WSG上網(wǎng)行為管理做透明網(wǎng)橋部署有很多優(yōu)勢(shì)：

1. 即插即用，不影響現(xiàn)有網(wǎng)絡(luò)。
   

2. 不需要修改原有設(shè)備的配置（交換機(jī)、路由器都不需要做任何修改）

3. 可以利用到硬件bypass的功能，即使機(jī)器斷電死機(jī)也不會(huì)斷網(wǎng)。

對(duì)于二層交換機(jī)來(lái)說(shuō)，只有一個(gè)網(wǎng)段，配置比較簡(jiǎn)單，只需要給網(wǎng)橋設(shè)置一個(gè)內(nèi)網(wǎng)IP就可以。我就不再贅述了。本文主要介紹在三層交換機(jī)的環(huán)境下如何來(lái)配置WSG網(wǎng)橋。

首先要介紹下子網(wǎng)掩碼的概念，子網(wǎng)掩碼決定了一個(gè)網(wǎng)段內(nèi)的IP數(shù)量。比如255.255.255.0的子網(wǎng)掩碼，可以容納254個(gè)IP地址。而防火墻和三層交換機(jī)，有些情況下為了安全需要，會(huì)采用255.255.255.252的子網(wǎng)掩碼，這個(gè)網(wǎng)段只能容納2個(gè)IP地址。如圖：

如上圖所示，防火墻的IP是172.16.1.1，三層交換機(jī)的IP是172.16.1.2。但是由于子網(wǎng)掩碼設(shè)置的是255.255.255.252，這個(gè)網(wǎng)段就已經(jīng)沒(méi)有剩余的可用IP了。

所以，WSG網(wǎng)橋部署主要分為兩種情況：

1. 防火墻和三層交換機(jī)網(wǎng)段有空余IP

防火墻和三層交換機(jī)網(wǎng)段有空余IP時(shí)，管理口可以設(shè)置在網(wǎng)橋上，IP地址配置成防火墻網(wǎng)段即可。這種情況下WSG只需要接兩根網(wǎng)線，一進(jìn)一出。如下圖：

2. 防火墻和三層交換機(jī)網(wǎng)段沒(méi)有空余IP

防火墻和三層交換機(jī)網(wǎng)段沒(méi)有空余IP時(shí)，管理口不能設(shè)置在網(wǎng)橋上，必須采用單獨(dú)的管理口接到三層交換機(jī)的VLAN上。IP地址也配置該VLAN的IP地址。這種情況下WSG需要接三根網(wǎng)線，一進(jìn)一出做網(wǎng)橋，還有一根網(wǎng)線接在管理口上。如下圖：