F100做策略路由

1. 检查安全域间策略（最常见原因）

• 排查点：确认是否已配置从源安全域到目的安全域的放行策略。例如，内网访问外网需要放行 Trust -> Untrust，反之亦然。
• 验证命令：使用 display zone-pair security 查看策略对状态是否为 enable，以及关联的 ACL 规则是否正确放行了对应网段的 IP 互访。

2. 检查回程路由与基础连通性

• 排查点：确保防火墙的路由表中存在指向该内网网段的路由；同时，核心交换机也需要有指向防火墙内网接口的回程路由。
• 验证命令：执行 ping -a <防火墙内网IP> <目标网段测试IP>，验证下一跳和基础网络的可达性。

3. 检查策略路由的绑定方向与节点优先级

• 入接口绑定：策略路由必须应用在流量的入接口（通常是连接内网的 VLANIF 或物理口），且要在入方向（inbound）生效。
• 节点顺序：如果您的策略路由包含多个节点（Node），系统会按节点号从小到大依次匹配。请确保您期望优先执行的节点编号较小，避免被其他宽泛的规则提前拦截。

4. 检查 ACL 规则的精确度

• 排查点：仔细核对 ACL 中的通配符掩码（Wildcard Mask）是否配置正确。常见的错误是将子网掩码直接当成了反向掩码（例如把 0.0.0.255 误写为 0.0.0.0 或 255.255.255.0），这会导致匹配失效。
• 验证命令：使用 display acl [acl-number] 查看规则明细及命中计数（Matched count），确认是否有流量命中了该条规则。

5. 检查下一跳地址的有效性

• 排查点：在策略路由中指定的下一跳（Next-hop）必须是直连且路由可达的。如果下一跳不可达，流量将被丢弃。
• 验证命令：通过 display arp 查看下一跳 MAC 地址是否解析成功，或直接 Ping 测试下一跳网关。

最后调用在内网接口下

一、先回答配置逻辑
ACL 匹配流量 + 策略路由 + 接口下发 这套思路本身没问题，是 H3C F1000（V7）防火墙标准策略路由配置逻辑。
结合你现象：ACL 网段本身互通，但应用策略路由后流量不生效 / 转发异常，按顺序排查 + 修正配置。
环境说明：默认基于 Comware V7 F1000 系列防火墙（主流版本）
二、标准正确配置模板（对照自查）
1. 基础 ACL（匹配需要做策略路由的内网流量）
cli
# 定义ACL，匹配源网段（策略路由只匹配源）
acl number 3000
rule permit ip source 192.168.1.0 0.0.0.255 # 你的业务网段
2. 策略路由节点（定义转发动作）
cli
policy-based-route PBR_IN permit node 10
if-match acl 3000 # 绑定ACL
apply next-hop 10.0.0.2 # 指定下一跳（核心！策略路由转发目标）
# apply output-interface GigabitEthernet1/0/1 # 也可指定出接口
3. 接口下发（关键：内网入接口 调用策略路由）
cli
interface GigabitEthernet1/0/0 # 内网口，流量从此进入防火墙
ip policy-based-route PBR_IN
三、核心排查点（按优先级，从上到下）
1. 下发接口是否搞反（最高发问题）
F1000 V7 策略路由规则：
✅ 必须在【流量入接口】应用 ip policy-based-route（内网口）
❌ 不能配在出接口、外网口，配了完全不生效
举例：
终端 → 内网口 G1/0/0 → 防火墙 → 外网
只能在 G1/0/0 下调用策略路由。
2. ACL 规则是否精准、是否被其他规则命中
查看 ACL 命中计数，判断流量有没有被匹配：
cli
display acl 3000
规则计数 = 0：流量根本没进到这条 ACL → 检查网段、反掩码、是否有上游 ACL / 安全策略拦截；
规则计数 > 0：流量已匹配 ACL，问题出在策略路由转发动作。
排查 ACL 细节：
反掩码书写是否正确（别写成子网掩码）；
是否有优先级更高的 ACL 节点拒绝流量；
策略路由 ACL 建议用 高级 ACL (3000~3999)，不要用基本 ACL。
3. 策略路由转发动作有效性（下一跳 / 出接口）
流量匹配 ACL 后，执行apply动作，这一步最容易断网：
下一跳可达性
在防火墙本身 ping 策略路由指定的下一跳 IP：
cli
ping 10.0.0.2
不通：路由缺失、二层不通、对方拦截，策略路由自然失效；
通：继续往下查。
出接口与下一跳选型建议
静态固定链路：优先 apply next-hop；
拨号 / 动态地址链路：用 apply output-interface；
二选一即可，不要同时配置。
下一跳必须和防火墙同直连网段，不能跨三层远端地址。
4. 安全策略放行（防火墙独有必查项）
防火墙和纯路由器不同：策略路由只是改转发路径，流量还必须被安全策略允许。
源域：Trust（内网）
目的域：根据下一跳所属域（Untrust / 其他域）
动作：permit
如果安全策略拒绝流量，哪怕策略路由正常，也无法转发。
cli
display security-policy rule all | include 源网段
5. 路由表冲突（策略路由 vs 静态 / 默认路由）
策略路由 优先级高于普通路由，但存在两种冲突场景：
策略路由下一跳，和防火墙原有路由指向不一致；
存在等价路由、明细路由抢占。
查看路由表：
cli
display ip routing-table
确认：策略路由指定的下一跳路由存在，无路由黑洞。
6. 策略路由节点顺序、状态
多节点场景：靠前节点优先匹配，检查是否被上一条 node 拦截；
查看策略路由统计：
cli
display policy-based-route
查看对应节点的报文计数，确认流量是否命中策略路由。
7. 特殊场景：NAT 与 策略路由 先后顺序
F1000 V7 处理顺序：
入接口策略路由 → 安全策略 → NAT
若需要对策略路由的流量做源 NAT：正常配置 NAT 即可；
若先做 NAT 再做策略路由：配置逻辑会错乱，调整组网。
8. VLAN 接口 / 聚合接口场景
如果内网是 Vlan-interface、Aggregation 聚合口：
策略路由必须配置在 三层逻辑接口 下，不能配在物理二层接口。
四、常见错误汇总 & 修正
错误 1：策略路由配在外网出接口
修正：移到内网入接口。
错误 2：ACL 反掩码写错、网段范围不对
修正：核对 source 网段 反掩码，查看 ACL 命中数。
错误 3：只配策略路由，未放通安全策略
修正：新增域间安全策略允许对应流量。
错误 4：下一跳 IP 不可达
修正：保证防火墙直连可达，补全路由。
错误 5：基本 ACL (2000) 混用、规则顺序混乱
修正：策略路由统一使用 3000+ 高级 ACL。
五、快速排错命令组合（直接逐条执行）
cli
# 1. 查看ACL是否命中流量
display acl 3000

# 2. 查看策略路由统计
display policy-based-route

# 3. 测试下一跳连通性
ping 下一跳IP

# 4. 查看路由表
display ip routing-table

# 5. 检查接口是否应用策略路由
display current-configuration interface 内网接口名

# 6. 检查安全策略
display security-policy rule all
六、补充：回流 / 往返不对称问题
策略路由只控制出站流量，如果业务访问异常卡顿、丢包，还要检查：
回程流量是否原路返回，避免来回路径不一致导致会话表异常，必要时对回程流量也做对应路由规划。

你是不是想表达，没有配置策略路由之前，我内网网段之间是互通的，但是配置了策略路由之后，内网网段却不通了？