在企业中网络常常会有三层交换。它能够有效隔离广播，防止广播风暴。通过三层交换机
划分vlan，使得应用和管理都变得相对容易些。但也给代理的设置带来一点小麻烦，传统代理
要设置代理服务器地址和端口，这对三层交换网络没有什么问题。关键是透明代理中网关的设
置，在三层交换的网络中每个vlan的计算机的网关都要设置成所在vlan的网关，如：下表中
vlan1的网关必须是172.16.10.254,vlan2的网关必须是172.16.20.254，像普通网络中把网关都
设置成代理服务器的地址是绝对不行的。所以，三层交换网络中透明代理的设置主要问题集中
在三层中心交换机和代理服务器路由的设置，三层交换机的路由表中要有一条默认路由指向代
理服务器，服务器的路由表中要有一个容纳所有vlan的网关。

以下是我的网络说明：
网络内网有15个vlan如路由表所示，代理服务器（squid+iptables）在vlan1中服务器有两
块网卡，eth0连接外网ip是A.B.C.6/128,网关为A.B.C.1。eth1连接内网ip是172.16.10.1/24，
不设网关。给服务器加上一条路由，将172.16.0.0/16,指向vlan1的网关172.16.10.254，以保
证与其他vlan的通信，如此网络部分便配置成功，关于透明代理设置这里就不说了，请参考其
他文章。这样所有的vlan的计算机只要网关和dns配置好就可以上网了，如：vlan3中某台计算
机ip设置172.16.30.47,网关为172.16.30.254，dns地址为服务商给的，这样就OK了。其出网的
路由为->172.16.30.254->172.16.10.1->A.B.C.1->......

下面是我的三层中心交换机的路由表和代理服务器的路由表：


三层交换机路由表
（不同的交换机，显示会有不同）
Routing Table
=============


Destination Network Destination Mask VLAN Next Hop Type Protocol
0.0.0.0 0.0.0.0 1 172.16.10.1 Indirect Mgmt
172.16.10.0 255.255.255.0 1 172.16.10.254 Direct Local
172.16.20.0 255.255.255.0 2 172.16.20.254 Direct Local
172.16.30.0 255.255.255.0 3 172.16.30.254 Direct Local
. . . . . .
. . . . . .
. . . . . .
. . . . . .
172.16.150.0 255.255.255.0 15 172.16.150.254 Direct Local

服务器路由表
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
A.B.C.0 * 255.255.255.128 U 0 0 0 eth0
172.16.10.0 * 255.255.255.0 U 0 0 0 eth1
172.16.0.0 172.16.10.254 255.255.0.0 UG 0 0 0 eth1
127.0.0.0 * 255.0.0.0 U 0 0 0 lo
default A.B.C.1 0.0.0.0 UG 0 0 0 eth0