Как настроить SD-WAN на FortiGate: Интеллектуальное управление каналами связи

Опубликовано: 10 Февраля 2026 | Время чтения: 8 минут | Автор: Сетевой интегратор ООО «Альфаком»

Технология SD-WAN (Software-Defined Wide Area Network) произвела революцию в маршрутизации трафика филиалов. Если раньше компании переплачивали за дорогие выделенные линии MPLS ради стабильности, то сегодня Fortinet позволяет использовать два недорогих обычных интернет-канала (например, широкополосный доступ + 4G/LTE), получая при этом идеальное качество связи даже для капризных голосовых сервисов (VoIP) и видеоконференций.

В этой статье мы разберем логику и основные шаги настройки базового SD-WAN в графическом интерфейсе FortiOS 7.x.

Схема работы Fortinet Secure SD-WAN с маршрутизацией через 2 интернет-провайдера

Интеллектуальная маршуртизация: FortiGate "на лету" определяет лучший по качеству канал и отправляет критический трафик через него.

Три кита SD-WAN в FortiOS

Настройка SD-WAN на устройствах FortiGate концептуально состоит из трех блоков:

SD-WAN Members (Участники) — физические или логические интерфейсы (WAN1, WAN2, VPN-туннели), которые мы "скармливаем" логическому виртуальному интерфейсу SD-WAN.
Performance SLA (Датчики качества) — пинговальщики и тесты (ping, HTTP, DNS), которые непрерывно замеряют Latency (Задержку), Jitter (Джиттер) и Packet Loss (Потерю пакетов) на каждом из каналов-участников.
SD-WAN Rules (Правила маршрутизации) — интеллектуальные правила, которые говорят: "Если трафик это Zoom и канал WAN1 стал хуже определенного порога качества, мгновенно переключи сессию на WAN2".

                Важное замечание: Прежде чем добавить интерфейс (например, WAN1) в зону SD-WAN, убедитесь, что на нем не "висят" активные политики безопасности (Firewall Policies) или статические маршруты, иначе система не позволит его перенести.
            

Шаг 1. Создание интерфейса SD-WAN и добавление каналов

Перейдите в меню Network → SD-WAN.

Включите интерфейс SD-WAN (SD-WAN Status: Enable). Создайте SD-WAN Zone (по умолчанию уже есть зона "virtual-wan-link").
Нажмите Create New → SD-WAN Member.
В выпадающем списке выберите ваш первый канал WAN1. Укажите шлюз провайдера. Затем повторите процедуру для WAN2. В итоге у вас появятся два участника балансировки.

Шаг 2. Настройка статического маршрута

Так как физические интерфейсы ушли внутрь виртуального SD-WAN интерфейса, классические маршруты по умолчанию (0.0.0.0/0) через WAN1 больше не работают. Нам нужен новый маршрут.

Перейдите в Network → Static Routes и создайте новый маршрут:
Destination: 0.0.0.0/0
Interface: Ваш логический интерфейс SD-WAN.

Шаг 3. Настройка метрик качества (Performance SLA)

Без этого шага SD-WAN — это просто "глупая" балансировка (ECMP). Чтобы добавить интеллект, перейдите в раздел Network → SD-WAN → Performance SLAs.

Создайте новый датчик: выберите протокол (например, Ping) и укажите надежные серверы в интернете (Google 8.8.8.8 или внутренние серверы штаб-квартиры, если вы строите распределенную VPN сеть).
В разделе Participants выберите добавленные ранее WAN1 и WAN2. Теперь FortiGate каждую секунду будет измерять качество связи на обоих каналах.

Шаг 4. Настройка политик (SD-WAN Rules)

Переходим к самому вкусному: Network → SD-WAN → SD-WAN Rules.

Создадим правило для голосового трафика (VoIP).
В поле Destination выберите Internet Services и найдите "Zoom", "Skype" или корпоративную IP-PBX.
В стратегии маршрутизации (Outgoing Interfaces) выберите Best Quality (Лучшее качество). FortiGate попросит вас выбрать Performance SLA (датчик, созданный на шаге 3) и критерий оценки (например, Latency).
Теперь для всех видеоконференций фаервол будет автоматически выбирать тот кабель провайдера, где пинг до сервера меньше всего в данную секунду.

Шаг 5. Политика Firewall (Межсетевого экрана)

Не забудьте разрешить выход в интернет! Перейдите в Policy & Objects → Firewall Policy.

Создайте правило для выхода сотрудников из LAN в интернет. В качестве Outgoing Interface (Исходящего интерфейса) выберите весь логический блок SD-WAN Zone, включите NAT и Security Profiles.