防火墙策略路由不生效
防火墙版本version 7.1.064, Alpha 8660P05
电信端口
interface Reth11
ip address 144.123.7.X 255.255.255.252
member interface GigabitEthernet1/0/1 priority 100
member interface GigabitEthernet2/0/1 priority 80
ip last-hop hold
nat outbound counting
gateway 144.123.7.X
移动端口
interface Reth21
ip address 223.78.117.X 255.255.255.0
member interface GigabitEthernet1/0/0 priority 100
member interface GigabitEthernet2/0/0 priority 80
ip last-hop hold
nat outbound counting
gateway 223.78.117.X
策略路由配置
acl advanced 3011
rule 0 permit ip source 192.168.10.0 0.0.0.3
rule 5 permit ip source 192.168.20.0 0.0.0.3
rule 10 permit ip source 192.168.30.0 0.0.0.3
policy-based-route sdwan permit node 1
if-match acl 3011
apply next-hop 144.123.7.X direct
apply output-interface Reth11
interface GigabitEthernet1/0/6
port link-mode route
ip address 192.168.20.X 255.255.255.252
ip policy-based-route sdwan
查看路由表发现电信和移动是等价路由,电信路由表在上。
策略路由调用以后,PC1访问其他地址发现是从移动链路出去。策略路由没生效
(0)
策略路由配置错误(主要问题):
apply next-hop 144.123.7.X direct
apply output-interface Reth11
错误原因:同时指定 next-hop
和 output-interface
会导致策略冲突,华三防火墙要求这两条命令必须二选一,不可同时使用。
等价路由干扰:
gateway 144.123.7.X # 电信默认路由
gateway 223.78.117.X # 移动默认路由
这两个等价默认路由优先级高于策略路由,导致流量负载均衡到两条链路。
策略路由调用位置问题:
ip policy-based-route sdwan # 应用在入接口
需要确认源IP流量是否确实经过此接口。
# 移除冲突配置,只保留一个apply语句
policy-based-route sdwan permit node 1
if-match acl 3011
apply next-hop 144.123.7.X # 只保留这一个
# 或者
apply output-interface Reth11 # 二选一,推荐这种
# 修改移动接口配置,移除默认路由
interface Reth21
undo gateway # 删除移动端口的默认路由
# 添加电信优先级更高的默认路由
ip route-static 0.0.0.0 0 144.123.7.X preference 60 # 电信主用
ip route-static 0.0.0.0 0 223.78.117.X preference 70 # 移动备用
! 策略路由
policy-based-route sdwan permit node 1
if-match acl 3011
apply output-interface Reth11 # 仅指定出接口
! ACL定义
acl advanced 3011
rule 0 permit ip source 192.168.10.0 0.0.0.3
rule 5 permit ip source 192.168.20.0 0.0.0.3
rule 10 permit ip source 192.168.30.0 0.0.0.3
! 接口应用
interface GigabitEthernet1/0/6
ip policy-based-route sdwan
! 静态路由
ip route-static 0.0.0.0 0 144.123.7.X preference 60 # 主用
ip route-static 0.0.0.0 0 223.78.117.X preference 70 # 备用
查看策略路由命中情况:
display policy-based-route sdwan statistics
检查实际路由选择:
display ip routing-table 8.8.8.8 # 测试任意公网IP
流量路径跟踪:
# 在防火墙测试源IP的出接口
ping -a 192.168.10.1 8.8.8.8
源地址是否正确匹配:
确认PC1的IP是否在192.168.10.0/30, 192.168.20.0/30, 192.168.30.0/30范围内
检查ACL掩码是否正确(0.0.0.3对应/30网段)
安全策略放行:
确认域间策略是否允许这些源IP访问untrust区域
防火墙会话保持:
# 在Reth11接口启用会话保持
interface Reth11
ip last-hop hold
版本兼容性检查:
确认8660P05版本是否存在已知BUG
尝试升级到最新补丁(推荐R8676P03或更高)
关键建议:如果仍不生效,尝试用模拟发包测试:
system-view packet-capture interface Reth11 inbound packet-capture interface Reth21 inbound # 然后在PC1发起测试流量
按照以上步骤修改后,策略路由应该能正常生效。如果仍然存在问题,建议收集以下信息联系华三技术支持:
display current-configuration
display ip routing-table
display policy-based-route all
display packet-capture buffer
抓包结果
(0)
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
再就是你apply 两个接口是什么意思