Root Firewall配置如下

system-view
sysname root-firewall #防火墙命名
vlan batch 41 71 73 100 to 200 1000 to 2000 3001 to 3100 #创建vlan
interface eth-trunk 0 #创建聚合组0 (为HRP所使用)
 trunkport GigabitEthernet1/0/0 #添加聚合组成员
 trunkport GigabitEthernet1/0/1 #添加聚合组成员
 ip address 1.1.1.1 255.255.255.0 #配置聚合组地址
quit #退出聚合组模式

interface eth-trunk 1 #创建聚合组1(出口链路聚合)
 portswitch #切换至二层聚合模式
 trunkport 10GE 1/0/8 #添加聚合组成员
 trunkport 10GE 1/0/9 #添加聚合组成员
 port link-type trunk #端口类型trunk
 undo port trunk allow-pass vlan 1 #拒绝vlan1通过
 port trunk allow-pass vlan 41 71 73 100 to 200 1000 3000 to 3100 #允许vlan 41 71 73 100 to 200 1000 3000到3100
 alias eth-trunk1 #聚合组命名eth-trunk1
quit

将聚合组加入不同区域
firewall zone dmz
 add interface Eth-Trunk0 #HRP聚合组加入到DMZ区域

firewall zone trust
 add interface Eth-Trunk1 #出口链路聚合加入到Trust区域
 add interface Virtual-if0
备注:建议Eth-Trunk1和 Virtual-if接口属于不同区域(因为华为防火墙只存在区域间策略)------默认同一个zone的流量是可以通信的,可以基于源目的地址做安全策略

vsys enable #开启虚拟系统

resource-class r1 # 配置资源类
resource-item-limit session reserved-number 10000 maximum 50000
resource-item-limit policy reserved-number 300
resource-item-limit user reserved-number 300
resource-item-limit user-group reserved-number 10