華為防火墻實現多線路智能選路

分公司因項目需要，上線一臺華為的防火墻，為了保障互聯網出口的可用性，使用了兩條SP鏈路，一條聯通50M企業專線，一條電信200M撥號鏈路。項目的需求是：

1. 連接到總部的×××流量，優先使用聯通線路；

2. 用戶上網的流量，優先使用電信線路；

3. 當一條公網鏈路出現故障時，能自動進行切換。

需求出來后，就需要進行實施了，怎么實現需求呢：

1. 需置兩條鏈路都要能上網

2. 配置健康狀態檢查，當檢測到一條鏈路斷開，就不會使用這條鏈路轉發流量

3. 做策略路由，使用根據鏈路優先級主備模式的數據轉發模式

接口配置：g1/0/0 聯通專線，靜態公網IP，另外配置了一個地址池；????? g1/0/1，電信撥號鏈路，使用Easy IP的NAT方式；?????? g1/0/2，內網接口

安全區域：g1/0/0和g1/0/1都配置在untrust區域，LAN口配置在Trust區域

一、 配置上網，包括安全策略、NAT策略和默認路由

1. 接口配置：配置公網接口和內網接口的IP地址及選擇相應的健康狀態檢查，第一步需要注意的就是，對上行的公網接口，需要選定健康狀態檢查的選項。

g1/0/0

g1/0/1

2. 安全策略：對于從untrust到trust的所有流量，動作為permit。

3. NAT策略，需要兩條

A. 一條是出接口為聯通的，轉換為addressgroup1中的地址。這個地址，在WEB界面，我只發現了在選擇地址池那里新建，沒有看到別的位置。命令行可以進行配置

nat address-group addressgroup1 0
? mode pat
? route enable
? section 0 58.241.X.X 58.241.X.X

3. 默認路由和回包路由

寫兩條默認路由，分別指向電信和聯通，由于電信是PPPOE撥號的，所以直接寫成出接口Dialer0

二、 對上行的SP鏈路進行健康檢查

這一步，應該放到最前面，并在接口下進行引用

鏈路健康狀態的檢查，實際上就是FW使用公網接口，每隔指定的時間（5秒），對目的地址進行連通性測試，如果測試失敗，則認為這條上行鏈路斷開，在使用策略路由后，會進行鏈路的切換

被測試的地址，如果你的鏈路是固定的公網IP，可以指定為網關，如果是撥號鏈路，可以指定為SP的一DNS地址。

三、配置策略路由，使用主備式的多出口方法，通過優先級來實現選路

由于我們的需求是將×××流量和普通上網流量進行區分，所以我這邊的多出口選項，選用的是根據鏈路優先級進行主備備份的方式轉發數據包。對于兩條SP鏈路，你想使用哪一條轉發，則將該接口的優先級調大。

1. ×××流量優先走聯通（由于我們使用的×××是單臂模式進行部署的，所以我們的×××流量總是以×××設備為源地址轉發到目的地址的。當然，這個流量也可以使用目的IP為對端的公網IP或者協議的端口號進行識別，此處需要了解IPSec? ×××的數據包封裝的知識）

2. 上網流量，優先走電信

接下來可以進行測試了，在我的真實環境中，智能選路結果如下：

1. 對于上網的流量，丟包在0~2個，用戶基本無感知

2. 對于IPSec ×××的流量，由于聯通鏈路中斷，會丟失×××連接，需要進行重新連接，斷網在20秒左右

這樣，就實現了我們的高可用需求。任意一條公網鏈路down掉，都不會影響用戶使用網絡辦公。對于智能選路的方式，還有根據帶寬比例負載等，這些可以根據大家的需求使用。

附華為USG6000系列FW的手冊，更多內容可以參考手冊。

https://support.huawei.com/hedex/hdx.do?docid=EDOC1100068395&lang=zh&idPath=7919710%7C9856724%7C21430823%7C21100508%7C8661805