相對于二層交換機的網絡環境，在三層交換機環境下部署上網行為管理的步驟要復雜一些，差別主要在“靜態路由”和“MAC地址收集器”，還有上層防火墻的一些安全策略的影響。在本文中，我將結合一次實際的安裝經歷，介紹三層環境下用網橋模式部署WSG上網行為管理的一些常見問題。

1. 配置并部署網橋

本例中，網關是華為USG防火墻172.16.200.253，三層交換機是172.16.200.254，子網掩碼都是255.255.255.0。既然200段IP是足夠的，所以我就直接把管理口設置在網橋上面，把WSG的IP設置為172.16.200.252，網關地址和DNS是防火墻的IP地址172.16.200.253。

如下圖：

WSG默認IP是192.168.10.1，網橋的ip是172.16.200.252，所以先把配置筆記本設置兩個IP（192.168.10.24和172.16.200.24）。

然后打開WSG界面進入配置向導：

配置好網橋后，在WSG的“配置”-“系統”-“重啟關機”里面點擊關機，把設備上架固定。然后開機，迅速把防火墻到三層交換機的網線串接到WSG的網橋上面。由于網橋是透明的，迅速串接一下網線不會導致斷網，我們直接在生產環境串接網橋，用戶端根本就沒有察覺到。

2. 配置到VLAN的靜態路由

網橋串接上后，我們回到大廳的無線區域，想通過無線區域來打開WSG界面進行查看，結果發現打開不了WSG。無線大廳是172.16.14.x，可以正常上網，但是不能打開WSG，也ping不通。原來還需要在WSG中設置到VLAN的路由表才可以。如下圖，下一跳是三層交換機的IP地址。

配置靜態路由并且應用新配置后，即可打開WSG界面。

3. 配置MAC地址收集器

點開右上角實時流量圖，發現所有網絡終端的MAC地址怎么都一樣呢，顯示的是華為交換機的MAC地址？原來還需要設置MAC地址收集器。

用putty連接到華為三層交換機，sys進入system view，輸入以下命令開啟snmp管理。

snmp-agent community read public123

snmp-agent sys-info version all

snmp-agent sys-info contact mycontact

snmp-agent sys-info location mylocation

quit系統模式后別忘了用save保存一下交換機配置信息。然后在WSG中編輯MAC地址收集器的查詢命令，點擊測試通過。

再回到實時流量圖，顯示的MAC地址都正常了。如圖：

4. 檢查WSG自身能否上網

在本例中還需要設置短信web認證，測試時發現WSG不能連接外網。讓華為的工程師調整了防火墻策略，使WSG可以連接外網。然后就可以正常調用短信接口了。

大概的步驟就以上這些，經過2個小時的努力，WSG成功上線！