如何實(shí)現(xiàn)兩條DDN專(zhuān)線(xiàn)相互切換、備份？

一位客戶(hù)原來(lái)用2M DDN線(xiàn)路通過(guò)電信上互聯(lián)網(wǎng)，現(xiàn)在新增了一條10M線(xiàn)路通過(guò)網(wǎng)通連接到互聯(lián)網(wǎng)?？蛻?hù)希望在10M線(xiàn)路故障時(shí)自動(dòng)能夠切換到2M線(xiàn)路上?？蛻?hù)原有一臺(tái)防火墻，要求無(wú)論使用哪一條線(xiàn)路，流量必須先經(jīng)過(guò)防火墻過(guò)濾。
    客戶(hù)的局域網(wǎng)中只有數(shù)臺(tái)二層交換機(jī)，劃分了VLAN，使用3640承擔(dān)VLAN間路由的任務(wù)。內(nèi)網(wǎng)使用172.16.0.0/16地址，我們假設(shè)VLAN1連接3640與普通PC，VLAN2連接3640與防火墻(FW)的內(nèi)網(wǎng)接口，VLAN10連接3640與防火墻的外網(wǎng)端口。設(shè)3640的E0/0端口連接到網(wǎng)通(CNC)，S3/1連接到電信(CN)。IP地址如圖所示。
    實(shí)現(xiàn)原理：相互切換、備份
    PC1發(fā)出的數(shù)據(jù)包在3640的接口上進(jìn)行策略路由處理，如果目標(biāo)地址為本地的其它網(wǎng)段(172.16.0.0/16)，則進(jìn)行的普通路由轉(zhuǎn)發(fā)；對(duì)于訪(fǎng)問(wèn)Internet的數(shù)據(jù)包，則將下一跳設(shè)為172.16.2.1，將數(shù)據(jù)包轉(zhuǎn)發(fā)給防火墻。
    防火墻對(duì)照規(guī)則進(jìn)行過(guò)濾，允許通過(guò)的數(shù)據(jù)包將被轉(zhuǎn)發(fā)給3640。這里假設(shè)icmp包是被禁止的，其它的數(shù)據(jù)包都是允許的。
    3640收到來(lái)自于防火墻的數(shù)據(jù)包之后，進(jìn)行NAT處理，如果當(dāng)前CNC線(xiàn)路是通的(路由器選擇的下一跳為202.1.1.254)，則將源地址轉(zhuǎn)換為202.1.1.2，從e0/0發(fā)送出去；否則轉(zhuǎn)換為地址10.1.1.2,則端口s3/1發(fā)送到Internet上。
    配置文件：相互切換、備份
    ***** 3640 配置：
    hostname 3640
    !
    interface Ethernet0/0
    ip address 202.1.1.1 255.255.255.0
    ip nat outside
    !
    interface FastEthernet1/0.1
    encapsulation isl 1
    ip address 172.16.1.254 255.255.255.0
    ip policy route-map to_fw
    !
    interface FastEthernet1/0.2
    encapsulation isl 2
    ip address 172.16.2.254 255.255.255.0
    !
    interface FastEthernet1/0.10
    encapsulation isl 10
    ip address 192.168.1.254 255.255.255.0
    ip nat inside
    !
    interface Serial3/1
    ip address 10.1.1.1 255.255.255.0
    ip nat outside
    !