WSG上網行為管理（WFilter NGF）既可以做網關部署，也可以做網橋部署。在網橋部署模式下，WSG的IPSec VPN和OpenVPN一樣是可用的，可以實現單臂模式的VPN組網。網絡結構如下圖：

本文將結合WSG介紹如何實現IPSec VPN的單臂部署。

1. 首先，要在防火墻（路由器）配置端口映射。

把IPSec的端口（UDP 500和UDP 4500）映射到WSG上。如圖：

2. 在WSG上配置IPSec隧道

隧道的配置參數要和對端IPSec的參數一致。

參數配置正確后，應用新配置，即可連接到對端IPSec隧道。

3. 配置靜態(tài)路由表

在單臂部署模式下，客戶機的網關并不是指向WSG，所以需要在網關（三層交換機或者路由器）上配置路由表轉發(fā)，把對端網段的數據包重定向到WSG網橋。如圖：

經過上述配置后，數據包的路徑是這樣的：

1. 客戶機往對端網段的數據包發(fā)到客戶機的網關（三層交換機或者路由器）
   

2. 網關根據靜態(tài)路由表，把數據包轉發(fā)到WSG網橋。

3. WSG把該數據包通過IPSec隧道發(fā)到對端IPSec。

4. 對端返回的數據包經過IPSec隧道發(fā)到WSG。

5. WSG再把數據包轉發(fā)給客戶機。

這樣就完成了數據包的閉環(huán)傳輸。