решил разбить сеть на несколько vlan (сейчас простая сеть с несколькими коммутаторами), купил:
dfl-800 - 1 шт
des 2108 - 3 шт
des 1228 - 1 шт
не помню 1316 - 1 шт
короче сеть в пространстве разнесенная, и есть несколько отделов которым пересекаться не следует (торговый зал, бух, маенеджеры, кредитные эксперты), все как обычно, вот решил вланами это дело порезать
есть доступ в инет через комп с учетом трафика с двумя сетевухами, в данный момент доступ через одного провайдера, но будет через двух (как раз 800й поддерживает)

значит dfl нужен мне для пускания в инет с разных вланов, и для доступа еще к паре ресурсов, куда поставить, по какой схеме подключить комп учитывающий трафик?

Ну тут можно и на ДФЛе всё сделать ....
http://ftp.dlink.ru/pub/FireWall/_rus_% ... ilover.pdf
Потом уже разводи вланы на свиче физически.

Делать всё на ДФЛе оченно не рекомендую! По крайней мере я за.... это делать

изучаю, пока ничего не получается, но я пока не сдался еще, мучаю менеджера по проектам в поддержке, пока терпит
по ходу возник вопрос
а как такая схема:
vlan, vpn
два провайдера
использование компа с учетом трафика (nat без прокси)
dfl-800 (можно дополнить)
должна быть правильно исполнена, с точки зрения производителя решения?

Что именно у вас не получается в конфигурации с VLAN?

пока до настройки vlan не дошел
пока ключевое слово "использование компа с учетом трафика"
первая задача - настроить dfl-800 таким образом, чтобы весь трафик из локальной сети в интернет, приходя на dfl, сначала направлялся на комп считающий трафик, а потом обратно на dfl и затем уже шел на wan1, wan2
трафик считается программой lan2net (lan2net.ru), через nat
шлюзом в сети должен быть dfl, потому что он будет управлять vlan-ми

мне важно реализовать эту схему, как типовую схему перехода с простого подсчета трафика - к безопасности на основе vlan и к двум провайдерам

Вы можете направить трафик на него используя правила SAT и NAT, но лучше вам в сети поднять proxy который бы просто указывался в браузере и считал трафик.

попробовал через nat
подключив оборудование след образом:

lan---dfl-800_lan---billing---dfl-800_dmz

billing - компьютер с учетом траффика (nat), с двумя сет картами
billing_ip_lan - подключеня к lan
billing_ip_dmz - подключеня к dmz

указал шлюз (billing_ip_lan) на lan интерфейсе
снял галку на wan1 (pppoe) интерфейсе "добавлять в таблицу"
в результате в основной таблице удалился маршрут 0.0.0.0 - wan1
и появился маршрут 0.0.0.0 - lan - billing_ip_lan

создал альтернативную таблицу alt_t, с одним маршрутом 0.0.0.0 - wan1
правило маршрутизации
forward - alt_t
return - alt_t
источник dmz-dmznet
получатель any-allnets

создал группу правил dmz_wan1 которая дублирует группу по умолчанию lan_wan1

ну и думал что все заработает
в результате пакеты до компа billing доходят и он их отправляет в инет, но послать обратно в локалку не может
в логах написано
drop_ruleset
интерфейс dmz
адрес 192.168.0.0 т.е. lan

создал правило
allow dmz lan all_tcp_udp_icmp

ошибки пропали, но инета в лане нету
потом подумал, а почему он ломится с dmz на lan?, когда надо что бы
пакет шел с dmz на billing_ip_dmz--billing_ip_lan а потом уже на lan интерфейс маршрутизатора

У вас нет маршрута для выхода в интернет т.е. pppoe -all nets поэтому интернета у вас нет совсем.

в alt_t - алтернативной таблице прописан только этот маршрут
я его назвал как 0.0.0.0 - wan1

Попробуйте сделать несколько иначе. Не убирайте роут PPPoE -> All-nets, создаейте альтернативную таблицу маршрутизации где у вас будет роут по умолчанию через ваш билинг, а на билинге уже установлен шлюзом DMZ IP, остается нам прописать только правила и возможно придется поднять NAT на билинге.