华为USG防火墙：二层接口模式：一个vlan只能分配到一个虚拟防火墙、一个接口可以属于多个vlan,即一个接口可以属于多个虚拟防火墙，使用trunk的模式，所以物理接口处不要放通其他虚拟防火墙的vla

华为USG防火墙：二层接口模式：一个vlan只能分配到一个虚拟防火墙、一个接口可以属于多个vlan,即一个接口可以属于多个虚拟防火墙，使用trunk的模式，所以物理接口处不要放通其他虚拟防火墙的vlan，安全策略只能控制虚拟防火墙自己的资源里面的vlan

举例：

物理防火墙：
vsys enable
resource-class vfw1
resource-class vfw2
resource-class vfw3

vsys name vfw1 1
assign resource-class vfw1
assign vlan 11
#
vsys name vfw2 2
assign resource-class vfw2
assign vlan 13
#
vsys name ChaoSuanZhongXin 3
assign resource-class r1
assign vlan 1

#
interface GigabitEthernet1/0/5
portswitch
undo shutdown
port link-type trunk
undo port trunk allow-pass vlan 1
port trunk allow-pass vlan 11 13
#
interface GigabitEthernet1/0/6
portswitch
undo shutdown
port link-type trunk
undo port trunk allow-pass vlan 1
port trunk allow-pass vlan 11 13
#

interface GigabitEthernet3/0/5
portswitch
undo shutdown
port link-type trunk
undo port trunk allow-pass vlan 1
port trunk allow-pass vlan 11 13
#
interface GigabitEthernet3/0/6
portswitch
undo shutdown
port link-type trunk
undo port trunk allow-pass vlan 1
port trunk allow-pass vlan 11 13

#虚拟防火墙vfw1
#switch vsys vfw1
firewall zone trust
set priority 85
add interface GigabitEthernet1/0/5
add interface GigabitEthernet3/0/5
#
firewall zone untrust
set priority 5
add interface GigabitEthernet1/0/6
add interface GigabitEthernet3/0/6

以上配置：虚拟防火墙vfw1的安全策略是控制不了vlan13的，因为vlan13分配给了虚拟防火墙vfw2

图片.png

当二层接口放通这个vlan后，这个vlan被分配到了哪一个虚拟防火墙，则这个接口也会属于哪一个虚拟防火墙。

例如：

#
interface GigabitEthernet1/0/1
portswitch
undo shutdown
port link-type trunk
undo port trunk allow-pass vlan 1
port trunk allow-pass vlan 3 11
#

图片.png

vsys enable
resource-class vfw1
resource-class vfw2
resource-class vfw3
#
#
vsys name vfw1 1
assign resource-class vfw1
assign vlan 11
#
vsys name vfw2 2
assign resource-class vfw2
assign vlan 13
#
vsys name vfw3 4
assign resource-class vfw3
assign vlan 3