路由器MSR3620 策略路由不生效

不能上网的话，把策略路由取消应用看看。

怀疑时nat那里没有设置源地址

1. 核心排查：下一跳的可达性与回程路由

• 下一跳是否直连可达：请确认路由器去往 10.99.5.137 的路由是直连路由。如果该地址不是 GE2/0/0 所在网段的对端网关，设备将无法解析下一跳，导致 PBR 执行失败并回退到默认路由表转发。您可以在设备上执行 ping 10.99.5.137 验证连通性。
• 运营商侧的回程路由：即使去程流量成功从 GE2/0/0 发出，如果对端的运营商路由器没有配置指向您这边 10.99.5.138 的回程路由，数据包也会在半路被丢弃。建议使用 tracert 命令追踪外部公网 IP，观察第一跳是否为 10.99.5.137，以及后续节点是否正常。

2. 检查 ACL 匹配范围与命中计数

• 源 IP 覆盖范围：请核实实际测试终端的 IP 是否确实在 192.168.134.0/24 范围内。如果终端 IP 不在该掩码覆盖下，策略将直接匹配失效。
• 查看命中计数：在测试终端发起上网请求时，多次执行 display acl 3151，观察 rule 10 的 Matches（命中次数）是否在增加。如果计数为 0，说明流量根本没有进入 RAGG2 接口，或者在进入前就被其他安全策略拦截了。

3. 防火墙与安全策略拦截

• 区域间策略（Zone Policy）：MSR3620 可能启用了安全区域。当流量通过 PBR 强制从 GE2/0/0 转发时，系统会检查从内网区域（如 Trust）到外网区域（如 Untrust/GE2对应区域）的访问控制策略。如果该方向未放行 ICMP 及业务端口，流量会被静默丢弃。
• NAT 转换问题：确认 NAT 规则是否涵盖了 192.168.134.0 网段。如果 NAT 策略仅允许部分网段进行地址转换，那么即使 PBR 将流量导向了正确的出口，报文在出接口也会因为找不到匹配的 NAT 规则而被丢弃。

4. 进阶诊断手段

• 开启调试日志：在设备上开启策略路由的调试功能（如 debugging ip policy），观察报文匹配 PBR 的过程，确认是匹配失败还是 apply next-hop 执行失败。
• 抓包分析：在 GE2/0/0 接口上抓取经过的数据包，对比报文的源 IP、目的 IP 以及 MAC 地址。这能直观地验证流量是否真的按照设定的下一跳进行了转发。

MSR3620 策略路由不生效完整排错（192.168.134.0 走 GE2/0/0 出口）
一、先梳理现有配置问题点
1. 核心致命问题：192.168.134.0 网段不在 RAGG2 接口
你把策略路由 ip policy-based-route aaa 绑定在 RAGG2（192.168.128.1/27），
策略路由仅对从本接口入站的流量生效。
如果 192.168.134.0 不是从 RAGG2 进路由器，这条策略完全不会匹配、不会执行。
2. 次要点：下一跳正确性校验
GE2/0/0 地址：10.99.5.138/30
该网段可用地址：
网络地址：10.99.5.136，网关对端下一跳应为 10.99.5.137，下一跳配置apply next-hop 10.99.5.137 本身 IP 是正确的。
3. 其他潜在隐患
策略路由 node 20 无优先级兜底，无默认动作；
出口 GE2/0/0 是否配置 NAT，134 网段未做 NAT 则无法上网；
对端下一跳 10.99.5.137 是否可达、是否有 ARP；
全局静态默认路由指向 GE1/0/0，策略路由匹配失败才会走默认出口。
二、分步排查 & 修复方案
步骤 1：确认 192.168.134.0 从哪个接口进路由器
bash
运行
# 在路由器上追踪134网段流量，确认入接口
display ip routing-table 192.168.134.0
若 134 网段从其他 VLAN / 其他物理口接入：必须把策略路由绑定到对应入接口，只绑 RAGG2 没用。
若 134 网段三层路由下一跳指向 RAGG2（192.168.128.1）：
内网三层转发跨接口，接口策略路由不生效，需要改用全局策略路由。
关键知识点区分：
接口策略路由：只处理从该接口收到的原始报文；
全局策略路由：所有经过路由器转发的流量都匹配，跨三层网段推荐用全局模式。
步骤 2：推荐改成【全局策略路由】适配跨网段场景（根治当前问题）
1）删除接口上绑定的策略路由
bash
运行
interface Route-Aggregation2
undo ip policy-based-route aaa
2）配置全局策略路由（全局转发所有流量优先匹配）
bash
运行
ip policy-based-route aaa global
3）完整策略路由优化（补充兜底 node）
bash
运行
ip policy-based-route aaa permit node 20
if-match acl 3151
apply next-hop 10.99.5.137
# 兜底node，不匹配134网段走默认路由GE1/0/0
ip policy-based-route aaa permit node 100
步骤 3：校验出口 GE2/0/0 NAT 配置（最容易忽略，匹配路由也上不了网）
策略路由只改变转发下一跳，不会自动做源 NAT，必须在 GE2/0/0 出口配置 NAT 允许 192.168.134.0 转换公网地址。
bash
运行
# 查看GE2/0/0 NAT配置
display current-configuration interface GigabitEthernet 2/0/0
若无 NAT，新增 ACL 和 nat outbound：
bash
运行
acl number 3002
rule permit source 192.168.134.0 0.0.0.255
rule permit source 192.168.128.0 0.0.0.31

interface GigabitEthernet 2/0/0
nat outbound 3002
同理 GE1/0/0 也要配置对应内网 NAT。
步骤 4：校验下一跳可达性
bash
运行
# 查看GE2/0/0下一跳ARP
display arp | include 10.99.5.137
# 直连ping下一跳
ping 10.99.5.137
不通：检查运营商线路、对端设备是否放通互联网段。
步骤 5：策略路由匹配计数验证（判断是否命中）
测试 192.168.134.x 访问外网后执行：
bash
运行
display ip policy-based-route statistics
node 20 数据包计数上涨：策略路由已正常匹配，问题出在出口 NAT / 运营商线路；
node 20 计数始终为 0：流量没匹配策略，要么入接口绑定错误，要么 ACL 网段写错。
三、ACL 3151 校验
bash
运行
acl number 3151
rule 10 permit ip source 192.168.134.0 0.0.0.255
掩码反掩码 0.0.0.255 正确，网段无问题。
四、完整修正后标准配置汇总
bash
运行
# 1. ACL匹配134网段
acl number 3151
rule 10 permit ip source 192.168.134.0 0.0.0.255

# 2. 策略路由
ip policy-based-route aaa permit node 20
if-match acl 3151
apply next-hop 10.99.5.137
ip policy-based-route aaa permit node 100

# 3. 全局绑定（关键，替代接口绑定）
ip policy-based-route aaa global

# 4. 移除RAGG2接口上的策略路由绑定
interface Route-Aggregation2
undo ip policy-based-route aaa
ip address 192.168.128.1 255.255.255.224

# 5. GE2/0/0出口NAT（必须配置）
acl number 3002
rule permit source 192.168.134.0 0.0.0.255
rule permit source 192.168.128.0 0.0.0.31
interface GigabitEthernet 2/0/0
ip address 10.99.5.138 255.255.255.252
nat outbound 3002
五、快速定位故障顺序
把接口策略路由改为全局策略路由（解决跨三层网段不匹配问题）
查看display ip policy-based-route statistics看是否有匹配计数
计数有增长但无法上网 → 检查 GE2/0/0 NAT、ping 下一跳 10.99.5.137
计数 0 → 134 网段流量没有进入策略路由匹配范围，核对内网路由入接口

可能是bug，删除了未被使用的acl 3150，策略路由正常了