H3C策略路由PBR实战排错手册流量路径异常的7种解法刚接手公司双线出口网络改造项目时我遇到个诡异现象明明按照文档配置了策略路由192.168.1.0/24的流量却总是不走电信出口。深夜的机房只剩交换机风扇声作伴console线连着设备反复检查配置——ACL规则没错、策略路由调用位置正确、下一跳地址也ping得通。直到第三杯咖啡下肚才发现是接口方向配置反了。这次经历让我意识到PBR的配置陷阱远比想象中多。1. 策略路由失效的典型症状诊断当PBR未按预期工作时首先需要确认故障现象。通过display ip policy-based-route查看策略命中次数是个好起点。上周某金融客户就遇到计数器始终为0的情况最终发现是ACL规则中的反掩码写成了标准子网掩码。常见异常表现包括流量完全不走策略路由计数器无增长部分流量走错出口如192.168.1.0/24走到联通线路策略时灵时不灵间歇性失效诊断TIP在测试阶段建议同时开启debugging ip policy-based-route和terminal monitor实时观察策略匹配情况2. ACL规则策略路由的第一道门槛ACL是PBR的流量筛选器也是最容易出错的环节。去年帮某高校排查问题时发现他们配置了这样的ACLacl number 2001 rule 5 permit source 192.168.1.0 0.0.0.255 rule 10 deny source any看似没问题但实际rule 10的deny动作导致非192.168.1.0的流量被丢弃。正确做法应该是acl number 2001 rule 5 permit source 192.168.1.0 0.0.0.255ACL配置要点对照表错误类型正确做法检测命令使用标准掩码改用反掩码display acl 2001缺少permit规则确保最后有permit anydisplay acl all规则顺序错误按优先级排序display acl 2001 verbose3. 接口方向被忽视的关键参数策略路由在接口上调用时方向(inbound/outbound)直接影响生效范围。某制造企业曾将PBR应用在出口方向的G0/1接口导致策略完全失效。正确的调用方式应该是interface GigabitEthernet0/0 ip policy-based-route pbr-name inbound方向选择黄金法则inbound对进入该接口的流量生效常用在内网接口outbound对从该接口转发的流量生效少用4. 路由优先级PBR与路由表的博弈当PBR与路由表冲突时默认情况下PBR优先级更高。但某些特殊场景需要注意如果PBR中配置apply next-hop的地址不可达流量会fallback到路由表通过ip local policy-based-route配置的本地策略路由优先级不同# 检查路由表与PBR的交互 display ip routing-table display ip policy-based-route statistics5. 下一跳可达性隐形杀手即使配置完全正确如果下一跳地址不可达PBR也会静默失败。建议在配置后立即执行ping -a 192.168.1.1 202.1.1.5 tracert 202.1.1.5某次数据中心迁移项目中就因为忘记配置互联接口的ARP导致策略失效。可以通过display arp快速验证。6. NAT与PBR的协同难题当PBR遇到NAT时处理顺序尤为关键。典型错误案例interface GigabitEthernet0/1 nat outbound 2000 ip policy-based-route pbr-name inbound正确的顺序应该是先执行策略路由再进行NAT转换interface GigabitEthernet0/1 ip policy-based-route pbr-name inbound nat outbound 20007. 硬件限制那些规格说明书没告诉你的事不同型号H3C设备对PBR的支持存在差异低端设备可能不支持基于接口的策略路由部分老款型对ACL规则数量有限制策略路由会消耗TCAM资源大规模部署前建议评估性能# 检查设备资源使用情况 display health display qos-acl resource记得有次在S6850交换机上配置PBR时就因TCAM资源不足导致部分策略未加载。通过display policy-based-route resource可以查看剩余资源。