有没有大佬帮忙看看问题：防火墙有双出口链路，如何配置可以解决负载分担问题

两台用RBM方式做 ，防火墙前面需要放一个交换机

配置出链路负载均衡，按照配置指导WEB配置。

出口是多个安全域，如图

结合你主备 VRRP 防火墙 + 双 WAN 出口、等价默认路由组网，分配置要点、路径问题、NAT、安全域逐一说明，附完整配置与验证命令。
一、核心结论
等价默认路由本身就能实现链路负载分担，但会存在来回路径不一致、会话跨链路丢包问题；ip last-hop hold 是有效补救手段。
NAT 建议按出接口 / 安全域分别配置，两条出口独立做源 NAT，不要混用。
两个 WAN 口建议划分不同安全域，便于策略、统计、故障隔离，是最优实践。
主备 VRRP 组网，所有负载均衡、NAT、域配置主备两台保持完全一致。
二、分步解答你的疑问
1. 等价默认路由 + 负载分担原理
两条默认路由、优先级相同、不同下一跳 / 出接口，设备会基于五元组哈希自动分担流量，实现多出口负载。
cli
# 示例路由（优先级一致）
ip route-static 0.0.0.0 0 GigabitEthernet1/0/1 运营商1下一跳
ip route-static 0.0.0.0 0 GigabitEthernet1/0/2 运营商2下一跳
优点：配置简单，天然负载分担
缺陷：同一流往返走不同链路（来回路径不一致），防火墙会话表校验失败、丢包、业务卡顿
2. ip last-hop hold 作用 & 配置
该命令开启最后一跳保持，强制同一五元组流量始终从同一个出接口转发，彻底解决来回路径不一致，双出口必配。
作用范围：接口视图，在两个 WAN 出接口都配置。
cli
interface GigabitEthernet1/0/1 # 出口1
ip last-hop hold
interface GigabitEthernet1/0/2 # 出口2
ip last-hop hold
⚠️ 注意：
只对转发流量生效，解决往返路径问题；
不会改变负载分担逻辑，依然按流分担到两条链路。
3. NAT 配置方案（推荐分接口 / 分域配置）
两条出口属于不同运营商、不同公网地址段，必须分开配置 NAT，不建议全局混合。
方案：出接口 / 安全域 匹配做源 NAT（标准用法）
定义两个 ACL，分别匹配内网流量
两个 WAN 接口分别应用 NAT 策略 / 地址池
cli
# 1. 定义内网流量ACL
acl advanced 3000
rule permit ip source 内网网段 反掩码 any

# 2. 出口1 配置NAT地址池 + 接口NAT
nat address-group 1 运营商1公网IP 运营商1公网IP
interface GigabitEthernet1/0/1
nat outbound 3000 address-group 1 no-pat

# 3. 出口2 配置独立NAT地址池
nat address-group 2 运营商2公网IP 运营商2公网IP
interface GigabitEthernet1/0/2
nat outbound 3000 address-group 2 no-pat
逻辑：流量从哪个接口出去，就使用对应接口的公网 IP 转换，完全正常可用。
若做 Easy IP（借用接口 IP），直接 nat outbound 3000 即可，两条接口分别配置。
4. 两个 WAN 口是否拆分不同安全域？
强烈建议拆分两个独立安全域，优势明显：
安全策略精细化：可单独控制某条链路的访问、限流、阻断；
故障隔离：单条运营商故障，不影响另一套域策略；
流量统计、日志、QoS 可按链路独立区分；
规避同域多出口带来的策略混乱。
域规划示例
Trust：内网域
Untrust1：WAN1 运营商 1
Untrust2：WAN2 运营商 2
cli
# 安全域配置
security-zone name Trust
import interface 内网接口

security-zone name Untrust1
import interface GigabitEthernet1/0/1

security-zone name Untrust2
import interface GigabitEthernet1/0/2

# 域间策略（Trust 主动访问两个外网域全部放行）
security-policy ip
rule name Trust-Untrust1
source-zone trust
destination-zone untrust1
action pass
rule name Trust-Untrust2
source-zone trust
destination-zone untrust2
action pass
5. 结合 VRRP 主备的额外注意点（重点）
你是双机主备 + 上下行 VRRP，补充 2 个关键配置：
主备两台防火墙：路由、last-hop、NAT、安全域、安全策略 完全一致；
VRRP 不要和多出口负载冲突，VRRP 仅做设备冗余，负载分担靠等价路由实现；
开启会话同步：主备切换后业务不中断
cli
# 开启会话备份（Comware V7 防火墙）
session backup enable
三、完整最简配置汇总（可直接套用）
cli
# 1. 全局开启IPv4、会话备份
ipv4
session backup enable

# 2. 安全域划分
security-zone name Trust
import 内网接口
security-zone name Untrust1
import GigabitEthernet1/0/1
security-zone name Untrust2
import GigabitEthernet1/0/2

# 3. 出接口开启 last-hop hold
interface GigabitEthernet1/0/1
ip last-hop hold
interface GigabitEthernet1/0/2
ip last-hop hold

# 4. 等价默认路由（负载分担）
ip route-static 0.0.0.0 0 GigabitEthernet1/0/1 下一跳1
ip route-static 0.0.0.0 0 GigabitEthernet1/0/2 下一跳2

# 5. NAT 配置（双地址池）
acl advanced 3000
rule permit ip source 内网段 反掩码 any
nat address-group 1 公网IP1 公网IP1
nat address-group 2 公网IP2 公网IP2

interface GigabitEthernet1/0/1
nat outbound 3000 address-group 1
interface GigabitEthernet1/0/2
nat outbound 3000 address-group 2

# 6. 域间安全策略放行
security-policy ip
rule 10 permit source-zone trust destination-zone untrust1
rule 20 permit source-zone trust destination-zone untrust2
四、验证命令（配置后检查）
cli
# 查看默认路由
display ip routing-table | include 0.0.0.0

# 查看接口last-hop状态
display interface GigabitEthernet1/0/1 | include last-hop
display interface GigabitEthernet1/0/2 | include last-hop

# 查看NAT转换会话
display nat session table

# 查看安全域接口归属
display security-zone interface
五、补充优化建议（可选）
链路探测：搭配 NQA/IP-Link 探测链路状态，某条运营商断网后自动删除对应路由，流量全部切换到正常链路。
流量比例分担：如果需要控制两条链路带宽占比，不使用等价路由，改用策略路由按网段 / 应用分流。
禁止同流跨链路：ip last-hop hold 是当前环境下性价比最高的方案。
一句话总结
同优先级默认路由实现负载分担，两个 WAN 口配 ip last-hop hold 解决往返路径不一致；
NAT 按两个出口分别配置地址池 / 策略，正常配置即可；
两个 WAN 口划分独立安全域，管理和故障排查更友好；
主备 VRRP 设备配置保持一致，并开启会话备份。

 关于 ip last-hop hold 与来回路径不一致

• 原理：开启该功能后，防火墙会记录报文进入的接口信息。当需要回包时，无论路由表如何指示，都会强制从原入口接口送出。
• 配置建议：建议在两个 WAN 出接口上都启用该功能。例如在华为/华三防火墙上，通常在接口视图下配置 redirect-reverse next-hop <运营商网关IP>。

 关于 NAT 策略配置

• 创建 NAT 地址池：分别为两条 WAN 线路创建对应的公网 IP 地址池（如果接口IP是动态获取的，则直接引用接口）。
• 配置 NAT 策略：配置两条源 NAT 策略，分别匹配从 Trust 区域去往不同 ISP 安全区域的流量，并将其源地址转换为对应 WAN 接口的公网 IP 地址池。

 两个出接口分开两个不同的安全域会更好吗？

1. 精细化策略控制：你可以明确地控制内网哪些流量允许走 ISP1，哪些允许走 ISP2。
2. 简化 NAT 与路由配置：在配置 NAT 策略和策略路由（PBR）时，可以直接通过“目的安全区域”来区分流量走向，逻辑非常清晰。
3. 规避路由冲突：配合不同的安全域，可以更轻松地实现基于源地址的策略路由，避免两条等价默认路由带来的哈希负载分担不可控问题。

 进阶建议：引入链路健康检测

• 配置 NQA 实时探测运营商网关或公网 DNS（如 114.114.114.114）的连通性。
• 将静态默认路由与 NQA 探测结果绑定（Track）。一旦探测失败，防火墙会自动撤销对应的默认路由，实现毫秒级的主备切换或负载调整。