三層交換機(jī)環(huán)境的上網(wǎng)行為管理方案

很多局域網(wǎng)采用的是“防火墻/路由--三層交換機(jī)--二層交換機(jī)”的拓?fù)浣Y(jié)構(gòu)，而由于三層交換機(jī)的配置相對(duì)來說比較復(fù)雜，在這樣的局域網(wǎng)中部署上網(wǎng)行為管理，用戶往往會(huì)面臨如下的一些問題：

1. 找不到交換機(jī)的管理員用戶名和口令。
   

2. 沒有技術(shù)人員可以修改交換機(jī)的配置。

3. 沒有交換機(jī)廠商技術(shù)支持。

其實(shí)在有三層交換機(jī)的網(wǎng)絡(luò)環(huán)境中部署上網(wǎng)行為管理并不困難。在本文中，我將分別介紹“網(wǎng)橋部署”和“網(wǎng)關(guān)部署”的兩種方案。我們的方案，都盡量避免了對(duì)交換機(jī)的配置進(jìn)行修改。

1. 網(wǎng)關(guān)部署模式

網(wǎng)關(guān)部署模式，簡單來說，就是用上網(wǎng)行為管理設(shè)備替換掉現(xiàn)有的路由器網(wǎng)關(guān)。網(wǎng)絡(luò)拓?fù)鋱D如下：

建議采用這樣的步驟：

1. 記錄路由器之前的配置信息，主要是：IP，掩碼，DNS配置，防火墻配置（端口映射，一對(duì)一NAT等），靜態(tài)路由。

2. 單獨(dú)連接WSG上網(wǎng)行為管理網(wǎng)關(guān)，把路由器的配置項(xiàng)逐項(xiàng)在WSG網(wǎng)關(guān)上進(jìn)行設(shè)置。

3. 核對(duì)配置信息，確保IP、子網(wǎng)掩碼、靜態(tài)路由的正確性。

4. 等人員下班后，把新設(shè)備上線測試。

該方案并不需要修改交換機(jī)的配置，即可進(jìn)行部署。如果之前的網(wǎng)關(guān)設(shè)備做了很多策略，那么配置會(huì)麻煩些。WFilter路由表的配置如圖：

2. 網(wǎng)橋部署模式

上面介紹的“網(wǎng)關(guān)部署模式”需要替換掉現(xiàn)有的網(wǎng)關(guān)設(shè)備，而且要把之前的網(wǎng)關(guān)配置移植過來。而“網(wǎng)橋部署模式”時(shí)，無需替換任何設(shè)備，可以直接透明部署。網(wǎng)絡(luò)拓?fù)鋱D如下：

請注意：在網(wǎng)橋模式下，“×××”、“PPPoE認(rèn)證“、”多線均衡“功能是無法實(shí)現(xiàn)的；其他功能和網(wǎng)關(guān)模式完全一樣。網(wǎng)橋模式的部署步驟如下：

1. 單獨(dú)連接"WSG上網(wǎng)行為管理網(wǎng)關(guān)"，配置網(wǎng)橋的IP、掩碼等信息。

2. 配置網(wǎng)橋到各個(gè)VLAN的路由表（下一跳地址指向交換機(jī)IP）。

3. 即可上線測試。
   

如果網(wǎng)橋地址不可達(dá)，你還可以把其他端口設(shè)置為管理端口，用于WSG網(wǎng)關(guān)設(shè)備的配置管理和互聯(lián)網(wǎng)訪問。如圖：

綜上所述，這兩種部署模式，都不需要修改交換機(jī)的配置，直接就可以部署上網(wǎng)行為管理。作為專業(yè)的上網(wǎng)行為管理方案提供商，我們的WFilter NGF可以支持”網(wǎng)關(guān)模式“和”網(wǎng)橋模式“；另外，還有旁路模式通過鏡像端口來實(shí)現(xiàn)上網(wǎng)行為管理的”WFilter ICF上網(wǎng)行為管理軟件“，無需串聯(lián)網(wǎng)絡(luò)設(shè)備，也是一個(gè)重要的部署方式。

相關(guān)參考：

多VLAN三層交換機(jī)如何連接WFilter上網(wǎng)行為管理系統(tǒng)？

上網(wǎng)行為管理部署方案的優(yōu)缺點(diǎn)分析