华为防火墙配置双链路接入，并且在内网能用公网IP访问服务器

由于这个时代对网络的依赖，多条宽带的接入变得很平常，本文讲述某企业申请了两条电信光纤，一条是固定IP的城域网，另一条则是PPPOE拨号的普通宽带，前者用于服务器和硬盘录像机，后者用来办公上网。

接入设备是华为的防火墙，型号：USG6330，下面来配置两条宽带的接入配置，以及策略路由，并且需要为某一台服务器配置为在内外网都用公网IP来访问。

老规矩，先上个超级简陋版的拓扑图：

一、配置接口及安全区域

1、在华为防火墙的定义中，外网为非受信任区域，即untrust；内网为信任区域，即trust，这个很好理解，就不多作解释了，下面是商品的配置。

2、把GE1/0/0配置为pppoe拨号宽带所在的端口，安全区域选择为untrust即可，不必像笔者这样，特地新建了一个安全区域，当时只是用来验证自己的某些想法，后来并没有这么配过。注意连接类型选择为PPPOE，然后输入电信给的宽带帐号和密码就可以了。

3、把GE1/0/1配置为固定IP的城域网所在的端口，安全区域同样选择为untrust即可，注意连接类型选择为静态IP，然后输入电信给的IP地址、子网掩码和网关就可以了，至于DNS服务器，笔者在这里配置了两个，一是该客户内部的DNS服务器，二是电信给的DNS服务器

4、配置内网接口，连接类型当然是选择静态IP了，输入内网的IP，这个IP地址，接下来就是内网电脑的网关地址了，注意要启用这个接口的访问管理，方便以WEB方式管理防火墙

二、配置DHCP服务器

一般来说，笔者习惯于把DHCP服务开在网管交换机，但是这个客户全是最简陋的非网管交换机，那就没办法了，只能在防火墙或者在Windows服务器上配置DHCP服务器。

因为内网有域控服务器，而域控上一般都会有DNS服务器，所以，在DHCP的配置中，一定要指定内网的DNS服务器排成最前面，后面那个电信的DNS服务器地址，可有可无。

要在防火墙里面配置保留IP和MAC地址绑定，也是挺简单的，如下图所示：

三、配置安全策略

默认只有一个untrust的情况下，只要做一条trust to unturst的安全策略就行了，但是笔者新建了一个pppoeunturst，所以就要分别做两条安全策略了，因为要让不同的设备走不同的线路

四、配置源NAT

源NAT要做两条：一条是指定哪些设备走固定IP的城域网，另一条当然是明确一下，哪些设备走普通的拨号宽带（一般来说，就是要上网的办公电脑）

五、配置静态路由

一通猛如虎的操作，却还不能上网，因为还缺一条默认路由（静态路由）

六、配置策略路由

上面的静态路由，只能使走固定IP的设备成功上网，走拨号宽带的设备，暂时还是无法连接外网的，还需要做一条策略路由

经过以上配置，实现了不同的设备走不同的接入链路上网，但是问题来了，走了不同链路的设备，在内网竟然无法通讯了，原来还得再配置一条策略路由

七、为了在内网也能用公网IP来访问服务器，我们必须再配置一条源NAT策略

这条策略很重要，它能够使我们即使在内网，也能用公网的IP来访问内网的服务器，避免笔记本电脑重复切换配置（10.1.2.0/24为内网网段，10.1.2.3/32是需要内外网用同一个公网IP访问的服务器）

——笔者为网络工程师，擅长计算机网络领域，创业多年，希望把自己的经验分享给大家，如有相同或者不同观点，欢迎评论。