一、默认路由与链路备份

如图，企业分别从电信、联通租用一条链路，组成双出口网络，其中，电信为主链路、联通为备用链路。

在防火墙可配置两条默认路由，其中电信出口的默认路由优先级高于联通出口的默认路由，实现链路的备份，正常情况下，流量均经过电信链路实现访问互联网，当电信链路故障时，其默认路由失效，所有流量将从联通链路访问互联网。

[USG6000V1]ip route-static 0.0.0.0 0 10.1.1.2 preference 60
[USG6000V1]ip route-static 0.0.0.0 0 10.1.2.2 preference 65
[USG6000V1]display ip routing-table verbose 
2024-03-02 07:40:39.580 
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Routing Tables: Public
         Destinations : 9        Routes : 10       


Destination: 0.0.0.0/0
     Protocol: Static           Process ID: 0
   Preference: 60                     Cost: 0
      NextHop: 10.1.1.2          Neighbour: 0.0.0.0
        State: Active Adv Relied       Age: 00h00m20s
          Tag: 0                  Priority: medium
        Label: NULL                QoSInfo: 0x0
   IndirectID: 0x80000003       
 RelayNextHop: 0.0.0.0           Interface: GigabitEthernet1/0/1
     TunnelID: 0x0                   Flags: RD

Destination: 0.0.0.0/0
     Protocol: Static           Process ID: 0
   Preference: 65                     Cost: 0
      NextHop: 10.1.2.2          Neighbour: 0.0.0.0
        State: Inactive Adv Relied     Age: 00h03m30s
          Tag: 0                  Priority: medium
        Label: NULL                QoSInfo: 0x0
   IndirectID: 0x80000002       
 RelayNextHop: 0.0.0.0           Interface: GigabitEthernet1/0/2
     TunnelID: 0x0                   Flags: R

二、等价路由

使用默认路由实现链路备份很简单，但是同一时刻只能使用一条链路，另一条处于备用状态，很浪费带宽资源，此时可以配置等价路由，两条路由优先级是一致的，仍以上面网络为例。

[USG6000V1]ip route-static 0.0.0.0 0 10.1.1.2
[USG6000V1]ip route-static 0.0.0.0 0 10.1.2.2

[USG6000V1]interface g1/0/1
[USG6000V1-GigabitEthernet1/0/1]gateway 10.1.1.2
[USG6000V1-GigabitEthernet1/0/1]quit
[USG6000V1]interface g1/0/2
[USG6000V1-GigabitEthernet1/0/2]gateway 10.1.2.2

可以用传统的方式配置，也可以在防火墙接口视图下，指定网关的方式，设置等价默认路由。

配置完成，采用抓包，分别抓取防火墙G1/0/1、G1/0/2接口。

防火墙根据每条流的源目地址，用HASH算法计算，并选择链路，地址不同，计算结果也就不同，网络中访问的流量的源目地址是随机的，很难实现等价路由负载分担。

三、ISP路由与ISP选路

还是以上图企业网络为例，配置防火墙两条默认路由，每个ISP一条，当企业内网用户访问外网服务器时，报文到达防火墙有两条路径，很明显，通过联通可以很快到达服务器，而电信则绕了远路，严重影响用户体验。

此时可以配置明细路由，报文会优先匹配明细路由，之后再查找默认路由，以最上面组网为例的明细路由为：

[USG6000V1]ip route-static 10.10.10.10 32 10.1.1.2

[USG6000V1]ip route-static 10.10.20.20 32 10.1.2.2

现实环境中，网络复杂，不可能一条一条配置明细路由，此时需要ISP路由，每个ISP都会有自己的公网知名网段，如果ISP的所有公网知名网段配置成明细路由，则可以避免绕路问题。

1、收集ISP内所有的公网网段，把地址网段填写到后缀为.csv文件中，即ISP地址库文件。

可以去华为安全中心平台查找中国移动、电信、联通等主流ISP地址库文件。

2、编辑完成ISP地址库文件后，将其上传到防火墙根目录的ISP文件夹下。

相当于执行了：ip name chinaisp et filename ispDemo.cv

3、在IP路由界面，新建IP路由，为chinaip指定下一跳和出接口。

相当于执行了：ip route-isp chinaisp interface g1/0/1 10.1.1.2

由于ensp模拟器无法模拟此web配置，为此忽略。

---

参考资料：防火墙和VPN技术与实践——李学昭