由于這個時代對網絡的依賴，多條寬帶的接入變得很平常，本文講述某企業(yè)申請了兩條電信光纖，一條是固定IP的城域網，另一條則是PPPOE撥號的普通寬帶，前者用于服務器和硬盤錄像機，后者用來辦公上網。

接入設備是華為的防火墻，型號：USG6330，下面來配置兩條寬帶的接入配置，以及策略路由，并且需要為某一臺服務器配置為在內外網都用公網IP來訪問。

老規(guī)矩，先上個超級簡陋版的拓撲圖：

一、配置接口及安全區(qū)域

1、在華為防火墻的定義中，外網為非受信任區(qū)域，即untrust；內網為信任區(qū)域，即trust，這個很好理解，就不多作解釋了，下面是商品的配置。

2、把GE1/0/0配置為pppoe撥號寬帶所在的端口，安全區(qū)域選擇為untrust即可，不必像筆者這樣，特地新建了一個安全區(qū)域，當時只是用來驗證自己的某些想法，后來并沒有這么配過。注意連接類型選擇為PPPOE，然后輸入電信給的寬帶賬號和密碼就可以了。

3、把GE1/0/1配置為固定IP的城域網所在的端口，安全區(qū)域同樣選擇為untrust即可，注意連接類型選擇為靜態(tài)IP，然后輸入電信給的IP地址、子網掩碼和網關就可以了，至于DNS服務器，筆者在這里配置了兩個，一是該客戶內部的DNS服務器，二是電信給的DNS服務器

4、配置內網接口，連接類型當然是選擇靜態(tài)IP了，輸入內網的IP，這個IP地址，接下來就是內網電腦的網關地址了，注意要啟用這個接口的訪問管理，方便以WEB方式管理防火墻

二、配置DHCP服務器

一般來說，筆者習慣于把DHCP服務開在網管交換機，但是這個客戶全是最簡陋的非網管交換機，那就沒辦法了，只能在防火墻或者在Windows服務器上配置DHCP服務器。

因為內網有域控服務器，而域控上一般都會有DNS服務器，所以，在DHCP的配置中，一定要指定內網的DNS服務器排成最前面，后面那個電信的DNS服務器地址，可有可無。

要在防火墻里面配置保留IP和MAC地址綁定，也是挺簡單的，如下圖所示：

三、配置安全策略

默認只有一個untrust的情況下，只要做一條trust to unturst的安全策略就行了，但是筆者新建了一個pppoeunturst，所以就要分別做兩條安全策略了，因為要讓不同的設備走不同的線路

四、配置源NAT

源NAT要做兩條：一條是指定哪些設備走固定IP的城域網，另一條當然是明確一下，哪些設備走普通的撥號寬帶（一般來說，就是要上網的辦公電腦）

五、配置靜態(tài)路由

一通猛如虎的操作，卻還不能上網，因為還缺一條默認路由（靜態(tài)路由）

六、配置策略路由

上面的靜態(tài)路由，只能使走固定IP的設備成功上網，走撥號寬帶的設備，暫時還是無法連接外網的，還需要做一條策略路由

經過以上配置，實現(xiàn)了不同的設備走不同的接入鏈路上網，但是問題來了，走了不同鏈路的設備，在內網竟然無法通訊了，原來還得再配置一條策略路由

七、為了在內網也能用公網IP來訪問服務器，我們必須再配置一條源NAT策略

這條策略很重要，它能夠使我們即使在內網，也能用公網的IP來訪問內網的服務器，避免筆記本電腦重復切換配置（10.1.2.0/24為內網網段，10.1.2.3/32是需要內外網用同一個公網IP訪問的服務器）