Значит так.
Что такое VLAN 802.1q я объяснять не буду
Есть у нас локальная сеть(скажем pc1 и pc2) оба они подключены к DFL-800 портам 7-6. Представим что у Вас есть коммутатор с поддержкой VLAN, и подключен он к порту 5, на этом коммутаторе живёт подсеть(PC3,PC4) Вам нужно разделить трафик между PC1, PC2 и PC3, PC4.
Вы настраиваете VLAN на свиче, а порт который подключен к DFL обозначаете как TAGGED получается что все пакеты выходящие от коммутатора будут маркированы. Дальше все просто настраиваем VLAN интерфейс на устройстве, даём ему IP и Сеть, ставим такую же сеть компьютерам за коммутатором. Создаём разрешающие правила. Никакой сложности не вижу, просто немного подумать как идёт трафик. Если Вы не знаете как работает VLAN, то я неуверен что он Вам вообще нужен.

ну зачем так резко?
Обращаюсь за помощью, т.к. всё сделал и не получил результата.

Извините, но мне кажется это очень просто. Я думаю, что проблема в том, что Вы не знаете как устроен VLAN и в чём его особенность
Давайте лучше Вы поставите задачу, а я предложу варианты решения.

Vlan 802.1q я сделал с HP Procurve 2524.
В нём неразделяемый Vlan с id 7.
Тут, по всей вероятности всё нормально, т.к. пакеты от компа, посаженного через порт HP 2524, приходят на порт Vlana, созданного на файрволе.
Но Вы правы, лучше всё с нуля.

Задача такова:
Внутри, за файрволом, должны быть две (а на практике больше) сети, которые работают автономно друг от друга, но выход в интернет (WAN) у них общий и сервера (Mail, DNS, ... ) у них общие в DMZ.
Вот и вся задача. Сейчас это всё работает, только я хотел сменить файрвол (комп с несколькими сетевыми платами) на DFL-800.
Одну сеть на Lan интерфейсе я подключил.
Дело за малым,- подключить вторую внутреннюю сеть через Vlan интерфейс.
Всё вроде просто, а .... не получается.

Подробнее опишите как все у вас настроено.

Порты коммутатора в которых стоят пользователи должен быть помечен как PVID=7 untagged, порт uplink который соединён с DFL должен быть с VID=7 tagged.
Привила должны быть составлены точно так же как и для обычного интерфейса(например того же LAN)

Добрый день!
Спасибо за терпение!
Не знаю, что было, но сейчас что-то задышало.
На свиче так всё и было.
Перед уходом вчера только добавил запись с ARP для vlan7 и запись в access для того-же vlan7.
Да ещё выключил оборудование (получается сбросил).
Может додёргался кабелями в разные порты свича и в его кэшах каша была?
Странно, но сегодня сразу после включения пошёл и пинг и dns через dmz и html...
Надо разобраться теперь, в чём была зупинка.

Ещё раз спасибо!
Станислав, а сетка Vlana не должна по умолчанию видеть Lan и наоборот?

Не должна.