F5000防火墙策略路由不生效
- 0关注
- 0收藏,108浏览
问题描述:
防火墙策略路由不生效
组网及组网描述:
防火墙版本version 7.1.064, Alpha 8660P05
电信端口
interface Reth11
ip address 144.123.7.X 255.255.255.252
member interface GigabitEthernet1/0/1 priority 100
member interface GigabitEthernet2/0/1 priority 80
ip last-hop hold
nat outbound counting
gateway 144.123.7.X
移动端口
interface Reth21
ip address 223.78.117.X 255.255.255.0
member interface GigabitEthernet1/0/0 priority 100
member interface GigabitEthernet2/0/0 priority 80
ip last-hop hold
nat outbound counting
gateway 223.78.117.X
策略路由配置
acl advanced 3011
rule 0 permit ip source 192.168.10.0 0.0.0.3
rule 5 permit ip source 192.168.20.0 0.0.0.3
rule 10 permit ip source 192.168.30.0 0.0.0.3
policy-based-route sdwan permit node 1
if-match acl 3011
apply next-hop 144.123.7.X direct
apply output-interface Reth11
interface GigabitEthernet1/0/6
port link-mode route
ip address 192.168.20.X 255.255.255.252
ip policy-based-route sdwan
查看路由表发现电信和移动是等价路由,电信路由表在上。
策略路由调用以后,PC1访问其他地址发现是从移动链路出去。策略路由没生效
- 2025-08-21提问
- 举报
-
(0)
- 1.
策略路由配置错误(主要问题):
apply next-hop 144.123.7.X direct apply output-interface Reth11错误原因:同时指定
next-hop和output-interface会导致策略冲突,华三防火墙要求这两条命令必须二选一,不可同时使用。 - 2.
等价路由干扰:
gateway 144.123.7.X # 电信默认路由 gateway 223.78.117.X # 移动默认路由这两个等价默认路由优先级高于策略路由,导致流量负载均衡到两条链路。
- 3.
策略路由调用位置问题:
ip policy-based-route sdwan # 应用在入接口需要确认源IP流量是否确实经过此接口。
解决方案步骤
第一步:修正策略路由配置
# 移除冲突配置,只保留一个apply语句
policy-based-route sdwan permit node 1
if-match acl 3011
apply next-hop 144.123.7.X # 只保留这一个
# 或者
apply output-interface Reth11 # 二选一,推荐这种第二步:破除等价路由
# 修改移动接口配置,移除默认路由
interface Reth21
undo gateway # 删除移动端口的默认路由第三步:添加优先级路由(关键)
# 添加电信优先级更高的默认路由
ip route-static 0.0.0.0 0 144.123.7.X preference 60 # 电信主用
ip route-static 0.0.0.0 0 223.78.117.X preference 70 # 移动备用第四步:完整配置参考
! 策略路由
policy-based-route sdwan permit node 1
if-match acl 3011
apply output-interface Reth11 # 仅指定出接口
! ACL定义
acl advanced 3011
rule 0 permit ip source 192.168.10.0 0.0.0.3
rule 5 permit ip source 192.168.20.0 0.0.0.3
rule 10 permit ip source 192.168.30.0 0.0.0.3
! 接口应用
interface GigabitEthernet1/0/6
ip policy-based-route sdwan
! 静态路由
ip route-static 0.0.0.0 0 144.123.7.X preference 60 # 主用
ip route-static 0.0.0.0 0 223.78.117.X preference 70 # 备用验证命令
- 1.
查看策略路由命中情况:
display policy-based-route sdwan statistics - 2.
检查实际路由选择:
display ip routing-table 8.8.8.8 # 测试任意公网IP - 3.
流量路径跟踪:
# 在防火墙测试源IP的出接口 ping -a 192.168.10.1 8.8.8.8
常见问题排查点
- 1.
源地址是否正确匹配:
- •
确认PC1的IP是否在192.168.10.0/30, 192.168.20.0/30, 192.168.30.0/30范围内
- •
检查ACL掩码是否正确(0.0.0.3对应/30网段)
- •
- 2.
安全策略放行:
确认域间策略是否允许这些源IP访问untrust区域
- 3.
防火墙会话保持:
# 在Reth11接口启用会话保持 interface Reth11 ip last-hop hold - 4.
版本兼容性检查:
- •
确认8660P05版本是否存在已知BUG
- •
尝试升级到最新补丁(推荐R8676P03或更高)
- •
关键建议:如果仍不生效,尝试用模拟发包测试:
system-view packet-capture interface Reth11 inbound packet-capture interface Reth21 inbound # 然后在PC1发起测试流量
按照以上步骤修改后,策略路由应该能正常生效。如果仍然存在问题,建议收集以下信息联系华三技术支持:
- 1.
display current-configuration - 2.
display ip routing-table - 3.
display policy-based-route all - 4.
display packet-capture buffer抓包结果
- 2025-08-21回答
- 评论(0)
- 举报
-
(0)
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
再就是你apply 两个接口是什么意思