h3c 5100 + h3c er5200

### **问题分析与解决方案**

#### **一、静态路由 `<Inactive>` 的原因**
1. **下一跳不可达**
- 主交换机5100的默认路由指向 `192.168.7.1`（路由器1），而静态路由 `ip route-static 192.168.110.0 24 192.168.8.1` 的下一跳是 `192.168.8.1`（路由器2）。
- **关键问题**：主交换机需要通过 `VLAN7` 的接口（`192.168.8.2`）与路由器2的接口（`192.168.8.1`）通信。若 `VLAN7` 的接口未正确配置或链路不通，会导致下一跳不可达。
- **验证方法**：在主交换机上执行 `ping 192.168.8.1`，若不通则检查物理链路、VLAN配置和接口IP。

2. **路由优先级冲突**
- 默认路由 `0.0.0.0/0` 的优先级可能覆盖了 `192.168.110.0/24` 的静态路由。
- **解决方法**：确认静态路由优先级是否高于默认路由（华为设备默认静态路由优先级为60，默认路由为60，需调整优先级）。

---

#### **二、策略路由导致内网不通的原因**
1. **策略路由覆盖内网流量**
- ACL 3000 匹配所有来自 `192.168.110.0/24` 的流量（包括内网通信），强制其下一跳为 `192.168.8.1`。
- 若路由器2未配置回指其他内网VLAN的路由（如 `192.168.1.0/24`、`192.168.2.0/24` 等），会导致内网流量被丢弃。

2. **路由器2缺少回程路由**
- 路由器2需知道如何返回其他内网VLAN的流量。例如，若内网有 `192.168.1.0/24`、`192.168.2.0/24` 等子网，需在路由器2上添加静态路由：
```plaintext
ip route-static 192.168.0.0 255.255.0.0 192.168.8.2 # 假设主交换机VLAN7接口IP为192.168.8.2
```

---

### **三、完整解决方案**
#### **步骤1：修复静态路由 `<Inactive>` 问题**
1. **确认物理链路和VLAN配置**
- 检查主交换机G24口是否加入 `VLAN7`，并配置IP `192.168.8.2`。
- 确认路由器2的接口IP为 `192.168.8.1`，子网掩码一致（如 `/24`）。

2. **调整静态路由优先级**
- 在静态路由中指定更高优先级（更小数值），确保其优于默认路由：
```plaintext
ip route-static 192.168.110.0 255.255.255.0 192.168.8.1 preference 50
```

#### **步骤2：修复策略路由导致内网不通的问题**
1. **修改ACL，仅匹配外网流量**
- 调整ACL 3000，仅匹配目标为外网的流量（例如目标IP为公网地址）：
```plaintext
acl number 3000
rule 5 permit ip source 192.168.110.0 0.0.0.255 destination 0.0.0.0 0.0.0.0
quit
```
- **解释**：仅将目标为外网（`0.0.0.0/0`）的流量引导至路由器2，内网流量仍按正常路由转发。

2. **在路由器2上添加回程路由**
- 配置路由器2，使其能返回其他内网VLAN的流量：
```plaintext
ip route-static 192.168.0.0 255.255.0.0 192.168.8.2 # 覆盖所有内网子网
```

3. **检查防火墙/NAT配置**
- 确认路由器2的NAT和防火墙允许内网流量转发。例如：
```plaintext
# 允许内网到内网的转发（如需）
firewall packet-filter default permit
```

---

#### **步骤3：验证配置**
1. **检查路由表状态**
- 在主交换机执行 `display ip routing-table`，确认 `192.168.110.0/24` 的静态路由状态为 `<Active>`。

2. **测试外网与内网连通性**
- 从VLAN110的客户端访问外网（如 `ping 8.8.8.8`）和其他内网VLAN（如 `ping 192.168.1.1`）。

---

### **四、最终配置示例**
```plaintext
# 主交换机5100配置
interface Vlan-interface7
ip address 192.168.8.2 255.255.255.0
#
ip route-static 0.0.0.0 0.0.0.0 192.168.7.1
ip route-static 192.168.110.0 255.255.255.0 192.168.8.1 preference 50 # 调整优先级
#
acl number 3000
rule 5 permit ip source 192.168.110.0 0.0.0.255 destination 0.0.0.0 0.0.0.0
#
policy-based-route PBR_VLAN110 permit node 10
if-match acl 3000
apply next-hop 192.168.8.1
#
interface Vlan-interface110
ip policy-based-route PBR_VLAN110
```

```plaintext
# 路由器2（ER5200）配置
interface GigabitEthernet0/0/1 # 连接主交换机的接口
ip address 192.168.8.1 255.255.255.0
#
ip route-static 192.168.0.0 255.255.0.0 192.168.8.2 # 回指所有内网子网
#
# 配置NAT和防火墙（示例）
acl number 2000
rule 5 permit source 192.168.110.0 0.0.0.255
#
interface GigabitEthernet0/0/0 # 外网接口
nat outbound 2000
```

---

### **五、总结**
- **静态路由 `<Inactive>`**：因下一跳不可达或路由优先级冲突，需检查链路和调整优先级。
- **策略路由导致内网不通**：因ACL匹配了全部流量，需限制仅匹配外网目标，并确保路由器2有回程路由。
- **最终效果**：VLAN110的外网流量通过路由器2，内网流量仍通过主交换机原有路由，实现负载均衡与故障隔离。