相对于二层交换机的网络环境,在三层交换机环境下部署上网行为管理的步骤要复杂一些,差别主要在“静态路由”和“MAC地址收集器”,还有上层防火墙的一些安全策略的影响。在本文中,我将结合一次实际的安装经历,介绍三层环境下用网桥模式部署WSG上网行为管理的一些常见问题。
1. 配置并部署网桥
本例中,网关是华为USG防火墙172.16.200.253,三层交换机是172.16.200.254,子网掩码都是255.255.255.0。既然200段IP是足够的,所以我就直接把管理口设置在网桥上面,把WSG的IP设置为172.16.200.252,网关地址和DNS是防火墙的IP地址172.16.200.253。
如下图:
WSG默认IP是192.168.10.1,网桥的ip是172.16.200.252,所以先把配置笔记本设置两个IP(192.168.10.24和172.16.200.24)。
然后打开WSG界面进入配置向导:
配置好网桥后,在WSG的“配置”-“系统”-“重启关机”里面点击关机,把设备上架固定。然后开机,迅速把防火墙到三层交换机的网线串接到WSG的网桥上面。由于网桥是透明的,迅速串接一下网线不会导致断网,我们直接在生产环境串接网桥,用户端根本就没有察觉到。
2. 配置到VLAN的静态路由
网桥串接上后,我们回到大厅的无线区域,想通过无线区域来打开WSG界面进行查看,结果发现打开不了WSG。无线大厅是172.16.14.x,可以正常上网,但是不能打开WSG,也ping不通。原来还需要在WSG中设置到VLAN的路由表才可以。如下图,下一跳是三层交换机的IP地址。
配置静态路由并且应用新配置后,即可打开WSG界面。
3. 配置MAC地址收集器
点开右上角实时流量图,发现所有网络终端的MAC地址怎么都一样呢,显示的是华为交换机的MAC地址?原来还需要设置MAC地址收集器。
用putty连接到华为三层交换机,sys进入system view,输入以下命令开启snmp管理。
snmp-agent community read public123
snmp-agent sys-info version all
snmp-agent sys-info contact mycontact
snmp-agent sys-info location mylocation
quit系统模式后别忘了用save保存一下交换机配置信息。
然后在WSG中编辑MAC地址收集器的查询命令,点击测试通过。
再回到实时流量图,显示的MAC地址都正常了。如图:
4. 检查WSG自身能否上网
在本例中还需要设置短信web认证,测试时发现WSG不能连接外网。让华为的工程师调整了防火墙策略,使WSG可以连接外网。然后就可以正常调用短信接口了。
大概的步骤就以上这些,经过2个小时的努力,WSG成功上线!