01｜先说清楚：网关到底是干嘛的？

简单一句话：网关就是子网的出口，让你能访问别的网段。

技术上表现为：VLANIF 接口，是一个三层逻辑接口，挂在某个设备上，实现 L3 转发。

谁拥有这个接口，谁就是那个 VLAN 的“网关”。

02｜三种主流网关部署方式长啥样？

来看三种常见的园区网架构下，网关分别怎么部署：

模式一：网关在核心层（经典三层）

特点：

• 所有 VLANIF 都在核心交换机上配置
• 汇聚/接入层只做二层转发

适合场景：

• 中大型园区网
• 业务多、VLAN 多、三层策略多

优点：

• 网关集中，便于统一管理
• 路由表在核心，路径清晰
• 安全策略集中部署、防火墙靠近核心

缺点：

• 所有南北向、东西向流量都要上核心，压力大
• 核心成为单点，易成瓶颈

模式二：网关在汇聚层（扁平三层）

 

 

特点：

• VLANIF 配在汇聚层
• 汇聚层负责 L3 转发，核心只做路由汇总或出口连接

适合场景：

• 中型园区，有明确业务区域划分
• 多个汇聚相对独立，比如按楼层/按区域部署

优点：

• 核心负载降低
• 汇聚层可做 ACL、安全策略本地化
• 网络结构更扁平，便于扩展

缺点：

• 每个汇聚都有路由，路由复杂度增加
• 汇聚层之间通信走核心，路由路径绕一点

模式三：网关在接入层（边缘网关）

 

 

特点：

• VLANIF 放在接入交换机
• 每台接入交换机就是一个三层设备

适合场景：

• 小型网络，部署简单
• IoT、分支场景中，设备相对固定、隔离性强

优点：

• 网络极简，不用汇聚层
• 所有转发在本地完成，效率高

缺点：

• 设备配置分散、管理复杂
• 安全策略分布式，维护难
• 接入交换机负载上升，容易出故障

03｜那网关到底该配在哪？

这取决于你的网络规模 + 业务需求：

 

 

04｜有没有“混合型部署”？

有。很多真实项目里是“混搭”的：

• 大部分 VLANIF 放在核心，集中管理

• 某些专网（如摄像头、安防）放在汇聚或接入，就近隔离、就地转发

• 无线控制器、DHCP Server 分散部署，做虚拟网关（SVI）+ DHCP relay

关键还是看业务走向和网络流量结构。

05｜几个实际部署建议

• 核心做网关没问题，但一定要 设备可靠 + 路由清晰 + 资源充足

• 汇聚做网关时，建议 各汇聚只管自己那部分 VLAN，避免跨区域混用

• 接入做网关时，推荐用在 小规模/独立网段/分支节点场景

• 如果做了网关冗余，记得 用 VRRP 或 HVRRP 做高可用

写在最后

网关放哪儿，不是拍脑袋决定的。

它牵扯的是整个网络架构是否合理，业务是不是走得顺，设备压不压得住，后期好不好维护。

一句话总结就是：

小网放边缘，中网落汇聚，大网挂核心。

能不乱，能扩展，能查障，才是好架构。