01 | 首先，讓我們釐清：閘道的目的是什麼？

02 | 三種主流閘道部署模式是什麼樣的？

模式一：核心層的閘道（經典三層網路）

特性：

• 所有 VLANIF 介面都設定在核心交換器上
• 匯聚/存取層僅執行第 2 層轉送

適用場景：

• 中大型校園網路
• 多重服務、眾多 VLAN、複雜的第 3 層政策

優勢：

• 統一管理的集中式閘道
• 核心的路由表提供清晰的路徑可視性
• 集中式安全政策部署，靠近核心的防火牆

缺點：

• 所有南北向和東西向的交通都必須穿越核心區，造成高壓力
• 核心成為單點故障和潛在瓶頸

模式二：聚合層的閘道（平面三層式）

特性：

• 在聚合層設定的 VLANIF 介面
• 匯聚層處理 L3 轉送；核心層僅管理路由總結或出口連線

適用場景：

• 具有明確服務區域的中型校園網路
• 相對獨立的聚集區 (例如，依樓層或面積組織)

優勢：

• 降低核心負載
• 匯聚層可執行本機化 ACL 與安全政策
• 較扁平的網路結構，較容易擴充

缺點：

• 每個聚合交換器都會維護路由表，增加路由複雜性
• 聚合層之間的通訊必須穿越核心，產生稍微間接的路由路徑

模型三：存取層的閘道器（邊緣閘道器）

特性：

• 放置在存取交換器上的 VLANIF 介面
• 每個存取交換器都具有第 3 層裝置的功能

適用場景：

• 部署簡單的小型網路
• 設備相對固定且具有強隔離需求的物聯網或分支機構場景

優勢：

• 極度簡化的網路，無需匯聚層
• 所有轉發都在本地完成，效率高

缺點：

• 分散的裝置配置、複雜的管理
• 難以維護的分散式安全政策
• 增加存取交換器的負載，使其更容易發生故障

03 | 閘道應該配置在哪裡？

• 小型網路 (≤50 個裝置):存取層工業路由器作為閘道
• 中型網路 (50-500 個裝置):匯聚層閘道
• 大型網路 (500+ 裝置):核心層閘道

04 | 「混合部署」可行嗎？

• 大部分 VLANIF 介面都放置在核心位置，以便集中管理
• 某些專用網路 (如監視攝影機、安全系統) 置於聚合層或存取層，以進行本機隔離與轉送
• 使用虛擬閘道器 (SVI) + DHCP 中繼，以分散方式部署無線控制器和 DHCP 伺服器

05 | 實際部署建議

• 核心層網關運作良好，但需要可靠的裝置 + 清晰的路由 + 足夠的資源
• 使用聚合層閘道時，每個聚合交換器應只管理自己的 VLAN，避免跨區域混合
• 小規模/獨立網段/分支節點方案建議使用存取層閘道器
• 如果實施閘道備援，請記得使用 VRRP 或 HVRRP 來提供高可用性

最終想法