一位客戶原來用2M DDN線路通過電信上互聯(lián)網(wǎng)，現(xiàn)在新增了一條10M線路通過網(wǎng)通連接到互聯(lián)網(wǎng)�？蛻粝Ｍ�在10M線路故障時(shí)自動能夠切換到2M線路上�？蛻粼�有一臺防火墻，要求無論使用哪一條線路，流量必須先經(jīng)過防火墻過濾。

客戶的局域網(wǎng)中只有數(shù)臺二層交換機(jī)，劃分了VLAN，使用3640承擔(dān)VLAN間路由的任務(wù)。內(nèi)網(wǎng)使用172.16.0.0/16地址，我們假設(shè)VLAN1連接3640與普通PC，VLAN2連接3640與防火墻(FW)的內(nèi)網(wǎng)接口，VLAN10連接3640與防火墻的外網(wǎng)端口。設(shè)3640的E0/0端口連接到網(wǎng)通(CNC)，S3/1連接到電信(CN)。IP地址如圖所示。

實(shí)現(xiàn)原理：相互切換、備份

PC1發(fā)出的數(shù)據(jù)包在3640的接口上進(jìn)行策略路由處理，如果目標(biāo)地址為本地的其它網(wǎng)段(172.16.0.0/16)，則進(jìn)行的普通路由轉(zhuǎn)發(fā)；對于訪問Internet的數(shù)據(jù)包，則將下一跳設(shè)為172.16.2.1，將數(shù)據(jù)包轉(zhuǎn)發(fā)給防火墻。

防火墻對照規(guī)則進(jìn)行過濾，允許通過的數(shù)據(jù)包將被轉(zhuǎn)發(fā)給3640。這里假設(shè)icmp包是被禁止的，其它的數(shù)據(jù)包都是允許的。

3640收到來自于防火墻的數(shù)據(jù)包之后，進(jìn)行NAT處理，如果當(dāng)前CNC線路是通的(路由器選擇的下一跳為202.1.1.254)，則將源地址轉(zhuǎn)換為202.1.1.2，從e0/0發(fā)送出去；否則轉(zhuǎn)換為地址10.1.1.2,則端口s3/1發(fā)送到Internet上。