WSG上網行為管理做透明網橋部署有很多優勢：

1. 即插即用，不影響現有網絡。
   

2. 不需要修改原有設備的配置（交換機、路由器都不需要做任何修改）

3. 可以利用到硬件bypass的功能，即使機器斷電死機也不會斷網。

對于二層交換機來說，只有一個網段，配置比較簡單，只需要給網橋設置一個內網IP就可以。我就不再贅述了。本文主要介紹在三層交換機的環境下如何來配置WSG網橋。

首先要介紹下子網掩碼的概念，子網掩碼決定了一個網段內的IP數量。比如255.255.255.0的子網掩碼，可以容納254個IP地址。而防火墻和三層交換機，有些情況下為了安全需要，會采用255.255.255.252的子網掩碼，這個網段只能容納2個IP地址。如圖：

如上圖所示，防火墻的IP是172.16.1.1，三層交換機的IP是172.16.1.2。但是由于子網掩碼設置的是255.255.255.252，這個網段就已經沒有剩余的可用IP了。

所以，WSG網橋部署主要分為兩種情況：

1. 防火墻和三層交換機網段有空余IP

防火墻和三層交換機網段有空余IP時，管理口可以設置在網橋上，IP地址配置成防火墻網段即可。這種情況下WSG只需要接兩根網線，一進一出。如下圖：

2. 防火墻和三層交換機網段沒有空余IP

防火墻和三層交換機網段沒有空余IP時，管理口不能設置在網橋上，必須采用單獨的管理口接到三層交換機的VLAN上。IP地址也配置該VLAN的IP地址。這種情況下WSG需要接三根網線，一進一出做網橋，還有一根網線接在管理口上。如下圖：