如何做策略路由使内网网段只走特定出口

 关键配置命令（以命令行界面为例）：

1. 创建ACL匹配目标网段

acl advanced 3000

 rule 5 permit ip source 192.168.1.0 0.0.0.255   //匹配源IP网段

 2. 配置强策略路由

policy-based-route STRICT_PBR permit node 10

 if-match acl 3000                             //绑定ACL 3000

 apply ip-address next-hop [出口1的下一跳IP] direct  //关键参数direct表示强制直连下一跳

 3. 在网关接口应用策略

interface Vlan-interface [内网网关VLAN ID]      //如Vlan-interface 1

 ip policy-based-route STRICT_PBR              //应用策略路由

 实现原理：

1. direct参数作用： 

   apply next-hop x.x.x.x direct 命令要求下一跳必须为直连可达。若出口1的直连下一跳失效（如接口DOWN或ARP不可达），策略路由会直接丢弃流量，而不会触发路由表查询（包括默认路由）。

2. 故障行为验证： 

   当出口1正常时：流量严格从出口1转发。 

   当出口1失效时：匹配策略的流量被丢弃（可通过display ip policy-based-route statistics查看丢弃计数）。

要实现让 192.168.1.0/24 网段强制走“出口1”，并且当出口1失效时绝对不切换到默认路由，可以通过配置策略路由（PBR）来精确控制。策略路由的优先级高于普通路由表，可以实现这个需求。

核心原理

1. 策略路由优先级高于普通路由：当报文匹配策略路由的规则时，直接按照策略指定的下一跳转发，不会再查找普通路由表（包括默认路由）。

2. “不切换”的实现机制：你只需要在策略路由中只配置出口1这一个下一跳，不配置任何备份下一跳或备份出接口。当出口1失效时，策略路由找不到可用下一跳，报文会被直接丢弃，而不会fallback到默认路由。

配置步骤（H3C Comware平台）

假设：

• 内网网关接口为 Vlan-interface 100（或物理口，如GigabitEthernet1/0/1）

• 出口1的下一跳IP为 202.101.1.1

步骤1：配置ACL匹配目标网段

定义感兴趣流，抓取源IP为 192.168.1.0/24 的流量。

创建一个策略，节点10匹配上述ACL，并强制指定下一跳。

步骤3：在内网接口上应用策略路由

在接收内网报文的接口（网关接口）上应用该策略。

为什么不会切换到默认路由？

官方文档中明确了报文的转发流程：

1. 首先匹配策略路由：如果有匹配的PBR节点，且节点配置了有效的apply next-hop，直接按照PBR转发。

2. 匹配失败才查找路由表：只有未匹配到PBR节点，或PBR节点指导转发失败（且没有配置apply continue子句）时，才会进入普通路由表查找（包括默认路由）。

3. 你的配置逻辑：你只给192.168.1.0/24的流量配置了一个apply next-hop。当出口1的下一跳202.101.1.1失效时，PBR指导失败，系统不会去查找普通路由表，因此默认路由不会被使用，流量中断。

关键验证与注意事项

1. 确认路由存在：apply next-hop指定的下一跳必须是直连路由可达的。你需要在设备路由表中看到该下一跳地址对应的直连路由（通常通过接口IP自动生成）。

2. PBR的默认行为：如果你希望策略路由仅在出口1正常时走出口1，出口1失效时直接断网，上述配置已经满足需求，不需要添加apply default-next-hop或创建第二个节点。

3. 流表问题：如果你是防火墙（如F100或SecPath系列），PBR匹配到的流量一旦创建了会话，后续报文会直接命中会话转发。如果出口1链路闪断后立即恢复，流量可能恢复；但如果链路长时间中断，会话老化后新流量将因PBR失效而无法上网（符合你的预期）。

4. 检查配置：配置完成后，可以通过以下命令验证：

   display policy-based-route # 查看策略路由整体配置

   display policy-based-route interface Vlan-interface 100 # 查看接口下策略是否生效及统计信息
5. 配置保存：
   1. save force