1681917297,CRM论坛（CRMbbs.com）——一个让用户更懂CRM的垂直性行业内容平台,CRM论坛致力于互联网、客户管理、销售管理、SCRM私域流量内容输出5年。 如果您有好的内容，欢迎向我们投稿，共建CRM多元化生态体系，创建CRM客户管理一体化生态解决方案。内容来源：知了社区

问题描述：

求助！！！！！！！！！！！！！！！！！！

做完策略路由后，内网互访不通

核心

vlan10，vlan30

双出口

172.16.0.1和172.16.0.11

默认路由从172.16.0.1出外网

座策略路由，vlan30从172.16.0.11出外网

vlan10终端可以ping通vlan30的IP

vlan30终端ping不通vlan10的IP

组网及组网描述：

# 

acl number 3000 

 rule 0 permit ip source 192.168.30.0 0.0.0.255 

# 

acl number 3001 

 rule 0 permit ip source 192.168.30.0 0.0.0.255 destination 192.168.10.0 0.0.0.255 

 # 

policy-based-route server permit node 10 

 if-match acl 3001 

# policy-based-route server permit node

 if-match acl 3000 

 apply next-hop 172.16.0.11 

#

interface Vlan-interface30 

 ip address 192.168.30.1 255.255.255.0 

 ip policy-based-route server 

7小时前提问

当vlan30终端向vlan10终端发起ping请求时，数据包会先通过策略路由被转发到172.16.0.11出口。但是，当vlan10终端回复数据包时，数据包会按照默认路由，从172.16.0.1出口发送出去。此时，由于没有对应的返回路由，所以数据包无法返回到vlan30终端，导致ping不通vlan10的IP。 您可以在核心交换机上添加一个静态路由，将vlan10的子网(192.168.10.0/24)指向172.16.0.1出口。命令如下 ip route-static 192.168.10.0 255.255.255.0 172.16.0.1 再加上楼上大佬的ACL加一条允许策略，应该没问题了

6小时前回答

暂无

终端关闭一下防火墙

7小时前回答

暂无

流统看下报文丢哪里了啊，有没有转发到正确的设备上

7小时前回答

暂无

acl 3001再加一个permit

 rule 0 permit ip source 192.168.30.0 0.0.0.255 destination 192.168.10.0 0.0.0.255 

 rule 1 permit ip source 192.168.10.0 0.0.0.255 destination 192.168.30.0 0.0.0.255 

7小时前回答

暂无

你正在,三层策略路由，内网PING不通