H3C-S7706X策略路由问题记录（s7706 策略路由）

H3C-S7706X策略路由问题记录（s7706 策略路由）

说明：

两台防火墙分别配置联通和电信两个出口，因为某些原因在H3C的核心交换机上配置了策略路由具体策略不必详细说明

现在公司内网部署一台硬件VPN设备，这台设备和其他地方启用IPSec，问题在于路由的配置上，正常来讲按照原来的配置依旧把原来的流量指向防火墙去转一圈在回来就行了

但是，防火墙要更换，并且配置也要调整，所以一直在倒腾三层的策略路由。最开始的是添加ipsec对面的ip作为目标地址，吓一跳指向新的vpn设备作为网关

重点来了，ipsec状态正常了，可以从对面的ipsec网络ping通H3c这边，H3c这边一直ping不过去，后来发现是因为之前策略的原因数据包出去和返回的响应走了不同的路径

解决方法是配置一条相关的策略路由，但是配置里不写吓一跳地址，据说是这样可以走默认路由（或者说数据到了H3c后，不会被转发出去，而是优先找到内网的直连网络），我个人觉得这条配置是让从H3c出去的数据，在返回响应时，可以根据出去的路径，直接返回。这样H3C出去ipsec的流量可以原路返回。

配置：

#

policy-based-route liantong permit node 145

if-match acl 3298

apply next-hop 192.168.100.1

#

policy-based-route liantong permit node 140

if-match acl 3271

apply next-hop 192.168.100.1

policy-based-route liantong permit node 141

if-match acl 3272

policy-based-route liantong permit node 150

if-match acl 3299

apply next-hop 192.168.100.1

interface Vlan-interface41

ip address 192.168.41.254 255.255.255.0

ip policy-based-route liantong

#

interface Vlan-interface50

ip address 192.168.50.254 255.255.255.0

ip policy-based-route liantong

#

interface Vlan-interface51

ip address 192.168.51.254 255.255.255.0

ip policy-based-route liantong

#

interface Vlan-interface60

ip address 192.168.60.254 255.255.255.0

ip policy-based-route liantong

acl number 3271

rule 145 permit ip destination 10.28.8.0 0.0.7.255

acl number 3272

rule 145 permit ip source 10.28.8.0 0.0.7.255

acl number 3298

rule 145 permit ip destination 10.10.0.0 0.0.0.255

rule 146 permit ip destination 192.168.25.0 0.0.0.255

rule 152 permit ip destination 10.25.0.0 0.0.255.255

rule 158 permit ip destination 192.168.61.10 0

rule 159 permit ip destination 192.168.66.6 0

rule 168 permit ip destination 192.168.71.0 0.0.0.255

#

acl number 3299

rule 150 permit ip source 10.10.0.0 0.0.0.255

rule 151 permit ip source 192.168.25.0 0.0.0.255

rule 152 permit ip source 192.168.60.0 0.0.0.255

rule 153 permit ip source 192.168.30.21 0

rule 163 permit ip source 192.168.11.229 0

rule 164 permit ip source 192.168.71.0 0.0.0.255

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。