WSG上網(wǎng)行為管理做透明網(wǎng)橋部署有很多優(yōu)勢：

1. 即插即用，不影響現(xiàn)有網(wǎng)絡。
   

2. 不需要修改原有設備的配置（交換機、路由器都不需要做任何修改）

3. 可以利用到硬件bypass的功能，即使機器斷電死機也不會斷網(wǎng)。

對于二層交換機來說，只有一個網(wǎng)段，配置比較簡單，只需要給網(wǎng)橋設置一個內(nèi)網(wǎng)IP就可以。我就不再贅述了。本文主要介紹在三層交換機的環(huán)境下如何來配置WSG網(wǎng)橋。

首先要介紹下子網(wǎng)掩碼的概念，子網(wǎng)掩碼決定了一個網(wǎng)段內(nèi)的IP數(shù)量。比如255.255.255.0的子網(wǎng)掩碼，可以容納254個IP地址。而防火墻和三層交換機，有些情況下為了安全需要，會采用255.255.255.252的子網(wǎng)掩碼，這個網(wǎng)段只能容納2個IP地址。如圖：

如上圖所示，防火墻的IP是172.16.1.1，三層交換機的IP是172.16.1.2。但是由于子網(wǎng)掩碼設置的是255.255.255.252，這個網(wǎng)段就已經(jīng)沒有剩余的可用IP了。

所以，WSG網(wǎng)橋部署主要分為兩種情況：

1. 防火墻和三層交換機網(wǎng)段有空余IP

防火墻和三層交換機網(wǎng)段有空余IP時，管理口可以設置在網(wǎng)橋上，IP地址配置成防火墻網(wǎng)段即可。這種情況下WSG只需要接兩根網(wǎng)線，一進一出。如下圖：

2. 防火墻和三層交換機網(wǎng)段沒有空余IP

防火墻和三層交換機網(wǎng)段沒有空余IP時，管理口不能設置在網(wǎng)橋上，必須采用單獨的管理口接到三層交換機的VLAN上。IP地址也配置該VLAN的IP地址。這種情況下WSG需要接三根網(wǎng)線，一進一出做網(wǎng)橋，還有一根網(wǎng)線接在管理口上。如下圖：