hello,我是网工小陈。
上次写过一篇和园区网相关的文章,有些朋友说讲得太浅。
这次来一版深入一些的,完全贴近园区网真实部署场景,不光把原理讲透,也会穿插关键配置点、实际网络设计的演进路线。
文章目录
一、这不是选型题,这是架构题
先别急着对比“二层便宜”还是“三层高效”。
选二层还是三层,本质上是在决定你这个网络未来是“小作坊架构”,还是“正规企业级架构”。
用二层汇聚,一旦核心挂了、广播暴涨、VLAN 乱窜,运维全靠人顶。
用三层汇聚,每一栋楼、每个区域都是独立广播域,业务独立、路由清晰、运维压力骤减。
所以先明确:这个网络以后是要扩、要管、要变的,还是就这点规模凑合能用?
二、搞清楚它们的核心差别,不要只看“网关位置”
说到底,二层汇聚和三层汇聚的根本区别在:
不要被“网关在汇聚层”这种说法迷惑,背后其实牵涉到:
VLAN 的终止点设计 路由逻辑如何下沉 广播隔离策略 整网收敛路径和安全域划分
三、做园区网,为什么很多人一开始都选错了?
因为园区网刚上线时,用户少、设备少,老板还不愿批预算。
于是网络就长这样:
汇聚是二层交换机,几十个 VLAN 全都 Trunk 到核心 核心配置成超级网关,所有 VLAN 的接口全写在核心 有点钱就搞个双核心 VRRP,还自以为高可用了
这种架构短期能跑,但当你网络一大,问题就来了:
核心成了超级大网关,CPU 撑不住广播/ARP VLAN 数一多,核心设备 VLAN 接口配置爆炸 扩展接入层,Trunk 配置天天改 某接入环路一炸,广播风暴全网死机 故障排查复杂,谁炸了谁不知道
这种情况下再想上三层汇聚?就不是加设备这么简单了,要重构全网配置。
所以三层汇聚从第一天就该规划好。
四、实际怎么选?三类典型园区网结构分析
场景 1:小型企业,单栋办公楼,最多几十台设备
用户少,业务简单 网络稳定性要求不高 能用即可,不考虑后续接入扩展
选型建议:二层汇聚+核心做网关,控制成本
注意事项:VLAN 数量控制在合理范围,核心设备要能抗广播
场景 2:中型企业,3-5 层办公楼,每层一个接入点
各楼层接入设备多,存在多个业务网段 需要简单的访问隔离、安全控制 核心设备性能一般,不想承载所有网关
选型建议:建议使用三层汇聚,每楼配一个汇聚设备做本地网关
注意事项:用 OSPF 等 IGP 协议在汇聚与核心之间跑路由,实现汇聚之间联通
推荐设备:汇聚使用 S5735-S 或 S6730-H 系列三层交换机,核心可选 CE68xx
场景 3:大型园区网,多个办公楼、研发楼、机房、生产线并存
网络分区明显,安全域清晰 高可用要求高,有冗余链路需求 网络未来扩展性强,需支持新业务快速上线
选型建议:必须三层汇聚,每个物理区域配独立汇聚
注意事项:
汇聚层做 HSRP/VRRP + OSPF,支持冗余网关、快速收敛 核心只作为路由中枢和出口网关 每个汇聚层部署独立 ACL、防火墙策略,便于精细控制推荐设备:汇聚至少用 S6730-H,核心用 CE68xx 或 CE128xx
五、三层汇聚设计中的关键技术点
1. 网关部署:IRF 或 VRRP?
单台三层汇聚设备部署,使用本地 VLAN 接口即可
双机汇聚要做高可用,可以采用:
IRF 虚拟化技术,两个设备虚成一台,网关只需配置一次 VRRP 虚拟网关,主备设备分别维护路由,主挂自动切备
2. 路由协议:静态 or 动态?
少量汇聚,用静态路由也能跑,但维护成本高
推荐使用OSPF,支持大网规模、收敛快、结构清晰
配置示例:
ospf 1
area 0.0.0.0
network 192.168.1.0 0.0.0.255
network 10.1.0.0 0.0.255.255
3. 访问控制:ACL 下沉到哪层?
二层汇聚:ACL 只能在核心实施 三层汇聚:ACL 可在汇聚侧直接做 VLAN 出口/入方向过滤 优点是:控制粒度细、广播隔离彻底、安全域独立
六、结尾总结:永远记住这几句话
二层汇聚,只适合“不能扩、无安全、成本压到底”的小项目 三层汇聚,是企业网走向正规、可管、可扩、可控的必要一步 核心别做“全能王”,放权到汇聚,网络才会轻松稳
发表回复