跳至主要內容

双 Internet 连接

2026/6/25Link Monitor7.X.X大约 4 分钟

双 Internet 连接

双 Internet 连接也称为双 WAN 或冗余 Internet 连接,指 FortiGate 通过两个接口连接 Internet。当前更常见的实现方式是 SD-WAN;本章介绍的是不使用 SD-WAN 的传统双 WAN 方案,主要依赖静态路由、策略路由和 Link Monitor。

典型用途包括:

  • 链路冗余:主接口故障后,备用接口自动接管 Internet 出口。
  • 负载分担:将部分流量引导到第二条链路,提高整体吞吐。
  • 同时实现链路冗余和部分流量分担。
双 Internet 连接拓扑

场景一:链路冗余,不做负载分担

链路冗余用于在主 Internet 接口不可用时,自动切换到备用接口。在此场景中,wan1wan2 分别连接不同 ISP,wan1 是主链路,wan2 是备用链路。

需要配置以下内容:

  • Link Monitor:检测 wan1 的远端网关或服务器是否可达。
  • 路由:为两个接口分别配置默认路由,通过不同 distance 选择主备。
  • 安全策略:为主备出口都配置允许内网访问 Internet 的策略。

Link Monitor 会按固定间隔探测指定网关或服务器。当探测失败时,FortiGate 将对应接口标记为不可用,并触发路由切换。

interval 决定探测间隔,failtime 决定连续丢失多少次探测后判定失败。较小的 intervalfailtime 可以加快故障检测,但也会增加探测流量和状态变化敏感度。

IPv4 Link Monitor 配置示例:

config system link-monitor
    edit <link-monitor-name>
        set addr-mode ipv4
        set srcintf <interface-name>
        set server <server-IP-address>
        set protocol {ping tcp-echo udp-echo http twamp}
        set gateway-ip <gateway-IP-address>
        set interval <seconds>
        set failtime <retry-attempts>
        set recoverytime <number-of-successful-responses>
        set status enable
    next
end

路由

两个 Internet 接口都需要配置默认路由。常见主备选择方式有两种:

  • 两条默认路由使用不同 distance,distance 较小的路由优先进入路由表。
  • 两条默认路由使用相同 distance,但通过 priority 区分优先级,priority 值较小的路由优先。

以下示例使用不同 distance 实现主备路由。

config router static
    edit 1
        set dst 0.0.0.0 0.0.0.0
        set device "wan1"
        set gateway <wan1_gateway>
        set distance 10
    next
    edit 2
        set dst 0.0.0.0 0.0.0.0
        set device "wan2"
        set gateway <wan2_gateway>
        set distance 20
    next
end

相关信息

备用 WAN 的入站访问可能会被反向路径检查影响。FortiGate 会根据路由表检查回程接口,如果当前路由表无法让回包从相同接口返回,入站流量可能被丢弃。

安全策略

需要为 wan1wan2 分别配置放通内网访问 Internet 的安全策略,确保主链路故障切换到备用链路后,普通业务仍能通过备用链路转发。

场景二:负载分担,不做链路冗余

如果只需要把部分流量固定引导到第二条 WAN,而不要求网关不可达时自动切换,可以使用策略路由实现负载分担。

常见方式包括:

  • 主路由使用较低 distance,部分流量通过策略路由转发到备用接口。
  • 两条路由使用相同 distance、不同 priority,部分流量通过策略路由转发到备用接口。
  • 两条路由使用相同 distance 和 priority,通过 ECMP 分担流量。

在不配置 Link Monitor 的情况下,需要注意以下行为:

  • 远端网关不可达但本地 WAN 接口仍为 Up 时,FortiGate 仍可能继续把流量送往主 WAN,导致业务中断。
  • 本地 WAN 接口物理 Down 时,FortiGate 会移除该接口相关路由,备用路由可以接管。

策略路由示例:

config router policy
    edit 1
        set input-device "internal"
        set srcaddr "Laptops"
        set gateway <wan2_gateway>
        set output-device "wan2"
    next
end

此场景不需要把所有 internalwan1 的策略复制到 wan2,只需要为会被策略路由引导到 wan2 的流量配置对应安全策略。

场景三:链路冗余和负载分担同时使用

此场景中,两条 WAN 链路都可用于转发 Internet 流量,但主 WAN 优先级更高。当任一链路故障时,FortiGate 将继续通过另一条可用链路转发。

需要分别为主 WAN 和备用 WAN 配置 Link Monitor。任一链路探测失败时,FortiGate 移除对应路由,使流量重新选择仍可用的出口。

路由

两条默认路由使用相同 distance,通过 priority 控制主备偏好。

config router static
    edit 1
        set dst 0.0.0.0 0.0.0.0
        set device "wan1"
        set gateway <wan1_gateway>
        set distance 10
        set priority 1
    next
    edit 2
        set dst 0.0.0.0 0.0.0.0
        set device "wan2"
        set gateway <wan2_gateway>
        set distance 10
        set priority 10
    next
end

策略路由

策略路由配置与“负载分担,不做链路冗余”场景类似,但建议不要在策略路由中指定网关。策略路由命中后,如果未指定网关,FortiGate 会继续查询路由表获取下一跳。当备用 WAN 故障且对应路由被 Link Monitor 移除时,该策略路由会被绕过,流量仍可通过主 WAN 转发。

安全策略

需要为两个 WAN 出口配置对应安全策略,确保任一链路故障后,业务切换到另一条链路时仍被策略允许。

最近更新: