WSG上網(wǎng)行為管理（WFilter NGF）既可以做網(wǎng)關部署，也可以做網(wǎng)橋部署。在網(wǎng)橋部署模式下，WSG的IPSec VPN和OpenVPN一樣是可用的，可以實現(xiàn)單臂模式的VPN組網(wǎng)。網(wǎng)絡結構如下圖：

本文將結合WSG介紹如何實現(xiàn)IPSec VPN的單臂部署。

1. 首先，要在防火墻（路由器）配置端口映射。

把IPSec的端口（UDP 500和UDP 4500）映射到WSG上。如圖：

2. 在WSG上配置IPSec隧道

隧道的配置參數(shù)要和對端IPSec的參數(shù)一致。

參數(shù)配置正確后，應用新配置，即可連接到對端IPSec隧道。

3. 配置靜態(tài)路由表

在單臂部署模式下，客戶機的網(wǎng)關并不是指向WSG，所以需要在網(wǎng)關（三層交換機或者路由器）上配置路由表轉發(fā)，把對端網(wǎng)段的數(shù)據(jù)包重定向到WSG網(wǎng)橋。如圖：

經(jīng)過上述配置后，數(shù)據(jù)包的路徑是這樣的：

1. 客戶機往對端網(wǎng)段的數(shù)據(jù)包發(fā)到客戶機的網(wǎng)關（三層交換機或者路由器）
   

2. 網(wǎng)關根據(jù)靜態(tài)路由表，把數(shù)據(jù)包轉發(fā)到WSG網(wǎng)橋。

3. WSG把該數(shù)據(jù)包通過IPSec隧道發(fā)到對端IPSec。

4. 對端返回的數(shù)據(jù)包經(jīng)過IPSec隧道發(fā)到WSG。

5. WSG再把數(shù)據(jù)包轉發(fā)給客戶機。

這樣就完成了數(shù)據(jù)包的閉環(huán)傳輸。