WSG上網行為管理做透明網橋部署有很多優勢:
即插即用,不影響現有網絡。
不需要修改原有設備的配置(交換機、路由器都不需要做任何修改)
可以利用到硬件bypass的功能,即使機器斷電死機也不會斷網。
對于二層交換機來說,只有一個網段,配置比較簡單,只需要給網橋設置一個內網IP就可以。我就不再贅述了。本文主要介紹在三層交換機的環境下如何來配置WSG網橋。
首先要介紹下子網掩碼的概念,子網掩碼決定了一個網段內的IP數量。比如255.255.255.0的子網掩碼,可以容納254個IP地址。而防火墻和三層交換機,有些情況下為了安全需要,會采用255.255.255.252的子網掩碼,這個網段只能容納2個IP地址。如圖:
如上圖所示,防火墻的IP是172.16.1.1,三層交換機的IP是172.16.1.2。但是由于子網掩碼設置的是255.255.255.252,這個網段就已經沒有剩余的可用IP了。
所以,WSG網橋部署主要分為兩種情況:
1. 防火墻和三層交換機網段有空余IP
防火墻和三層交換機網段有空余IP時,管理口可以設置在網橋上,IP地址配置成防火墻網段即可。這種情況下WSG只需要接兩根網線,一進一出。如下圖:
2. 防火墻和三層交換機網段沒有空余IP
防火墻和三層交換機網段沒有空余IP時,管理口不能設置在網橋上,必須采用單獨的管理口接到三層交換機的VLAN上。IP地址也配置該VLAN的IP地址。這種情況下WSG需要接三根網線,一進一出做網橋,還有一根網線接在管理口上。如下圖:
