二层组网架构区域划分详解：防火墙与二层交换机VLANIF对接实战指南淘宝网站主要推广渠道有_广告资讯

二层组网架构区域划分详解：防火墙与二层交换机VLANIF对接实战指南淘宝网站主要推广渠道有

栏目：广告资讯发布时间：2026-01-18

如果您有疑问或者文章有错误、遗漏的地方，欢迎您留言指出。博主看到后会尽快修改。感谢您的支持。更多技术文章可以在互联网之路博客上找到。版权归互联网所有。版权归鲁

如果您有疑问或者文章有错误、遗漏的地方，欢迎您留言指出。博主看到后会尽快修改。感谢您的支持。更多技术文章可以在互联网之路博客上找到。版权归互联网所有。版权归鲁博客所有，原创不易，侵权必究。如果您觉得对您有帮助，请关注、转发、点赞支持！～。

二层组网架构中如何划分区域？

在上一篇文章中，我们了解了区域的作用并配置了要加入的三层端口联网区域。但在实际环境中，组网方式多种多样。除了上一篇文章介绍的三层对接之外，我们还需要熟悉以下另一种常用的组网结构。

防火墙分为多个部分并连接到二层交换机。

这种场景在工作中也很常见。防火墙作为三层交换机，配置多个网关，将连接二层交换机的接口分配到Trunk，将连接下面二层交换机终端的接口分配到相应的VLAN。普通配置中，只需配置VLAN和接口模式即可。这里就有一个疑问了。在防火墙中，必须将接口加入安全区域。这里有3个接口，物理端口G1。 /0/1，我们如何连接和划分？很容易判断。不同的代表一个区域。您只需规划加入区域即可。主要是G1/0/1是否需要添加？如何加入？

规划有两种选择

(1)和3都属于同一个区域，那么如果G1/0/1需要加入，直接加入这个区域即可

（2）和3分别属于不同的区域，那么如果需要添加G1/0/1，会不会很头疼？！

带着这个头疼的问题，我们来实际验证一下。这里，包含了，包含了，g1/0/0包含了，G1/0/1正在等待结果。

基本防火墙配置

VLAN 批次 2 至 3

DHCP

ip 192.168.11.254 255.255.255.0

DHCP

DHCP IP 范围 192.168.11.1 192.168.11.250

dhcp dns 列表 223.5.5.5 114.114.114.114

dhcp-列表 192.168.11.254

ip 192.168.12.254 255.255.255.0

DHCP

DHCP IP 范围 192.168.12.1 192.168.12.250

dhcp dns 列表 223.5.5.5 114.114.114.114

dhcp-列表 192.168.12.254

/0/0

撤消

ip dhcp 分配

/0/1

撤消

端口链路类型中继

端口 trunk 允许通过 VLAN 2 至 3

区

套装 5

添加/0/0

交换机配置

VLAN 批次 2 至 3

/0/24

端口链路类型中继

端口 trunk 允许通过 VLAN 2 至 3

/0/1

端口链路类型

端口VLAN 2

stp 边缘端口

/0/2

端口链路类型

端口VLAN 2

stp 边缘端口

现在最基本的配置已经完成了。 G1/0/0已经通过DHCP获得了地址，3也已经配置了地址。 G1/0/1已配置Trunk，允许2和3通过。下面我们就来看看新版如何创建安全区域以及需要注意什么。

创建新的安全区域

[] 区域名称

[-区域-]添加

[] 区域名称

[-区域-]添加

创建新区域时，您需要传递区域名称，后跟名称。稍后再次进入时，您只需要区域和名称。现在接口已经添加成功了，我们来测试一下。

两台PC获取地址失败。这里需要注意的是，模拟器的二层端口的DHCP会有问题。这是模拟器的一个小bug。这是手动静态设置

你会发现，即使设置静态，也无法到达网关，而且接口也被添加到安全区域了！！，这些是我们在实践中通常会遇到的一些问题，而且很容易被忽视。

忽略(1)：接口未开启管理权限

正如上一篇案例中所解释的，华为防火墙端口默认开启管理控制功能，但默认不允许任何流量通过（管理端口除外）。我们需要手动允许它。

[] VLAN 2

[-]-平

[VLAN 3

[-]-平

开机后就可以用了！！，一切看起来都很正常，我们尝试一下互访吧

忽略（2）：新区域没有设置安全级别

在下一代防火墙中，可以允许接口加入新创建的区域，而无需设置安全级别。老年代会提示当前区域安全级别未设置，将拒绝加入。由于没有提示，很容易导致接口加入防火墙。我的朋友有一个误区，连网关都可以ping通！安全级别不需要设置吗？

可以看到除了系统内置的，默认还有安全级别，但是新的没有。所以测试一下不设置安全级别是否可以通过！

[]-

[--]

: 会带来风险。您将基于数据流。您确定要这样做吗？[Y/N]y

这个配置是我后面会接触到的一个知识点。这是一项安全政策。这里的意思是允许一切。为了测试两个区域之间的交通是否可以通过。

它起作用了。经过测试，发现不设置安全级别确实是可以通信的。那么我到底应该设置还是不设置呢？这里博主说必须要设置

(1)您在工作中会遇到旧版本的UTM系列防火墙。如果你不设置的话，肯定是不允许你加入这个界面的。养成良好的习惯。

(2)在ASPF应用中，如多通道协议、FTP、PPTP等协议中，如果不设置安全级别，ASPF将失效，无法工作！结果，这些协议的后续流量将被丢弃。如今，大多数协议都习惯穿着“马甲”工作。这个功能是非常有必要的。

提示未设置安全级别，所以在创建新的安全区域时，必须设置安全级别。尤其是在下一代防火墙中，如果没有设置，也不会提示需要设置才可以加入。这就导致一些朋友直接学习防火墙从下一代防火墙开始，没有经历过UTM时代的防火墙并没有太重视这个安全级别。在这里，博主提醒大家，安全级别还是很重要的。（可能以前经常玩防火墙的朋友对安全级别这个概念还比较陌生）

新安全区配置完成

[] 区域名称

[-区域-]设置 75

[] 区域名称

[-区域-]设置 75

错误：无法在区域中使用相同的内容。

[-区域-]设置 76

博主这里提到，安全级别是唯一的，每个区域的安全级别不能相同。使用Cisco ASA防火墙的朋友要注意了。而且我们还可以得出另一个问题，那就是切换为二层接口的接口不需要加入安全区域，只需要添加即可。

服务器最好划分到哪个区域？

防火墙的四个默认区域中，有一个在内网中经常使用的Trust和DMZ。如果内网中有一台服务器提供一些WWW、FTP等服务，那么应该将它们划分到哪个Zone呢？

博主经验分享：此时考虑两种情况

(1) 服务器只提供内部服务，因此可以位于Trust或DMZ中。

（2）服务器分为内部和外部，所以建议在DMZ区域

位于DMZ的好处是，由于服务器对外提供服务，因此存在被攻击和入侵的可能性。一旦被入侵或者感染病毒，如果服务器上存在Trust，那么对其他Trust终端的危害会非常大，所以把它放在DMZ就多了一层防护。攻击者已经通过了DMZ的保护屏障。如果他想跳到Trust，还需要通过DMZ到Trust的保护屏障。这使得维护人员有更多的时间进行处理并防止这种危害进一步蔓延。

安全区域总结

了解安全区域后，您应该了解安全区域的作用、配置以及注意事项。安全区域作为防火墙区分流量方向的依据，是最基本、最重要的环节。这里博主就总结一下

（1）华为防火墙默认内置四个安全区域：Trust/DMZ//Local，并内置默认安全级别。

(2) 新创建的安全区域默认没有安全级别。需要手动输入，然后将相应的接口添加到安全区域。

(3) 每个区域的安全级别是唯一的，不能相同。

（4）一个接口只能加入一个安全区域（Local除外，因为防火墙的所有接口默认都隐式属于Local，Local代表防火墙本身）

(5) 如果防火墙作为三层交换机，对应的接口配置为Trunk，则对应的二层物理接口不需要添加到Zone中。只需要添加相应的即可。

（6）对于普通组网，系统内置的DMZ和Trust就足够我们使用了。

如何使用eNSP进行WEB操作防火墙配置

ENSP模拟器支持WEB操作。对于想学习WEB的人，可以使用模拟器来完成操作。这里我们将解释博主喜欢的桥接方法，即将计算机与防火墙桥接，以便可以管理。

1.为电脑创建一个环回端口（先关闭模拟器）

运行中输入

手动选择

选择网络适配器

选择，然后在下一步中安装它。

2.运行计数器并刷新网卡

运行后，建议重新启动计算机。

环回端口地址设置为192.168.0.55。这是因为防火墙的默认管理地址是192.168.0.1。将网卡设置在同一网段，只需桥接即可管理。

4.开启eNSP桥接

拖动一朵云，双击云

添加UDP端口号，然后绑定之前创建的环回端口

向下滚动，你会发现后面有很多带有IP地址的网卡。环回地址之前设置为192.168.0.55，所以这里选择以太网4。

选择后，只需添加

这里端口映射，输入输出选择1和2，然后双向通道，点击添加

最终的结果是完成并准备接线。

注意，这里的防火墙需要使用G0/0/0进行桥接，因为它是防火墙的管理端口。我们来测试一下。

5.初始化防火墙

首次进入时需要输入账号和密码。使用默认的，需要修改。

防火墙的G0/0/0端口默认地址为192.168.0.1，但模拟器不允许访问，需要启用管理功能。

[-/0/0]-全部

直接通过all释放所有管理功能。

6. 测试

在浏览器中输入192.168.0.1，会自动跳转到https，输入你的账号和新密码，然后就可以进行配置了。

配置WEB端安全区域

WEB侧将接口加入安全区域有两种方式：

(1)直接在安全区域添加对应的接口

在网络--安全区域--编辑（如Trust）

选择您要加入的接口，移至该接口，然后确认。

(2) 在界面中选择加入相应的安全区域

网络---接口----在对应端口上编辑

选择对应区域并确认。对于新的安全区域配置，您可以直接在安全区域中新建一个。

创建新区域相对简单。只需输入名称和优先级，将所需的界面移至右侧，然后确认即可。

“连接过去与未来”

至此，安全区的划分已经完全明白了，但是还有几个问题。外网端口能ping通网关吗？文中使用默认的all-clear，这样VLAN2和VLAN3之间通信正常。他们如何沟通？为什么不输入此命令他们就无法通信？你可以先想一下~如果你仔细研究下面的答案，你就可以解决这个问题了！～

介绍

《华为下一代USG防火墙（实战案例系列由浅入深）》是博主原创打造的专注于华为下一代USG防火墙组网系列应用部署的系列课程。根据实际环境，添加了博主的部署经验。以及会遇到什么问题等等，学以致用，给所有读者不一样的学习体验。

# 网站建设页面框架 # 只需要 # 朔州百度关键词排名公司电话 # 水果店怎么推广营销好做 # 笑话网站怎么推广 # 西安网站制作seo优化 # 浙江营销推广系统有哪些 # 网站建设还是公司好 # 抖音拆解关键词排名软件 # 肇庆seo公司优选火星 # 网站优化备案怎么弄的 # 还需要 # 汽车网站建设外包公司 # 广告推广广告发布的网站 # 不懂SEO如何带领SEO团队 # 潜江响应式网站建设推荐 # 律师做推广都在哪家网站 # AV网站爱威奶SEO # 郑州网站建设的费用 # 品牌网站优化对策 # 遂宁推广网站 # 新乡seo建立哪家好 # 桥接 # 二层组网架构区域划分详解 # 防火墙与二层交换机VLANIF对接实战指南 # 安全级别 # 二层 # 华为 # 互联网 # 只需 # 版权归 # 这是 # 不需要 # 二层组网架构区域划分详解：防火墙与二层交换机VLANIF对接实战指南 # 很容易 # 链路 # 您的 # 如果您 # 多个 # 欢迎您 # 测试一下 # 之路 # 可以通过

相关栏目：【广告资讯90366 】【广告推广18483 】【广告优化154267 】【广告营销46464 】

上一篇：网页设计中的轮播技巧，打造视觉盛宴的动态展示，轮播大法，网页设计中的视觉动态展示攻略

下一篇：网页设计目标，打造高效、美观、用户体验至上的 *** 空间，极致体验，高效美观的网页设计目标