#2022争霸赛*干货满满#AF8059版本路由优先级问题导致DMZ无法访问

项目背景:

       某个项目中需要使用AF替换客户原有topsec防火墙，和客户了解具体需求和现有网络结构，现有网络是由防火墙做SNAT代理用户上网，dmz区使用端口映射方式提供外网服务。

       设备版本:AF 8.0.59版本。

网络拓扑：

实施过程：

       网络结构和需求都比较明确，根据规划配置好相应的内外网线路ip、静态路由、出外网策略路由、nat、安全防护策略等配置好即可。唯一需要注意就是原有设备的配置翻译到现有设备，以及配置不要遗漏，歘歘歘一顿操作猛如虎，检查没有问题后协商客户进行割接。上线之后检查互联接口正常，客户端能正常上网，外网的端口映射也正常访问，接下来测试内网到dmz区服务器的访问，浏览器输入对应地址后提示网络无法访问。。。。，Duang，老司机翻车了。

       接下来检查网络配置、安全策略，开启直通没有拦截。终端开启路由追踪大法 tracert -d 查看路由走向，发现路由到AF后直接转到公网去了，路由没有走到DMZ区，正常情况应该是到AF后再转DMZ路由。肯定是某个路由策略导致，咨询小伙伴，得到结果是59版本策略路由优先级最高。调整后到DMZ区路由恢复正常。配置位置如下图，把静态路由优先级调整到比策略路由高即可。

总结：

新架构版本如果有配置策略路由和多区域的情况，需要调整路由优先级。

以下是引用AF不同版本路由优先级的描述

截止标准版本AF8.0.48，AF路由默认的优先级是：【直连路由】>【VPN路由】>【静态路由/动态路由】>【策略路由】>【默认路由】

从标准版本AF8.0.51版本开始，AF路由默认的优先级是：【直连路由】>【策略路由】>【VPN路由】>【静态路由/动态路由】>【默认路由】

另外：新架构版本AF8.0.51开始支持自定义路由优先级

修改路径如下： 【系统】-【通用设置】-【网络参数】里的路由优先级设置里自定

感谢楼主分享！文章介绍了AF替换第三方防火墙出现的一起单点排障案例。很实用，期待楼主带来更多有价值的案例分享

每天学习一点，每天进步一点。

坚持每天学习，每天都有收获

图文并茂  感谢楼主无私奉献

楼主的文章图文并茂，清晰易懂，看完这波操作可以轻松上手了，如遇到问题再向楼主请教~

感谢分享

楼主的文章图文并茂，清晰易懂，看完这波操作可以轻松上手了，如遇到问题再向楼主请教~