防火墙加 AP 组网,内网不通
- 0关注
- 0收藏,347浏览
问题描述:
各位老师好:
防火墙 SecPath F1000-K1000 加 AP EWP-WAP722S-HI-FIT 组网,组网如下图,图中的内网设备怎么互通呢?多谢指导。
补充信息:
SSH 登录防火墙,可以 ping 通: 192.168.10.{1, 2, 7, 8}.
组网及组网描述:
- 2026-05-31提问
- 举报
-
(0)
最佳答案
你的网络中,设备间的流量被防火墙的安全策略拦截了,具体情况如下:
AP 本身处于 VLAN 1,而无线用户处于 VLAN 10:
你的 AP(192.168.10.2)管理 IP 在 VLAN 1,而无线用户(192.168.10.7/8)在 VLAN 10,这本身就存在二层隔离,所以笔记本电脑 ping 不通 AP 的 IP 是正常的。
防火墙 Trust 域内的流量被拦截:
台式机(有线)和笔记本(无线)都在防火墙的 Trust 域内,但它们之间的流量没有被放行。默认情况下,H3C 防火墙即使在同一安全域内,也需要配置域内策略才能允许互访。
防火墙接口配置与 VLAN 不符:
你的 AP 和台式机都接在防火墙的GE1/0/4和GE1/0/5接口上,配置为Access且属于VLAN 10,这是正确的。但 AP 的管理 IP(192.168.10.2)本身又属于VLAN 1,导致 AP 和用户不在同一广播域,这也是需要修正的关键点。
🛠️ 分步解决配置
步骤 1:在防火墙上放行 Trust 域内互访
这是解决笔记本和台式机互通的核心。
登录防火墙 Web 管理界面,进入「策略」→「安全策略」。
新建一条策略:
源安全域:Trust
目的安全域:Trust
源地址:192.168.10.0/24
目的地址:192.168.10.0/24
服务:ANY(或至少 ICMP)
动作:允许
将这条策略移到所有其他策略的最上方。
命令行配置:
plaintext
system-view
security-policy ip
rule name Trust_Trust_Allow
source-zone trust
destination-zone trust
source-ip-address 192.168.10.0 24
destination-ip-address 192.168.10.0 24
action permit
quit
quit
配置后,笔记本电脑和台式机即可互通。
步骤 2:修正 AP 的管理与用户 VLAN(可选,解决 AP 管理问题)
当前 AP 的管理 IP 在 VLAN 1,而用户在 VLAN 10,导致二层隔离,用户无法 ping 通 AP。要解决这个问题,需要将 AP 的管理 VLAN 也调整为 VLAN 10。
修改防火墙接口配置:确保 AP 接入的GE1/0/4接口为 Access,PVID 为 10,Untag VLAN 10。
在 Cloudnet(云简网络)上修改 AP 配置:
登录 Cloudnet,找到你的 AP 设备。
修改 AP 的管理 VLAN 为VLAN 10,并配置静态 IP 为192.168.10.2/24,网关指向防火墙192.168.10.254。
保存配置后,AP 会重启并以 VLAN 10 接入网络。
这样配置后,AP、笔记本、台式机就都在同一 VLAN 10 内了,二层可以互通。
步骤 3:最终测试
完成以上配置后,进行如下测试:
笔记本电脑 ping 台式机:ping 192.168.10.1,应能通。
台式机 ping 笔记本电脑:ping 192.168.10.7,应能通。
(可选)笔记本电脑 ping AP:ping 192.168.10.2,应能通。
总结
笔记本和台式机不通的直接原因:防火墙默认禁止了同一安全域(Trust)内的互访流量。
解决核心:配置一条 Trust 到 Trust 的安全策略,放行内网互访流量。
AP 管理问题:AP 的管理 VLAN 与用户 VLAN 不一致,需要在 Cloudnet 上将 AP 的管理 VLAN 改为 10。
- 2026-06-01回答
- 评论(1)
- 举报
-
(1)
在 Cloudnet 里,不允许修改 AP 的管理 VLAN 为 VLAN 10 (字段不允许编辑)。可以通过 CLI (命令行)修改吗?
在 Cloudnet 里,不允许修改 AP 的管理 VLAN 为 VLAN 10 (字段不允许编辑)。可以通过 CLI (命令行)修改吗?
1. 配置安全策略(最关键的一步)
- 登录防火墙 Web 界面,进入 策略 > 安全策略。
- 点击“新建”,创建一条或多条允许内网互通的策略。根据你的拓扑,建议配置如下:
- 策略1(允许内网访问无线):
- 源安全区域:
Trust(内网设备所在区域) - 目的安全区域:
DMZ(AP 和无线终端所在区域) - 源地址/目的地址:
any(或者指定具体的内网和无线网段) - 动作:
允许
- 源安全区域:
- 策略2(允许无线访问内网):
- 源安全区域:
DMZ - 目的安全区域:
Trust - 源地址/目的地址:
any - 动作:
允许
- 源安全区域:
- 策略1(允许内网访问无线):
- 保存并应用策略。
2. 检查接口区域划分
- 进入 网络 > 接口,查看连接内网交换机/PC 的接口(如 GE1/0/2 等)是否加入了
Trust区域。 - 查看连接 AP 的接口(如 GE1/0/1)是否加入了
DMZ区域。 - 如果划分错误,请根据实际业务需求调整接口的安全区域归属。
3. 检查终端设备的网关和 IP 配置
- 内网 PC 的网关应指向防火墙内网接口的 IP(例如 192.168.10.1)。
- 无线终端的网关应指向防火墙无线侧接口的 IP(例如 192.168.10.2,如果 AP 是透明桥接模式,则网关也是 192.168.10.1)。
- 如果网关配置错误,设备将无法跨网段通信。
4. 检查 DHCP 服务(如果使用了防火墙作为 DHCP 服务器)
- 进入 网络 > DHCP > DHCP 服务器,确认是否针对 Trust 和 DMZ 区域所在的接口或地址池开启了 DHCP 服务,并且地址池范围没有冲突。
- 2026-06-02回答
- 评论(0)
- 举报
-
(1)
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
在防火墙上抓的包。