报文两次经过FW时，如何使用VPN实例隔离会话？

报文两次经过FW时，如何使用VPN实例隔离会话？
如图1所示，PC的网关设置为三层交换机VLANIF10的地址192.168.0.1，PC通过三层交换机中转来登录FW进行管理。
PC访问FW的报文，第一次通过VLANIF10穿越FW，第二次通过VLANIF20到达防火墙，报文两次经过FW，而FW无法区分这两次会话，导致PC登录失败。
图1 场景一：报文两次经过FW

此时可以使用VPN实例来隔离会话，首先创建一个VPN实例。
<sysname> system-view
[sysname] ip vpn-instance vpn1
[sysname-vpn-instance-vpn1] ipv4-family
[sysname-vpn-instance-vpn1-af-ipv4] route-distinguisher 1:1
[sysname-vpn-instance-vpn1-af-ipv4] vpn-target 2:1
[sysname-vpn-instance-vpn1-af-ipv4] quit
[sysname-vpn-instance-vpn1] quit

然后在VLANIF20接口上绑定该VPN实例。
[sysname] interface Vlanif 20
[sysname-Vlanif20] ip binding vpn-instance vpn1
[sysname-Vlanif20] quit

配置指定VPN实例的路由，下一跳指向三层交换机VLANIF20接口的地址192.168.1.1。
[sysname] ip route-static vpn-instance vpn1 192.168.0.0 24 192.168.1.1

配置安全策略，允许流量通过或访问FW。假设FW与三层交换机连接的接口加入trust域，与PC连接的接口加入untrust域，VLANIF20接口加入dmz域。
[sysname] security-policy
[sysname-policy-security] rule name pc_to_sw       
[sysname-policy-security-rule-pc_to_sw] source-zone untrust             
[sysname-policy-security-rule-pc_to_sw] destination-zone trust     
[sysname-policy-security-rule-pc_to_sw] source-address 192.168.0.2 24
[sysname-policy-security-rule-pc_to_sw] destination-address 192.168.1.2 24
[sysname-policy-security-rule-pc_to_sw] action permit              
[sysname-policy-security-rule-pc_to_sw] quit
[sysname-policy-security] rule name sw_to_local       
[sysname-policy-security-rule-sw_to_local] source-zone dmz             
[sysname-policy-security-rule-sw_to_local] destination-zone local     
[sysname-policy-security-rule-sw_to_local] source-address 192.168.0.2 24
[sysname-policy-security-rule-sw_to_local] destination-address 192.168.1.2 24
[sysname-policy-security-rule-sw_to_local] action permit              
[sysname-policy-security-rule-sw_to_local] quit
[sysname-policy-security] quit

通过VPN实例将会话隔离后，PC就可以登录FW进行管理了。

另外还有一种情况，如图2所示，PC的网关设置为三层交换机VLANIF10的地址192.168.0.1，PC通过三层交换机中转来登录FW进行管理。
图2 场景二：报文两次经过FW

与上一种情况相似，此时应该在GE0/0/1接口上绑定VPN实例，通过VPN实例来隔离会话。