设备工作在网桥模式时，需要注意接口方向，保证WAN区接前置的路由设备，LAN区接内网的交换机。数据从LAN区发送到WAN区才可以进行用户认证、上网权限控制和审计。
设备的网桥模式是在数据链路层（OSI第二层）上实现的透明，是通过把设备的网口桥接起来实现的。数据链路层及以上各层的数据均可穿透。原有网关启用IP/MAC绑定及DHCP等需要第二层数据穿透的功能可以正常使用。
在网桥模式下设备无NAT功能，VPN功能不生效。
如启用上网安全、邮件内容识别等功能或要让设备能够自动升级URL库，应用识别规则库，杀毒引擎等，则需配置网桥IP，默认网关和DNS，并保证设备本身访问外网（可通过升级控制台工具ping测试）。
如启用WEB认证、准入客户端推送或其他需要重定向到设备上的功能，同时内网有多网段时，须添加到内网非直连网段的路由指向内网路由设备。
网桥模式时，设备网桥支持VLAN TRUNK穿透，网桥的IP地址支持802.1Q-VLAN的地址，即设备可以透明接在VLAN TRUNK的主干道上。

配置指导

以设备多网桥部署为例，用户的两台FW内网接口运行VRRP协议，FW对应的虚拟IP是192.168.1.1，交换机上联两台FW的接口处于同一个VLAN，VLAN接口IP为192.168.1.4，设备双进双出做双网桥部署在交换机和防火墙之间。

$C:\Users\Sangfor\Desktop\wq.png$

步骤1.通过默认IP登录设备，比如通过LAN口登录设备，LAN口的默认IP是10.251.251.251/24，在电脑上配置一个此网段的IP地址，通过https://10.251.251.251登录设备，默认登录用户名/密码是：admin/admin。

步骤2.在导航菜单页面中的[系统管理/网络配置/部署模式]，进入[部署模式]编辑页面，点击<开始配置>，配置设备模式为网桥模式，点击<下一步>。

步骤3.分别选择LAN区网口和WAN区网口，组成两对网桥，如图所示。

• [LAN网口选择]用于选择内网接口。

• [WAN网口选择]用于选择外网接口。

• [网桥列表]用于定义网桥，每对网桥接口之间允许转发数据，非网桥对接口之间的数据不允许转发。

• [开启多网桥链路同步]当网桥的一个网口由连接到断开或者是从断开到连接，另外一个网口的状态完成相应的转换，实现同一个网桥的两个网口状态同步，通常用于在冗余网络环境中通知对端设备该链路正发生了故障或已从故障中恢复，建议开启。

步骤4.网桥配置，配置网桥IP地址。

• 在[网桥配置]中配置设备网桥1的IP地址，此例中由于两个网桥处在相同网段，只能配置一个IP地址。（如果网桥处于不同的网段，可以按照网络中空闲的IP地址分配两个网桥用做网桥IP）

• 如有VLAN数据穿过设备，并且网桥IP属于某个VLAN，配置网桥IP时需要加上VLAN标签信息（常见场景：1、AC设备桥接在2台交换机之间，并且交换机互联接口均为trunk模式；2、AC上连路由器，下联交换机，路由器配置单臂路由，交换机接口配置trunk模式）。

• 此处如果没有多余的空闲地址分配做网桥IP，不会影响内网用户访问互联网，但此时设备没有有效的IP地址和内网、外网进行通讯，某些功能会受到影响，比如：规则库更新、WEB认证、准入客户端推送等，这种情况可以通过管理网口接到内网交换机上，通过管理网口实现设备和内外网的通信。

• 网桥部署模式下网桥IP可以为空。

• 多网桥下各组网桥之间的IP不能同网段，而且网桥之间不能有相同的VLAN ID。

步骤5.配置管理网口DMZ接口，选择一个设备空闲的网口（非网桥口）作为管理网口。

步骤6.AC设备使用认证中心相关功能时需要配置认证口，给分支AC做认证托管功能使用，常规的旁路部署、网桥部署、路由部署、单臂模式无需设置认证口。

步骤7.网关配置，配置网关地址，DNS地址。

• 在[网关配置]中配置设备默认网关和DNS地址。此例中默认网关指向前置FW的虚拟IP地址，DNS设置网络运营商分配的公网DNS地址。

• 勾选[自动放通防火墙规则]：用于放通WAN<->LAN方向所有数据的防火墙规则。

步骤8.确认配置信息，确认无误后，点击<提交>。

步骤9.设置完毕需要重启设备才能生效，在弹出的提示框中点击<是>。

步骤10.基本配置完毕后，将设备接入网络中，WAN1口、WAN2口分别接FW1、FW2，LAN1口、LAN2口接内网交换机。