01 | Klären wir zunächst: Was ist der Zweck eines Gateways?

02 | Wie sehen drei gängige Gateway-Implementierungsmodelle aus?

Modell Eins: Gateways auf der Kernschicht (klassische Dreischicht)

Merkmale:

• Alle VLANIF-Schnittstellen sind auf Core-Switches konfiguriert.
• Aggregations-/Zugangsschichten führen nur Layer-2-Weiterleitung durch

Geeignete Szenarien:

• Mittlere bis große Campus-Netze
• Mehrere Dienste, zahlreiche VLANs, komplexe Layer-3-Richtlinien

Vorteile:

• Zentralisierte Gateways für eine einheitliche Verwaltung
• Routing-Tabellen im Kern sorgen für klare Pfadsichtbarkeit
• Zentralisierte Bereitstellung von Sicherheitsrichtlinien mit Firewalls in der Nähe des Kerns

Benachteiligungen:

• Der gesamte Nord-Süd- und Ost-West-Verkehr muss das Zentrum durchqueren, wodurch ein hoher Druck entsteht.
• Der Kern wird zu einem einzigen Ausfallpunkt und potenziellen Engpass

Modell zwei: Gateways auf der Aggregationsschicht (flache Dreischicht)

Merkmale:

• VLANIF-Schnittstellen, die auf der Aggregationsschicht konfiguriert sind
• Die Aggregationsschicht übernimmt die L3-Weiterleitung; der Kern verwaltet nur die Routenzusammenfassung oder Ausgangsverbindungen

Geeignete Szenarien:

• Mittelgroße Campus-Netze mit klar definierten Dienstbereichen
• Relativ unabhängige Aggregationszonen (z. B. nach Stockwerken oder Flächen organisiert)

Vorteile:

• Geringere Kernbelastung
• Aggregationsschicht kann lokalisierte ACLs und Sicherheitsrichtlinien implementieren
• Flachere Netzstruktur, leichter zu erweitern

Benachteiligungen:

• Jeder Aggregations-Switch verwaltet Routing-Tabellen, was die Routing-Komplexität erhöht
• Die Kommunikation zwischen den Aggregationsschichten muss den Kern durchqueren, wodurch leicht indirekte Routing-Pfade entstehen

Modell 3: Gateways auf der Zugangsschicht (Edge Gateways)

Merkmale:

• VLANIF-Schnittstellen an Zugangs-Switches
• Jeder Zugangsswitch fungiert als Layer-3-Gerät

Geeignete Szenarien:

• Kleine Netze mit einfachen Implementierungen
• IoT- oder Zweigstellenszenarien, bei denen die Geräte relativ ortsfest sind und eine starke Isolierung erfordern

Vorteile:

• Extrem vereinfachtes Netz, das keine Aggregationsschicht erfordert
• Alle Weiterleitungen werden lokal durchgeführt, hohe Effizienz

Benachteiligungen:

• Verteilte Gerätekonfiguration, komplexe Verwaltung
• Verteilte Sicherheitsrichtlinien, die schwer zu pflegen sind
• Erhöhte Belastung der Zugangs-Switches, was sie anfälliger für Ausfälle macht

03 | Wo sollten die Gateways konfiguriert werden?

• Kleine Netzwerke (≤50 Geräte): Industrielle Router der Zugangsebene, die als Gateways dienen
• Mittlere Netzwerke (50-500 Geräte): Gateways der Aggregationsschicht
• Große Netzwerke (500+ Geräte): Gateways der Kernschicht

04 | Sind "hybride Bereitstellungen" möglich?

• Die meisten VLANIF-Schnittstellen befinden sich im Kern für eine zentralisierte Verwaltung
• Bestimmte spezialisierte Netze (z. B. Überwachungskameras, Sicherheitssysteme), die auf der Aggregations- oder Zugangsebene zur lokalen Isolierung und Weiterleitung platziert sind
• Drahtlose Controller und DHCP-Server, die unter Verwendung virtueller Gateways (SVI) + DHCP-Relay verteilt eingesetzt werden

05 | Praktische Empfehlungen für den Einsatz

• Gateways auf der Kernschicht funktionieren gut, erfordern aber zuverlässige Geräte + klare Weiterleitung + ausreichende Ressourcen
• Bei der Verwendung von Gateways auf der Aggregationsschicht sollte jeder Aggregations-Switch nur seine eigenen VLANs verwalten, um eine regionsübergreifende Vermischung zu vermeiden.
• Access-Layer-Gateways werden für kleine/unabhängige Segmente/Abzweigknoten-Szenarien empfohlen
• Wenn Sie Gateway-Redundanz implementieren, denken Sie daran, VRRP oder HVRRP für hohe Verfügbarkeit zu verwenden.

Abschließende Überlegungen