双网卡双网关挂载防火墙故障

kevensky

目前有一台主机上面跑web服务，并使用双网卡双网关模式提供服务，使用一条教育网链路，一条电信链路。

主机上有两条全网路由
0.0.0.0 0.0.0.0 教育网关 教育ip 20
0.0.0.0 0.0.0.0 电信网关 电信ip 20
无故障，web服务正常。

现在由于安全考虑，需要添加两台juniper防火墙设备，两条链路分别接一台防火墙；考虑到不改变原始网络拓扑结构，juniper防火墙使用透明模式。
防火墙上架后，表现正常，但一段时间后不定期会出现些故障，
故障表现为，两条链路的IP均正常ping通，但是一些web，远程桌面等服务却不能访问，

而且只上一台防火墙设备，任何策略都未加，内网与外网间通讯全开。
这台防火墙无论架设到那一条链路上，都会出现教育网故障，电信正常。
后发现必须在主机上将默认路由指定到教育网关上，方能正常

但现在还有个问题就是默认网关有时候会跳到电信网关，而且电信链路不断的话，默认网关是不能跳到教育网关，这个时候因为默认网关不在教育网上就又出现上述的故障，可以ping通，服务起不来，且只是教育网出故障，电信正常

不清楚这是怎么回事，有没很好的解决办法，
或者把默认网关固定到教育网链路上，不要他变

rd360

看一下这个，看对你有没有帮组
双线方案

chenyx

在防火墙上做策略路由吧

kevensky

就是因为不能改变现有网络拓扑结构（对方要求），所以防火墙使用的也就是透明模式

剩下来估计能动的估计也就是主机路由表上做功夫了

lock0n

要添上几百条路由，够呛

kevensky

那也是没办法的事啊

现在问题就是如何把默认网关固定下了
我知道的是当前默认网关为教育网，一旦教育网关失效，系统自动将默认网关设置到正常的电信网关上，但是调整过去了就不能自动回来了，除非电信网关失效下。
我想知道的是如何让系统自动将默认网关调整回教育网，在教育网链路恢复后第一时间内。

lock0n

又不能改变现有策略，我也没辙，你还是等等ssffzz1过来问问他有什么办法吧