华为防火墙，配置双链路接入和IP-LINK，即线路互备模式的配置

之前有粉丝提到，双链路接入没有配置线路互备，是最大的失败，其实笔者是有安排的，循序渐进而已，今天就来讲一下，如何配置两条外网链路的互备，即IP-LINK的配置。

先来看一下拓扑图，根据粉丝建议，把IP地址直接标出来了，注意XX表示两位数字，真实的IP地址当然不方便直接写上去了，所以用X代替，各位不要见怪。

如上图所示，（1）出口采用华为USG6330防火墙，上联两条电信光纤，下联华为S5720三层交换机；（2）办公区的VLAN为1011， IP地址段为：10.1.1.0/24；生产区的VLAN为1012， IP地址段为：10.1.2.0/24。

配置目标：（1）办公区和生产区的网络隔离，不可互访；（2）链路正常的情况下，办公区通过222.92.XX.50上网，链路故障时，切换到58.210.XXX.172上网；（3）链路正常的情况下，生产区通过58.210.XXX.172上网，链路故障时，切换到222.92.XX.50上网。

华为三层交换机的配置：

vlan batch 8 1011 to 1012 *创建VLAN8、VLAN1011和VLAN1012

interface Vlanif8

ip address 192.168.8.2 255.255.255.0 *为VLAN8配置IP地址

interface Vlanif1011

ip address 10.1.1.1 255.255.255.0 *为VLAN1011配置IP地址，即该网段的网关地址

interface Vlanif1012

ip address 10.1.2.1 255.255.255.0 *为VLAN1012配置IP地址，即该网段的网关地址

interface GigabitEthernet0/0/1

port link-type access

port default vlan 8 *端口GigabitEthernet0/0/1属于VLAN8

interface GigabitEthernet0/0/2

port link-type access

port default vlan 1011 *端口GigabitEthernet0/0/2属于VLAN1011

interface GigabitEthernet0/0/3

port link-type access

port default vlan 1012 *端口GigabitEthernet0/0/3属于VLAN1012

以上配置完成后，在PC1上执行命令：ping 10.1.2.11，能ping通

同样的，在PC2上执行命令：ping 10.1.1.11，也能ping通

acl number 3001 *创建ACL，禁止VLAN1011访问VLAN1012

rule 5 deny ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255

acl number 3002 *创建ACL，禁止VLAN1012访问VLAN1011

rule 5 deny ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255

traffic-filter vlan 1011 inbound acl 3001

traffic-filter vlan 1012 inbound acl 3002

*用traffic-filter在VLAN下应用ACL，禁止两个VLAN互访。

经过以上配置，PC1和PC2互ping，双向都不通了，达到VLAN隔离的要求

ip route-static 0.0.0.0 0.0.0.0 192.168.8.1 *配置静态路由，下一跳为192.168.8.1，即防火墙的内网口IP

配置这条路由后，两个VLAN才能上外网，当然了，真要上网还必须对防火墙进行配置。

华为防火墙的配置：

interface GigabitEthernet0/0/0

ip address 222.92.XX.50 255.255.255.248

interface GigabitEthernet0/0/1

ip address 58.210.XXX.172 255.255.255.248

interface GigabitEthernet0/0/2

ip address 192.168.8.1 255.255.255.0

*以上配置三个接口的IP地址，前面两个是外网口，最后一个是内网口

firewall zone trust

add interface GigabitEthernet0/0/2 *将接口放到相应的安全区域，内网口是Trust区域

firewall zone untrust *将接口放到相应的安全区域，两个外网口是Untrust区域

add interface GigabitEthernet0/0/0

add interface GigabitEthernet0/0/1

ip-link check enable *开启IP-Link链路检查功能

ip-link 11 destination 222.92.XX.49 mode icmp *创建IP-Link 11，用于侦测USG到222.92.XX.49之间的链路可达性

ip-link 12 destination 58.210.XXX.171 mode icmp *创建IP-Link 12，用于侦测USG到58.210.XXX.171之间的链路可达性

这里执行命令：dis ip-link，可以看到，两个ip-link，已经建立并且是上线状态了

ip route-static 0.0.0.0 0.0.0.0 222.92.76.49 track ip-link 11

ip route-static 0.0.0.0 0.0.0.0 58.210.192.171 track ip-link 12

*配置两条缺省路由，指定下一跳地址，并与相应的 IP-Link 关联

ip route-static 10.1.1.0 255.255.255.0 192.168.8.2

ip route-static 10.1.2.0 255.255.255.0 192.168.8.2

*以上两条命令是防火墙到内网的静态路由，也就是说访问内网的两个VLAN，要通过192.168.8.2这个IP地址，即华为三层交换机上配置的VLAN接口IP.

至于防火墙的安全策略、NAT策略，前面文章多有涉及，本文就不再赘述了，需要的朋友，可以翻看笔者以前的文章，不便之处，敬请谅解。