说明：在VPX上面，我们希望与分部建立VPX，保证与分部的财务部正常通信，另外还提供L2TP Over ISPEC功能，方便远程接入访问内部服务器等。当然我们也可以做详细的控制，根据需求而定。可以看到路由表，所有的流量都是发送给192.168.24.2，VPx的流量都走防火墙了，这样造成VPx的流量与访问公网的流量都走公网了。由于不好截图，所以不能上图了，测试是没任何问题的。设置———-更多———

可以看到信道调优是auto的，也就是当有多个AP在附件的情况下，AC会根据AP上报的信息，来自动划分AP之间的隧道，如果是2.4G的话，则会自动规划为A为1，B为6，C为11，这样互不干扰，而5G的话，则可以自动分配为149、153、157、161、165信道，当然自动调优是需要一定时间的，如果自己确定位置的话，则可以手动调优信道，规划如下。可以看到访问内部网络的20.1是无法通信的，而访问特点的

之前博客分享过，但是没汇总到公众号，这里在发布下，虽然早期写的实战文章，有些技术与设备现在更新了，但是对于常见的组网思路构建还是很有帮助的，希望对大家有帮助。（觉得有帮助可以点点赞、转发下）某公司的网络架构，这样的架构在目前的网络中是在常见的，假设您接收一个这样的网络，应该如何部署，该实战系列，就是一步一步讲解，如何规划、设计、部署这样一个环境，这里会针对不同的情况给出不同的讲解，比如拓扑中有2个

点击这个提示，会自动跳转到激活向导页面，特别注意，这个软件基础授权是必须防火墙连接Internet，不支持离线导入，也就是在华为官方激活，导入授权文件，只支持在线方式（所以防火墙要能够通外网，并且DNS能够解析）开局完毕，防火墙上面测试到外网是没任何问题，可以通，包括SSL也可以拨入，这些都是防火墙自身发起的流量或者是抵达防火墙的流量，但是，只要是穿越防火墙的流量，怎么都过不了，策略没匹配数，会话

健康检查跟ip-link一样，需要先定好一个监测点，不变的思路，肯定是找大厂商稳定的测试地址为主，比如114、阿里云DNS、百度云DNS都是可以的，但是ip-link只支持icmp探测，有局限性，但是健康检查支持更多的协议，可以基于TCP、DNS（解析某个网站）、HTTP来GET网页、ICMP，在实际中就有更多的选择，常见的可以用ICMP探测以及DNS解析与TCP，下面博主用DNS以及TCP来演示

（4）配置跨三层MAC识别，让防火墙从交换机获取正确的ARP表项（注意三层需要开启SNMP功能，防火墙需要制定三层的地址与正确的团体名），注意放行防火墙local_any的流量，否则同步不成功。，这是因为数据包在经过一个三层设备的时候，该数据包的源MAC会变成该三层设备出接口的MAC地址，这是IP通信基础转发的原理。（4）防火墙一定要放行Local到Trust（以实际拓扑为准，防火墙对接三层交换机

（4）内网出现故障不通，可以从VLAN创建以及网关与DHCP是否正常配置，如果终端设备获取不到地址，可以手动设置看是否可以通，如果可以通，建议配置快速边缘端口，加速端口收敛，快速获取地址。（1）内网部署方面，三层交换机（核心）对接办公网的交换机两种方式 1、直接三层交换机接二层的划入到VLAN2，这样下面的都属于VLAN22、配置trunk，然后下面的二层交换机在划分VLAN，这种比较推荐，可以配

在实际工作中，防火墙常见的部署位置还是在位于接入Internet的区域，一个或者多个接口接入到互联网，其余的用于接内网区域，那么在目前接入Internet的方式有这么几种（1）DHCP：这种可能大家最熟悉了，家用的光纤过来接入光猫，光猫可以分成两种模式，一个是路由模式，就是猫自己拨号，只需要接到猫上面的终端自动获取地址就能上网了，这种模式就叫做DHCP。

博主这次用的真机是USG6307E（在模拟器不支持的功能下使用），尽量还是用模拟器给搭建讲解与演示，方便大家跟着一起学习。（在学习防火墙的内容建议大家有一定的路由交换基础，更容易理解）本次课程还是以命令行为主，WEB为辅，结合工作中常见的组网案例以及会遇到的问题进行讲解，让大家在学习完后对华为防火墙的应用有一个很大的提升。