思科交换机上行双出网关配置

步骤1、交换机的其它配置，包括vlan配置，省略

步骤2、配置双静态路由，注意优先级

ip route 0.0.0.0 0.0.0.0 172.16.1.2 网关1

ip route 0.0.0.0 0.0.0.0 10.10.10.1 50 网关2

步骤3、配置ACL，即允许哪些源网段的下一跳出口为第二台防火墙

ip access-list extended Second_Gateway

10 deny  ip 172.16.0.0 0.0.255.255 172.16.0.0 0.0.255.255

15 deny  ip 172.16.50.0 0.0.0.255 any

20 deny  ip 172.16.51.0 0.0.0.255 any

25 permit ip 172.16.0.0 0.0.255.255 any

步骤4、配置策略路由

route-map Second_Route permit 10

match ip address Second_Gateway

set ip next-hop 10.10.10.1

---

正常情况下172.16.0.0/16 所有的网段下一跳出口都是指向172.16.1.2 ，即数据从网关1转发

但是有部分网段需要数据从网关2转发，例如 vlan18 和 vlan19

int vlan 18

ip address 172.16.18.1 255.255.255.0

ip policy route-map Second_Route

vint vlan 19

ip address 172.16.19.1 255.255.255.0

ip policy route-map Second_Route

这样 vlan18和vlan19访问外网数据会走网关2