开启出链路负载均衡导致三层业务回环

按照如下配置 在 loadbalance policy 当中激活对应的 class 和 action 后，产生三层环路。现象：

  - 通过边界防火墙 ping 对端网关：正常； ping 对端内网ip： 正常；且对端设备可以建立会话

  - 本地内网主机 ping 对端网段任意地址都通，但业务不能访问；对端设备无对应会话

抓包发现，本地内网主机 ping 对端IP或内网IP时，防火墙转发包的目的 MAC 地址为防火墙下接的为本地交换机端口（防火墙抓包入下图）

网络安全策略已放通。

- 端口配置

[edge-fw-GigabitEthernet1/0/14]dis th

#

interface GigabitEthernet1/0/14

 port link-mode route

 ip address 100.17.32.4 255.255.255.0

 nat outbound

#

return

- 路由配置

10.30.12.0/24     Static  60  0           100.17.32.1       GE1/0/14

100.17.32.0/16    Static  50  0           100.17.32.1       GE1/0/14

- acl配置

[edge-fw]dis acl 3012

Advanced IPv4 ACL 3012, 2 rules,

ACL's step is 5

 rule 0 permit ip source 172.31.0.0 0.0.255.255 destination 10.30.12.0 0.0.0.255 (8 times matched)

 rule 5 permit ip source 172.31.0.0 0.0.255.255 destination 100.17.0.0 0.0.255.255 (65 times matched)

- 链路组

[edge-fw]loadbalance link zongbu

[edge-fw-lb-link-zongbu]dis th

#

loadbalance link zongbu

 description 'Link connected to zongbu via cmcc static line(GE1/0/14)'

 router ip 100.17.32.1

 link-group zongbu-1

#

return

- 链路

[edge-fw]loadbalance link-group zongbu-1

[edge-fw-lb-lgroup-zongbu-1]dis th

#

loadbalance link-group zongbu-1

 description 'Links connected to zongbu intranet 10.30.12.0/24 and 100.17.32.0/16'

 probe egress-lb-eth-1

#

return

- 负载均衡类

[edge-fw]loadbalance class zongbu-liuliang

[edge-fw-lbc-link-generic-zongbu-liuliang]dis th

#

loadbalance class zongbu-liuliang type link-generic

 description 'Stick zongbu traffic to interface GE1/0/14'

 match 1 acl 3012

#

return

- 负载均衡动作

[edge-fw]loadbalance action zongbu-zhuanfa

[edge-fw-lba-link-generic-zongbu-zhuanfa]dis th

#

loadbalance action zongbu-zhuanfa type link-generic

 description 'Direct forward data to zongbu fixed line'

 link-group zongbu-1

#

return

F1000-AK1150 防火墙 GE1/0/14 口直连专线网关，对端为总部网关。专线本地分配地址 100.17.32.4  网关 100.17.32.1，总部内网地址段 10.30.12.0/24

防火墙其它端口连接上网宽带，为了防止到总部流量通过互联网出口，做出链路负载均衡策略，限制到对端IP/内网的流量通过 GE1/0/14 端口转发。