问

策略路由

策略路由

2021-09-09提问

0关注
1收藏，1525浏览

青柠i

青柠i 零段

粉丝：0人关注：0人

问题描述：

ACL's step is 5 rule 0 permit ip source 192.168.197.222 0 destination 192.168.203.0 0.0.0.255 rule 10 permit ip source 192.168.197.0 0.0.0.255 destination 3.0.0.0 0.255.255.255 rule 15 permit ip source 192.168.197.0 0.0.0.255 destination 172.16.0.0 0.0.31.255 rule 20 permit ip source 192.168.197.0 0.0.0.255 destination 47.107.26.237 0 rule 25 permit ip source 192.168.197.0 0.0.0.255 destination 47.107.20.230 0 rule 30 permit ip source 192.168.248.0 0.0.1.255 destination 192.168.0.0 0.0.255.255 rule 35 permit ip source 192.168.248.0 0.0.1.255 destination 10.0.0.0 0.255.255.255 rule 40 permit ip source 192.168.248.0 0.0.1.255 destination 3.0.0.0 0.255.255.255 rule 45 permit ip source 192.168.248.0 0.0.1.255 destination 172.16.0.0 0.0.31.255 rule 50 permit ip source 192.168.248.0 0.0.1.255 destination 47.107.26.237 0 rule 55 permit ip source 192.168.248.0 0.0.1.255 destination 47.107.20.230 0 rule 60 permit ip source 192.168.103.14 0 destination 192.168.0.0 0.0.255.255 rule 65 permit ip source 192.168.103.14 0 destination 10.0.0.0 0.255.255.255 rule 70 permit ip source 192.168.103.14 0 destination 3.0.0.0 0.255.255.255 rule 75 permit ip source 192.168.103.14 0 destination 172.16.0.0 0.0.31.255 rule 80 permit ip source 192.168.103.14 0 destination 47.107.26.237 0 rule 85 permit ip source 192.168.103.14 0 destination 47.107.20.230 0 rule 90 permit ip source 192.168.103.13 0 destination 192.168.0.0 0.0.255.255 rule 95 permit ip source 192.168.103.13 0 destination 10.0.0.0 0.255.255.255 rule 100 permit ip source 192.168.103.13 0 destination 3.0.0.0 0.255.255.255 rule 105 permit ip source 192.168.103.13 0 destination 172.16.0.0 0.0.31.255 rule 110 permit ip source 192.168.103.13 0 destination 47.107.26.237 0 rule 115 permit ip source 192.168.103.13 0 destination 47.107.20.230 0 rule 120 permit ip source 192.168.103.30 0 destination 192.168.0.0 0.0.255.255 rule 125 permit ip source 192.168.103.30 0 destination 10.0.0.0 0.255.255.255 rule 130 permit ip source 192.168.103.30 0 destination 3.0.0.0 0.255.255.255 rule 135 permit ip source 192.168.103.30 0 destination 172.16.0.0 0.0.31.255 rule 140 permit ip source 192.168.103.30 0 destination 47.107.26.237 0 rule 145 permit ip source 192.168.103.30 0 destination 47.107.20.230 0 rule 150 permit ip source 192.168.103.243 0 destination 192.168.0.0 0.0.255.255 rule 155 permit ip source 192.168.103.243 0 destination 10.0.0.0 0.255.255.255 rule 160 permit ip source 192.168.103.243 0 destination 3.0.0.0 0.255.255.255 rule 165 permit ip source 192.168.103.243 0 destination 172.16.0.0 0.0.31.255 rule 170 permit ip source 192.168.103.243 0 destination 47.107.26.237 0 rule 175 permit ip source 192.168.103.243 0 destination 47.107.20.230 0 rule 180 permit ip source 192.168.103.20 0 destination 192.168.0.0 0.0.255.255 rule 185 permit ip source 192.168.103.20 0 destination 10.0.0.0 0.255.255.255 rule 190 permit ip source 192.168.103.20 0 destination 3.0.0.0 0.255.255.255 rule 195 permit ip source 192.168.103.20 0 destination 172.16.0.0 0.0.31.255 rule 200 permit ip source 192.168.103.20 0 destination 47.107.26.237 0 rule 205 permit ip source 192.168.103.20 0 destination 47.107.20.230 0 rule 210 permit ip source 192.168.103.159 0 destination 192.168.0.0 0.0.255.255 rule 215 permit ip source 192.168.103.159 0 destination 10.0.0.0 0.255.255.255 rule 220 permit ip source 192.168.103.159 0 destination 3.0.0.0 0.255.255.255 rule 225 permit ip source 192.168.103.159 0 destination 172.16.0.0 0.0.31.255 rule 230 permit ip source 192.168.103.159 0 destination 47.107.26.237 0 rule 235 permit ip source 192.168.103.159 0 destination 47.107.20.230 0 rule 240 permit ip source 192.168.103.90 0 destination 192.168.0.0 0.0.255.255 rule 245 permit ip source 192.168.103.90 0 destination 10.0.0.0 0.255.255.255 rule 250 permit ip source 192.168.103.90 0 destination 3.0.0.0 0.255.255.255 rule 255 permit ip source 192.168.103.90 0 destination 172.16.0.0 0.0.31.255 rule 260 permit ip source 192.168.103.90 0 destination 47.107.26.237 0 rule 265 permit ip source 192.168.103.90 0 destination 47.107.20.230 0 rule 270 permit ip source 192.168.103.236 0 destination 192.168.0.0 0.0.255.255 rule 275 permit ip source 192.168.103.236 0 destination 10.0.0.0 0.255.255.255 rule 280 permit ip source 192.168.103.236 0 destination 3.0.0.0 0.255.255.255 rule 285 permit ip source 192.168.103.236 0 destination 172.16.0.0 0.0.31.255 rule 290 permit ip source 192.168.103.236 0 destination 47.107.26.237 0 rule 295 permit ip source 192.168.103.236 0 destination 47.107.20.230 0 rule 300 permit ip source 192.168.103.7 0 destination 192.168.0.0 0.0.255.255 rule 305 permit ip source 192.168.103.7 0 destination 10.0.0.0 0.255.255.255 rule 310 permit ip source 192.168.103.7 0 destination 3.0.0.0 0.255.255.255 rule 315 permit ip source 192.168.103.7 0 destination 172.16.0.0 0.0.31.255 rule 320 permit ip source 192.168.103.7 0 destination 47.107.26.237 0 rule 325 permit ip source 192.168.103.7 0 destination 47.107.20.230 0 rule 330 permit ip source 192.168.103.57 0 destination 192.168.0.0 0.0.255.255 rule 335 permit ip source 192.168.103.57 0 destination 10.0.0.0 0.255.255.255 rule 340 permit ip source 192.168.103.57 0 destination 3.0.0.0 0.255.255.255 rule 345 permit ip source 192.168.103.57 0 destination 172.16.0.0 0.0.31.255 rule 350 permit ip source 192.168.103.57 0 destination 47.107.26.237 0 rule 355 permit ip source 192.168.103.57 0 destination 47.107.20.230 0 rule 360 permit ip source 192.168.103.157 0 destination 192.168.0.0 0.0.255.255 rule 365 permit ip source 192.168.103.157 0 destination 10.0.0.0 0.255.255.255 rule 370 permit ip source 192.168.103.157 0 destination 3.0.0.0 0.255.255.255 rule 375 permit ip source 192.168.103.157 0 destination 172.16.0.0 0.0.31.255 rule 380 permit ip source 192.168.103.157 0 destination 47.107.26.237 0 rule 385 permit ip source 192.168.103.157 0 destination 47.107.20.230 0 rule 390 permit ip source 192.168.103.112 0 destination 192.168.0.0 0.0.255.255 rule 395 permit ip source 192.168.103.112 0 destination 10.0.0.0 0.255.255.255 rule 400 permit ip source 192.168.103.112 0 destination 3.0.0.0 0.255.255.255 rule 405 permit ip source 192.168.103.112 0 destination 172.16.0.0 0.0.31.255 rule 410 permit ip source 192.168.103.112 0 destination 47.107.26.237 0 rule 415 permit ip source 192.168.103.112 0 destination 47.107.20.230 0 rule 420 permit ip source 192.168.103.218 0 destination 192.168.0.0 0.0.255.255 rule 425 permit ip source 192.168.103.218 0 destination 10.0.0.0 0.255.255.255 rule 430 permit ip source 192.168.103.218 0 destination 3.0.0.0 0.255.255.255 rule 435 permit ip source 192.168.103.218 0 destination 172.16.0.0 0.0.31.255 rule 440 permit ip source 192.168.103.218 0 destination 47.107.26.237 0 rule 445 permit ip source 192.168.103.218 0 destination 47.107.20.230 0 rule 450 permit ip source 192.168.103.110 0 destination 192.168.0.0 0.0.255.255

Advanced ACL 3003, named fqs, 21 rules, ACL's step is 5 rule 0 permit ip source 192.168.197.222 0 rule 1 permit ip source 192.168.197.0 0.0.0.255 rule 5 permit ip source 192.168.248.0 0.0.1.255 rule 10 permit ip source 192.168.103.13 0 rule 15 permit ip source 192.168.103.14 0 rule 20 permit ip source 192.168.103.30 0 rule 25 permit ip source 192.168.103.243 0 rule 30 permit ip source 192.168.103.20 0 rule 35 permit ip source 192.168.103.159 0 rule 40 permit ip source 192.168.103.236 0 rule 45 permit ip source 192.168.103.7 0 rule 50 permit ip source 192.168.103.57 0 rule 55 permit ip source 192.168.103.157 0 rule 60 permit ip source 192.168.103.112 0 rule 65 permit ip source 192.168.103.218 0 rule 75 permit ip source 192.168.149.100 0 rule 80 permit ip source 192.168.149.6 0 rule 85 permit ip source 192.168.149.50 0 rule 90 permit ip source 192.168.149.11 0 rule 95 permit ip source 192.168.111.111 0 rule 100 permit ip source 192.168.105.90 0

以上是策略路由的acl

policy-based-route fqs permit node 5 if-match acl 3002 # policy-based-route fqs permit node 10 if-match acl 3003 apply next-hop 192.168.105.111

策略路由

策略路由有的生效，有的不生效

组网及组网描述：

最佳答案

叫我靓仔

叫我靓仔九段

粉丝：125人关注：1人

策略路由不生效问题定位故障的思路是：先查看ACL规则是否匹配了流量，查看策略路由下一跳是否可达，最后查看是否配置packet-filter/QOS策略等功能，与策略路由冲突。

查看ACL规则是否匹配流量

查看ACL规则的配置，确认ACL规则匹配了流量。

命令： display acl

例如：通过命令确认ACL规则是否匹配了需要做策略路由的流量。

若通过display acl命令，查看规则中所写的rule规格错误，则需要重新下发rule命令，修改rule规则，确保rule规则匹配到流量。如果ACL中rule规则没有匹配所需做策略路由的流量，则需新增rule规则匹配该流量。

命令：rule

例如：ACL规则中将需要做策略路由的源IP为20.0.0.0/24、目的IP为200.0.0.0/24的流量错误写为源IP为20.0.0.0/24、目的IP为100.0.0.0/24，同时漏写源IP为30.0.0.0/24的流量，则需下发命令更正和增加ACL规则。

检查策略路由下一跳是否可达

检查策略路由配置中下一跳是否可达，如查看接口状态、ARP表项、路由表或PING测试。

命令：display interface

display arp X.X.X.X

display ip routing-table X.X.X.X

ping X.X.X.X

例如：策略路由下一跳配置为100.0.0.2，通过查看接口状态、ARP表项、路由表或ping测试确定策略路由下一跳是否可达。

排查路由
策略路由下一跳不通，需要排查路由问题。
检查设备是否配置了packet-filter/QOS策略等功能
当设备在相关视图下配置了packet-filter或QOS策略功能，由于packet-filter和QOS策略的优先级比策略路由高，因而策略路由下发不生效。需要结合所需做策略路由的流量ACL规则，对配置进行排查。
命令： display qos policy
display packet-filter
例如：acl number 3000匹配了所需做策略路由的流量，同时在设备上下发了packet-filter/QOS策略功能。packet-filter可以在二/三层物理接口及三层虚接口上下发，设备上可以配置基于接口/vlan/全局/控制平面应用的QOS策略，均需要排查。需注意，如下示例中，acl number 3000同时作为策略路由、packet-filter、QOS策略的感兴趣流量匹配条件，并且实际现网中可能存在不同ACL，但是规则匹配相同的流量做packet-filter/QOS策略，也会造成策略路由不生效，因此需要排查不同的ACL中是否有相同的rule规则。
备注：设备的软件版本为S12500-CMW520-R1335/S9500E-CMW520-R1335之前的版本，策略路由的优先级低于QOS策略，涉及QOS策略功能部分的排查。而设备的软件版本为S12500-CMW520-R1335/S9500E-CMW520-R1335及之后的版本，策略路由的优先级高于QOS策略，不涉及QOS策略功能部分的排查。
修改配置
通过上一步的排查发现策略路由与packet-filter/QOS策略同时下发，导致策略路由不生效，需修改配置。

策略路由与packet-filter同时下发的情况：

包过滤下发在inbound方向时，将导致策略路由感兴趣的流量在执行策略路由动作之前被过滤掉。包过滤下发在outbound方向时，将导致策略路由动作执行完后，报文被过滤掉，流量仍无法按策略路由需求转发出去。在上述两种情况下，均需要在packet-filter的ACL规则中，将需要正常转发的流量rule规则去掉。

策略路由与QOS策略同时下发的情况
策略路由感兴趣的流量先由QOS策略匹配后处理了。该种情况下，需重新了解和细化需求，是否可以通过细化QOS策略ACL规则和策略路由ACL规则，使两个ACL规则不冲突，流量能区分出来按不同的功能执行动作。

备注：设备的软件版本为S12500-CMW520-R1335/S9500E-CMW520-R1335之前的版本，策略路由的优先级低于QOS策略，涉及QOS策略功能部分的排查。而设备的软件版本为S12500-CMW520-R1335/S9500E-CMW520-R1335及之后的版本，策略路由的优先级高于QOS策略，不涉及QOS策略功能部分的排查。

暂无评论

0 个回答

按时间按赞数

该问题暂时没有网友解答

编辑答案

分享扩散:

➤

网站相关: 关于我们; 服务条款; 隐私政策; 帮助中心; 经验与权限; 积分规则

联系我们: 联系我们; 建议反馈

常用链接: 标杆的神器下载

关注我们: H3C官网; 新华三服务公众号; 安仔远程运维服务; 新华三商城

内容许可: 除特别说明外，用户内容均可采用知识共享署名-相同方式共享3.0中国大陆许可协议进行许可

本图标版权归新华三集团所有，仅限本社区使用，切勿用做商业目的，违者必究

浙ICP备09064986号-1 浙公网安备 33010802004416号

✖

亲~登录后才可以操作哦!

确定

✖

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

✖

你的邮箱还未认证，请认证邮箱或绑定手机后进行当前操作

✖

侵犯我的权益 >

对根叔社区有害的内容 >

辱骂、歧视、挑衅等（不友善）

侵犯我的权益

泄露了我的隐私 >

侵犯了我企业的权益 >

抄袭了我的内容 >

诽谤我 >

辱骂、歧视、挑衅等（不友善）

骚扰我

泄露了我的隐私

您好，当您发现根叔知了上有泄漏您隐私的内容时，您可以向根叔知了进行举报。请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱，我们会尽快处理。

1. 您认为哪些内容泄露了您的隐私？（请在邮件中列出您举报的内容、链接地址，并给出简短的说明）
2. 您是谁？（身份证明材料，可以是身份证或护照等证件）

侵犯了我企业的权益

您好，当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时，您可以向根叔知了进行举报。请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱，我们会在审核后尽快给您答复。

1. 您举报的内容是什么？（请在邮件中列出您举报的内容和链接地址）
2. 您是谁？（身份证明材料，可以是身份证或护照等证件）
3. 是哪家企业？（营业执照，单位登记证明等证件）
4. 您与该企业的关系是？（您是企业法人或被授权人，需提供企业委托授权书）

我们认为知名企业应该坦然接受公众讨论，对于答案中不准确的部分，我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

原文链接或出处

诽谤我

您好，当您发现根叔知了上有诽谤您的内容时，您可以向根叔知了进行举报。请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱，我们会尽快处理。

1. 您举报的内容以及侵犯了您什么权益？（请在邮件中列出您举报的内容、链接地址，并给出简短的说明）
2. 您是谁？（身份证明材料，可以是身份证或护照等证件）

我们认为知名企业应该坦然接受公众讨论，对于答案中不准确的部分，我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

垃圾广告信息

色情、暴力、血腥等违反法律法规的内容

政治敏感

不规范转载 >

辱骂、歧视、挑衅等（不友善）

骚扰我

诱导投票

不规范转载

举报说明

产品线		搜索取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式	默认策略匹配全词匹配整句

策略路由

问题描述：

组网及组网描述：

编辑答案

提出建议