【2022争霸赛*干货满满】【天逸出品】【第廿一期】防火墙对接BGP主备双下联部署方案

这是一个不常见的防火墙主备部署案例

上拓扑：

阿里云的云平台，内部走的ospf路由（不是重点）

重点是出口给了两个路由器，跑了BPG协议，两个路由器是主备的，上联是两个接口，一个1.2 一个1.3

现在买了两台我服防火墙做三层出口，客户要求很简单，链路优先走1.2 ，1.2断了就走1.3，1.2恢复了重新走1.2

我们防火墙配置1.1   两个路由器的配置是同步的，路由都是甩给了1.1

看似很简单的需求，但是对于防火墙主备来说，它们的配置也是同步的，假如回指路由写给了1.2，那么切换以后，对端变成了1.3，就会链路不通。意味着主备切换的时候，路由也要跟着切换

咨询了一下400 ，说是不支持

然而，作为身经百战的一线战士，这种需求算问题吗？

经过不断的测试，最终客户的需求还是被实现啦

以下正解：

先配置接口：

然后配置主备双机，这里有一个需要注意的，就是客户那边说 线路主要走1.2 ，即使切换了，再恢复后也是切回1.2，那么在配置双机的时候需要开启抢占功能

然后就是需要配置路由，既然路由是根据链路会改变的，那么肯定不能用静态路由，只能使用策略路由来配置

而且在主链路运行的时候，备链路的路由失效，备链路运行的时候，主链路失效

首先要配置链路状态的探测，这里要配置两个探测地址，1.2和1.3

然后配置两条策略路由

配置主链路的时候，写1.1.1.2的下一跳地址，而且对链路进行探测

同理配置备选链路

主链路的路由放在上面，备链路的路由放到下面

这样运行在主链路的时候，由于1.2可以ping通，所以上面的路由生效，所以回给1.2的路由工作

当主链路断开后，1.2ping不通了，上面的路由失效了，下面的策略路由生效，回包给1.3

经过客户那边的测试，这个方案确实可行

专家点评：感谢楼主分享！文章分享了AF主备双下联对接路由器相关经验，具有较高的参考价值，期待楼主后续带来更多优价值的分享。

楼主的文章图文并茂，清晰易懂，看完这波操作可以轻松上手了，如遇到问题再向楼主请教~

感谢分享，每天学习新知识！