很多局域网采用的是“防火墙/路由--三层交换机--二层交换机”的拓扑结构,而由于三层交换机的配置相对来说比较复杂,在这样的局域网中部署上网行为管理,用户往往会面临如下的一些问题:
找不到交换机的管理员用户名和口令。
没有技术人员可以修改交换机的配置。
没有交换机厂商技术支持。
其实在有三层交换机的网络环境中部署上网行为管理并不困难。在本文中,我将分别介绍“网桥部署”和“网关部署”的两种方案。我们的方案,都尽量避免了对交换机的配置进行修改。
1. 网关部署模式
网关部署模式,简单来说,就是用上网行为管理设备替换掉现有的路由器网关。网络拓扑图如下:
建议采用这样的步骤:
记录路由器之前的配置信息,主要是:IP,掩码,DNS配置,防火墙配置(端口映射,一对一NAT等),静态路由。
单独连接WSG上网行为管理网关,把路由器的配置项逐项在WSG网关上进行设置。
核对配置信息,确保IP、子网掩码、静态路由的正确性。
等人员下班后,把新设备上线测试。
该方案并不需要修改交换机的配置,即可进行部署。如果之前的网关设备做了很多策略,那么配置会麻烦些。WFilter路由表的配置如图:
2. 网桥部署模式
上面介绍的“网关部署模式”需要替换掉现有的网关设备,而且要把之前的网关配置移植过来。而“网桥部署模式”时,无需替换任何设备,可以直接透明部署。网络拓扑图如下:
请注意:在网桥模式下,“VPN”、“PPPoE认证“、”多线均衡“功能是无法实现的;其他功能和网关模式完全一样。网桥模式的部署步骤如下:
单独连接"WSG上网行为管理网关",配置网桥的IP、掩码等信息。
配置网桥到各个VLAN的路由表(下一跳地址指向交换机IP)。
即可上线测试。
如果网桥地址不可达,你还可以把其他端口设置为管理端口,用于WSG网关设备的配置管理和互联网访问。如图:
综上所述,这两种部署模式,都不需要修改交换机的配置,直接就可以部署上网行为管理。作为专业的上网行为管理方案提供商,我们的WFilter NGF可以支持”网关模式“和”网桥模式“;另外,还有旁路模式通过镜像端口来实现上网行为管理的”WFilter ICF上网行为管理软件“,无需串联网络设备,也是一个重要的部署方式。
相关参考:
多VLAN三层交换机如何连接WFilter上网行为管理系统?