大致的一个拓扑图如下

设备：

华为USG6330防火墙

华三MSR36-20路由器

华为S5700交换机

H3C二层交换机

拓扑思路：由于是小区户型接入，上联OLT设备，所以运营商给了OUN认证设备(光猫)，电信动态为普通家宽，另外两条专线光猫默认桥接模式；

电信动态公网桥接到华三路由器使用PPPOE拨号模式，两条专线直接接入华为防火墙，华三路由器直连华为防火墙；

华为防火墙两个接口做聚合接入华为交换机，华为交换机两根线接入华三二层交换机做一个主备容灾，两台交换机开启STP(聚合对接失败，备用方案)

网关以及DHCP服务器在防火墙上，设备之间对接全程使用静态路由。

防火墙具体配置：开局配置在前面文章有写，基于前面开局配置的基础上去完善剩下的配置

双向nat策略，用于内网环境可以访问当前的公网IP+端口(这个似乎普通路由器和软路由不支持)；

负载策略：配置出口优先级，动态最优，其次是专线，不多占用专线的资源；

基于负载策略做容灾：配置健康检查，线路丢包率达到20%判定为链路down，自动切换别的线路；

策略路由：单独指定内网某台设备使用某条线路，或者指定访问某个IP/端口走某条线路(基于五元组的策略路由)；

安全策略：更多的还是基于自己的理解和需求去做，支持七元组，我个人比较喜欢屏蔽海外对我的访问，可以解决大部分攻击问题；

防火墙的license是可以试用两个月的，拉取一下最新的文件就行，特别是ISP，地区库和应用特征库是免费更新的；

为什么选择企业设备呢？因为有统一的执行标准，非常完善的官方文档，官方长期的一个更新支持；

“为什么不用软路由？”这是我被问到的最多的一个问题，被问的多了就有点烦了，自然对软路由就产生了一定的偏见，是的，无论是软路由还是硬路由都是遵循RFC的标准进行研发的，软路由因为可以自主DIY所以可玩性比硬路由高很多；

那么为什么我不用软路由呢？软路由的稳定性有待考究，很多网友都说自己的很稳定，但是能在运营商/IDC/企业机房服役的企业级设备给我的安全感会更高，其次我个人本身就是网工岗，以上设备天天都在接触，配置，排错；所以优势很明显，网络故障我可以快速进行定位；

所以，选什么设备终究还是看自己的习惯，爱折腾的朋友基本上都是软路由，于我自己而言稳定大于一切，所以我选择更稳定的方案。

最后来一张设备照片