防火墙虚拟系统——引流表

概览

在虚拟系统和根系统互访的场景中，虚拟系统和根系统都会按照防火墙转发流程对报文进行处理。针对互访的业务，虚拟系统和根系统都要配置策略、都会建立会话。这样，一方面增加了配置的复杂性，另一方面，每条连接都需要两条会话，业务量大时，会造成整机的会话资源紧张。通过配置引流表，可以解决上述问题。

报文命中引流表时，根系统不再按照防火墙转发流程处理报文，而是按路由表或引流表直接转发报文。因此，根系统中不需要为命中引流表的报文配置策略，根系统也不会为命中引流表的报文创建会话。

报文命中引流表分为正向命中和反向命中两种情况：

• 正向命中：根系统发往虚拟系统的报文，目的地址匹配引流表中的“Destination Address”，则报文正向命中引流表。报文正向命中引流表时，根系统按引流表转发报文，将报文送入命中的表项对应的“Destination Instance”中处理。

• 反向命中：虚拟系统发往根系统的报文，源地址匹配引流表中的“Destination Address”，源虚拟系统匹配引流表中的“Destination Instance”，则报文反向命中引流表。报文反向命中引流表时，根系统按路由表转发报文。

拓扑图

配置

• 开启虚拟系统
• 虚拟系统创建
• 虚拟系统分配接口及资源类限制
• 根系统及虚拟系统接口IP配置、接口加入安全区域

sysname FW1
#
vsys enable
resource-class res_cls
 resource-item-limit session reserved-number 100 maximum 500
 resource-item-limit session-rate 100
 resource-item-limit bandwidth 5 entire
#
vsys name C1 1
 assign interface GigabitEthernet1/0/1
 assign resource-class res_cls
#
vsys name C2 2
 assign interface GigabitEthernet1/0/2
 assign resource-class res_cls
#
interface GigabitEthernet1/0/0
 ip address 10.1.100.254 255.255.255.0
#
firewall zone trust
 add interface GigabitEthernet1/0/0
#
firewall zone untrust
 add interface Virtual-if0
#
switch vsys C1
#
sy
#
interface GigabitEthernet1/0/1
 ip address 10.1.10.254 255.255.255.0
#
firewall zone trust
 add interface GigabitEthernet1/0/1
#
firewall zone untrust
 add interface Virtual-if1
#
security-policy
 rule name local->any
  source-zone local
  action permit
#
switch vsys C2
#
sy
#
interface GigabitEthernet1/0/2
 ip address 10.1.20.254 255.255.255.0
#
firewall zone trust
 add interface GigabitEthernet1/0/2
#
firewall zone untrust
 add interface Virtual-if2
#
security-policy
 rule name local->any
  source-zone local
  action permit
#

sysname SW1
#
vlan batch 10 20
#
interface GigabitEthernet0/0/1
 port link-type access
 port default vlan 10
#
interface GigabitEthernet0/0/2
 port link-type access
 port default vlan 20
#
interface GigabitEthernet0/0/23
 port link-type access
 port default vlan 10
#
interface GigabitEthernet0/0/24
 port link-type access
 port default vlan 20
#

虚拟系统与根系统互通

配置引流表

根系统上配置引流表

FW1：

 firewall import-flow public 10.1.10.0 10.1.10.255 -instance C1
 firewall import-flow public 10.1.20.1 10.1.20.254 -instance C2
#

配置命令后按Y继续

查看引流表配置

查看指定IP地址的引流表信息

虚拟系统上配置路由及安全策略

在虚墙C1上配置路由及安全策略

FW1：

switch vsys C1
#
sy
#
security-policy
 rule name trust->untrust
  source-zone trust
  destination-zone untrust
  source-address 10.1.10.0 mask 255.255.255.0
  destination-address 10.1.100.0 mask 255.255.255.0
  action permit
  rule name untrust->trust
  source-zone untrust
  destination-zone trust
  source-address 10.1.100.0 mask 255.255.255.0
  destination-address 10.1.10.0 mask 255.255.255.0
  action permit
#
ip route-static 10.1.100.0 255.255.255.0 public
#

查看C1的路由表

在虚墙C2上配置路由及安全策略

switch vsys C2
#
sy
#
security-policy
 rule name trust->untrust
  source-zone trust
  destination-zone untrust
  source-address 10.1.20.0 mask 255.255.255.0
  destination-address 10.1.100.0 mask 255.255.255.0
  action permit
 rule name untrust->trust
  source-zone untrust
  destination-zone trust
  source-address 10.1.100.0 mask 255.255.255.0
  destination-address 10.1.20.0 mask 255.255.255.0
  action permit
#
ip route-static 10.1.100.0 255.255.255.0 public
#

查看C2的路由表

测试

server ping PC1，可以通信

转发流程，正向命中引流表

查看会话情况

可以看到，根墙上没有创建会话，虚墙C1上创建会话

PC1 ping Server，可以通信

转发流程，反向命中引流表

查看会话情况

可以看到，根墙上没有创建会话，虚墙C1上创建会话

PC2与Server间的通信原理同上

虚拟系统C1与C2跨越根系统互通

虚墙C1上配置路由及安全策略

• C1访问C2的路由指向根系统public

FW1-C1：

switch vsys C1
#
sy
#
security-policy
 rule name trust->untrust
  destination-address 10.1.20.0 mask 255.255.255.0
 rule name untrust->trust
  source-address 10.1.20.0 mask 255.255.255.0
#
ip route-static 10.1.20.0 255.255.255.0 public
#

虚墙C2上配置路由及安全策略

• C2访问C1的路由指向根系统public

FW1-C2：

switch vsys C2
#
sy
#
security-policy
 rule name trust->untrust
  destination-address 10.1.10.0 mask 255.255.255.0
 rule name untrust->trust
  source-address 10.1.10.0 mask 255.255.255.0
#
ip route-static 10.1.10.0 255.255.255.0 public
#

测试

PC1 ping PC2

转发流程，PC1查找路由表，将报文发送给根系统Public，根系统正向命中引流表，将报文直接送入Destination Instance C2中查找路由表处理。根系统不会建立会话。

查看会话情况

可以看到，根墙上没有创建会话，虚墙C1、C2上创建会话

PC2 ping PC1同理