三層交換機環境的上網行為管理方案

很多局域網采用的是“防火墻/路由--三層交換機--二層交換機”的拓撲結構，而由于三層交換機的配置相對來說比較復雜，在這樣的局域網中部署上網行為管理，用戶往往會面臨如下的一些問題：

1. 找不到交換機的管理員用戶名和口令。
   

2. 沒有技術人員可以修改交換機的配置。

3. 沒有交換機廠商技術支持。

其實在有三層交換機的網絡環境中部署上網行為管理并不困難。在本文中，我將分別介紹“網橋部署”和“網關部署”的兩種方案。我們的方案，都盡量避免了對交換機的配置進行修改。

1. 網關部署模式

網關部署模式，簡單來說，就是用上網行為管理設備替換掉現有的路由器網關。網絡拓撲圖如下：

建議采用這樣的步驟：

1. 記錄路由器之前的配置信息，主要是：IP，掩碼，DNS配置，防火墻配置（端口映射，一對一NAT等），靜態路由。

2. 單獨連接WSG上網行為管理網關，把路由器的配置項逐項在WSG網關上進行設置。

3. 核對配置信息，確保IP、子網掩碼、靜態路由的正確性。

4. 等人員下班后，把新設備上線測試。

該方案并不需要修改交換機的配置，即可進行部署。如果之前的網關設備做了很多策略，那么配置會麻煩些。WFilter路由表的配置如圖：

2. 網橋部署模式

上面介紹的“網關部署模式”需要替換掉現有的網關設備，而且要把之前的網關配置移植過來。而“網橋部署模式”時，無需替換任何設備，可以直接透明部署。網絡拓撲圖如下：

請注意：在網橋模式下，“×××”、“PPPoE認證“、”多線均衡“功能是無法實現的；其他功能和網關模式完全一樣。網橋模式的部署步驟如下：

1. 單獨連接"WSG上網行為管理網關"，配置網橋的IP、掩碼等信息。

2. 配置網橋到各個VLAN的路由表（下一跳地址指向交換機IP）。

3. 即可上線測試。
   

如果網橋地址不可達，你還可以把其他端口設置為管理端口，用于WSG網關設備的配置管理和互聯網訪問。如圖：

綜上所述，這兩種部署模式，都不需要修改交換機的配置，直接就可以部署上網行為管理。作為專業的上網行為管理方案提供商，我們的WFilter NGF可以支持”網關模式“和”網橋模式“；另外，還有旁路模式通過鏡像端口來實現上網行為管理的”WFilter ICF上網行為管理軟件“，無需串聯網絡設備，也是一個重要的部署方式。

相關參考：

多VLAN三層交換機如何連接WFilter上網行為管理系統？

上網行為管理部署方案的優缺點分析