0.背景

众所周知，二层交换机是用来隔离冲突域的，但不能隔离广播域；vlan是用来隔离广播域的。
    想要实现vlan之间的互联互通，就需要超越数据链路层，在网络层想办法。
    方法1：如果有充足的资源，每个三层物理端口分别连接一个网段。优点：配置相对简单。缺点就是：1. 如果物理端口或者连接端口的线缆故障，整个网段就失联了，当然可以通过设备堆叠，链路聚合等冗余技术提高稳定性；2.调整不灵活。某网段下，如果一台主机需要变更到别的vlan，需要调整物理线路。
    方法2：如果想要充分利用设备的资源，可以配置vlanif逻辑端口，同时将三层端口转换成二层端口来实现，这个方法的优点是：vlanif作为逻辑端口，轻易不会down；调整灵活，多个物理端口可以灵活配置，透传多个vlan，主机变更到别的vlan，二层端口多透传一个vlan就可以了。
    方法3：使用子接口。优点是一个三层物理端口可以实现多个vlan的互联。缺点是子接口之间不完全隔离，某个子接口流量过大会影响其他子接口；物理接口故障会影响所有子接口。

1.使用物理端口实现vlan互联

1.1 组网图

实验使用华为ensp模拟软件，由防火墙USG6000v和PC的模型构成。防火墙和路由器设计理念（防火墙强调控制，路由器强调互通）的不同，导致一些配置命令有所差异。

1.2 数据规划

1.3 具体配置

1.3.1 配置IP

以G1/0/3端口为例：

[USG6000V1]interface g1/0/3
[USG6000V1-GigabitEthernet1/0/3]ip address 192.168.2.1 24
[USG6000V1-GigabitEthernet1/0/3]service-manage ping permit
[USG6000V1-GigabitEthernet1/0/3]service-manage enable

service-manage enable和service-manage ping permit命令缺一不可，否则无法ping通。

1.3.2 将端口加入安全区域

将G1/0/3端口加入trust区域,G1/0/2端口加入dmz区域,G1/0/1端口加入untrust区域。以G1/0/3端口为例：

[USG6000V1]firewall zone trust
[USG6000V1-zone-trust]add interface g1/0/3
[USG6000V1-zone-trust]quit

1.3.3 配置安全策略

例：允许流量从trust区域至untrust区域

[USG6000V1]security-policy 
[USG6000V1-policy-security]rule name trust_untrust
[USG6000V1-policy-security-rule-trust_untrust]source-address 192.168.2.0 24
[USG6000V1-policy-security-rule-trust_untrust]destination-zone untrust
[USG6000V1-policy-security-rule-trust_untrust]action permit
[USG6000V1-policy-security-rule-trust_untrust]quit

完整的安全策略如下：

#
security-policy
 rule name untrust_dmz
  source-zone untrust
  destination-address 192.168.1.0 mask 255.255.255.0
  action permit
 rule name dmz_untrust
  destination-zone untrust
  source-address 192.168.1.0 mask 255.255.255.0
  action permit
 rule name dmz_trust
  source-address 192.168.1.0 mask 255.255.255.0
  destination-address 192.168.2.0 mask 255.255.255.0
  action permit
 rule name trust_dmz
  source-address 192.168.2.0 mask 255.255.255.0
  destination-address 192.168.1.0 mask 255.255.255.0
  action permit
 rule name trust_untrust
  destination-zone untrust
  source-address 192.168.2.0 mask 255.255.255.0
  action permit
#

1.3.4 验证

根据安全策略，可以进行相应的ping测试。本实验中，pc网关需配置成相应防火墙端口IP：

1.3.5 备注

实际上，防火墙需要配置NAT才能实现内网访问外网。在本实验中，由于只有1个可用的外网IP，配置Easy_IP是很合适的，如果有多个ip，建议配置地址池。由于与文章主题无关，省略配置过程。

2.使用vlanif端口实验vlan互联

2.1 组网图

2.2 数据规划

2.3 具体配置

2.3.1 配置IP并允许ping端口

配置G1/0/1

[USG6000V1]interface g1/0/1
[USG6000V1-GigabitEthernet1/0/1]ip address 10.0.0.1 255.255.255.252
[USG6000V1-GigabitEthernet1/0/1]service-manage ping permit
[USG6000V1-GigabitEthernet1/0/1]service-manage enable

配置 vlanif 端口

[USG6000V1]vlan batch 2 3
[USG6000V1]interface Vlanif 2
[USG6000V1-Vlanif2]ip address 192.168.1.1 24
[USG6000V1-Vlanif2]service-manage all permit
[USG6000V1-Vlanif2]service-manage enable
[USG6000V1-Vlanif2]quit
[USG6000V1]interface Vlanif 3
[USG6000V1-Vlanif2]ip address 192.168.2.1 24
[USG6000V1-Vlanif2]service-manage all permit
[USG6000V1-Vlanif2]service-manage enable
[USG6000V1-Vlanif2]quit

2.3.2 配置二层接口

因为防火墙是直接连接到主机，所以G1/0/2和G1/0/3可以配置为access类型，但如果接口下有多个vlan，需要配置成trunk。hybrid类型使用范围广，本次就用它来配置这两个端口。

[USG6000V1]interface g1/0/2
[USG6000V1-GigabitEthernet1/0/2]portswitch
[USG6000V1-GigabitEthernet1/0/2]port hybrid pvid vlan 2
[USG6000V1-GigabitEthernet1/0/2]port hybrid untagged vlan 2
[USG6000V1]interface g1/0/3
[USG6000V1-GigabitEthernet1/0/3]portswitch
[USG6000V1-GigabitEthernet1/0/3]port hybrid pvid vlan 3
[USG6000V1-GigabitEthernet1/0/3]port hybrid untagged vlan 3

默认pvid为1，防火墙接收到主机发过来的数据包会打上pvid对应的tag，所以要修改端口pvid为vlan id。主机无法处理tagged数据包，所以一定要配置untagged。

2.3.4 将端口加入安全区域

将G1/0/3, vlanif 3端口加入trust区域;G1/0/2, vlanif 2端口加入dmz区域;G1/0/1端口加入untrust区域。
    以dmz区域为例：

[USG6000V1]firewall zone dmz
[USG6000V1-zone-dmz]add interface Vlanif 2
[USG6000V1-zone-dmz]add interface GigabitEthernet 1/0/2

2.3.5 配置安全策略

同1.3.3

2.3.6 验证

同1.3.4