企业网中网关的部署位置浅析

园区网网关部署位置

园区网络中的终端设备，想要访问外部的Internet，第一步首先要找自己的网关设备。然后通过网关设备再进入园区网内部进行数据路由。

一般园区网的网关部署方案有两类：

一、园区网关部署在汇聚层

如果把网关部署在汇聚交换机上，上层的核心与汇聚之间运行三层路由协议，下层的接入与汇聚之间为二层网络，没有运行路由协议。汇聚层以下的网络即为一个大二层网络。该部署方案的特点主要包括以下几点：

1. 方便部署与运维：接入层与汇聚层之间没有运行路由协议，只是简单的二层结构。在业务迁移或者员工移动的时候，不需要修改原有的IP地址，由于整体为一个大二层网络，移动之后，只需要配上原来的vlan即可。
2. 更高的利用率以及可靠性：接入层交换机和汇聚层交换机，可以部署园区网经典的iStack+Eth-Trunk方案。将多条链路逻辑上捆绑成一条链路，多台设备逻辑上虚拟成单台设备。从而提高了链路的利用率以及网关设备的可靠性。
3. 组网成本较低：网关在汇聚层上，所以接入交换机不需要运行路由协议，在产品选型上只需要二层交换机即可，在需要大量接入交换机的园区网，可以降低组网成本。
4. 网络存在广播风险：大二层网络存在广播风暴风险，如果网络中出现网络风暴，此时会直接影响到汇聚层设备，导致整个汇聚层下面的网络均受到影响。

二、园区网关部署在接入层

1. 部署以及运维要求相对较高：接入层以及汇聚层之间需要运行路由协议，每一个接入交换机下面就是一个独立的三层网络。并且当业务迁移或者员工移动时，可能需要改变原来的IP地址。
2. 提高网络利用率：接入层和汇聚层之间运行路由协议，可以使用路由协议的ECMP(Equal-Cost Multi-Path)，提高链路利用率。
3. 网络故障影响较小：当接入层出现网络风暴时，由于网关在接入交换机上，可以隔离广播报文，将广播风暴缩小在每个接入交换机下面，减小网络故障风险。
4. 组网成本较高：由于接入交换机需要配置路由协议，所以需要配置一些三层交换机的型号，相对于二层交换机，在成本上会相对较高。

三、网关部署在核心层

网关部署在核心层这种方案主要用于无线场景，在集中转发模式中，流量会先通过CAPWAP隧道封装到达AC，再由AC解封装CAPWAP后发到核心上

集中式管理：在核心部署无线网关可以实现集中式管理，方便对整个网络进行管理和配置。

快速故障定位：当网络出现故障时，无线网关在核心的位置可以帮助快速定位故障位置。

当然还有一种是无线网关部署在AC上，这样做后续如果要对无线网络进行迁移，对AC进行修改即可，不需要动有线侧网络。