三层交换机环境的上网行为管理方案

很多局域网采用的是“防火墙/路由--三层交换机--二层交换机”的拓扑结构，而由于三层交换机的配置相对来说比较复杂，在这样的局域网中部署上网行为管理，用户往往会面临如下的一些问题：

1. 找不到交换机的管理员用户名和口令。
   

2. 没有技术人员可以修改交换机的配置。

3. 没有交换机厂商技术支持。

其实在有三层交换机的网络环境中部署上网行为管理并不困难。在本文中，我将分别介绍“网桥部署”和“网关部署”的两种方案。我们的方案，都尽量避免了对交换机的配置进行修改。

1. 网关部署模式

网关部署模式，简单来说，就是用上网行为管理设备替换掉现有的路由器网关。网络拓扑图如下：

建议采用这样的步骤：

1. 记录路由器之前的配置信息，主要是：IP，掩码，DNS配置，防火墙配置（端口映射，一对一NAT等），静态路由。

2. 单独连接WSG上网行为管理网关，把路由器的配置项逐项在WSG网关上进行设置。

3. 核对配置信息，确保IP、子网掩码、静态路由的正确性。

4. 等人员下班后，把新设备上线测试。

该方案并不需要修改交换机的配置，即可进行部署。如果之前的网关设备做了很多策略，那么配置会麻烦些。WFilter路由表的配置如图：

2. 网桥部署模式

上面介绍的“网关部署模式”需要替换掉现有的网关设备，而且要把之前的网关配置移植过来。而“网桥部署模式”时，无需替换任何设备，可以直接透明部署。网络拓扑图如下：

请注意：在网桥模式下，“×××”、“PPPoE认证“、”多线均衡“功能是无法实现的；其他功能和网关模式完全一样。网桥模式的部署步骤如下：

1. 单独连接"WSG上网行为管理网关"，配置网桥的IP、掩码等信息。

2. 配置网桥到各个VLAN的路由表（下一跳地址指向交换机IP）。

3. 即可上线测试。
   

如果网桥地址不可达，你还可以把其他端口设置为管理端口，用于WSG网关设备的配置管理和互联网访问。如图：

综上所述，这两种部署模式，都不需要修改交换机的配置，直接就可以部署上网行为管理。作为专业的上网行为管理方案提供商，我们的WFilter NGF可以支持”网关模式“和”网桥模式“；另外，还有旁路模式通过镜像端口来实现上网行为管理的”WFilter ICF上网行为管理软件“，无需串联网络设备，也是一个重要的部署方式。

相关参考：

多VLAN三层交换机如何连接WFilter上网行为管理系统？

上网行为管理部署方案的优缺点分析