h3c secpath f1000-ak165上做策略路由器不通

指定的话，加上端口

指定接口启用nat了吗

安全策略放行了吗

策略路由需配置在数据流的入方向接口上。若在防火墙上配置策略路由未生效，可能原因是流量未经过防火墙的策略路由处理节点。当三层交换机已启用策略路由功能，且流量在交换机层面被转发，则流量可能未经过防火墙的策略控制点。

建议确认以下几点：

1. 流量路径：确保相关流量必须经过防火墙，且防火墙处于策略路由的入接口方向。
2. 策略匹配条件：检查防火墙策略的源IP、目的IP、接口等匹配条件是否正确覆盖终端流量。
3. 路由优先级：确认防火墙上的策略路由优先级高于普通路由，且无其他默认路由优先转发。
4. 出接口与下一跳：确保策略路由指定的出接口或下一跳可达，并正确指向目标出口。

若三层交换机已做三层转发并绕过防火墙策略处理，则应在三层交换机上配置策略路由，或调整网络架构确保关键流量经防火墙处理。

结论：策略路由应在流量进入的设备接口上配置，若交换机已转发流量，则防火墙无法控制该流量路径。建议在三层交换机上配置策略路由或调整流量路径。

关闭快速转发表undo ip fast-forwarding load-sharing

三层交换机起VLANIF接口，配置VLAN子网地址以及网关，配置静态路由转发任何数据到防火墙，在防火墙上配一条回写路由，策略路由要绑定在防火墙与三层交换机相连的那个端口上，且一个端口只能绑定一个策略路由策略