SR66 PBR特殊场景下快转表导致引流失败

【简要拓扑图示例】：

SR66在G5/0/0上调用PBR，将PC上来的流量下一跳都指向防火墙。

防火墙上配置默认路由将流量丢回SR66。

防火墙上不做nat，只做安全策略。

SR66与防火墙互联的口也在5板上。

按正常转发流程，应该是PC流量通过G5/0/0口转发至SR66，SR66根据接口PBR将流量转发至防火墙，防火墙过滤完后将流量转发回SR66，SR66根据路由表将流量转发至其他设备。

但设备割接上线后，网络不可达。

1、防火墙在割接前未做过配置改动，在防火墙上抓包分析，流量已到达防火墙，防火墙也将流量转发回路由器。

2、细看防火墙上抓到的包，数据包存在TTL不一样的情况，并且TTL有不断减小的情况，怀疑设备产生了环路。

3、排查物理连线、设备配置、查看路由等信息，均显示正常。

4、除去这些，要想到还有快转表是否有问题。

5、检查快转表信息发现异常，快转表中没有从防火墙回来的明细快转表信息。

6、这时候可以想到是快转负载分担功能引起的问题。

7、关闭快转负载分担功能后，业务正常。

1、中低端路由器默认开启了快转负载分担功能。关闭快转负载分担功能后正常。

undo ip fast-forwarding load-sharing

【快转负载分担功能】：开启快速转发负载分担功能后，当一条数据流从不同入接口上来进行转发时，不再根据入接口不同区分数据流，根据报文中的信息标识一条数据流。

也就是说默认开启的快转负载分担功能，在这种组网环境下，从防火墙回来的数据流，不再匹配路由，而是匹配快转表，并且不再根据数据流源接口匹配快转表，只要快转表中有对应的源目的地址即匹配，所以流量会匹配快转表又转发给防火墙，导致环路。

【补充说明】如果SR66与防火墙互联的接口与PBR调用的源接口不在同一板卡上，不会有这种现象，因为快转表是根据板卡来的，跨板卡不会有这种现象。