01 | Сначала давайте проясним: каково назначение шлюза?

02 | Как выглядят три основные модели развертывания шлюзов?

Первая модель: шлюзы на основном уровне (классический трехслойный)

Характеристики:

• Все интерфейсы VLANIF настроены на основных коммутаторах
• Уровни агрегации/доступа выполняют только пересылку 2-го уровня

Подходящие сценарии:

• Средние и крупные кампусные сети
• Множество услуг, многочисленные виртуальные локальные сети, сложные политики уровня 3

Преимущества:

• Централизованные шлюзы для унифицированного управления
• Таблицы маршрутизации в ядре обеспечивают четкую видимость пути.
• Централизованное развертывание политики безопасности с брандмауэрами вблизи ядра.

Недостатки:

• Все транспортные потоки с севера на юг и с востока на запад должны проходить через ядро, что создает высокую нагрузку
• Ядро становится единой точкой отказа и потенциальным узким местом

Вторая модель: шлюзы на уровне агрегации (плоский трехслойный уровень)

Характеристики:

• Интерфейсы VLANIF, настроенные на уровне агрегации
• Агрегационный уровень управляет пересылкой L3; ядро управляет только суммированием маршрутов или выходными соединениями

Подходящие сценарии:

• Сети кампусов среднего размера с четко определенными зонами обслуживания
• Относительно независимые зоны агрегации (например, организованные по этажам или площадям)

Преимущества:

• Снижение нагрузки на сердечник
• Агрегационный уровень может реализовать локализованные ACL и политики безопасности
• Более плоская структура сети, легче расширяется

Недостатки:

• Каждый коммутатор агрегации поддерживает таблицы маршрутизации, что увеличивает сложность маршрутизации
• Связь между уровнями агрегации должна проходить через ядро, что создает несколько непрямых путей маршрутизации

Третья модель: Шлюзы на уровне доступа (пограничные шлюзы)

Характеристики:

• Интерфейсы VLANIF, размещенные на коммутаторах доступа
• Каждый коммутатор доступа функционирует как устройство уровня 3

Подходящие сценарии:

• Небольшие сети с простым развертыванием
• Сценарии IoT или филиалов, где устройства относительно стационарны и предъявляют высокие требования к изоляции.

Преимущества:

• Чрезвычайно упрощенная сеть, не требующая уровня агрегации
• Все пересылки выполняются на месте, высокая эффективность

Недостатки:

• Разрозненная конфигурация устройств, сложное управление
• Распределенные политики безопасности, которые сложно поддерживать
• Повышенная нагрузка на коммутаторы доступа, что делает их более подверженными сбоям

03 | Так где же должны быть настроены шлюзы?

• Небольшие сети (≤50 устройств): Промышленные маршрутизаторы уровня доступа, выполняющие роль шлюзов
• Средние сети (50-500 устройств): Шлюзы уровня агрегации
• Большие сети (500+ устройств): Шлюзы основного уровня

04 | Возможны ли "гибридные развертывания"?

• Большинство интерфейсов VLANIF размещены в ядре для централизованного управления
• Некоторые специализированные сети (например, камеры наблюдения, системы безопасности) размещаются на уровнях агрегации или доступа для локальной изоляции и пересылки.
• Беспроводные контроллеры и DHCP-серверы, развернутые распределенным образом с использованием виртуальных шлюзов (SVI) + DHCP relay

05 | Практические рекомендации по развертыванию

• Шлюзы основного уровня работают хорошо, но требуют надежных устройств + четкой маршрутизации + достаточных ресурсов.
• При использовании шлюзов уровня агрегации каждый коммутатор уровня агрегации должен управлять только своими VLAN, избегая смешивания между регионами.
• Шлюзы уровня доступа рекомендуются для сценариев с небольшими масштабами/независимыми сегментами/филиальными узлами
• При реализации резервирования шлюзов не забудьте использовать VRRP или HVRRP для обеспечения высокой доступности.

Заключительные размышления