場景：client訪問webserver時，前往webserver的流量走路由器直接到達webserver，返回的流量先到達路由器，然後通過策略路由，將webserver回應給客戶端的流量重定向給防火墻，然後從防火墻再到路由器，最後到達

路由器所有接口的地址均為254。

路由器策略路由配置：

acl number 3000

rule 5 permit icmp destination 192.168.0.0 0.0.0.255

rule 10 permit tcp destination 192.168.0.0 0.0.0.255

rule 15 permit ip destination 192.168.0.0 0.0.0.255

policy-based-route aa permit node 10

if-match acl 3000

apply ip-address next-hop 172.16.1.1

interface GigabitEthernet0/0/1

ip address 172.16.0.254 255.255.255.0

ip policy-based-route aa

防火墻配置：

interface GigabitEthernet0/0/1

ip address 172.16.1.1 255.255.255.0

interface GigabitEthernet0/0/3

ip address 172.16.2.1 255.255.255.0

firewall zone trust

add interface GigabitEthernet0/0/3

firewall zone untrust

add interface GigabitEthernet0/0/1

配置untrust到達

policy interzone trust untrust inbound

policy 1

action permit

policy service service-set tcp

policy destination 192.168.0.0 mask 255.255.255.0

配置到達client的路由

ip route-static 192.168.0.0 255.255.255.0 172.16.2.254

測試，當鏈路狀態檢測功能開啟狀態時，用client訪問webserver，流量無法返回

關閉防火墻鏈路狀態檢測

undo firewall session link-state check

再次測試

[SRG]display firewall session table verbose

15:40:16 2017/11/15

Current Total Sessions : 2

tcp VPN:public --> public

Zone: untrust--> trust TTL: 00:00:10 Left: 00:00:02

Interface: GigabitEthernet0/0/3 NextHop: 172.16.2.254 MAC: 54-89-98-fe-41-5f

<--packets:0 bytes:0 -->packets:4 bytes:465

172.16.0.1:80-->192.168.0.1:2071

tcp VPN:public --> public

Zone: untrust--> trust TTL: 00:10:00 Left: 00:09:52

Interface: GigabitEthernet0/0/3 NextHop: 172.16.2.254 MAC: 54-89-98-fe-41-5f

<--packets:0 bytes:0 -->packets:3 bytes:425

172.16.0.1:80-->192.168.0.1:2072

總結：

協議 開啟狀態檢測功能 關閉狀態檢測功能

TCP SYN報文 創建會話，轉發報文 創建會話，轉發報文

SYN+ACK，ACK報文 不創建會話，丟棄報文 不創建會話，丟棄報文

UDP 創建會話，轉發報文 創建會話，轉發報文

ping回顯請求報文 創建會話，轉發報文 創建會話，轉發報文

ICMP ping回顯應答報文 不創建會話，丟棄報文 創建會話，轉發報文

其他ICMP報文 不創建會話，丟棄報文 不創建會話，丟棄報文

本文出自 “1443735” 博客，請務必保留此出處http://1453735.blog.51cto.com/1443735/1983425

華為防火墻鏈路狀態檢測功能實驗