在企业网络建设中，实现内部网络与外网的高效、安全连接是关键任务之一。今天，我们就来深入探讨如何在思科三层交换机（如 Catalyst 3560、3750、9200/9300 系列）上完成这一目标，包括接入外网、配置 OSPF 动态路由协议以及通过 ACL 实现精细的访问控制。拓扑结构简述假设我们的网络拓扑如下：VLAN 10 (192.168.10.0/24)：内部用户网络VLAN 20 (192.168.20.0/24)：服务器网络外网出口接口(192.168.1.0/24)：连接到路由器Loopback0 (1.1.1.1/32)：路由器 ID（可选）一、基本配置步骤1. 创建 VLAN 并分配端口首先，我们需要创建VLAN 并将端口分配到相应的 VLAN 中：Switch(config)# vlan 10 Switch(config-vlan)# name Users Switch(config-vlan)# exit Switch(config)# vlan 20 Switch(config-vlan)# name Servers Switch(config-vlan)# exit Switch(config)# interface FastEthernet0/1 Switch(config-if)# switchport mode access Switch(config-if)# switchport access vlan 10 Switch(config-if)# exit Switch(config)# interface FastEthernet0/2 Switch(config-if)# switchport mode access Switch(config-if)# switchport access vlan 20 Switch(config-if)# exit2. 启用 IP 路由并配置 SVI 接口接下来，启用IP 路由功能，并为 VLAN 接口配置 IP 地址：Switch(config)# ip routing Switch(config)# interface Vlan10 Switch(config-if)# ip address 192.168.10.1 255.255.255.0 Switch(config-if)# no shutdown Switch(config)# interface Vlan20 Switch(config-if)# ip address 192.168.20.1 255.255.255.0 Switch(config-if)# no shutdown3. 配置外网接口假设连接到路由器的物理接口为FastEthernet0/24，配置如下：Switch(config)# interface FastEthernet0/24 Switch(config-if)# no switchport Switch(config-if)# ip address 192.168.1.2 255.255.255.0 Switch(config-if)# no shutdown4. 配置默认路由设置默认路由，指向外网设备：Switch(config)# ip route 0.0.0.0 0.0.0.0 192.168.1.15. 配置 OSPF 动态路由协议启用OSPF 并宣告网络：Switch(config)# router ospf 1 Switch(config-router)# router-id 1.1.1.1 Switch(config-router)# network 192.168.10.0 0.0.0.255 area 0 Switch(config-router)# network 192.168.20.0 0.0.0.255 area 0 Switch(config-router)# network 192.168.1.0 0.0.0.255 area 0 Switch(config-router)# network 1.1.1.1 0.0.0.0 area 06. 配置 ACL 控制访问策略示例需求：允许VLAN10 用户访问 VLAN20 的 Web 服务（TCP 80），禁止 VLAN10 用户访问 VLAN20 的 Telnet（TCP 23）：Switch(config)# access-list 101 permit tcp 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255 eq 80 Switch(config)# access-list 101 deny tcp 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255 eq 23 Switch(config)# access-list 101 permit ip any any Switch(config)# interface Vlan10 Switch(config-if)# ip access-group 101 in二、验证命令配置完成后，使用以下命令验证配置是否正确：命令用途show ip route查看完整路由表show ip route ospf查看学习到的OSPF 路由show ip ospf neighbor查看OSPF 邻居状态show ip access-lists查看ACL 条目ping 8.8.8.8测试是否能通外网traceroute 8.8.8.8查看出口路径三、安全与优化建议ACL 放置位置建议：尽量靠近源端（过滤效率更高），或放在关键资源前（如服务器 VLAN）。启用日志记录：便于排查问题，例如：Switch(config)# access-list 101 deny tcp 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255 eq 23 logOSPF 区域划分建议：使用分层设计（骨干区域 + 常规区域），对于大型网络，可引入 NSSA、Stub 区域减少 LSA 泛洪。NAT 转换：如果三层交换机作为出口设备，还需配置 NAT。否则由下联的路由器或防火墙处理。四、完整配置片段总结以下是完整的配置片段：vlan 10 name Users vlan 20 name Servers interface FastEthernet0/1 switchport mode access switchport access vlan 10 interface FastEthernet0/2 switchport mode access switchport access vlan 20 interface Vlan10 ip address 192.168.10.1 255.255.255.0 ip access-group 101 in interface Vlan20 ip address 192.168.20.1 255.255.255.0 interface FastEthernet0/24 no switchport ip address 192.168.1.2 255.255.255.0 ip route 0.0.0.0 0.0.0.0 192.168.1.1 ip routing router ospf 1 router-id 1.1.1.1 network 192.168.10.0 0.0.0.255 area 0 network 192.168.20.0 0.0.0.255 area 0 network 192.168.1.0 0.0.0.255 area 0 network 1.1.1.1 0.0.0.0 area 0 access-list 101 permit tcp 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255 eq 80 access-list 101 deny tcp 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255 eq 23 log access-list 101 permit ip any any