如颖随行|配置双链路接入和IP-LINK，即线路互备模式的配置，华为防火墙之前有粉丝提到

之前有粉丝提到，双链路接入没有配置线路互备，是最大的失败，其实笔者是有安排的，循序渐进而已，今天就来讲一下，如何配置两条外网链路的互备，即IP-LINK的配置。
先来看一下拓扑图，根据粉丝建议，把IP地址直接标出来了，注意XX表示两位数字，真实的IP地址当然不方便直接写上去了，所以用X代替，各位不要见怪。
配置目标：（1）办公区和生产区的网络隔离，不可互访；（2）链路正常的情况下，办公区通过222.92.XX.50上网，链路故障时，切换到58.210.XXX.172上网；（3）链路正常的情况下，生产区通过58.210.XXX.172上网，链路故障时，切换到222.92.XX.50上网。
华为三层交换机的配置：vlanbatch81011to1012*创建VLAN8、VLAN1011和VLAN1012
interfaceVlanif8
ipaddress192.168.8.2255.255.255.0*为VLAN8配置IP地址
interfaceVlanif1011
ipaddress10.1.1.1255.255.255.0*为VLAN1011配置IP地址，即该网段的网关地址
interfaceVlanif1012
ipaddress10.1.2.1255.255.255.0*为VLAN1012配置IP地址，即该网段的网关地址
interfaceGigabitEthernet0/0/1
portlink-typeaccess
【如颖随行|配置双链路接入和IP-LINK，即线路互备模式的配置，华为防火墙】portdefaultvlan8*端口GigabitEthernet0/0/1属于VLAN8
interfaceGigabitEthernet0/0/2
portlink-typeaccess
portdefaultvlan1011*端口GigabitEthernet0/0/2属于VLAN1011
interfaceGigabitEthernet0/0/3
portlink-typeaccess
portdefaultvlan1012*端口GigabitEthernet0/0/3属于VLAN1012
以上配置完成后，在PC1上执行命令：ping10.1.2.11 ，能ping通
rule5denyipsource10.1.1.00.0.0.255destination10.1.2.00.0.0.255
aclnumber3002*创建ACL ，禁止VLAN1012访问VLAN1011
rule5denyipsource10.1.2.00.0.0.255destination10.1.1.00.0.0.255
traffic-filtervlan1011inboundacl3001
traffic-filtervlan1012inboundacl3002
*用traffic-filter在VLAN下应用ACL ，禁止两个VLAN互访。
经过以上配置， PC1和PC2互ping ，双向都不通了，达到VLAN隔离的要求
配置这条路由后，两个VLAN才能上外网，当然了，真要上网还必须对防火墙进行配置。