h3c防火墙 如何做双线接入

端口配上IP后， 写两条默认路由

ip route-static 0.0.0.0 0.0.0.0 X.X.X.X preference 60 主线

ip route-static 0.0.0.0 0.0.0.0 X.X.X.X preference 70 备用

1、方案1

双机双网卡（即用两台机，每台机两块网卡）分别为主机A，主机B

A、机用公网电信IP 211.155.23.8和内网IP 10.10.0.1

B、机用公网网通IP 210.21.76.8和内网IP 10.10.0.2

实施：

公网用于客户访问，内网用作数据同步

电信主机上eth1设置IP 211.155.23.8，eth0设置IP 10.10.0.1

网能主机上eth1设置IP 210.21.76.8，eth0设置IP 10.10.0.2

主页上设置"电信访问入口"和"网通访问入口"

同步：

同步分为文件同步和数据库同步

如果使用文件同步，在Linux/Unix下推荐rsync作文件同步工具Windows 2000下可以使用PeerSync进行文件级的同步，可以与ftp服务器结合使用.

数据库同步相对比较复杂，可以用如下两种情况解决同步问题：

i 单独使用一台服务器作数据库，两台主机通过网络连接数据库

ii 是把数据库放在任何一台主机上，另一台主机通过网络远程连接数据库.

2、方案2

一机双网卡

本机A网卡设置电信IP，B网卡设置网通IP

实施：

主机上设置两块网卡分别设置电信IP和网通IP，如：

Eth0：211.155.23.8，GateWay：211.155.23.1

Eth1：210.21.76.8，GateWay：210.21.76.1

但系统只能设置一条默认的网关，如下（图四）是设置电信网关211.155.23.1为默认网关

效果：

如果简单设置一条默认路由，效果不太理想，因为数据流出时，只使用默认网关那条线路，双线路失去了真正的意义，请求是速度加快了，但数据返回享受不到双线路的好处.而且中国电信的IP地址都做了地址校验（地址校验是电信为了防止一些恶意的攻击，对接收的包进行校验，把一些不属于它范围内的包丢弃掉），这样使用电信IP做默认路由，网通网络可能不能通讯

理论上可以借助软件，设置智能路由和地址伪装来实现，但相对比较复杂，不易成功，软件路由的稳定性和效率也大打折扣。对于一些点对点的数据传输还是可以使用的，但对于一般的互联网站发布我们不建议使用此方案

3、方案3（广州新一代现选方案）

一块网卡+多层交换设备（带DNS解析功能）

实施：

主机上配置一个内网IP地址，如10.10.0.1，

电信公网IP以及网通公网IP均绑定至多层交换机，将网站域名解析DNS改为我司域名解析服务器IP地址

效果：

服务器设置相对简单，也不需要文件同步，但防火墙及路由配置都会相对比较复杂，且投资相对比较高

用户访问，多层交换设备会自动根据ISO协议判断用户所在网络，自动选择网通或者电信线路响应

当然支持的。

防火墙和三层交换机之间走三层。

可以考虑用策略路由，让一部分走教育网，另一个部分走电信。

也可以考虑默认走电信，教育作为备用链路。

如果有足够的教育网地址网段，可以实现电信走电信，教育网走教育网。

方式很多，看你如何操作简单。

---