SANGFOR_WOC_ALL_网桥部署全攻略

2023年12月7日发(作者：)

SANGFOR_WOC_ALL_网桥部署全攻略

WOC网桥部署全攻略

深信服科技有限公司

2011年10月24日

1.1 应用场景和部署前提条件 (1)

1.1.1 应用场景： (1)

1.1.2 部署前提条件 (1)

1.2 网桥部署基本配置思路和注意事项 (2)

1.2.1 单网桥模式 (2)

1.2.2 双网桥模式部署 (3)

1.3 三．网桥模式特殊环境部署案例 (5)

1.3.1 VLAN还原的使用案例及配置步骤 (5)

1.3.2 前置设备流控+WOC加速案例及配置步骤 (6)

1.4 网桥部署基本排查思路 (7)

1.5 双网桥下的配置注意事项 (7)

1.6 常见问题FAQ (8)

1.1 应用场景和部署前提条件

1.1.1应用场景：

SANGFOR WOC网桥部署在专线路由器和核心交换机中，在不改动原有网络结构的同时，既能对专线上的应用配置不同优先级的流量策略，又削减了总部分支间大量的重

复流量。不但保障了重要业务的流量优先，而且优化了总部分支的访问体验，使有限的带宽发挥更大的价值。

此部署模式可以使用bypass功能，保障设备故障时快速恢复网络。

1.1.2部署前提条件

网桥模式下，因为网桥模式下VPN功能无效，连接双方必须已经通过其他VPN设备建立好了VPN连接，或者通过专线连接，且保证2个加速设备互相能正常访问（5400端口

互通）。

1.2 网桥部署基本配置思路和注意事项

1.2.1单网桥模式基本配置步骤：

（1）在『系统』→『部署设置』→『网络接口』里切换到纯加速模式并选择部署方式为网桥模式

（2）配置逻辑接口IP地址、网关IP地址、管理IP地址以及DNS地址

（3）配置加速

（4）如果内网是三层环境：

5.0之前版本必须配置到内网各个网段的静态路由

5.0及以上版本可以通过【启用MAC地址跟踪】免除配置静态路由（MAC地址跟踪只在网桥模式下生效）

1.2.2双网桥模式部署

基本配置步骤：

（1）在『系统』→『部署设置』→『网络接口』里切换到纯加速模式并选择部署方式为双网桥。

（2）分别配置Br0和Br1的接口IP地址、外网网关IP地址、内网网关IP地址、虚拟IP地址以及DNS地址。

双网桥模式下，需要分别配置2个网桥（BR0和BR1）的逻辑IP地址、掩码、外网网关和内网网关。『默认网关(WAN1/WAN2)』指的是加速设备WAN方向的其他设备接口

IP地址，『默认网关(LAN/DMZ)』指的是加速设备LAN/DMZ方向的核心交换机接口IP地址。填写『默认网关(WAN1/WAN2)』的目的是为了让加速设备能和外界正常通讯、

建立加速连接。填写『默

认网关(LAN/DMZ)』的目的是在内网有三层交换机并划分了多个VLAN的情况下，不需要添加回包路由。

『启用链路同步』功能应用于加速设备双网桥模式部署在VRRP等双机环境，当一对网桥的上连接口或者下连接口检测到故障断掉，加速设备会自动把这对网桥对应的另外

一个接口跟着断掉，保证双机正常切换和数据的正常传输。

『虚拟IP设置』用来设置双网桥下加速设备的虚拟IP地址，其他加速设备都是跟双网桥加速设备的虚拟IP地址建立加速连接。

（3）配置加速。

1.3 三．网桥模式特殊环境部署案例

1.3.1VLAN还原的使用案例及配置步骤

VLAN还原功能是把加速设备接收到带有VLAN ID标签的数据，在经过加速处理后从服务端加速设备发出时，再把原来的VLAN ID标签给还原出来，保证加速设备收到的数

据属于哪个VLAN，发出的时候该数据还属于这个VLAN。

VLAN还原只能在如下拓扑中使用：总部和分支通过专线直连，专线两端连接2个交换机，交换机的端口均启用了trunk。总部和分支都有VLAN 1和VLAN 2，而且VLAN 1和VLAN 2之间不能互访。

客户需要分别对VLAN 1和VLAN 2访问总部的数据进行加速，则只能把加速设备用网桥模式部署在中间链路上。配置步骤如下：

（1）网桥模式下配置双方br0接口IP地址在相同网段，保证加速设备和加速设备之间能互相通信；

（2）分别配置加速服务端和加速客户端，并能正常建立加速连接；

（3）分别在加速服务端和加速客户端勾选[启用vlan还原]功能；

（4）网桥设备上配置绑定多IP，绑定与vlan1和vlan2同一网段的IP；

（5）如果使用预连接方式，则还需要在服务器加速设备上添加本地子网，将VLAN 1和VLAN 2的网段加入。

注意：VLAN还原功能只能在上图所示的拓扑环境下使用。其他VLAN环境能否使用VLAN还原功能，请咨询深信服科技的技术工程师。

1.3.2前置设备流控+WOC加速案例及配置步骤

客户用网桥模式把加速设备部署在网络当中，但是加速设备前面有一个流控设备，上面已经针对内网不同IP做了不同的流控策略，拓扑如下图：

现在希望经过加速设备的数据包不改变源IP、源端口、目的IP、目的端口等信息，保证流控设备上针对各个IP的流控策略依然生效。

此时，则需要在客户端加速设备的『连接中心端网关』页面上勾选[启用网络透明性]，如下图：

1.4 网桥部署基本排查思路

（1）网桥模式下LAN、WAN方向不能接反，否则加速无效；

（2）逻辑口IP地址必须和WAN方向的防火墙/路由器、LAN方向的核心交换机处于同一个网段；

（3）三层环境下一定要配置到内网各个网段的静态路由；

（4）网桥IP的 5400端口互通

1.5 双网桥下的配置注意事项

1)网桥BR0和网桥BR1的逻辑IP地址可以在相同网段，也可以在不同网段；

2)如果BR0和BR1在相同网段，则虚拟IP可以跟它们在同一个网段；

3)如果BR0和BR1在不同网段，则虚拟IP不能跟它们任何一个在同一个网段，须另外配

置一个网段IP作为虚拟IP，且必须保证分支加速设备能正常访问此虚拟IP；

4)如果内网是三层环境，则『默认网关(LAN/DMZ)』一定要正确填写；如果内网是二层环

境，则『默认网关(LAN/DMZ)』可以不用填写。

5)双网桥下，LAN口网关不能和WAN口网关设置成同一个网关。

1.6 常见问题FAQ

1)加速网桥下，DMZ口是否可用？

加速网桥DMZ口不可以用，5.0之后的版本可以。

2)加速网桥和AC网桥一起部署时，需要如何部署？AC在前(靠近出口)，加速在后（靠近内网）。否则AC把数据都流控，加速就看不到加速效果了。

3)加速设备网桥接口支持自定义吗？

不支持自定义

4)加速设备网桥直接接公网，为什么开启加速之后应用系统就无法访问？

看一下是否采用的是后建连接，这样直接放公网，中间如果有其他防火墙之类的，对于我们在TCP头部打了标记的数据有可能给拦截掉，改成先建连接方式就可以正常使

用。5)加速设备是否支持部署在TRUNK环境？

加速5.0 设备不支持trunk环境，加速5.1设备才支持，另外只有网桥模式支持，而且需要配置网桥模式生效后才能看到vlan配置。

6)加速设备双网桥模式部署，LAN网关和WAN网关设置成同一个IP后，无法登陆设备怎

么办？

电脑接设备WAN口，电脑IP配置成WAN口网关IP，再登录网桥IP修改配置即可。