宿舍网中有一共有五栋宿舍楼在上网，线路有三条，网通电信教育网，当时的初步方案为了更好的利用起三条线路，我们的讨论过的思路是什么呢？就是做三条线路的策略路由，这样既保证了线路带宽有效利用又能提高访问速度。

　　可是实施了以后就发现一点，结果是电信的流量非常小，虽然我们在做缺省的路由的时候做了缺省的路由负载均衡，即是说如果所有的网段都不在路由表中，那么就走默认的网通电信出口，两条权值相同，访问随机，之所以出现这样的状况就是，用户所使用的DNS是网通的DNS服务器，用户所玩的游戏也是网通的游戏，这样用户访问的网络出口就是默认为网通出口，这样就导致了网通出口爆满而电信教育网的出口闲置。那么怎么解决呢？？我得想法就是：让其中的三栋公寓全部走网通，剩下的两栋全部走电信线路，这样做的目的就是能够直接在线路上就把网络带宽分离出来。我们主任同意我这样一做看看效果。于是当晚就开始调试防火墙。

　　思路就是：制定基于源地址的策略路由，把源地址为1、2、4号公寓楼的IP全部走网通出口，而源地址为5、6的全部走电信的出口，有两条安全规则是NAT转换的。其中一条是把地址为1、2、4号楼的地址指定为网通的出口地址，5、6号楼的转换成电信的出口地址。

　　结果呢？你们猜猜怎么着？全断了，不论是哪栋公寓，全部断网，我再看流量已经变成了几十K了。。完事。。这下子玩大了。赶紧恢复原先保存的配置文件，重启防火墙先用着，全部都用网通的出口先走着。

　　到底是怎么样一回事情？明明制定好了？如同锐捷的设备说明书上说的NAT制定方式一样，先做策略路由再做NAT规则就行了，哪里还做的不对???看看配置实在想不出来哪里做错，就打了锐捷的远程支援。得到的答复就是：按照—策略路由——NAT规则的方式制定就行。然后我说我就是这样做的，可是没有实现效果。

　　忽然看到一个选项，“以下网口是否允许按源IP路由”！！难道说需要添加这样的属性才能支持？？抱着试试的心态做了一个实验。点上以后还是不行，生效以后又全断了。

　　我说不然让锐捷的人再重新给我登陆看一遍我看看什么地方需要改进，并说不要给我保存掉，那我出现问题直接重启防火墙就是了，起码能保证使用能连上。

　　哪里错了？？想不通，那么我就只能怎么做？？请求锐捷济南办事处的支援咯。。

　　打电话说了一下，让他给我确认防火墙的几种路由的优先级，得到的答复就是：直连路由优先级最高，基于源地址的策略路由次之，最后就是目的地址的策略路由，选择路由的时候就是根据掩码来进行选择的。

　　说到这里就要说到一个之后发生的事情：（插）

　　我把所有的策略路由条目全部删除，只留下源地址路由条目和回指给multiswitch的路由条目，可是这样一做以后就出现问题，全部的用户断线，一想估计也就是删除了默认的缺省路由引起的，马上添加一条缺省的mtultiroute，生效后就看到流量了。也即是可以得出一个结论：

　　防火墙的路由条目必须有缺省路由存在，不然就不出去，至于为什么我就不知道了。

　　最后成功的部署方式是这样的：

　　保留原先的缺省路由不变，再添加针对源地址的策略路由，经过测试可以看见其中的两栋楼流量成功的从电信的出口往外走，整体的带宽得到了有效的利用。

　　后记：实施的时候想过很多中办法也找了很多网上的资料，都是应用策略路由让带宽有效利用，可是测试发现，那样做了以后出现单个链路带宽利用率超高而另一条利用率很低的状况，尽管同时已经存在一条权值相当的路由负载均衡条目。所以最后才想尽办法实施手动强制分流的方式让不同楼通过不同的出口直接出去，提高两条链路的利用率。