引流表

引流表
在虚拟系统和根系统互访的场景中，虚拟系统和根系统都会按照防火墙转发流程对报文进行处理。针对互访的业务，虚拟系统和根系统都要配置策略、都会建立会话。这样，一方面增加了配置的复杂性，另一方面，每条连接都需要两条会话，业务量大时，会造成整机的会话资源紧张。通过配置引流表，可以解决上述问题。
引流表中记录的是IP地址和虚拟系统的归属关系。如下的引流表，表示10.3.0.8这个IP地址属于虚拟系统vsysa。

说明：在IPv6根系统和虚拟系统vsysa通过引流表互访的场景下，根系统的IPv6引流表需要在根系统的系统视图下执行命令firewall ipv6 import-flow public start-ipv6-address end-ipv6-address vpn-instance vsysa配置，根系统的IPv6引流表信息可以通过display firewall ipv6 import-flow public { ipv6-address | vpn-instance vpn-instance-name }命令查看。

报文命中引流表时，根系统不再按照防火墙转发流程处理报文，而是按路由表或引流表直接转发报文。因此，根系统中不需要为命中引流表的报文配置策略，根系统也不会为命中引流表的报文创建会话。
报文命中引流表分为正向命中和反向命中两种情况：
（1）正向命中：根系统发往虚拟系统的报文，目的地址匹配引流表中的“Destination Address”，则报文正向命中引流表。
报文正向命中引流表时，根系统按引流表转发报文，将报文送入命中的表项对应的“Destination Instance”中处理。
图1 报文正向命中引流表

（2）反向命中：虚拟系统发往根系统的报文，源地址匹配引流表中的“Destination Address”，源虚拟系统匹配引流表中的“Destination Instance”，则报文反向命中引流表。
报文反向命中引流表时，根系统按路由表转发报文。
图2 报文反向命中引流表

FW只会在报文进入防火墙转发流程前判断报文是否命中引流表。报文经过防火墙转发流程处理后，即使IP地址等能匹配引流表，FW也不会判定该报文命中引流表。

如图3所示，IPSec解封装后的报文的目的IP地址为10.3.0.8。虽然解封装后的报文的目的IP地址匹配了引流表中的“Destination Address”，但FW不会判定该报文命中引流表。根系统仍然按照防火墙转发流程对报文进行处理。
图3 引流表与IPSec

部分场景中，根系统需要按照防火墙转发流程对报文进行处理，如做NAT、做IPSec封装等。此时，应避免报文命中引流表，否则会导致业务异常。如图3中，10.3.0.8主动向10.3.1.1发起访问时，报文会反向命中引流表。根系统直接根据路由表将报文从GE0/0/1接口发送出去，不会对报文做IPSec封装，导致业务异常。