之前有粉絲提到，雙鏈路接入沒(méi)有配置線路互備，是最大的失敗，其實(shí)筆者是有安排的，循序漸進(jìn)而已，今天就來(lái)講一下，如何配置兩條外網(wǎng)鏈路的互備，即IP-LINK的配置。

先來(lái)看一下拓?fù)鋱D，根據(jù)粉絲建議，把IP地址直接標(biāo)出來(lái)了，注意XX表示兩位數(shù)字，真實(shí)的IP地址當(dāng)然不方便直接寫(xiě)上去了，所以用X代替，各位不要見(jiàn)怪。

如上圖所示，（1）出口采用華為USG6330防火墻，上聯(lián)兩條電信光纖，下聯(lián)華為S5720三層交換機(jī)；（2）辦公區(qū)的VLAN為1011， IP地址段為：10.1.1.0/24；生產(chǎn)區(qū)的VLAN為1012， IP地址段為：10.1.2.0/24。

配置目標(biāo)：（1）辦公區(qū)和生產(chǎn)區(qū)的網(wǎng)絡(luò)隔離，不可互訪；（2）鏈路正常的情況下，辦公區(qū)通過(guò)222.92.XX.50上網(wǎng)，鏈路故障時(shí)，切換到58.210.XXX.172上網(wǎng)；（3）鏈路正常的情況下，生產(chǎn)區(qū)通過(guò)58.210.XXX.172上網(wǎng)，鏈路故障時(shí)，切換到222.92.XX.50上網(wǎng)。

華為三層交換機(jī)的配置：

vlan batch 8 1011 to 1012   *創(chuàng)建VLAN8、VLAN1011和VLAN1012

interface Vlanif8

 ip address 192.168.8.2 255.255.255.0    *為VLAN8配置IP地址

interface Vlanif1011

 ip address 10.1.1.1 255.255.255.0   *為VLAN1011配置IP地址，即該網(wǎng)段的網(wǎng)關(guān)地址

interface Vlanif1012

 ip address 10.1.2.1 255.255.255.0    *為VLAN1012配置IP地址，即該網(wǎng)段的網(wǎng)關(guān)地址

interface GigabitEthernet0/0/1

 port link-type access

 port default vlan 8   *端口GigabitEthernet0/0/1屬于VLAN8

interface GigabitEthernet0/0/2

 port link-type access

 port default vlan 1011   *端口GigabitEthernet0/0/2屬于VLAN1011

interface GigabitEthernet0/0/3

 port link-type access

 port default vlan 1012   *端口GigabitEthernet0/0/3屬于VLAN1012

以上配置完成后，在PC1上執(zhí)行命令：ping 10.1.2.11，能ping通

同樣的，在PC2上執(zhí)行命令：ping 10.1.1.11，也能ping通

acl number 3001   *創(chuàng)建ACL，禁止VLAN1011訪問(wèn)VLAN1012

 rule 5 deny ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255

acl number 3002   *創(chuàng)建ACL，禁止VLAN1012訪問(wèn)VLAN1011

 rule 5 deny ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255

traffic-filter vlan 1011 inbound acl 3001

traffic-filter vlan 1012 inbound acl 3002

*用traffic-filter在VLAN下應(yīng)用ACL，禁止兩個(gè)VLAN互訪。

經(jīng)過(guò)以上配置，PC1和PC2互ping，雙向都不通了，達(dá)到VLAN隔離的要求

ip route-static 0.0.0.0 0.0.0.0 192.168.8.1  *配置靜態(tài)路由，下一跳為192.168.8.1，即防火墻的內(nèi)網(wǎng)口IP

配置這條路由后，兩個(gè)VLAN才能上外網(wǎng)，當(dāng)然了，真要上網(wǎng)還必須對(duì)防火墻進(jìn)行配置。

華為防火墻的配置：

interface GigabitEthernet0/0/0

 ip address 222.92.XX.50 255.255.255.248

interface GigabitEthernet0/0/1

 ip address 58.210.XXX.172 255.255.255.248

interface GigabitEthernet0/0/2

 ip address 192.168.8.1 255.255.255.0

*以上配置三個(gè)接口的IP地址，前面兩個(gè)是外網(wǎng)口，最后一個(gè)是內(nèi)網(wǎng)口

firewall zone trust

 add interface GigabitEthernet0/0/2   *將接口放到相應(yīng)的安全區(qū)域，內(nèi)網(wǎng)口是Trust區(qū)域

firewall zone untrust   *將接口放到相應(yīng)的安全區(qū)域，兩個(gè)外網(wǎng)口是Untrust區(qū)域

 add interface GigabitEthernet0/0/0

 add interface GigabitEthernet0/0/1

ip-link check enable   *開(kāi)啟IP-Link鏈路檢查功能

ip-link 11 destination 222.92.XX.49 mode icmp   *創(chuàng)建IP-Link 11，用于偵測(cè)USG到222.92.XX.49之間的鏈路可達(dá)性

ip-link 12 destination 58.210.XXX.171 mode icmp    *創(chuàng)建IP-Link 12，用于偵測(cè)USG到58.210.XXX.171之間的鏈路可達(dá)性

這里執(zhí)行命令：dis ip-link，可以看到，兩個(gè)ip-link，已經(jīng)建立并且是上線狀態(tài)了

ip route-static 0.0.0.0 0.0.0.0 222.92.76.49 track ip-link 11

ip route-static 0.0.0.0 0.0.0.0 58.210.192.171 track ip-link 12

*配置兩條缺省路由，指定下一跳地址，并與相應(yīng)的 IP-Link 關(guān)聯(lián)

ip route-static 10.1.1.0 255.255.255.0 192.168.8.2

 ip route-static 10.1.2.0 255.255.255.0 192.168.8.2

*以上兩條命令是防火墻到內(nèi)網(wǎng)的靜態(tài)路由，也就是說(shuō)訪問(wèn)內(nèi)網(wǎng)的兩個(gè)VLAN，要通過(guò)192.168.8.2這個(gè)IP地址，即華為三層交換機(jī)上配置的VLAN接口IP.  

至于防火墻的安全策略、NAT策略，前面文章多有涉及，本文就不再贅述了，需要的朋友，可以翻看筆者以前的文章，不便之處，敬請(qǐng)諒解。