相對于二層交換機的網(wǎng)絡(luò)環(huán)境，在三層交換機環(huán)境下部署上網(wǎng)行為管理的步驟要復(fù)雜一些，差別主要在“靜態(tài)路由”和“MAC地址收集器”，還有上層防火墻的一些安全策略的影響。在本文中，我將結(jié)合一次實際的安裝經(jīng)歷，介紹三層環(huán)境下用網(wǎng)橋模式部署WSG上網(wǎng)行為管理的一些常見問題。

1. 配置并部署網(wǎng)橋

本例中，網(wǎng)關(guān)是華為USG防火墻172.16.200.253，三層交換機是172.16.200.254，子網(wǎng)掩碼都是255.255.255.0。既然200段IP是足夠的，所以我就直接把管理口設(shè)置在網(wǎng)橋上面，把WSG的IP設(shè)置為172.16.200.252，網(wǎng)關(guān)地址和DNS是防火墻的IP地址172.16.200.253。

如下圖：

WSG默認IP是192.168.10.1，網(wǎng)橋的ip是172.16.200.252，所以先把配置筆記本設(shè)置兩個IP（192.168.10.24和172.16.200.24）。

然后打開WSG界面進入配置向?qū)В?br/>

配置好網(wǎng)橋后，在WSG的“配置”-“系統(tǒng)”-“重啟關(guān)機”里面點擊關(guān)機，把設(shè)備上架固定。然后開機，迅速把防火墻到三層交換機的網(wǎng)線串接到WSG的網(wǎng)橋上面。由于網(wǎng)橋是透明的，迅速串接一下網(wǎng)線不會導(dǎo)致斷網(wǎng)，我們直接在生產(chǎn)環(huán)境串接網(wǎng)橋，用戶端根本就沒有察覺到。

2. 配置到VLAN的靜態(tài)路由

網(wǎng)橋串接上后，我們回到大廳的無線區(qū)域，想通過無線區(qū)域來打開WSG界面進行查看，結(jié)果發(fā)現(xiàn)打開不了WSG。無線大廳是172.16.14.x，可以正常上網(wǎng)，但是不能打開WSG，也ping不通。原來還需要在WSG中設(shè)置到VLAN的路由表才可以。如下圖，下一跳是三層交換機的IP地址。

配置靜態(tài)路由并且應(yīng)用新配置后，即可打開WSG界面。

3. 配置MAC地址收集器

點開右上角實時流量圖，發(fā)現(xiàn)所有網(wǎng)絡(luò)終端的MAC地址怎么都一樣呢，顯示的是華為交換機的MAC地址？原來還需要設(shè)置MAC地址收集器。

用putty連接到華為三層交換機，sys進入system view，輸入以下命令開啟snmp管理。

snmp-agent community read public123

snmp-agent sys-info version all

snmp-agent sys-info contact mycontact

snmp-agent sys-info location mylocation

quit系統(tǒng)模式后別忘了用save保存一下交換機配置信息。然后在WSG中編輯MAC地址收集器的查詢命令，點擊測試通過。

再回到實時流量圖，顯示的MAC地址都正常了。如圖：

4. 檢查WSG自身能否上網(wǎng)

在本例中還需要設(shè)置短信web認證，測試時發(fā)現(xiàn)WSG不能連接外網(wǎng)。讓華為的工程師調(diào)整了防火墻策略，使WSG可以連接外網(wǎng)。然后就可以正常調(diào)用短信接口了。

大概的步驟就以上這些，經(jīng)過2個小時的努力，WSG成功上線！