浅谈山石防火墙虚拟网线技术

最近遇到一个服务器区防火墙割接的项目，先简单说说该项目的网络架构。

如下图所示：服务器区有2台汇聚交换机通过二层的方式连接防火墙，服务器区防火墙为主备模式二层连接到核心。

现使用2台山石SG-6000-E3662-AD防火墙替换原来的迪普防火墙，晚上割接完后测试业务正常。第二天客户反映打开服务器的应用比较卡，已经影响正常办公。

经过测试发现在服务器上拖文件经过防火墙只有8-10MB每秒，大概为百兆速度。SG-6000-E3662-AD防火墙的接口为千兆，吞吐为8G，因此排除设备硬件问题。通过在相同网段的其他服务器上不经过防火墙拖拽文件可以达到千兆。

经过研究发现，客户服务器区为不同的业务有两个网段，并且这两个网段之间服务器会相互调用数据，由于服务器的网关在核心上，因此当192.168.1.0网段的服务器访问192.168.2.0网段的服务器时，1.0网段会将流量发给网关也就是核心上，核心会查路由表将1.0去往2.0的流量从相同的接口再发出去，如上图所示。

因此防火墙会从不同的接口收到2份相同的流量，形成流量2次过墙，防火墙会丢弃一部分流量，造成网络重传导致网络卡顿。

山石防火墙支持虚拟网线功能。开启该功能并配置Virtual Wire接口对后，两个Virtual Wire接口对形成一条虚拟线路，将连接到设备Virtual Wire接口对的两个子网连接到一起，被连接的两个子网可以直接进行二层通信，不需要进行MAC地址学习，也不需要通过其它子网的转发。并且，使用Virtual Wire功能的同时，还可以使用策略规则等功能进行控制。因此，在虚拟网线模式下可以调用防病毒与入侵防御模块。

配置 Virtual Wire

新建Virtual Wire配置，请按照以下步骤进行操作：

1. 选择“网络 > Virtual Wire”，进入Virtual Wire配置页面。

2. 点击“新建”按钮，弹出对话框。

3. 在“虚拟交换机”下拉菜单指定配置Virtual Wire的虚拟交换机名称。

4. 在“接口1”下拉菜单指定Virtual Wire接口对的一个接口。同一个Virtual Wire接口对中的两个接口不可以相同，同一个接口

不可以同时属于两个Virtual Wire接口对。

5. 在“接口2”下拉菜单指定Virtual Wire接口对的一个接口。同一个Virtual Wire接口对中的两个接口不可以相同，同一个接口

不可以同时属于两个Virtual Wire接口对。

6. 点击“确定”按钮，完成配置。