公司动态

客户一台安恒防火墙，想通过策略路由实现链路的冗余。

即一条外网链路A故障后，自动切换到另一台链路B，不需要负载均衡，因为用户链路B只允许跑特定的业务流量，普通上网流量因为监管原因，尽量不走链路B。

链路A是PPPOE拔号上网，链路B是直接是专线光纤。

不像华为防火墙策略路由可以绑定iplink链路探测，安恒防火墙策略路由里面没有链路探测功能，反而静态路由里面有链路探测功能。

先说下华为防火墙如何实现的好与安恒做个对比。

华为：

默认路由：0.0.0.0 0 下一跳dialer

策略路由：1,源地址 - 目的地址特定的业务流地址 -下一跳 dialer 绑定 iplink

2,源地址-目的地址特定业务流地址-下一跳 某光口 无需绑定IPlink

策略路由的优先及是靠前的优先级高于后面的策略路由，所以当IPlink探测到dialer失效时，策略路由1就会失效，路由器就是选择策路由2转发特定的业务流量，普通上网流量因为dialer链路故障而不能转发。IPlink 绑定的是ICMP bing.com 出接口dialer。在安恒的防火墙静态路由绑定IPLINK探测有个有趣现像，安恒静态默认路由外网出接口故障，导致IPLINK探测失败，当出接口故障恢复时，因为我探测的是BING.COM,要存在默认路由才探测才会成功，可默认路由又绑定着探测，外网出接口恢复时，但默认路由因为绑定了IPLINK不会生效，因为此时IPlink探测是失败的，哎呀，头晕了。

接着说安恒的策略路由如何实现特定业务流量的冗余。

默认路由：0.0.0.0 0 下一跳dialer

策略路由：源地址-目的地址特定业流量- 下一跳1 dialer 权重200

下一点2 光口 权重200

源地址-目的DNS地址 下一跳1 dialer 权重200

下一跳2 光口 权重100

安恒的防火墙策略路由中先选择多个下一跳，权重大的为优先，DNS是因为特定流量中也有域名，需通过DNS解析。级过测试当dialer故障时，可以通过光口转发特定的业务流量，当dialer恢复时，因为没有测试特定业务流量到底是通过哪条转发的，反正是可以转发。