如何实现DDN专线切换备份?

客户原来用2M DDN线路通过电信上的互联网，现在又增加了一条10M线路通过联通连接到互联网。客户希望在这里10M线路故障时自动能够切换到2M在线路上。客户原有的防火墙要求无论使用哪条线路，流量都必须经过防火墙过滤。

在客户的局域网中，只有几台二层交换机被划分VLAN，使用3640承担VLAN间路由任务。使用内网172.16.0.0我们假设/16地址VLAN1连接3640与普通PC，VLAN2与防火墙连接3640(FW)内网接口，VLAN10与防火墙连接3640的网络端口。设3640的E0/0端口连接到联通(CNC)，S3/1连接到电信(CN)。

实现原理：相互切换、备份

PC1发出的数据包在3640的接口上进行策略路由处理，如果目标地址为本地的其它网段(172.16.0.0/16)，转发普通路由；访问互联网将下一跳设置为数据包172.16.2.1，将数据包转发给防火墙。

防火墙按规则过滤，允许通过的数据包转发给3640。假设在这里icmp禁止包，允许其他数据包。

3640收到防火墙数据包后，进行NAT处理，如果当前CNC线路是通的(路由器选择的下一个跳跃是202.1.1.254)，将源地址转换为202.1.1.2，从e0/0发送；否则将其转换为地址10.1.1.2,则端口s3/1发送到互联网上。