F5000防火墙策略路由不生效

1. 1.

   ​​策略路由配置错误​​（主要问题）：

   apply next-hop 144.123.7.X direct apply output-interface Reth11

   ​​错误原因​​：同时指定 next-hop和 output-interface会导致策略冲突，华三防火墙要求这两条命令必须二选一，不可同时使用。

2. 2.

   ​​等价路由干扰​​：

   gateway 144.123.7.X # 电信默认路由 gateway 223.78.117.X # 移动默认路由

   这两个等价默认路由优先级高于策略路由，导致流量负载均衡到两条链路。

3. 3.

   ​​策略路由调用位置问题​​：

   ip policy-based-route sdwan # 应用在入接口

   需要确认源IP流量是否确实经过此接口。

解决方案步骤

第一步：修正策略路由配置

第二步：破除等价路由

第三步：添加优先级路由（关键）

第四步：完整配置参考

验证命令

1. 1.

   ​​查看策略路由命中情况​​：

   display policy-based-route sdwan statistics
2. 2.

   ​​检查实际路由选择​​：

   display ip routing-table 8.8.8.8 # 测试任意公网IP
3. 3.

   ​​流量路径跟踪​​：

   # 在防火墙测试源IP的出接口 ping -a 192.168.10.1 8.8.8.8

常见问题排查点

1. 1.

   ​​源地址是否正确匹配​​：

   • •

     确认PC1的IP是否在192.168.10.0/30, 192.168.20.0/30, 192.168.30.0/30范围内

   • •

     检查ACL掩码是否正确（0.0.0.3对应/30网段）

2. 2.

   ​​安全策略放行​​：

   确认域间策略是否允许这些源IP访问untrust区域

3. 3.

   ​​防火墙会话保持​​：

   # 在Reth11接口启用会话保持 interface Reth11 ip last-hop hold
4. 4.

   ​​版本兼容性检查​​：

   • •

     确认8660P05版本是否存在已知BUG

   • •

     尝试升级到最新补丁（推荐R8676P03或更高）

​​关键建议​​：如果仍不生效，尝试用模拟发包测试：

system-view packet-capture interface Reth11 inbound packet-capture interface Reth21 inbound # 然后在PC1发起测试流量

按照以上步骤修改后，策略路由应该能正常生效。如果仍然存在问题，建议收集以下信息联系华三技术支持：

1. 1.

   display current-configuration

2. 2.

   display ip routing-table

3. 3.

   display policy-based-route all

4. 4.

   display packet-capture buffer抓包结果