VLAN网关放哪？放在汇聚还是核心？

网关放在汇聚层，对大多数中大型企业网来说最合适；小型网络可以把网关下沉到接入交换机，省钱省事；数据中心或需要强审计的场景，网关常常会放到核心或防火墙上。这个决定会直接影响流量走向、策略下发和后续排障的复杂度。

结论先说清楚了，下面把来龙去脉倒着讲给你听，从结果回溯到缘由、再到具体细节和常见坑。

先说最常见的部署和它们会带来的真实后果。把网关统一放在汇聚层，会把跨VLAN的流量在这里终结，核心设备主要负责高速转发和路由汇总，接入交换机只做二层透传。这样做的现实好处是：策略（ACL、QoS、NAT）聚焦放在一个层面控制，新增VLAN时只需在汇聚层建一个SVI，接入层不需要逐台改三层配置，运维负担明显减轻。两台汇聚交换机可以用VRRP做网关冗余，用户感知会稳定不少。现实例子里，许多公司就是这么干的，运维少犯错，调试也好办。

再说把网关下沉到接入层的场景。设备少，架构简单，是小型网首选。单台S5735-L这类交换机既做接入也做网关的部署挺常见，终端直接把VLANIF放在接入口上，路由在本地结束，核心就当高速链路走。这种方式的代价是：当接入设备多起来，配置量呈线性增长，出错率上升。一个新VLAN上线，理论上要在每台相关接入交换机上配置SVI或者确保Trunk放行，这容易出问题。

再说把网关放到核心或防火墙上的场景。许多数据中心和高安全性环境会把所有跨VLAN流量强制过防火墙，这样便于审计和策略统一。另一种变体是在Leaf节点配合VXLAN+EVPN实现分布式网关，把网关功能分散到Leaf上，同时通过控制平面实现统一管理。聚焦式安全设备（防火墙集群）作为三层网关，也很常见。代价是：所有东西向流量可能被迫回程到防火墙，带宽和延迟要求高，且运维、自动化要求高。

说完部署结果，回到一些典型故障和应急排查。常见的两个问题场景：一是两个活跃网关出目前同一个网段，导致ARP冲突和用户随机掉线；二是用户能拿到DHCP地址但无法通信。前者大多由于误配置了两处SVI或VRRP配置不当，解决办法是确保每个VLAN只有一个活动网关实例，或者正确配置VRRP/HSRP。后者常见缘由是接入交换机的Trunk口没有允许对应VLAN，终端发出的流量被打回或丢弃。排查时可以用这些命令：show vlan / display vlan、show interface trunk、show ip route / display ip routing-table、show arp / display arp、show vrrp。看不到路由、看不到ARP或者Trunk没放行，都是常见问题点。

讲讲路由学习和汇总的风险。如果在汇聚层把所有直连网段发布出去，而核心又去学习每一段直连，路由表会变得臃肿，OSPF/LSA泛洪和路由环路的风险会上升。比较稳妥的做法是：汇聚层发布直连网段，核心只学汇总路由或学习汇聚的汇总，这样路由表简单，转发路径清晰。

再细说技术实现的差异和配置量。接入层做网关意味着每台接入交换机需要配置SVI（interface vlanif X + ip address），每多一台设备就多一份配置，人工错误风险高。汇聚层网关模式下，接入交换机纯二层透传，用户端口只需access到对应VLAN，Trunk向上只要放行对应VLAN即可。汇聚交换机上只建SVI并启VRRP就能实现冗余，这里少了重复配置的工作。核心做网关或者防火墙做网关时，接入和汇聚都保持二层特性，所有策略下沉到核心或防火墙，配置聚焦，但对设备性能和架构设计要求更高。

给几个操作上的小贴士，都是实战里常用的。新增VLAN时，如果网关在汇聚层，你只要在汇聚上创建SVI并确保上行Trunk放行即可，接入设备无需逐台改动。做冗余时，两个汇聚SW用VRRP做虚拟网关，别忘了同步ACL和QoS配置。做日志和审计时，把策略下放在能看到东西向流量的设备上（一般是汇聚或防火墙），这样才能保证审计链路完整。需要实现租户隔离和东西向流量优化时，思考VXLAN+EVPN把网关功能分布到Leaf节点，同时配合控制平面自动化，减少手工配置。

说到成本和规模的权衡，直接给出一个可操作的划分逻辑：终端数少于500，设备和预算都有限，接入层网关可以接受；中大型企业，业务量和策略复杂度上来，汇聚层网关是平衡点；数据中心、对审计和隔离有严格要求的场景，核心或安全设备承担网关职责更合适。这个划分不是绝对的，但在设计阶段拿来做参考很实用。

最后列出一些现场常见的命令和检查点，方便你现场排查：

– 验证VLAN是否生效：show vlan / display vlan

– 检查Trunk是否允许VLAN：show interface trunk / display interface brief

– 核查SVI和网关状态：show ip interface brief / display interface vlanif

– 查ARP表看是否存在冲突：show arp / display arp

– 检查VRRP状态：show vrrp / display vrrp

– 路由表核对：show ip route / display ip routing-table

本文里的提议基于常见企业网络场景和实战经验，说两句感想：设计越早想清楚，后面排障就越少；别把所有事儿都往核心堆，设备和人手都要算进成本里。

原创：老杨丨11年资深网络工程师，更多网工提升干货，请关注公众号：网络工程师俱乐部