華爲防火牆實現多線路智能選路

分公司因項目須要，上線一臺華爲的防火牆，爲了保障互聯網出口的可用性，使用了兩條SP鏈路，一條聯通50M企業專線，一條電信200M撥號鏈路。項目的需求是：

1. 鏈接到總部的×××流量，優先使用聯通線路；

2. 用戶上網的流量，優先使用電信線路；

3. 當一條公網鏈路出現故障時，能自動進行切換。

需求出來後，就須要進行實施了，怎麼實現需求呢：

1. 需置兩條鏈路都要能上網

2. 配置健康狀態檢查，當檢測到一條鏈路斷開，就不會使用這條鏈路轉發流量

3. 作策略路由，使用根據鏈路優先級主備模式的數據轉發模式

接口配置：g1/0/0 聯通專線，靜態公網IP，另外配置了一個地址池；      g1/0/1，電信撥號鏈路，使用Easy IP的NAT方式；       g1/0/2，內網接口

安全區域：g1/0/0和g1/0/1都配置在untrust區域，LAN口配置在Trust區域

1、 配置上網，包括安全策略、NAT策略和默認路由

1. 接口配置：配置公網接口和內網接口的IP地址及選擇相應的健康狀態檢查，第一步須要注意的就是，對上行的公網接口，須要選定健康狀態檢查的選項。

g1/0/0

g1/0/1

2. 安全策略：對於從untrust到trust的全部流量，動做爲permit。

3. NAT策略，須要兩條

A. 一條是出接口爲聯通的，轉換爲addressgroup1中的地址。這個地址，在WEB界面，我只發現了在選擇地址池那裏新建，沒有看到別的位置。命令行能夠進行配置

nat address-group addressgroup1 0
  mode pat
  route enable
  section 0 58.241.X.X 58.241.X.X

3. 默認路由和回包路由

寫兩條默認路由，分別指向電信和聯通，因爲電信是PPPOE撥號的，因此直接寫成出接口Dialer0

2、 對上行的SP鏈路進行健康檢查

這一步，應該放到最前面，並在接口下進行引用

鏈路健康狀態的檢查，實際上就是FW使用公網接口，每隔指定的時間（5秒），對目的地址進行連通性測試，若是測試失敗，則認爲這條上行鏈路斷開，在使用策略路由後，會進行鏈路的切換

被測試的地址，若是你的鏈路是固定的公網IP，能夠指定爲網關，若是是撥號鏈路，能夠指定爲SP的一DNS地址。

3、配置策略路由，使用主備式的多出口方法，經過優先級來實現選路

因爲咱們的需求是將×××流量和普通上網流量進行區分，因此我這邊的多出口選項，選用的是根據鏈路優先級進行主備備份的方式轉發數據包。對於兩條SP鏈路，你想使用哪一條轉發，則將該接口的優先級調大。

1. ×××流量優先走聯通（因爲咱們使用的×××是單臂模式進行部署的，因此咱們的×××流量老是以×××設備爲源地址轉發到目的地址的。固然，這個流量也可使用目的IP爲對端的公網IP或者協議的端口號進行識別，此處須要瞭解IPSec  ×××的數據包封裝的知識）

2. 上網流量，優先走電信

接下來能夠進行測試了，在個人真實環境中，智能選路結果以下：

1. 對於上網的流量，丟包在0~2個，用戶基本無感知

2. 對於IPSec ×××的流量，因爲聯通鏈路中斷，會丟失×××鏈接，須要進行從新鏈接，斷網在20秒左右

這樣，就實現了咱們的高可用需求。任意一條公網鏈路down掉，都不會影響用戶使用網絡辦公。對於智能選路的方式，還有根據帶寬比例負載等，這些能夠根據你們的需求使用。

附華爲USG6000系列FW的手冊，更多內容能夠參考手冊。

https://support.huawei.com/hedex/hdx.do?docid=EDOC1100068395&lang=zh&idPath=7919710%7C9856724%7C21430823%7C21100508%7C8661805