深信服防火牆多線路負載致使財務網銀沒法使用的解決辦法

公司的外線有兩條，但願能實現公網和分公司的用戶能在一個SP故障時，還能訪問公司網絡，內網辦公用戶亦然。爲了更充分的利用網絡帶寬，發現深信服的FW可使用雙線策略。

新增多線路負載路由，默認的流量是這樣走的，根據兩個外網接口的帶寬進行負載，即用戶在上網時，本身的公網線路是不肯定的，一會是電信，一會多是聯通，對於 通常上網的用戶是沒有問題的。

 

改完沒兩天，財務的電話來了，告訴我網銀在使用時，總是提示IP地址變了，須要從新登陸，那麼是什麼問題致使的，如何解決呢？

出現問題的緣由：如上面說的，因爲用戶在上網辦公時，沒有固定本身的IP，因此網銀認爲不安全，須要其從新登陸。

解決：固定一條線路，作一條策略路由，讓財務部的用戶固定走電信，這樣就不會提示了。

後來，發現當電信的鏈路斷開後，財務部就會不能上網，須要手動切換策略路由的出接口，有什麼 好辦法沒有呢？

我發現能夠建立一條基於多線路負載的策略路由，即主備式的，優先使用一條鏈路，當主鏈路斷開，則使用備用鏈路（接口選擇的策略是優先使用前面的鏈路）。具體作法以下圖：