核心交换机全局引流到旁挂防火墙上引起路由环路的故障

客户现场S12700E-8两台做集群用于做内网核心交换机。旁挂USG6625F两台（主备HA），用于对内网之间的互访流量做访问控制。由于核心交换机上网络段较多，在每个接口下调用流策略较为麻烦。客户要求在交换机全局下做内网流量的引流。

简化后拓扑如下。

先行使用自己的电脑匹配流量进行测试。

1. 配置ACL，匹配PC访问SERVER的流量。

acl number 3035
description TEST_redirect_to_firewall
rule 30 permit ip source 10.7.0.85 0 destination 10.5.55.50 0
rule 35 permit icmp source 10.7.0.85 0 destination 10.5.55.50 0

2. 配置流分类。

traffic classifier tofirewall operator or
if-match acl 3035

3. 配置流行为

traffic behavior tofirewall
redirect ip-nexthop 10.0.10.44

4. 配置流策略

traffic policy tofirewall match-order config
classifier tofirewall behavior tofirewall

5. 在全局下调用流策略

traffic-policy tofirewall global inbound

------------------------------------------------

经过以上测试后，在电脑上tracert 测试发现。路由环路。流量的路径为：PC-->SW-->FW-->SW-->FW-->........

在用户网络段的VLANIF接口内的inbound方向上调用，此时路由不环路。但无法达到用户要求。此方法不可用。

在核心交换机与防火墙连接的第二个接口（即，防火墙回流到核心交换机的接口：10.0.10.49所在接口）的inbound方向上，调用traffic-filter命令，匹配流策略所引用的ACL，此时流量正常。

interface Vlanif778
ip address 10.0.10.49 255.255.255.248
traffic-filter inbound acl 3035

出现该情况的原因为，PC的流量到达核心交换机后，由于全局调用流策略，将该流量转发到防火墙，防火墙上默认路由指向10.0.10.49，流量返回核心交换机，而流量返回到交换机上后，由于全局调用的流策略再次生效，流量再次转发到防火墙，反复如此进行，导致路由环路。

在核心交换机与防火墙连接的第二个接口（即，防火墙回流到核心交换机的接口：10.0.10.49所在接口）的inbound方向上，调用traffic-filter命令，匹配流策略所引用的ACL。

由于traffic-filter的优先级要高于traffic-policy，因此，在流量回来的接口上调用traffic-filter后，流量不再收到traffic-policy的管控，可正常转发。

• 当一个流策略在多个视图下应用时：高优先级视图下的流策略生效。视图的生效优先级从高到低为：VLANIF接口视图 > WLAN-ESS接口视图/SSID模板视图 > 物理接口子接口视图/Eth-Trunk子接口视图 > 物理接口视图/Eth-Trunk接口视图/端口组视图 > VLAN视图 > 全局视图。
• 匹配同一个ACL的MQC流策略和基于ACL的简化流策略应用到同一对象时，基于ACL的简化流策略优先生效。

（详见交换机产品文档：QoS配置-->MQC配置-->MQC配置注意事项）