企業(yè)在部署上網(wǎng)行為管理時，對方案的選擇需要考慮如下因素：

1. 是否需要改變現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)？

2. 是否需要對現(xiàn)有設(shè)備進行重新配置？

3. 對現(xiàn)有網(wǎng)絡(luò)穩(wěn)定性和網(wǎng)速的影響。

4. 網(wǎng)絡(luò)結(jié)構(gòu)改造的工作量。

除非現(xiàn)有的設(shè)備面臨升級換代，我相信大部分人都不會選擇替換現(xiàn)有的設(shè)備和改變網(wǎng)絡(luò)結(jié)構(gòu)。那么首選的方案就是兩個：“旁路部署方案”和“網(wǎng)橋部署方案”。這兩個方案，都可以透明部署，無需改變現(xiàn)有結(jié)構(gòu)，也不會帶來對性能和網(wǎng)速的影響。具體的比較如下：

1. 旁路部署方案

網(wǎng)絡(luò)拓撲圖如下：

旁路部署通過路由器或者交換機的“端口鏡像”功能來部署，從理論上說對網(wǎng)速和穩(wěn)定性毫無影響，而且即使旁路設(shè)備死機或者斷電，也不會影響網(wǎng)絡(luò)。但是旁路部署的缺點也很明顯：就是不能實現(xiàn)流控功能。所以如果需要流控，請考慮“網(wǎng)橋部署”或者“網(wǎng)關(guān)部署”的方案。

2. 網(wǎng)橋部署方案

網(wǎng)橋模式是把上網(wǎng)行為管理產(chǎn)品串聯(lián)在網(wǎng)關(guān)和交換機之間。網(wǎng)絡(luò)拓撲圖如下：

網(wǎng)橋模式可以無需改變現(xiàn)有架構(gòu)，透明部署，可以進行上網(wǎng)行為管理和流控，功能比旁路模式強大。缺點就是由于網(wǎng)絡(luò)中串聯(lián)了一個設(shè)備，增加了單點故障的可能性；一旦網(wǎng)橋設(shè)備故障就會導(dǎo)致斷網(wǎng)。

3. 網(wǎng)關(guān)部署方案

網(wǎng)關(guān)部署方案是把上網(wǎng)行為管理設(shè)備替換掉現(xiàn)有的網(wǎng)關(guān)路由器。網(wǎng)絡(luò)拓撲圖如下：

一旦需要替換路由器，意味著路由器上的一些策略（端口映射、NAT策略、防火墻策略等）都需要移到新設(shè)備上，配置的工作量就比較大。

綜上所述，如果不打算更換設(shè)備，優(yōu)先考慮“旁路部署方案”和“網(wǎng)橋部署方案”。如果打算升級現(xiàn)有設(shè)備，可以直接用防火墻或者上網(wǎng)行為管理來做路由器網(wǎng)關(guān)。有興趣的話，可以直接在線購買我們的WSG上網(wǎng)行為管理網(wǎng)關(guān)。