如何实现两条DDN专线相互切换、备份？

一位客户原来用2M DDN线路通过电信上互联网，现在新增了一条10M线路通过网通连接到互联网。客户希望在10M线路故障时自动能够切换到2M线路上。客户原有一台防火墙，要求无论使用哪一条线路，流量必须先经过防火墙过滤。
　　客户的局域网中只有数台二层交换机，划分了VLAN，使用3640承担VLAN间路由的任务。内网使用172.16.0.0/16地址，我们假设VLAN1连接3640与普通PC，VLAN2连接3640与防火墙(FW)的内网接口，VLAN10连接3640与防火墙的外网端口。设3640的E0/0端口连接到网通(CNC)，S3/1连接到电信(CN)。IP地址如图所示。
　　实现原理：相互切换、备份
　　PC1发出的数据包在3640的接口上进行策略路由处理，如果目标地址为本地的其它网段(172.16.0.0/16)，则进行的普通路由转发；对于访问Internet的数据包，则将下一跳设为172.16.2.1，将数据包转发给防火墙。
　　防火墙对照规则进行过滤，允许通过的数据包将被转发给3640。这里假设icmp包是被禁止的，其它的数据包都是允许的。
　　3640收到来自于防火墙的数据包之后，进行NAT处理，如果当前CNC线路是通的(路由器选择的下一跳为202.1.1.254)，则将源地址转换为202.1.1.2，从e0/0发送出去；否则转换为地址10.1.1.2,则端口s3/1发送到Internet上。
　　配置文件：相互切换、备份
　　***** 3640 配置：
　　hostname 3640
　　!
　　interface Ethernet0/0
　　ip address 202.1.1.1 255.255.255.0
　　ip nat outside
　　!
　　interface FastEthernet1/0.1
　　encapsulation isl 1
　　ip address 172.16.1.254 255.255.255.0
　　ip policy route-map to_fw
　　!
　　interface FastEthernet1/0.2
　　encapsulation isl 2
　　ip address 172.16.2.254 255.255.255.0
　　!
　　interface FastEthernet1/0.10
　　encapsulation isl 10
　　ip address 192.168.1.254 255.255.255.0
　　ip nat inside
　　!
　　interface Serial3/1
　　ip address 10.1.1.1 255.255.255.0
　　ip nat outside
　　!