В общем спустя много времени пришлось мне таки вернуться к этому вопросу.
На случай, если кто-нибудь столкнется с подобной проблемой:
policy-based-route test-pbr-new permit node 1
if-match acl 3003
policy-based-route test-pbr-new permit node 2
if-match acl 3002
apply ip-address next-hop 10.10.253.2
Сам PBR составлен верно. Проблема оказалась в ACL-ах.
Во-первых:
Comware в PBR попросту игнорирует permit и deny внутри самого ACL.
Во-вторых:
Экспериментально было выяснено, что ситуация, когда ACL фигурирует в нескольких нодах PBR обрабатывается корректно только в том случаи, если ACL-ы во всех нодах кроме последней имеют и source и destination. В противном случаи обработка не прекращается при срабатывании ACL-а.
В-третьих:
Также экспериментально выявлено, что при указании в ACL-е в качестве единственного source подсети совпадающей с подсетью данного интерфейса при обработке политики все ноды содержащие ACL с destination просто игнорируются.
Т.о.
Для реализации обозначенного выше сценария ACL-и должны быть
Advanced ACL 3002, named -none-, 2 rules,
ACL's step is 5
rule 10 permit ip source 10.10.254.0 0.0.0.255 destination 10.10.0.0 0.0.255.255 (72 times matched)
rule 20 permit ip source 10.10.254.0 0.0.0.255 destination 192.168.0.0 0.0.255.255
Advanced ACL 3003, named -none-, 1 rule,
ACL's step is 5
rule 10 permit ip source 10.10.254.0 0.0.0.127 (6 times matched)
А если нужно завернуть всю подсеть, то во второй ноде PBR просто не нужно указывать ACL вообще.
