M9006 策略路由 到安全设备流量问题

需求是内网有台服务器，需要对该IP地址做策略路由，把流量引流到安全设备上做清洗后再吐回来。

现在遇到一个问题，策略路由做好后是生效的，流量正确的引到了安全设备

但是安全设备把流量吐回来的时候，防火墙直接又吐了回去，导致流量在安全设备和防火墙之间来回走，最后TTL走完。

这是一台内网防火墙

防火墙通过二层可以算是和安全设备直连，互联没有任何问题。

防火墙本身有去公网的出接口，是到公网防火墙再出去的。原本的出向入向流量都没有问题。

防火墙和安全设备单臂模式也不行，做了两个互联口区分进出流量也是同样的问题。

服务器的网段、防火墙出口网段、防火墙和安全设备互联的网段都是不一样的，是4个不同的VLAN

正常流量是如下走向：

服务器---核心防火墙---出口防火墙---internet

引流后的设想流量是：

服务器---核心防火墙---安全设备----核心防火墙----出口防火墙

引流后的现象是

服务器---核心防火墙----安全设备---核心防火墙---安全设备---核心防火墙……循环

策略路由配置位置：

服务器---svi口 1.出向PBR--核心防火墙--安全设备--核心防火墙---svi口 2.入向PBR--出口防火墙

1.出向PBR主要配置为匹配服务器源IP，应用下一跳地址为安全设备。

2.入向PBR主要配置为匹配目标IP为服务器IP的时候，应用下一跳地址为安全设备。

出向 入向都存在相同的问题，都在互联接口上打环。

怀疑是不是session导致的防火墙处理过一次的数据包，第二次收到该数据包以后直接命中session，按照第一次PBR的处理方式直接处理了，没有去查找路由表。