H3C策略路由删除if-match语句，默认是全匹配！

公司园区出口网络架构原先有两条出口，一条是联通线路，一条是电信线路，通过acl匹配数据流，然后使用策略路由进行外网流量分流，这是访问外网的策略。

公司与总部之间内部访问采用的是Ipsec VPN模式,然后我们使用的业务系统大多都和总部公用，包括但不限于OA、ERP、企业邮箱等，并且ipsec VPN流量也使用策略路由进行出口分流操作，这是控制IPsec VPN访问的策略。

现如今由于公司员工反应OA访问缓慢，于是申请了一条内部数据专线专门用来访问OA使用，于是在移动人员在机房安装了专线的光猫，两端在测试连通性没有问题后，我在防火墙上使用ACL将OA的地址匹配，然后将策略路由将优先级放在第一位。

[XX-FXXX-XX-XX]dis ip policy-based-route  

Policy name: PBR

 node 5 permit:

   if-match acl 360X   \\匹配OA的流量

   apply next-hop 10.0.XXX.X   \\专线下一跳地址

   apply output-interface GigabitEthernet1/0/X  

 node 10 permit:

   if-match acl 36XX

   apply next-hop 2XX.1XX.XXX.XX direct track 120

 node 15 permit:

   if-match acl 3XXX

   apply next-hop 2XX.XX.2XX.1XX direct track 100

 node 20 permit:

   if-match acl 35XX

   apply next-hop 2XX.XX.2XX.1XX direct track 100

在测试的过程中发现，如果将node5中的if-match语句删掉，那么默认数据就会全匹配，所有链路都会从内部数据专线跑到总部公司，总部公司没有我这边的路由，我这边于是就会断网，后来回滚操作，发现了这个原因，切记，一定不能删掉if-match，就执行策略路由。