交换机策略路由问题2

如果pbr在核心交换机做的话

PBR先放行空动作内网在PBR去FW2就行了

通过策略路由指向B，不影响内网访问，策略路由的acl需要排除掉内网互访的流量。

为实现您的需求，可按以下步骤进行配置：

1. **配置基于源网段的策略路由（PBR）**：在核心交换机上创建策略路由，将指定内网网段的流量重定向至防火墙B，而其他流量仍走默认路由（指向防火墙A）。

2. **确保内网互访流量不经过策略路由**：
- 策略路由仅应用于出接口面向防火墙的上行流量（即访问Internet的流量）。
- 内网网段之间的互访流量在核心交换机上通过直连路由转发，不会匹配上行的PBR策略，前提是PBR仅在对应VLAN接口或上行接口的入方向应用。

### 配置示例（以主流厂商命令风格为例）：

```bash
# 定义ACL，匹配需要指向防火墙B的源网段（如192.168.1.0/24）
ip access-list extended TO_FIREWALL_B
permit ip 192.168.1.0 0.0.0.255 any

# 创建route-map，将匹配流量重定向到防火墙B
route-map PBR_TO_B permit 10
match ip address TO_FIREWALL_B
set ip next-hop 2.2.2.2 # 防火墙B的下一跳地址

# 在该网段对应的VLAN接口上应用策略路由（入方向）
interface Vlan-interface100
ip address 192.168.1.1 255.255.255.0
ip policy route-map PBR_TO_B
```

### 关键点说明：

- **策略路由仅影响出站Internet流量**：由于策略路由应用在内网VLAN接口入方向，只会影响从该网段发出的、目的为外部网络的流量。
- **内网互访不受影响**：当192.168.1.0/24访问192.168.2.0/24时，核心交换机查直连路由表转发，不匹配“any”规则中的非本地流量，且策略路由通常不干预直连路由转发路径。
- **缺省路由保留**：其他未匹配的流量仍通过核心交换机的默认路由（指向防火墙A）转发。

### 注意事项：
- 确保防火墙B已配置对应安全策略和NAT规则，支持该网段的Internet访问。
- 验证策略路由范围，避免误将内网互访流量重定向。
- 若使用VRF或MPLS，需确保下一跳可达性。

综上，通过基于源网段的策略路由可精准控制特定网段流量走向防火墙B，同时保留内网间直连路由转发，满足安全与灵活性需求。

B防火墙方向，策略路由引用ACL，ACL匹配源目地址就行了，A防火墙就正常走默认路由

PBR，和ACL。ACL匹配源就行。下一跳是B防火墙