FortiGate 60E双宽带高可用方案：管理距离调优与故障切换实战

当企业网络稳定性直接影响业务连续性时，双宽带冗余设计成为中小型办公场景的刚需。FortiGate 60E作为一款性价比较高的下一代防火墙，其双WAN接入能力配合管理距离（Administrative Distance）的智能路由机制，能够实现主备链路毫秒级切换。本文将手把手带您完成从硬件连接到策略调优的全流程，重点破解三个核心问题：如何让4G备用链路平时保持静默？主链路中断时如何实现无感切换？多运营商环境下如何避免DNS解析冲突？

1. 硬件准备与基础环境搭建

FortiWiFi 60E出厂标配两个千兆WAN口（WAN1和WAN2）以及内置4G模块插槽。在实际部署中，我们采用WAN1接ADSL调制解调器，内置4G模块作为备用通道。这种组合既能保证日常办公的带宽需求，又能在光纤故障时提供应急通信保障。

设备初始化检查清单：

• 确认固件版本≥7.0.1（get system status命令查看）
• 准备4G物联网卡（建议选择与企业主宽带不同运营商）
• ADSL账号密码（PPPoE认证信息）
• 备用DNS服务器地址（如114.114.114.114）

操作提示：首次配置建议通过console线连接，避免网络配置错误导致管理中断

接口物理连接完成后，通过以下命令快速验证硬件状态：

bash复制# 检查4G模块识别状态
get system lte-modem status

# 查看WAN1物理层连接
diagnose hardware deviceinfo nic wan1

正常状态下应看到4G模块的IMEI号以及WAN1的链路状态为"up"。

2. 双WAN接口的差异化配置

主备链路的核心区别在于管理距离的数值设定。这个0-255的整数值决定了路由协议的优先级，数值越小优先级越高。FortiGate默认给不同接口类型分配了不同的管理距离：

配置实操步骤：

1. PPPoE主链路配置：

   • 登录Web控制台进入"网络 > 接口"
   • 编辑WAN1接口：
     • 别名：ADSL_Primary
     • 类型：PPPoE
     • 用户名/密码：ISP提供的认证信息
     • 管理距离：保持默认5

2. 4G备用链路激活：

bash复制config system lte-modem
    set status enable
    set apn "your_apn"
end

等待30秒后刷新接口列表，wwan接口应自动获取到运营商分配的IP。

3. 关键参数调整：
   编辑wwan接口，将高级选项中的管理距离从1修改为10。这个微调确保PPPoE路由始终优先。

3. 智能路由与策略联动配置

仅有接口配置还不够，需要三大核心策略协同工作：

3.1 路由优先级控制

系统会自动生成两条默认路由：

• PPPoE路由（管理距离5）
• 4G路由（管理距离10）

通过get router info routing-table all命令验证时，应该只看到PPPoE路由处于活跃状态（标记为*>），4G路由作为备份存在。

3.2 双出口策略路由

在"策略&对象 > 防火墙策略"中需要创建两条放行规则：

特别注意：两条策略的服务类型、源/目的地址等参数需完全一致，仅出口接口不同

3.3 多运营商DNS优化

在"网络 > 接口"编辑lan接口的DHCP设置：

• 主DNS：114.114.114.114
• 备DNS：8.8.8.8
• 禁用"从上游DNS自动获取"

这种配置避免了切换运营商时可能出现的DNS解析失败问题。

4. 故障切换测试与性能调优

4.1 主动切换测试

通过持续ping测试观察切换效果：

bash复制# 持续ping测试（Windows）
ping -t www.baidu.com

# 同时监控路由状态（FortiGate CLI）
diagnose sys link-monitor status

手动禁用WAN1接口后，应在3-5个丢包内恢复连通性。切换过程可以通过流量图表直观验证：

1. 进入"仪表板 > 网络 > 接口带宽"
2. 同时选择wan1和wwan接口
3. 观察流量从wan1转移到wwan的过程

4.2 回切机制优化

默认情况下，主链路恢复后不会自动回切。可通过以下两种方式处理：

方案A：手动回切

bash复制# 重新启用WAN1接口
config system interface
    edit "wan1"
        set status up
    next
end

方案B：自动回切（推荐）
配置链路健康检查：

bash复制config system link-monitor
    edit "ADSL_Check"
        set srcintf "lan"
        set server "223.5.5.5" "114.114.114.114"
        set gateway-ip 192.168.1.1
        set interval 5
        set failtime 3
        set recoverytime 5
    next
end

4.3 性能瓶颈排查

当4G链路激活时，建议通过QoS保证关键业务：

1. 进入"策略&对象 > 流量整形"
2. 创建新策略应用于wwan接口
3. 设置保障带宽（如10Mbps）和最大带宽（如20Mbps）
4. 优先保障VoIP、视频会议等实时流量

5. 企业级部署的进阶技巧

对于多分支机构场景，这些实战经验值得注意：

1. 4G流量控制：

   • 在"安全配置文件 > 应用控制"中限制视频流媒体
   • 设置每日流量配额（"防火墙策略 > 日志设置"中启用流量统计）

2. 日志分析：

   bash复制# 查看切换历史记录
   get log fortigate.log filter "WAN link down"
   
   # 统计4G使用时长
   get log traffic-statistics interface wwan
   

3. 硬件选型建议：

   • 工业级4G模块比消费级更稳定
   • 外接全向天线可提升信号质量
   • 配备UPS防止断电导致切换失败

4. 配置备份策略：

   bash复制# 定期自动备份配置到TFTP服务器
   config system auto-backup
       set status enable
       set tftp-server 192.168.1.100
       set backup-time 02:00
   end
   

在实际的某零售门店部署案例中，通过将4G管理距离调整为15（比默认PPPoE的5更高），配合5秒间隔的健康检查，实现了全年网络可用率99.99%。当主光纤被施工挖断时，收银系统的交易数据通过4G链路持续上传，门店运营未受影响。