园区网汇聚到底该用二层还是三层？别再瞎选了

号主：老杨丨11年资深网络工程师，更多网工提升干货，请关注公众号：网络工程师俱乐部

上次写过一篇和园区网相关的文章，有些朋友说讲得太浅。

这次来一版深入一些的，完全贴近园区网真实部署场景，不光把原理讲透，也会穿插关键配置点、实际网络设计的演进路线。

一、这不是选型题，这是架构题

先别急着对比“二层便宜”还是“三层高效”。

选二层还是三层，本质上是在决定你这个网络未来是“小作坊架构”，还是“正规企业级架构”。

用二层汇聚，一旦核心挂了、广播暴涨、VLAN 乱窜，运维全靠人顶。

用三层汇聚，每一栋楼、每个区域都是独立广播域，业务独立、路由清晰、运维压力骤减。

所以先明确：这个网络以后是要扩、要管、要变的，还是就这点规模凑合能用？

二、搞清楚它们的核心差别，不要只看“网关位置”

说到底，二层汇聚和三层汇聚的根本区别在：

不要被“网关在汇聚层”这种说法迷惑，背后其实牵涉到：

• VLAN 的终止点设计
• 路由逻辑如何下沉
• 广播隔离策略
• 整网收敛路径和安全域划分

三、做园区网，为什么很多人一开始都选错了？

因为园区网刚上线时，用户少、设备少，老板还不愿批预算。

于是网络就长这样：

• 汇聚是二层交换机，几十个 VLAN 全都 Trunk 到核心
• 核心配置成超级网关，所有 VLAN 的接口全写在核心
• 有点钱就搞个双核心 VRRP，还自以为高可用了

这种架构短期能跑，但当你网络一大，问题就来了：

1. 核心成了超级大网关，CPU 撑不住广播/ARP
2. VLAN 数一多，核心设备 VLAN 接口配置爆炸
3. 扩展接入层，Trunk 配置天天改
4. 某接入环路一炸，广播风暴全网死机
5. 故障排查复杂，谁炸了谁不知道

这种情况下再想上三层汇聚？就不是加设备这么简单了，要重构全网配置。

所以三层汇聚从第一天就该规划好。

四、实际怎么选？三类典型园区网结构分析

场景 1：小型企业，单栋办公楼，最多几十台设备

• 用户少，业务简单
• 网络稳定性要求不高
• 能用即可，不考虑后续接入扩展

选型建议：二层汇聚+核心做网关，控制成本

注意事项：VLAN 数量控制在合理范围，核心设备要能抗广播

场景 2：中型企业，3-5 层办公楼，每层一个接入点

• 各楼层接入设备多，存在多个业务网段
• 需要简单的访问隔离、安全控制
• 核心设备性能一般，不想承载所有网关

选型建议：建议使用三层汇聚，每楼配一个汇聚设备做本地网关

注意事项：用 OSPF 等 IGP 协议在汇聚与核心之间跑路由，实现汇聚之间联通

推荐设备：汇聚使用 S5735-S 或 S6730-H 系列三层交换机，核心可选 CE68xx

场景 3：大型园区网，多个办公楼、研发楼、机房、生产线并存

• 网络分区明显，安全域清晰
• 高可用要求高，有冗余链路需求
• 网络未来扩展性强，需支持新业务快速上线

选型建议：必须三层汇聚，每个物理区域配独立汇聚

注意事项：

• 汇聚层做 HSRP/VRRP + OSPF，支持冗余网关、快速收敛
• 核心只作为路由中枢和出口网关
• 每个汇聚层部署独立 ACL、防火墙策略，便于精细控制推荐设备：汇聚至少用 S6730-H，核心用 CE68xx 或 CE128xx

五、三层汇聚设计中的关键技术点

1. 网关部署：IRF 或 VRRP？

• 单台三层汇聚设备部署，使用本地 VLAN 接口即可

• 双机汇聚要做高可用，可以采用：

  • IRF 虚拟化技术，两个设备虚成一台，网关只需配置一次
  • VRRP 虚拟网关，主备设备分别维护路由，主挂自动切备

2. 路由协议：静态 or 动态？

• 少量汇聚，用静态路由也能跑，但维护成本高

• 推荐使用 OSPF，支持大网规模、收敛快、结构清晰

• 配置示例：

  ospf 1
   area 0.0.0.0
     network 192.168.1.0 0.0.0.255
     network 10.1.0.0 0.0.255.255

3. 访问控制：ACL 下沉到哪层？

• 二层汇聚：ACL 只能在核心实施
• 三层汇聚：ACL 可在汇聚侧直接做 VLAN 出口/入方向过滤 优点是：控制粒度细、广播隔离彻底、安全域独立

六、结尾总结：永远记住这几句话

• 二层汇聚，只适合“不能扩、无安全、成本压到底”的小项目
• 三层汇聚，是企业网走向正规、可管、可扩、可控的必要一步
• 核心别做“全能王”，放权到汇聚，网络才会轻松稳

原创：老杨丨11年资深网络工程师，更多网工提升干货，请关注公众号：网络工程师俱乐部