您需要从评估防火墙的容量开始。如果您的防火墙仅适用于数百兆比特的吞吐量，那么我会将所有 6 个 vlan 中继到一个带有 802.1q 标记的接口上到防火墙。（你提到你想要物理端口，不仅仅是vlan tagging，但从技术上讲两者之间没有安全差异，物理端口只是浪费。）

但是，如果您的防火墙可以提供超过 1 千兆位的吞吐量，那么将几个端口和端口通道放在一起，并将其制成 802.1q 中继是有意义的。然后，您将能够利用防火墙上更多的吞吐能力。

重申一下，在不同的 vlan 中使用单独的端口与在单个端口上聚合多个 vlan 完全相同。802.1q 标签将流量保持在正确的 vlan 中。

关于管理 vlan，您正在展开宗教讨论。我建议只管理带内设备，但有很多人会强烈主张使用专用管理 vlan。给他自己的！

每个 VLAN 是否需要在交换机和防火墙（充当路由器）上有自己的专用上行链路端口？

如果双方都支持 802.1Q VLAN 标记，您可以为所有 VLAN 设置单个 VLAN 中继（或聚合端口）。其中一个 VLAN 可能没有标记（有时称为本地VLAN），所有其他 VLAN 必须以相同的方式在两侧进行标记。

确保为中继提供足够的带宽。可能需要设置多个聚合端口（例如使用 LACP）或使用分组的 VLAN 运行多个中继。后者结合生成树需要 MSTP 和适当的实例配置。

足够的带宽分配包括防火墙。它需要能够以所需的速度转发。

我如何为这些 VLAN 实施不同的安全性（理想情况下，我想要物理上不同的端口，而不仅仅是 VLAN 标记）。

通常，VLAN 中的所有节点都可以相互通信。将它们分开需要连接交换机上的专用 VLAN 或源端口过滤等功能。还可以设置 ACL 来过滤不需要的 IP 流量。