1使用(yòng)一(yī)條ADSL鏈路(lù)，測試上(shàng)¶¥網、IPSec均正常，表明(míng)每一(yī)條鏈路(lù)的(de☆‍÷←)網絡基礎配置正确，IPSec配置正确。
2、查看(kàn)默認路(lù)由配置。
ip route-static 0.0.0.0 0§↔.0.0.0 Dialer1 
 ip route-static 0.0' .0.0 0.0.0.0 Dialer2
考慮到(dào)由于屬于同一(yī)運營商，兩條等價默認路(lù)由↑∞"會(huì)造成數(shù)據來(lái)回路(l✘♥ù)徑不(bù)一(yī)緻的(de)問(wèn) ​×題，修改為(wèi)
ip route-static 0.0.≥‍0.0 0.0.0.0 Dialer1 
 ip route-static 0.0.0.σσ∑÷0 0.0.0.0 Dialer2&nbsπ₹p; preference  65
連接兩條ADSL鏈路(lù)，網絡穩定情況好(hǎo)轉。

1. 查看(kàn)NAT策略，修改為(wèi)雙鏈路(lù)互備。

原NAT策略：
acl number 3001
 description nat_dia1
 rule 0 deny ip source 192.1✘↔68.1.0 0.0.0.255 destina↑♥σtion 192.168.0.0 0.0.0↕♣Ω .255  //拒絕IPSec流量
 rule 2 deny ip source 192.16​Ωε8.2.0 0.0.0.255 destination 192.168.∏ π©0.0 0.0.0.255
 rule 3 permit ip sourc ™§§e 192.168.1.0 0.0.0.255
 
acl number 3002
 description nat_dia2
 rule 0 deny ip source 1​φ&±92.168.1.0 0.0.0.255 destination‌♠§ 192.168.0.0 0.0.0.255&≈✘±λnbsp; //拒絕IPSec流量
 rule 2 deny ip sou÷₽rce 192.168.2.0 0.0.0.255 des≠<tination 192.168.0.0 0.0.0.255
 rule 3 permit ip source 192π≈₩.168.2.0 0.0.0.255
 
firewall interzone trust untrust
 nat outbound 3001 in☆π∞terface Dialer1
 
firewall interzone trust untr×$ust10
 nat outbound 3002 interface β£Dialer2
 
    該NAT策略®₽使192.168.1.0網段通(tōng)過Di♦∑✘aler1做(zuò)地(dì)址轉換上(shàng)網，使192.16×δ 8.2.0網段通(tōng)過Dialer2做(zuò)地(dì≥φ✔)址轉換上(shàng)網。但(dàn)是(€↔★€shì)如(rú)果一(yī)根線斷了(le)，就(jiù)會<™(huì)有(yǒu)一(yī)個(gè)網段的(de)用(×>π↓yòng)戶上(shàng)不(bù)了♠£∞σ(le)網。為(wèi)了(le)實現(xiàn)鏈路(lù)冗餘互為(wèi♣<)備份，修改用(yòng)于NAT的(de)ACL為(wèi)：
acl number 3001
 description nat ↕✘_dia1
 rule 0 deny ip sour&≠ ©ce 192.168.0.0 0.0.3.255 destinat♣±ion 192.168.0.0 0.0.0.255 />₩/對(duì)ipsec流量不(bù)做(zuò)地(dì)址轉換
rule 3 permit ip  sourceγ←≠ 192.168.1.0 0.0.0.255
rule 4  permit ip &n β✘←bsp;source 192.168.2.0 0.0.0.255 ↔♠;      ♣β♠↓;     //允許φα£兩個(gè)網段通(tōng)過，實現(xiàn)鏈路(lù)冗餘
 
acl number 3002
 description nat_dia2
 rule 0 deny ip source 192.168.0.δ←0 0.0.3.255 destination 192.168.0.©₩•0 0.0.0.255 //對(duì)δδipsec流量不(bù)做(zuò)地(dì)址轉換ε¶‍
rule 3 permit  ip  ©©↔;source 192.168.1.0 '™δε0.0.0.255   
rule 4 permit  ip &nbs∞λp;source 192.168.2.0 0.0.0.255  &®±nbsp;     &nbsβ≥λp;//允許兩個(gè)網段通(tōng)過，實現(xiàn)鏈路★λ‌£(lù)冗餘
 
4、查看(kàn)策略路(lù)由和(hé)配置，修改策略路™φ(lù)由，并強制(zhì)IPSec流量僅走Dialer2。
原配置：
interface Vlanif1
ip address 10.10.1.1 255.255.255.$¥↑0    ♣ ♥;
undo ip fast-forwardinβ€&g qff
ip policy route-policy 123
 
acl number 3003
rule 3 permit ip sourc‌φ₹φe 192.168.1.0 0.0.0.255
 
route-policy 123 perm♠<↑it node 5
 if-match acl 3003
 apply output-interf£✘ace Dialer2
該策略路(lù)由強行(xíng)1網段走απ✘¶Dilar 2,但(dàn)不(bù)排除2網段也 >‍(yě)走Dilar 2的(de)可(kě)能(n↔∑γéng)性。所以修改策略路(lù)由使分(fēn)流♥π÷更清晰明(míng)了(le)。
修改後的(de)策略路(lù)由
interface Vlanif1
ip address 10.10.1.∑‌&1 255.255.255.0
undo ip fast-forwarding qff
ip policy route-policy 123
 
acl number 3003
rule 0 permit ip source 192.168.0.0 ‍≈♣0.0.3.255 destination 19‌↑'2.168.0.0 0.0.0.255
rule 5 permit ip source 192.168.♥π♦1.0 0.0.0.255
 acl number 3004
rule 5 permit ip source 19®₩2.168.2.0 0.0.0.255
 
route-policy 123 permit node 5
 if-match acl 3003
 apply output-interface Di÷  λaler2
route-policy 123 permit node 10
if-match acl 3004
 apply output-inteφ≤δrface Dialer1
 
5、修改security ACL 300↓£★∏0，并使兩端成鏡像。
acl number 3000
rule 0 permit ip sou©∑rce 192.168.0.0 0.0.3.255 destina€£βtion 192.168.0.0 0.0.0.255
 
6、測試兩網段用(yòng)戶上(shàng)網，正常；測試₽Ω¥>兩網段用(yòng)戶訪問(wèn)VPN，正常。