01 | 首先，让我们明确：什么是网关的目的？

02 | 三种主流网关部署模式是怎样的？

模式一：核心层网关（经典三层模式）

特点

• 所有 VLANIF 接口都配置在核心交换机上
• 汇聚/接入层仅执行第 2 层转发

适用场景

• 大中型校园网络
• 多种服务、众多 VLAN、复杂的第 3 层策略

优势

• 统一管理的集中网关
• 核心路由表提供清晰的路径可见性
• 通过靠近核心的防火墙集中部署安全策略

缺点

• 所有南北向和东西向的交通都必须穿越核心区，这就造成了高压力
• 核心成为单点故障和潜在瓶颈

模式二：汇聚层网关（扁平三层）

特点

• 聚合层配置的 VLANIF 接口
• 汇聚层处理 L3 转发；核心层只管理路由汇总或出口连接

适用场景

• 服务区域明确的中型校园网络
• 相对独立的聚集区（例如，按楼层或面积划分）

优势

• 减少核心负荷
• 汇聚层可实施本地化 ACL 和安全策略
• 网络结构更扁平，更易于扩展

缺点

• 每个汇聚交换机维护路由表，增加了路由复杂性
• 汇聚层之间的通信必须穿越核心，从而产生略微间接的路由路径

模式三：接入层网关（边缘网关）

特点

• 接入交换机上的 VLANIF 接口
• 每个接入交换机都作为第 3 层设备运行

适用场景

• 部署简单的小型网络
• 设备相对固定且有较强隔离要求的物联网或分支机构应用场景

优势

• 无需汇聚层，网络极为简化
• 所有转发均在本地完成，效率高

缺点

• 设备配置分散，管理复杂
• 难以维护的分布式安全策略
• 增加接入交换机的负载，使其更容易出现故障

03 | 那么网关应该配置在哪里？

• 小型网络（≤50 台设备）:作为网关的接入层工业路由器
• 中型网络（50-500 台设备）:汇聚层网关
• 大型网络（500 台以上设备）:核心层网关

04 | "混合部署 "可行吗？

• 大多数 VLANIF 接口位于核心位置，便于集中管理
• 某些专用网络（如监控摄像头、安全系统）置于汇聚层或接入层，用于本地隔离和转发
• 使用虚拟网关 (SVI) + DHCP 中继，以分布式方式部署无线控制器和 DHCP 服务器

05 | 实用部署建议

• 核心层网关运行良好，但需要可靠的设备 + 清晰的路由 + 充足的资源
• 使用汇聚层网关时，每个汇聚交换机应只管理自己的 VLAN，避免跨区域混合
• 建议在小规模/独立网段/分支节点情况下使用接入层网关
• 如果实施网关冗余，切记使用 VRRP 或 HVRRP 实现高可用性

最终想法