二层组网架构区域划分详解：防火墙与二层交换机VLANIF对接实战指南 淘宝网站主要推广渠道有

如果您有疑问或者文章有错误、遗漏的地方，欢迎您留言指出。博主看到后会尽快修改。感谢您的支持。更多技术文章可以在互联网之路博客上找到。版权归互联网所有。版权归鲁博客所有，原创不易，侵权必究。如果您觉得对您有帮助，请关注、转发、点赞支持！ ～。

二层组网架构中如何划分区域？

在上一篇文章中，我们了解了区域的作用并配置了要加入的三层端口联网区域。但在实际环境中，组网方式多种多样。除了上一篇文章介绍的三层对接之外，我们还需要熟悉以下另一种常用的组网结构。

防火墙分为多个部分并连接到二层交换机。

这种场景在工作中也很常见。防火墙作为三层交换机，配置多个网关，将连接二层交换机的接口分配到Trunk，将连接下面二层交换机终端的接口分配到相应的VLAN。普通配置中，只需配置VLAN和接口模式即可。这里就有一个疑问了。在防火墙中，必须将接口加入安全区域。这里有3个接口，物理端口G1。 /0/1，我们如何连接和划分？很容易判断。不同的代表一个区域。您只需规划加入区域即可。主要是G1/0/1是否需要添加？如何加入？

规划有两种选择

(1)和3都属于同一个区域，那么如果G1/0/1需要加入，直接加入这个区域即可

（2）和3分别属于不同的区域，那么如果需要添加G1/0/1，会不会很头疼？ ！

带着这个头疼的问题，我们来实际验证一下。这里，包含了，包含了，g1/0/0包含了，G1/0/1正在等待结果。

基本防火墙配置

VLAN 批次 2 至 3

DHCP

ip 192.168.11.254 255.255.255.0

DHCP

DHCP IP 范围 192.168.11.1 192.168.11.250

dhcp dns 列表 223.5.5.5 114.114.114.114

dhcp-列表 192.168.11.254

ip 192.168.12.254 255.255.255.0

DHCP

DHCP IP 范围 192.168.12.1 192.168.12.250

dhcp dns 列表 223.5.5.5 114.114.114.114

dhcp-列表 192.168.12.254

/0/0

撤消

ip dhcp 分配

/0/1

撤消

端口链路类型中继

端口 trunk 允许通过 VLAN 2 至 3

区

套装 5

添加/0/0

交换机配置

VLAN 批次 2 至 3

/0/24

端口链路类型中继

端口 trunk 允许通过 VLAN 2 至 3

/0/1

端口链路类型

端口VLAN 2

stp 边缘端口

/0/2

端口链路类型

端口VLAN 2

stp 边缘端口

现在最基本的配置已经完成了。 G1/0/0已经通过DHCP获得了地址，3也已经配置了地址。 G1/0/1已配置Trunk，允许2和3通过。下面我们就来看看新版如何创建安全区域以及需要注意什么。

创建新的安全区域

[] 区域名称

[-区域-]添加

[] 区域名称

[-区域-]添加

创建新区域时，您需要传递区域名称，后跟名称。稍后再次进入时，您只需要区域和名称。现在接口已经添加成功了，我们来测试一下。

两台PC获取地址失败。这里需要注意的是，模拟器的二层端口的DHCP会有问题。这是模拟器的一个小bug。这是手动静态设置

你会发现，即使设置静态，也无法到达网关，而且接口也被添加到安全区域了！ ！ ，这些是我们在实践中通常会遇到的一些问题，而且很容易被忽视。

忽略(1)：接口未开启管理权限

正如上一篇案例中所解释的，华为防火墙端口默认开启管理控制功能，但默认不允许任何流量通过（管理端口除外）。我们需要手动允许它。

[] VLAN 2

[-]-平

[VLAN 3

[-]-平

开机后就可以用了！ ！ ，一切看起来都很正常，我们尝试一下互访吧

忽略（2）：新区域没有设置安全级别

在下一代防火墙中，可以允许接口加入新创建的区域，而无需设置安全级别。老年代会提示当前区域安全级别未设置，将拒绝加入。由于没有提示，很容易导致接口加入防火墙。我的朋友有一个误区，连网关都可以ping通！安全级别不需要设置吗？

可以看到除了系统内置的，默认还有安全级别，但是新的没有。所以测试一下不设置安全级别是否可以通过！

[]-

[--]

: 会带来风险。您将基于数据流。您确定要这样做吗？[Y/N]y

这个配置是我后面会接触到的一个知识点。这是一项安全政策。这里的意思是允许一切。为了测试两个区域之间的交通是否可以通过。

它起作用了。经过测试，发现不设置安全级别确实是可以通信的。那么我到底应该设置还是不设置呢？这里博主说必须要设置

(1)您在工作中会遇到旧版本的UTM系列防火墙。如果你不设置的话，肯定是不允许你加入这个界面的。养成良好的习惯。

(2)在ASPF应用中，如多通道协议、FTP、PPTP等协议中，如果不设置安全级别，ASPF将失效，无法工作！结果，这些协议的后续流量将被丢弃。如今，大多数协议都习惯穿着“马甲”工作。这个功能是非常有必要的。

提示未设置安全级别，所以在创建新的安全区域时，必须设置安全级别。尤其是在下一代防火墙中，如果没有设置，也不会提示需要设置才可以加入。这就导致一些朋友直接学习防火墙从下一代防火墙开始，没有经历过UTM时代的防火墙并没有太重视这个安全级别。在这里，博主提醒大家，安全级别还是很重要的。 （可能以前经常玩防火墙的朋友对安全级别这个概念还比较陌生）

新安全区配置完成

[] 区域名称

[-区域-]设置 75

[] 区域名称

[-区域-]设置 75

错误：无法在区域中使用相同的内容。

[-区域-]设置 76

博主这里提到，安全级别是唯一的，每个区域的安全级别不能相同。使用Cisco ASA防火墙的朋友要注意了。而且我们还可以得出另一个问题，那就是切换为二层接口的接口不需要加入安全区域，只需要添加即可。

服务器最好划分到哪个区域？

防火墙的四个默认区域中，有一个在内网中经常使用的Trust和DMZ。如果内网中有一台服务器提供一些WWW、FTP等服务，那么应该将它们划分到哪个Zone呢？

博主经验分享：此时考虑两种情况

(1) 服务器只提供内部服务，因此可以位于Trust或DMZ中。

（2）服务器分为内部和外部，所以建议在DMZ区域

位于DMZ的好处是，由于服务器对外提供服务，因此存在被攻击和入侵的可能性。一旦被入侵或者感染病毒，如果服务器上存在Trust，那么对其他Trust终端的危害会非常大，所以把它放在DMZ就多了一层防护。攻击者已经通过了DMZ的保护屏障。如果他想跳到Trust，还需要通过DMZ到Trust的保护屏障。这使得维护人员有更多的时间进行处理并防止这种危害进一步蔓延。

安全区域总结

了解安全区域后，您应该了解安全区域的作用、配置以及注意事项。安全区域作为防火墙区分流量方向的依据，是最基本、最重要的环节。这里博主就总结一下

（1）华为防火墙默认内置四个安全区域：Trust/DMZ//Local，并内置默认安全级别。

(2) 新创建的安全区域默认没有安全级别。需要手动输入，然后将相应的接口添加到安全区域。

(3) 每个区域的安全级别是唯一的，不能相同。

（4）一个接口只能加入一个安全区域（Local除外，因为防火墙的所有接口默认都隐式属于Local，Local代表防火墙本身）

(5) 如果防火墙作为三层交换机，对应的接口配置为Trunk，则对应的二层物理接口不需要添加到Zone中。只需要添加相应的即可。

（6）对于普通组网，系统内置的DMZ和Trust就足够我们使用了。

如何使用eNSP进行WEB操作防火墙配置

ENSP模拟器支持WEB操作。对于想学习WEB的人，可以使用模拟器来完成操作。这里我们将解释博主喜欢的桥接方法，即将计算机与防火墙桥接，以便可以管理。

1.为电脑创建一个环回端口（先关闭模拟器）

运行中输入

手动选择

选择网络适配器

选择，然后在下一步中安装它。

2.运行计数器并刷新网卡

运行后，建议重新启动计算机。

环回端口地址设置为192.168.0.55。这是因为防火墙的默认管理地址是192.168.0.1。将网卡设置在同一网段，只需桥接即可管理。

4.开启eNSP桥接

拖动一朵云，双击云

添加UDP端口号，然后绑定之前创建的环回端口

向下滚动，你会发现后面有很多带有IP地址的网卡。环回地址之前设置为192.168.0.55，所以这里选择以太网4。

选择后，只需添加

这里端口映射，输入输出选择1和2，然后双向通道，点击添加

最终的结果是完成并准备接线。

注意，这里的防火墙需要使用G0/0/0进行桥接，因为它是防火墙的管理端口。我们来测试一下。

5.初始化防火墙

首次进入时需要输入账号和密码。使用默认的，需要修改。

防火墙的G0/0/0端口默认地址为192.168.0.1，但模拟器不允许访问，需要启用管理功能。

[-/0/0]-全部

直接通过all释放所有管理功能。

6. 测试

在浏览器中输入192.168.0.1，会自动跳转到https，输入你的账号和新密码，然后就可以进行配置了。

配置WEB端安全区域

WEB侧将接口加入安全区域有两种方式：

(1)直接在安全区域添加对应的接口

在网络--安全区域--编辑（如Trust）

选择您要加入的接口，移至该接口，然后确认。

(2) 在界面中选择加入相应的安全区域

网络---接口----在对应端口上编辑

选择对应区域并确认。对于新的安全区域配置，您可以直接在安全区域中新建一个。

创建新区域相对简单。只需输入名称和优先级，将所需的界面移至右侧，然后确认即可。

“连接过去与未来”

至此，安全区的划分已经完全明白了，但是还有几个问题。外网端口能ping通网关吗？文中使用默认的all-clear，这样VLAN2和VLAN3之间通信正常。他们如何沟通？为什么不输入此命令他们就无法通信？你可以先想一下~如果你仔细研究下面的答案，你就可以解决这个问题了！ ～

介绍

《华为下一代USG防火墙（实战案例系列由浅入深）》是博主原创打造的专注于华为下一代USG防火墙组网系列应用部署的系列课程。根据实际环境，添加了博主的部署经验。以及会遇到什么问题等等，学以致用，给所有读者不一样的学习体验。

如果您有疑问或者文章有错误、遗漏的地方，欢迎您留言指出。博主看到后会尽快修改。感谢您的支持。更多技术文章可以在互联网之路博客上找到。版权归互联网所有。版权归鲁博客所有，原创不易，侵权必究。如果您觉得对您有帮助，请关注、转发、点赞支持！ ～。

# 二层组网架构区域划分详解：防火墙与二层交换机VLANIF对接实战指南  # 二层组网架构区域划分详解  # 防火墙与二层交换机VLANIF对接实战指南  # 安全级别  # 二层  # 华为  # 互联网  # 只需  # 版权归  # 这是  # 不需要  # 桥接  # 很容易  # 链路  # 您的  # 如果您  # 多个  # 欢迎您  # 测试一下  # 之路  # 可以通过  # 还需要  # 只需要  # 朔州百度关键词排名公司电话  # 水果店怎么推广营销好做  # 笑话网站怎么推广  # 西安网站制作seo优化  # 浙江营销推广系统有哪些  # 网站建设还是公司好  # 抖音拆解关键词排名软件  # 肇庆seo公司优选火星  # 网站优化备案怎么弄的  # 网站建设页面框架  # 汽车网站建设外包公司  # 广告推广广告发布的网站  # 不懂SEO如何带领SEO团队  # 潜江响应式网站建设推荐  # 律师做推广都在哪家网站  # AV网站爱威奶SEO  # 郑州网站建设的费用  # 品牌网站优化对策  # 遂宁推广网站  # 新乡seo建立哪家好 

相关文章： 互联网快排：助力企业网站流量爆发的秘密武器,晋中市场推广营销招聘  朔州,历史与现代交融的绿色能源之城  SEO考核：如何通过精准的SEO优化提升网站排名与流量,营销方案推广模板  想利用广告赚钱该怎么做？广告赚钱的五种方式！  内容润色-提升文本质量，让您的文章更具吸引力,安岳营销短视频搜索推广  SEO埋词技巧，如何提升网站排名？,福州seo搜索栏流量  了解SEO：让你的网站在搜索引擎中脱颖而出的秘密武器,何谓网站推广  微信朋友圈广告的主要推广方法有哪些？  联盟营销是什么？加入联盟营销有什么好处?  为什么选择老域名工具？提升网站SEO与品牌影响力的秘密武器,饰品店营销推广策略研究  一般人如何靠广告联盟赚钱实现网络副业收入逆袭？  探索自媒体营销的奥秘，从SEO教学反思中汲取智慧,广州seo软件很棒乐云seo专家  网赚游戏真的很赚钱吗？揭秘网赚游戏背后的真实秘密！  广告联盟存在的意义以及发展的前景是怎样的？  广告联盟上推广的产品，广告产品和广告产品哪种更赚钱？  玩转自媒体淘客？教你知乎带货如何批量操作！  SEO走动：提升网站流量的关键一步,SEO优化公司还赚钱吗  福建百度推广返费怎么操作？详细指南助您轻松应对,惠州个人网站推广费用  将网站封装成APP利用广告赚钱的操作思路玩法！  揭秘通过广告联盟年入百万所需要哪些条件！  QQ群里的这个日赚500的赚钱方法，你知道吗？  关键词拓展：精准营销的制胜法宝,承接政府网站建设  社交app评测！年末脱单就靠这4款社交app了！  优化量：企业成功的背后力量,常州网站建设网址大全  作文生成-引领写作新时代，助力学生突破作文瓶颈,公司网站建设教程视频  SEO选择：如何挑选最合适的SEO优化策略？,黄山市关键词seo排名优化  SEO查：如何通过精准优化让网站流量飞速增长,蔚来一年的营销推广费  SEO无限：如何利用SEO技术实现网站流量爆发？,日化品推广员招聘网站  广告联盟平台全自动挂机赚钱到底能不能真正赚到钱？  免费分享一个付费才能学到的推广赚钱项目  常见的五种网络兼职赚钱骗局套路，一定要小心！  SEO更好，让你的网站从此脱颖而出,seo html 嵌套层数  策划一个成功的app地推活动方案应该怎么做？  SEO但是，这些常见误区你真的知道吗？,温州品牌营销推广价格  高佣联盟是什么？使用高佣联盟有什么好处？  SEO韩国：为您开启国际市场的增长之门,浙江seo培训推荐  关键词“大”，开创成功之道，做出巨大改变,服务器优化网站  做好cpc广告日出五单的五个要点  微信公众号变现该怎么做？微信公众号变现的四个步骤！  SEO做好，企业网站流量翻倍的关键,自己建设个人网站  相亲粉、交友粉、引流思路分享，这么做快速有效！  广告联盟源码下载平台有哪些，免费版的源码在哪可以下载？  怎么通过问卷调查赚钱？怎样才能真的赚到钱？  小红书引流该如何做？10个小红书快速引流方式介绍！  新手不知道如何引流？教你几招精准吸粉！  SEO元素-提升网站排名的核心要素,铜川抖音seo推荐  同城服务类APP推广引流实操干货分享！  如何选择合适的网站建设空间，如何选择合适的网站建设空间，指南与建议  “关键词指白”：揭秘如何通过精准关键词优化实现流量暴增,泰州网站建设定位设想  SEO找词：如何精准找到高效关键词，提升排名和流量,济源天眼关键词排名软件