• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

F5000防火墙策略路由不生效

2025-08-21提问
  • 0关注
  • 0收藏,108浏览
粉丝:0人 关注:0人

问题描述:

防火墙策略路由不生效

组网及组网描述:

 

防火墙版本version 7.1.064, Alpha 8660P05

 

电信端口

interface Reth11

 ip address 144.123.7.X 255.255.255.252

 member interface GigabitEthernet1/0/1 priority 100

 member interface GigabitEthernet2/0/1 priority 80

 ip last-hop hold

 nat outbound counting

 gateway 144.123.7.X

移动端口

interface Reth21

 ip address 223.78.117.X 255.255.255.0

 member interface GigabitEthernet1/0/0 priority 100

 member interface GigabitEthernet2/0/0 priority 80

 ip last-hop hold

 nat outbound counting

 gateway 223.78.117.X

策略路由配置

acl advanced 3011

 rule 0 permit ip source 192.168.10.0 0.0.0.3

 rule 5 permit ip source 192.168.20.0 0.0.0.3

 rule 10 permit ip source 192.168.30.0 0.0.0.3

 

policy-based-route sdwan permit node 1

 if-match acl 3011

 apply next-hop 144.123.7.X direct

 apply output-interface Reth11

 

interface GigabitEthernet1/0/6

 port link-mode route

 ip address 192.168.20.X 255.255.255.252

 ip policy-based-route sdwan

查看路由表发现电信和移动是等价路由,电信路由表在上。

策略路由调用以后,PC1访问其他地址发现是从移动链路出去。策略路由没生效

2 个回答
粉丝:120人 关注:9人

做负载均衡了吗

回复zhiliao_Eu5Ek:

再就是你apply 两个接口是什么意思

zhiliao_sEUyB 发表时间:2025-08-21 更多>>

端口下配置了网关后自动生成2条等价默认路由,其中电信的在上优选。

zhiliao_Eu5Ek 发表时间:2025-08-21
回复zhiliao_Eu5Ek:

是这样,等价路由是随机的,但是策略路由优先级比默认路由高

zhiliao_sEUyB 发表时间:2025-08-21
回复zhiliao_Eu5Ek:

再就是你apply 两个接口是什么意思

zhiliao_sEUyB 发表时间:2025-08-21
粉丝:9人 关注:0人

  1. 1.

    ​策略路由配置错误​​(主要问题):

    apply next-hop 144.123.7.X direct apply output-interface Reth11

    ​错误原因​​:同时指定 next-hop和 output-interface会导致策略冲突,华三防火墙要求这两条命令必须二选一,不可同时使用。

  2. 2.

    ​等价路由干扰​​:

    gateway 144.123.7.X # 电信默认路由 gateway 223.78.117.X # 移动默认路由

    这两个等价默认路由优先级高于策略路由,导致流量负载均衡到两条链路。

  3. 3.

    ​策略路由调用位置问题​​:

    ip policy-based-route sdwan # 应用在入接口

    需要确认源IP流量是否确实经过此接口。

解决方案步骤

第一步:修正策略路由配置

# 移除冲突配置,只保留一个apply语句 policy-based-route sdwan permit node 1 if-match acl 3011 apply next-hop 144.123.7.X # 只保留这一个 # 或者 apply output-interface Reth11 # 二选一,推荐这种

第二步:破除等价路由

# 修改移动接口配置,移除默认路由 interface Reth21 undo gateway # 删除移动端口的默认路由

第三步:添加优先级路由(关键)

# 添加电信优先级更高的默认路由 ip route-static 0.0.0.0 0 144.123.7.X preference 60 # 电信主用 ip route-static 0.0.0.0 0 223.78.117.X preference 70 # 移动备用

第四步:完整配置参考

! 策略路由 policy-based-route sdwan permit node 1 if-match acl 3011 apply output-interface Reth11 # 仅指定出接口 ! ACL定义 acl advanced 3011 rule 0 permit ip source 192.168.10.0 0.0.0.3 rule 5 permit ip source 192.168.20.0 0.0.0.3 rule 10 permit ip source 192.168.30.0 0.0.0.3 ! 接口应用 interface GigabitEthernet1/0/6 ip policy-based-route sdwan ! 静态路由 ip route-static 0.0.0.0 0 144.123.7.X preference 60 # 主用 ip route-static 0.0.0.0 0 223.78.117.X preference 70 # 备用

验证命令

  1. 1.

    ​查看策略路由命中情况​​:

    display policy-based-route sdwan statistics
  2. 2.

    ​检查实际路由选择​​:

    display ip routing-table 8.8.8.8 # 测试任意公网IP
  3. 3.

    ​流量路径跟踪​​:

    # 在防火墙测试源IP的出接口 ping -a 192.168.10.1 8.8.8.8

常见问题排查点

  1. 1.

    ​源地址是否正确匹配​​:

    • 确认PC1的IP是否在192.168.10.0/30, 192.168.20.0/30, 192.168.30.0/30范围内

    • 检查ACL掩码是否正确(0.0.0.3对应/30网段)

  2. 2.

    ​安全策略放行​​:

    确认域间策略是否允许这些源IP访问untrust区域

  3. 3.

    ​防火墙会话保持​​:

    # 在Reth11接口启用会话保持 interface Reth11 ip last-hop hold
  4. 4.

    ​版本兼容性检查​​:

    • 确认8660P05版本是否存在已知BUG

    • 尝试升级到最新补丁(推荐R8676P03或更高)

​关键建议​​:如果仍不生效,尝试用模拟发包测试:

system-view packet-capture interface Reth11 inbound packet-capture interface Reth21 inbound # 然后在PC1发起测试流量

按照以上步骤修改后,策略路由应该能正常生效。如果仍然存在问题,建议收集以下信息联系华三技术支持:

  1. 1.

    display current-configuration

  2. 2.

    display ip routing-table

  3. 3.

    display policy-based-route all

  4. 4.

    display packet-capture buffer抓包结果

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明