下一代防火墙AF

深信服下一代防火墙AF融合边界对抗威胁所需的专业安全能力,通过简单易用的方式交付,全面防护各类威胁,并具备多重智能模型和智能联动手段,可持续对抗不断出现的各类新风险。
点击可切换产品版本
知道了
不再提醒
AF8.0.85
{{sendMatomoQuery("下一代防火墙AF","虚拟系统的分流")}}

虚拟系统的分流

更新时间:2023-06-06

通过分流能将进入设备的报文送入正确的虚拟系统处理。

AF上未配置虚拟系统时,报文进入AF后直接根据根系统的策略和表项(会话表、MAC地址表、路由表等)对其进行处理。AF上配置了虚拟系统时,每个虚拟系统都相当于一台独立的设备,仅依据虚拟系统内的策略和表项对报文进行处理。因此,报文进入AF后,首先要确定报文与虚拟系统的归属关系,以决定其进入哪个虚拟系统进行处理。我们将确定报文与虚拟系统归属关系的过程称为分流。

AF支持基于接口分流、基于VLAN分流二种分流方式。接口工作在三层时,采用基于接口的分流方式;接口工作在二层时,采用基于VLAN的分流方式。

具体分流过程如下图所示。

三层口分流:

  1. 检测接口所属vsys ID和根系统vsys ID是否一致;
  1. 如果不一致,则进入接口所属的虚拟系统转发入口处理;如果一致则在根系统继续处理当前数据包。

二层口分流:

  1. 检测数据包VLAN ID标识;
  1. 如果存在VLAN ID,则匹配VLAN IDvsys ID的映射表,否则在根系统继续处理当前数据包;
  2. 匹配映射表后,检测接口所属vsys ID和根系统vsys ID是否一致;
  3. 如果不一致,则进入接口所属的虚拟系统转发入口处理;如果一致则在根系统继续处理当前数据包。