Question

100分求高手！华为交换机划VLAN指导！再追赠财富！

有6台物理机，2台Hyper-v虚拟化宿主机群集划进VLAN2，其上各承载2台虚拟机都划进VLAN3，还有2台SQL数据库群集，划进VLAN4，2台域控制器划进VLAN5.

所用的华为交换机是2台S9306，作VRRP热备，并且这2台S9306都有SPU板启用防火墙业务，要求为每个VLAN创建对应的安全区域，安全域间使用ACL进行包过滤。

由于我是第一次接触华为交换机，有些问题可能比较幼稚，见笑了。技术点：VRRP热备、VLAN、SPU防火墙安全区域、群集、Hyper-v虚拟机

问题：A. 2台S9306都要接线，怎么接比较好？是每台接2套群集的一个节点，还是每台接1套群集的2个节点？

B. 接好线之后，相应的物理接口划进对应的VLAN，如何绑定对应的安全区域？是使用VLANIF还是该物理接口加入对应的安全区域呢？

C. 4台虚拟机怎么划进VLAN3？其物理宿主机用什么类型接口作何配置，使得物理机和其上的虚拟机分属2个VLAN？说明一点：Hyper-v可以为虚拟机分配VLAN标识，我就想知道线怎么连、物理接口类型怎么用？

D. 热备的虚拟IP是不是为每个VLAN创建一个虚拟IP作网关？VLANIF还做不做网关呢？

E. SPU板启用防火墙业务后要重启SPU板才生效，请问重启SPU板的命令是什么？

F.如果VLAN之间要通信，需通过防火墙策略严格放行，不同VLAN间通信只开放相关服务端口，怎样实现呢？是用ACL还是什么呢？

以上貌似有点复杂，问题也有点多。没关系，你知道多少回答多少就行，最后分给回答得最好最详细的高手，我有1500多财富值，可以额外追赠财富值！感谢高手指导。
感谢两位的回答，由于只能选一个，我就选字数多的那位了。谢谢！

Answer 1

A：每台9306都要接所有的集群节点和其他服务器，因为你下面做了VRRP。
B：对于交换机加装防火墙模块我没做过，不过如何绑定对应的安全区域你看防火墙配置就知道了
C：对于Hyper-v可以为虚拟机分配VLAN标识，那么你应该把9306连接物理宿主机的端口配置为trunk模式，即可实现。
D：VRRP只需要在两个9306相应的VLANIF下配置同一个虚拟ip即可，这个虚拟ip一般和你VLANIF的ip地址同一网段。
E：查配置手册。或打厂家售后电话
F：因为你已经有了防火墙业务板，那么相应的VLAN间通信就通过防火墙模块来控制了，一般现在防火墙使用的是状态化过滤，ACL仅仅是包过滤而已。具体还是要看防火墙业务板配置手册

Answer 2

A：既然要VRRP热备，当然是2台s9036相对应的VLAN同时接线到另一台交换机，集群节点接在这台交换机上。要不然怎么VRRP热备呀
B：都可以VLAN也可以划入安全区
C：这个我也不太清楚，宿主机应该配置2个接口一个划给虚拟机，物理机用另外一个接口
D：VRRP虚拟出来的做网关，不过可以跟一台交换机上VLAN的网关一样
E：不太清楚，试试Firewall packet-filter enable
F：ACL就可以