通过分流能将进入设备的报文送入正确的虚拟系统处理。

AF上未配置虚拟系统时，报文进入AF后直接根据根系统的策略和表项（会话表、MAC地址表、路由表等）对其进行处理。AF上配置了虚拟系统时，每个虚拟系统都相当于一台独立的设备，仅依据虚拟系统内的策略和表项对报文进行处理。因此，报文进入AF后，首先要确定报文与虚拟系统的归属关系，以决定其进入哪个虚拟系统进行处理。我们将确定报文与虚拟系统归属关系的过程称为分流。

AF支持基于接口分流、基于VLAN分流二种分流方式。接口工作在三层时，采用基于接口的分流方式；接口工作在二层时，采用基于VLAN的分流方式。

具体分流过程如下图所示。

三层口分流：

1. 检测接口所属vsys ID和根系统vsys ID是否一致；

2. 如果不一致，则进入接口所属的虚拟系统转发入口处理；如果一致则在根系统继续处理当前数据包。

二层口分流：

1. 检测数据包VLAN ID标识；

2. 如果存在VLAN ID，则匹配VLAN ID到vsys ID的映射表，否则在根系统继续处理当前数据包；
3. 匹配映射表后，检测接口所属vsys ID和根系统vsys ID是否一致；
4. 如果不一致，则进入接口所属的虚拟系统转发入口处理；如果一致则在根系统继续处理当前数据包。