h3c 5100 + h3c er5200

看了你的描述、

問題現象是內網 vlan 110 的地址段匹配策略路由後、訪問外網正常，內網互訪不通是吧？

--

原因是：

策略路由優先級別高於靜態路由（直連路由）；vlan110 的數據進入交換機，因為你配置的是基於源地址的策略路由、會直接匹配將數據包 扔到 下一跳 8.1轉發、而不會匹配直連路由進行內網轉發 ；

解決這個問題很簡單；

在配置策略路由時候、先配置一個節點 優先匹配 內網互訪的地址段、不設置apply動作，

（如果不設置動作，則匹配到的數據轉發時根據路由表來進行轉，且不再匹配下一節點，配置這個節點的作用是實現內網不同網段之間互訪的流量不匹配策略路由，達到可以互訪的目的。）

ip route-static 192.168.110.0 24 192.168.8.1  你配置的這個靜態路由、、如果你是在交換機配置的、因為交換機是終端的網關、有直連路由存在、在你的路由表直連路由生效、這個在交換機配置沒有意義、這個應該在路由器配置作為回程的路由；

### **問題分析與解決方案**

#### **一、靜態路由 `<Inactive>` 的原因**
1. **下一跳不可達**
- 主交換機5100的默認路由指向 `192.168.7.1`（路由器1），而靜態路由 `ip route-static 192.168.110.0 24 192.168.8.1` 的下一跳是 `192.168.8.1`（路由器2）。
- **關鍵問題**：主交換機需要通過 `VLAN7` 的接口（`192.168.8.2`）與路由器2的接口（`192.168.8.1`）通信。若 `VLAN7` 的接口未正確配置或鏈路不通，會導致下一跳不可達。
- **驗證方法**：在主交換機上執行 `ping 192.168.8.1`，若不通則檢查物理鏈路、VLAN配置和接口IP。

2. **路由優先級衝突**
- 默認路由 `0.0.0.0/0` 的優先級可能覆蓋了 `192.168.110.0/24` 的靜態路由。
- **解決方法**：確認靜態路由優先級是否高於默認路由（華為設備默認靜態路由優先級為60，默認路由為60，需調整優先級）。

---

#### **二、策略路由導致內網不通的原因**
1. **策略路由覆蓋內網流量**
- ACL 3000 匹配所有來自 `192.168.110.0/24` 的流量（包括內網通信），強製其下一跳為 `192.168.8.1`。
- 若路由器2未配置回指其他內網VLAN的路由（如 `192.168.1.0/24`、`192.168.2.0/24` 等），會導致內網流量被丟棄。

2. **路由器2缺少回程路由**
- 路由器2需知道如何返回其他內網VLAN的流量。例如，若內網有 `192.168.1.0/24`、`192.168.2.0/24` 等子網，需在路由器2上添加靜態路由：
```plaintext
ip route-static 192.168.0.0 255.255.0.0 192.168.8.2 # 假設主交換機VLAN7接口IP為192.168.8.2
```

---

### **三、完整解決方案**
#### **步驟1：修複靜態路由 `<Inactive>` 問題**
1. **確認物理鏈路和VLAN配置**
- 檢查主交換機G24口是否加入 `VLAN7`，並配置IP `192.168.8.2`。
- 確認路由器2的接口IP為 `192.168.8.1`，子網掩碼一致（如 `/24`）。

2. **調整靜態路由優先級**
- 在靜態路由中指定更高優先級（更小數值），確保其優於默認路由：
```plaintext
ip route-static 192.168.110.0 255.255.255.0 192.168.8.1 preference 50
```

#### **步驟2：修複策略路由導致內網不通的問題**
1. **修改ACL，僅匹配外網流量**
- 調整ACL 3000，僅匹配目標為外網的流量（例如目標IP為公網地址）：
```plaintext
acl number 3000
rule 5 permit ip source 192.168.110.0 0.0.0.255 destination 0.0.0.0 0.0.0.0
quit
```
- **解釋**：僅將目標為外網（`0.0.0.0/0`）的流量引導至路由器2，內網流量仍按正常路由轉發。

2. **在路由器2上添加回程路由**
- 配置路由器2，使其能返回其他內網VLAN的流量：
```plaintext
ip route-static 192.168.0.0 255.255.0.0 192.168.8.2 # 覆蓋所有內網子網
```

3. **檢查防火牆/NAT配置**
- 確認路由器2的NAT和防火牆允許內網流量轉發。例如：
```plaintext
# 允許內網到內網的轉發（如需）
firewall packet-filter default permit
```

---

#### **步驟3：驗證配置**
1. **檢查路由表狀態**
- 在主交換機執行 `display ip routing-table`，確認 `192.168.110.0/24` 的靜態路由狀態為 `<Active>`。

2. **測試外網與內網連通性**
- 從VLAN110的客戶端訪問外網（如 `ping 8.8.8.8`）和其他內網VLAN（如 `ping 192.168.1.1`）。

---

### **四、最終配置示例**
```plaintext
# 主交換機5100配置
interface Vlan-interface7
ip address 192.168.8.2 255.255.255.0
#
ip route-static 0.0.0.0 0.0.0.0 192.168.7.1
ip route-static 192.168.110.0 255.255.255.0 192.168.8.1 preference 50 # 調整優先級
#
acl number 3000
rule 5 permit ip source 192.168.110.0 0.0.0.255 destination 0.0.0.0 0.0.0.0
#
policy-based-route PBR_VLAN110 permit node 10
if-match acl 3000
apply next-hop 192.168.8.1
#
interface Vlan-interface110
ip policy-based-route PBR_VLAN110
```

```plaintext
# 路由器2（ER5200）配置
interface GigabitEthernet0/0/1 # 連接主交換機的接口
ip address 192.168.8.1 255.255.255.0
#
ip route-static 192.168.0.0 255.255.0.0 192.168.8.2 # 回指所有內網子網
#
# 配置NAT和防火牆（示例）
acl number 2000
rule 5 permit source 192.168.110.0 0.0.0.255
#
interface GigabitEthernet0/0/0 # 外網接口
nat outbound 2000
```

---

### **五、總結**
- **靜態路由 `<Inactive>`**：因下一跳不可達或路由優先級衝突，需檢查鏈路和調整優先級。
- **策略路由導致內網不通**：因ACL匹配了全部流量，需限製僅匹配外網目標，並確保路由器2有回程路由。
- **最終效果**：VLAN110的外網流量通過路由器2，內網流量仍通過主交換機原有路由，實現負載均衡與故障隔離。