【接口篇 / Wan】(7.0) ❀ 05. 将 4G 作为备用宽带使用 ❀ FortiGate 防火墙

　　我们已经知道FortiGate防火墙可以使用4G网络，但由于4G的带宽不够，有ADSL或固定IP宽带的话，还是尽量使用ADSL或固定IP宽带，只在ADSL或固定IP宽带不能使用的情况下，才将4G作为应急宽带使用。

 为了更接近实际使用环境，我们使用FortiWiFi 60E作为演示，这是因为通常需要4G作备用宽带的，都是因为宽带不稳定，一般在分公司或比较小的站点使用。固件升级为最新的7.0.1版本。

 第一步是配置宽带接口，这次我们使用ADSL拨号和4G上网。60E为桌面式防火墙，默认有两个宽带接口，这里我们将ADSL宽带接入Wan1，双击Wan1或选择Wan1，点击【编辑】。 

　　① 输入别名，选择【PPPoE】，输入ADSL宽带的帐号和密码，点击【确认】。

　　② 稍等一会儿，刷新接口界面，可以看到Wan1接口得到了IP地址，选择Wan1，点击【编辑】。

　　③ 可以看到Wan1接口接入的ADSL宽带拨号成功，得到了IP地址、网关以及DNS。需要注意的是：PPPoE默认管理距离为5。这个数字很重要，后面我们会用到。

　　④ ADSL拨宽带接口配置完成，下面继续配置4G，需要用到命令，点击右上角命令图标。

　　⑤ 输入命令config system lte-modem，配置4G Modem，输入命令set status enable ，将状态设置为启用，命令end，结束并保存。然后就可以关闭命令窗口了。

　　⑥ 在接口菜单，多出一个wwan接口，并且获得到IP地址。这表示4G Modem工作正常。选择wwan，点击【编辑】。

　　⑦ 可以看到IP地址、网关以及DNS，象极了路由器DHCP获得的内容。另外，大家注意，它的管理距离是1，而PPPoE拨号的管理距离是5，这两个接口的管理距离不相同。

 两个宽带接口配置好了，下一步就是配置内网接口了。在60E中，port1到port7默认为内网口，软件交换，共用默认IP地址192.168.1.99，这里我们需要修改成实际使用的内网网段，选择lan口，点击【编辑】。 

　　① 输入别名，修改内网IP地址，同样还要修改DHCP中的地址范围，由于ADSL拨号宽带是移动的，4G是电信的，他们的DNS不相同，因此为了以后不那么麻烦，这里指定DNS服务器为通用的114.114.114.114和8.8.8.8，虽然解析会慢一点，但在不同运营商的环境下，不用修改DNS。

　　② 电脑重新获得IP地址，用新的IP地址https://172.16.1.1再次登录防火墙。

 防火墙的内网也可以分为多个接口和网段，这里我们暂时只用一个做为演示。外网和内网接口都配置完了，下面就要配置上网策略了。中低端防火墙，都会有一条默认lan到wan1的上网策略。选择菜单【策略&对象】-【防火墙策略】，选择默认的上网策略，点击【编辑】。 

　　① 默认上网策略内容已经很完整，允许lan接口访问wan1接口，NAT也启用了，这里只要给策略取个名称就可以了。

　　② 由于我们有两个宽带接口，因此还需要新建一条上网策略，流入接口为lan，流出接口为4G的wwan，其它相同。

 上网的几个必备条件：外网接口、路由（都是自动生成）、内网接口以及上网策略都已经有了，现在就可以测试是否能上网了。在DOS命令窗口ping百度网址，可以得到百度的IP地址并可以Ping通，说明上网没有问题。 

　　① 由于我们现在有两个上网宽带，一个ADSL拨号，一个4G，那么走哪个上网怎么看呢？选择菜单【仪表板】-【FortiView Sources】，可以看到本机的IP地址以及流量、会话等信息，双击IP地址，可以看到更多内容。

　　② 选择子选项【策略】，可以看到目标接口是wwan，说明刚才的上网是走4G出去的。

　　③ 为了更清晰的看清楚两条宽带的上网情况，选择菜单【仪表板】-【Network】，

　　④ 在网络选项中点击【接口带宽】。

　　⑤ 选择wan1接口，一次只能选择一个接口，再一次点击【接口带宽】，选择wwan接口。

　　⑥ 将Network窗口拉到最下面，可以看到两个宽带接口的入站、出站流量情况，是不是更直观？

 下面我们来分析一下，我们配置了两条宽带：ADSL和4G，配置完成后却走的是4G上网，而不是ADSL宽带呢？其实这是和路由有关的。选择菜单【仪表板】-【Network】，选择【路由】。 

　　① 在路由表里我们只看到了4G的默认路由，那么ADSL的默认路由哪去了 ？

　　② 进入命令窗口，输入命令get router info routing-table database，可以得到所有活动或非活动的路由，我们看到两条0.0.0.0/0的路由中，wwan的前面有个*>号，这表示是活动路由，而ppp2的没有，表示是非活动路由。再用命令get foute info routing-table all，查看路由表，只有wwan，而没有ppp2，现在明白了吧，这是由于管理距离的不同，路由表中只有最小管理距离的路由是活动的。

　　③ 要先ADSL优先上网怎么办？当然是使ADSL接口的管理距离最小，编辑wwan接口，将wwan接口的管理距离，由1修改成10。

　　④ 由于ADSL宽带接口的管理距离默认是5，再看路由表，是不是变成ppp2为活动路由了？

　　⑤ 再用命令查看路由表，wwan现在是非活动路由，而ppp2是活动路由了。

 　　⑥ 打开浏览器，用百度搜索IP，得到的是移动的IP，这个IP也就是ADSL拨号宽带的IP地址。而4G是电信的，这就说明现在是走ADSL上网。

　　⑦ 打开浏览器，播放一段视频。

　　⑧ 在Network窗口，查看两个宽带接口的流量，很明显示wan1接口有流量，而wwan接口没有流量了。

　　⑨ 在FortiView Sources窗口下查看IP地址172.16.1.20的策略，目标接口是wan1，说明现在是走wan1上网了。

  现在的情况是专门走ADSL宽带上网了，那么如果ADSL宽带接口断开了，还会走4G上网吗？我们来试一试，在接口界面，选择wan1口，点击右键，弹出菜单中选择【设置状态】-【禁用】。这样wan1口就断开了。 

　　① 长Ping百度网址，发现即使wan1口断开，Ping包都没有丢失。

　　② 查看两个宽带接口情况，可以看到wan1已经没有流量了，而wwan有流量。很明显，当ADSL接口断开后，4G就接着上网了。

---