的操作系统允许在内部创建基于 VLAN 的逻辑三层接口，即 SVI（Switch Virtual Interface，交换虚拟接口）。当我们在 CLI 命令行中输入 interface vlan 10 时，等同于在交换机内部虚拟出了一张专属于 VLAN 10 的“虚拟网卡”。

（2）SVI 充当三层路由网关的桥梁作用

逻辑网关的建立：通过为 SVI 接口配置 IP 地址和子网掩码（例如给 interface vlan 10 配置 192.168.1.254/24），该逻辑接口就正式成为了对应 VLAN 内部所有终端设备的默认网关。

内部路由通道的打通：在一台三层交换机内部，可以同时存在多个不同 VLAN 的 SVI 接口（如 SVI 10 和 SVI 20）。这些虚拟接口通过交换机内部的高速总线直接与路由引擎相连。它们就像是一扇扇面向不同子网敞开的大门，数据包只要进入了对应的 SVI 接口，就意味着拿到了进入三层路由中转中心的通行证。

2.3 跨 VLAN 通信的数据包微观转发过程（核心难点）

当我们在 VLAN 10 的计算机 PC0（IP: 192.168.1.1）中执行命令 ping 192.168.2.1（VLAN 20 的 PC3）时，微观层面的数据包封装与流向经历了一场精确的“变形记”：

（1）发送端的网络层与数据链路层封装

① 网络层的目标判定：PC0 接收到 ping 指令后，通过自身的子网掩码进行计算，判定目标 IP 192.168.2.1 属于外网段。PC0 随即决定将该数据包抛给自己的默认网关 192.168.1.254（即 SVI 10）。

② 数据链路层的第一次封装：PC0 在构建以太网数据帧时：

• 网络层（内层包裹）：源 IP = 192.168.1.1，目的 IP = 192.168.2.1。（注：网络层 IP 头部在整个传输过程中保持不变）。

• 数据链路层（外层弹壳）：源 MAC = PC0-MAC，目的 MAC = SVI-10-MAC（若本地 ARP 缓存中没有网关 MAC，则会在此处触发一次 ARP 广播寻址）。封装完成后，电信号顺着网线通过物理接口 Fa0/1 进入三层交换机。

（2）三层交换机的拆包、查表与重新封装

① 二层解封装与三层路由路由决策：三层交换机收到数据帧后，发现其目的 MAC 地址是自身 SVI 10 的 MAC，于是将该帧的外层数据链路层外壳无情剥离，并将内层的 IP 数据包递交给三层路由模块。路由模块读取目标 IP 192.168.2.1，并检索全局路由表（由 ip routing 命令激活），发现该网段属于本设备直接相连的 interface vlan 20 区域。

② 数据链路层的第二次封装（换壳）：路由模块将数据包转交给 SVI 20 接口准备向外发送。SVI 20 接口通过本地 ARP 缓存（或触发第二轮 ARP 广播）获取到目标 PC3 的硬件 MAC 地址。随后，交换机为该 IP 数据包重新穿上一件全新的“外衣”：

• 数据链路层（全新外壳）：源 MAC 变更为 SVI-20-MAC，目的 MAC 变更为 PC3-MAC。

• TTL 值的衰减：由于数据包跨越了三层路由边界，交换机在重新封装时，会将 IP 头部中的 TTL（生存时间）值自动减 1（例如从初始的 128 减为 127）。

最终，这个换上了新外壳、TTL 减 1 的数据包通过物理端口 Fa0/4 发送出去，并顺利抵达目的主机 PC3。PC3 回应响应包（Echo Reply）的过程则完全相反，交由 SVI 20 接入，再由 SVI 10 转发回 PC0。

三、 实验步骤

3.1 构建网络拓扑与物理连接

（1）添加设备与连线

在 Packet Tracer 工作区中，拖入一台 3560 三层交换机作为核心网络设备，并拖入 6 台终端计算机（PC0 ~ PC5）。

使用直通线（Copper Straight-Through）将 PC0、PC1、PC2 分别连接至交换机的 Fa0/1、Fa0/2、Fa0/3 接口；将 PC3、PC4、PC5 分别连接至交换机的 Fa0/4、Fa0/5、Fa0/6 接口。

（2）观察并加速 STP 生成树收敛

物理线缆连接完成后，交换机的相关接口默认会进入生成树协议（STP）的检测阶段，此时接口处于阻塞状态（链路指示灯呈橙色），大约需要等待 30 秒后才能转为正常的打开状态（指示灯变绿）。

为了提高实验效率，我们可以人为加速该过程：点击软件左下角的“Fast Forward Time（快进时间）”按钮，使所有接口指示灯迅速变绿，确保链路畅通。

3.2 接口名称查看与静态参数标注

（1）优化 Packet Tracer 接口显示

Packet Tracer 软件默认显示所有接口名称的功能并不完美，繁杂的接口标签有时会遮挡传输媒体、状态指示灯甚至是网络设备自身，使得整个网络拓扑看起来比较凌乱。

建议的操作规范是：首先在软件设置中临时开启接口显示功能，将需要用到的接口名称（如 Fa0/1 等）记录下来并作为文本注释独立标注在相关连线旁边，随后关闭软件的自动显示接口功能，以保持拓扑图的清爽直观。

（2）静态网络参数标注

选取拓扑图左侧区域，使用文本框工具为 PC0~PC2 标注其规划的 IP 地址（192.168.1.1~3）、子网掩码（255.255.255.0）以及默认网关（192.168.1.254）。

选取拓扑图右侧区域，为 PC3~PC5 标注其规划的 IP 地址（192.168.2.1~3）、子网掩码以及默认网关（192.168.2.254）。

在三层交换机的正上方，标注即将为其创建的两个交换虚拟接口（SVI）的参数信息。

3.3 终端计算机的网络参数配置

为了保证网络通信的正常进行，需要为拓扑中的所有终端计算机配置正确的静态 IP 地址、子网掩码以及默认网关。请参照下表完成各项配置：

设备名称	所属 VLAN	IP 地址	子网掩码	默认网关
PC0	VLAN 10	192.168.1.1	255.255.255.0	192.168.1.254
PC1	VLAN 10	192.168.1.2	255.255.255.0	192.168.1.254
PC2	VLAN 10	192.168.1.3	255.255.255.0	192.168.1.254
PC3	VLAN 20	192.168.2.1	255.255.255.0	192.168.2.254
PC4	VLAN 20	192.168.2.2	255.255.255.0	192.168.2.254
PC5	VLAN 20	192.168.2.3	255.255.255.0	192.168.2.254

（1）VLAN 10 区域终端配置

依次点击终端 PC0、PC1、PC2，进入 Desktop（桌面）选项卡下的 IP Configuration（IP 静态配置）界面。 严格按照上一步的拓扑标注，分别键入这三台主机的 IP 地址、子网掩码，并将默认网关统一指向 192.168.1.254。

（2）VLAN 20 区域终端配置

依次点击终端 PC3、PC4、PC5，进入对应的 IP 配置界面。 分别键入这三台主机的 IP 地址、子网掩码，并将默认网关统一指向 192.168.2.254。

3.4 在三层交换机上创建并划分 VLAN

（1）划分前状态与隔离需求分析

当三层交换机上电启动后，若未进行任何配置，其所有接口类型默认为 Access，且缺省均属于 VLAN 1。此时 PC0~PC5 处于同一个庞大的二层广播域内。

本步骤旨在通过人工创建并划分 VLAN，将这个大广播域逻辑分隔成两个绝对独立的广播域（即 VLAN 10 和 VLAN 20）。

（2）执行 VLAN 划分核心命令

点击 3560 交换机进入 CLI 命令行界面，按序输入以下配置代码以完成 VLAN 创建与批量端口绑定：

Switch>enable                                       //从用户执行模式进入特权执行模式
Switch#configure terminal                           //从特权执行模式进入全局配置模式
Switch(config)#vlan 10                              //创建VLAN号为10的VLAN并进入其配置模式
Switch(config-vlan)#name VLAN10                     //将VLAN号为10的VLAN命名为VLAN10
Switch(config-vlan)#exit                            //退出VLAN10配置模式，回到全局配置模式
Switch(config)#vlan 20                              //创建VLAN号为20的VLAN并进入其配置模式
Switch(config-vlan)#name VLAN20                     //将VLAN号为20的VLAN命名为VLAN20
Switch(config-vlan)#exit                            //退出VLAN20配置模式回到全局配置模式
Switch(config)#interface range f0/1-3               //批量配置接口f0/1，f0/2，f0/3
Switch(config-if-range)#switchport mode access      //配置接口类型为Access
Switch(config-if-range)#switchport access vlan 10   //配置接口属于VLAN号为10的VLAN
Switch(config-if-range)#interface range f0/4-6      //批量配置接口f0/4，f0/5，f0/6
Switch(config-if-range)#switchport mode access      //配置接口类型为Access
Switch(config-if-range)#switchport access vlan 20   //配置接口属于VLAN号为20的VLAN
Switch(config-if-range)#end                         //退出到特权执行模式 
Switch#show vlan brief                              //显示VLAN摘要信息

（3）配置验证与端口状态恢复

在交换机上划分 VLAN 后，相关物理接口会因网络拓扑的逻辑变化再次短暂进入阻塞状态。需再次使用“快进时间”人为加速该过程。

观察 show vlan brief 的回显结果，确认各端口已成功归属于对应的 VLAN，且接口均处于正常打开状态后，方可进行后续步骤。

3.5 配置交换虚拟接口（SVI）与开启路由功能

（1）交换虚拟网关（SVI）的作用概述

在实际的企业级组网中，一个 VLAN 通常对应一个三层网络段。为了实现这些孤立 VLAN 之间的互连通信，需要为其配置对应的网关。SVI 即三层交换机内部的逻辑虚拟接口，每个 SVI 对应一个 VLAN，为其配置 IP 地址后，该 SVI 即充当对应 VLAN 所在网络的默认网关。

（2）执行 SVI 配置及路由激活命令

在交换机 CLI 中继续输入以下命令，完成虚拟网关的创建并激活硬件路由模块：

Switch>enable                                              //从用户执行模式进入特权执行模式
Switch#configure terminal                                  //从特权执行模式进入全局配置模式
Switch(config)#interface vlan 10                           //创建VLAN号为10的交换虚拟接口并进入其配置模式
Switch(config-if)#ip address 192.168.1.254 255.255.255.0   //给该交换虚拟接口配置IP地址和子网掩码
Switch(config-if)#no shutdown                              //开启该交换虚拟接口
Switch(config-if)#exit                                     //退出当前接口配置模式回到全局配置模式
Switch(config)#interface vlan 20                           //创建VLAN号为20的交换虚拟接口并进入其配置模式
Switch(config-if)#ip address 192.168.2.254 255.255.255.0   //给该交换虚拟接口配置IP地址和子网掩码
Switch(config-if)#no shutdown                              //开启该交换虚拟接口
Switch(config-if)#exit                                     //退出到全局配置模式
Switch(config)#ip routing                                  //开启三层交换机的路由功能

特别提示： ip routing 是本次实验的灵魂指令。只有执行该命令，三层交换机的内部路由引擎才会被唤醒，从而解决划分 VLAN 后各子网必须依赖外部路由器才能通信的问题，实现内部的高速单播互访。

四、 实验验证与结果分析

4.1 协议监视设置与实时模式基础测试

（1）选择要监视的网络协议

将 Packet Tracer 从“Realtime（实时模式）”切换到“Simulation（模拟模式）”。点击右下角仿真面板中的 Edit Filters（编辑过滤器），在 IPv4 选项卡中仅勾选 ICMP（网际报文协议），清除其他不相关的网络协议。这样做的目的是为了过滤背景流量，使用户能聚焦于 ping 报文的捕获与观察。

（2）实时模式下的连通性初步测试

重新切换回“Realtime（实时模式）”，打开计算机 PC0 的 Command Prompt（命令行提示符）。使用 ping 命令分别测试 PC0 与同网段（PC1、PC2）以及跨网段（PC3、PC4、PC5）之间的连通性。

本次测试的核心目的包括：

• 测试物理网络拓扑是否构建成功。
• 测试各 PC 终端的 IP 地址、子网掩码以及默认网关是否配置正确。
• 检验三层交换机上 VLAN 10 与 VLAN 20 的划分与端口绑定是否生效。
• 检验三层交换机上两个 SVI（交换虚拟接口）的 IP 地址配置是否正确。
• 通过提前触发实时通信，使各网络设备在本地建立起完备的 ARP 缓存表，避免后续在模拟模式下由于 ARP 地址解析过程干扰对核心实验现象的观察。

（3）关键测试现象深度剖析

① 首包超时现象（Request timed out.）：在 PC0 首次 ping 跨网段的 PC3 时，返回结果的第一个数据包通常会显示超时。这并非配置错误，而是因为三层交换机在首次跨网段转发时，需要通过 ARP 协议去寻找目标主机的硬件 MAC 地址，这个地址解析过程消耗了时间，导致首包超时。

② TTL 值的变化（路由转发的铁证）：

• 当 PC0 ping 同网段的 PC1 时，返回结果显示 TTL=128。表明数据包仅在同 VLAN 内部进行了二层数据帧交换，未触发路由。

• 当 PC0 ping 跨网段的 PC3 时，返回结果显示 TTL=127。由于数据包跨越了不同的 VLAN 边界，必须由三层交换机的路由模块进行转发。IP 数据包每经过一次三层路由寻址，其生存时间（TTL）值就会自动减 1。这个细微的数字变化是三层路由功能成功生效的“铁证”。

（4）实验排错与故障点自查指导

如果连通性测试失败，请严格按照以下路径进行配置反思与自查：

• 检查各终端主机的 IP、掩码以及默认网关是否填写错误（网关必须精准指向对应 SVI 的 IP）。

• 检查三层交换机上的物理接口是否正确绑定到了对应的 VLAN 中。

• 检查三层交换机上的两个 SVI 虚拟接口是否正常执行了 no shutdown。

• 重点检查三层交换机上是否遗漏了全局路由开启命令 ip routing。

4.2 模拟模式下跨 VLAN 通信特性的深度验证

（1）验证跨 VLAN 间单播通信的实现

保持在 Simulation（模拟模式）下，在右侧工具栏选择 Add Simple PDU（添加简单 PDU 工具，即闭眼信封图标）。 依次点击 VLAN 10 中的计算机 PC0（源端）和 VLAN 20 中的计算机 PC3（目的端）。 点击仿真控制面板的“Play（播放）”按钮，可以清晰地观察到：PC0 发出的单播 ICMP 请求报文顺着物理链路流入三层交换机，经过交换机内部虚拟接口（SVI）的中转与路由决策后，精准地转发给了 VLAN 20 中的 PC3；随后，PC3 同样以单播形式将响应报文原路返回给 PC0。至此，完美验证了使用三层交换机可以实现 VLAN 间的单播通信。

（2）验证 VLAN 间的广播域隔离（隔离广播风暴）

在模拟模式下，选择 Add Complex PDU（添加复杂 PDU 工具，即睁眼信封图标）点击 PC0。 在弹出的配置框中，将目标 IP 地址设置为广播地址 255.255.255.255（或本网段定向广播地址 192.168.1.255），并将具体协议指定为 ICMP，点击创建。 点击播放并仔细观察报文流向：该广播 IP 数据报从 PC0 发出后，仅会被泛洪到 VLAN 10 内部的所有端口（即 PC1、PC2 以及虚拟网关 SVI 10）。但请注意，出于网络设备的安全机制，通常只有同网段的 PC1 和 PC2 会回复该广播请求，SVI 10 会保持沉默。最核心的现象是：该广播包绝对不会被转发到右侧的 VLAN 20 区域。

实验最终结论：本步骤完美论证了三层交换机的双重核心价值——它既能够通过内部的三层路由模块打通跨网段的单播互访，又能够死死守住二层 VLAN 边界，有效隔离局域网内部的广播风暴，是企业内网组网的最佳选择。

五、 实验总结与思考

5.1 核心知识与关键配置回顾

（1）三层交换机实现全网互通的“四大基石”

本次实验验证了在企业局域网中实现跨 VLAN 互通的核心逻辑，要确保网络完美连通，以下四个层面的配置缺一不可：

① 物理层与数据链路层基石：准确无误的物理线缆连接，以及正确的 VLAN 创建与物理端口的 Access 模式绑定。这是确保底层广播域被正确物理隔离的前提。

② 网络层终端基石：各 PC 终端配置了正确的静态 IP 地址与子网掩码，最关键的是——默认网关必须精准指向本 VLAN 对应的 SVI 接口地址，否则终端将不知道如何发送跨网段报文。

③ 虚拟网关基石：在三层交换机内部成功创建对应 VLAN 的虚拟网卡（如 interface vlan 10 和 vlan 20），分配正确的 IP 地址并确保接口未被关闭（no shutdown）。

④ 核心路由引擎基石：必须在全局配置模式下执行 ip routing 命令，彻底唤醒交换机内部的硬件路由模块。

5.2 深度拓展思考题与原理解析

在撰写实验报告时，建议结合本实验的抓包现象，深度思考以下场景并给出原理层面的解释：

（1）关于路由功能依赖性的深度反思

思考场景设定：假设在上述所有的网络规划与接口配置均完美无瑕的情况下，我们唯独遗漏了在交换机全局模式下输入 ip routing 这一条命令。此时，在 PC0 命令行中分别执行 ping 192.168.1.2 (PC1) 和 ping 192.168.2.1 (PC3)，这两种测试会得出什么截然不同的结果？其背后的网络底层原理是什么？

现象与原理解析（PC0 到 PC1：同网段通信）：

• 预期现象：通信完全正常，能够收到 Reply 响应。

• 原理解析：因为 PC0 与 PC1 规划在同一个子网，且被划分在同一个 VLAN 10 内部。同网段主机之间的通信属于纯粹的“二层局域网通信”，数据包根本不需要经过默认网关。发送端只需通过 ARP 广播获取对方的 MAC 地址，交换机的二层交换模块根据 MAC 地址表即可直接完成硬件转发。由于该过程不涉及跨网段寻址，因此不需要调用三层路由引擎，ip routing 开与不开对此毫无影响。

现象与原理解析（PC0 到 PC3：跨网段通信）：

• 预期现象：通信彻底失败，提示 Request timed out 或目标不可达。

• 原理解析：当 PC0 试图访问跨网段的 PC3 时，它会按照网络规则将 IP 数据包封装并发送给自己的默认网关（SVI 10 接口）。数据包确实成功抵达了三层交换机内部，但是！由于 ip routing 未被开启，交换机内部的“三层路由大脑”处于休眠状态。交换机无法查阅全局路由表，也无权将数据包跨越逻辑边界中转给右侧的 SVI 20 接口，最终只能将这些无法路由的跨网段数据包默默丢弃。

（2）实验最终结语

通过上述反面案例的推演，再次证明了三层交换机“底层二层交换，高层三层路由”的集成架构之美。它既能为同部门员工提供不受约束的线速交互，又能作为企业内网的核心枢纽，安全、高效地调度不同子网间的跨界数据流。