admin 08/01/2026

Dual-WAN Failover trên FortiGate - 2 đường Internet dự phòng

Fortigate NAMHI | Giai đoạn 3 | Bài 13

🌐 Dual-WAN Failover trên FortiGate – 2 đường Internet dự phòng, tự động chuyển và tự động quay về

Sau HA (Bài 12) để tránh “hỏng thiết bị”, bước kế tiếp để tránh “đứt Internet” là Dual-WAN Failover. Mục tiêu triển khai thực tế: WAN1 (chính) chạy bình thường, WAN2 (dự phòng) chỉ takeover khi WAN1 lỗi, và tự động chuyển lại khi WAN1 ổn định. Bài này hướng dẫn này sẽ giúp: làm đúng từ thiết kế, monitor đúng kiểu, test failover rõ ràng.

⏱️ 35–55 phút 🎯 Level: Trung cấp 🧰 Dành cho: IT triển khai / IT hệ thống

⬅️ Bài 12: High Availability (HA) ➡️ Đi tới Bài 14 (SD-WAN cơ bản)

🧭 Dual-WAN Failover là gì? Khác SD-WAN chỗ nào?

🌐 Dual-WAN Failover (Bài 13)

Ưu tiên WAN1, WAN2 dự phòng
Monitor link để quyết định “đứt thật”
Phù hợp mô hình đơn giản, dễ vận hành

🧠 SD-WAN (Bài 14)

Chọn đường theo SLA, ứng dụng, ưu tiên traffic
Load-balance thông minh
Phù hợp môi trường đa chi nhánh / nhiều app

💡 NAMHI khuyến nghị: nếu khách chỉ cần “1 đường chính + 1 dự phòng”, hãy bắt đầu bằng Dual-WAN Failover trước. Khi hệ thống lớn hơn, nâng lên SD-WAN.

🎯 Thiết kế chuẩn trước khi cấu hình

✅ ISP & IP

WAN1/WAN2 rõ ràng

WAN1 = ISP chính, WAN2 = ISP dự phòng. Xác định kiểu PPPoE/DHCP/Static IP.

Ghi lại gateway, DNS, kiểu cấp IP.

✅ Monitor Target

Ping “đúng mục tiêu”

Không chỉ ping gateway ISP. Nên ping ra Internet (DNS public, cloud…)

Tránh case: gateway còn sống nhưng Internet chết.

✅ Policy/NAT

Policy ra Internet

LAN → WAN1/WAN2 có NAT, và rule ưu tiên WAN1.

Với nhiều VLAN, cần rule rõ cho từng segment.

⚠️ Sai monitor target là lỗi “tốn giờ support nhất”: WAN vẫn up nhưng user không ra được Internet.

🧩 2 cách làm Dual-WAN Failover (NAMHI khuyến nghị cách 1)

✅ Cách 1: Static routes + Link Monitor / Performance SLA

Dễ hiểu, dễ debug
Kiểm soát ưu tiên bằng distance/priority
Failover & failback rõ ràng

✅ Cách 2: SD-WAN rules (sẽ làm ở Bài 14)

Thông minh hơn, theo ứng dụng
Phù hợp hệ thống phức tạp
Cần set SLA & rules kỹ

💡 Bài 13 tập trung vào “Failover chuẩn” (cách 1). Bài 14 sẽ nâng cấp lên SD-WAN.

1️⃣ Cấu hình WAN1/WAN2 (interface & default route)

Bước 1

Thiết lập WAN1 và WAN2

WAN1: PPPoE/DHCP/Static theo ISP
WAN2: PPPoE/DHCP/Static theo ISP
DNS: ưu tiên DNS public ổn định (hoặc DNS nội bộ nếu có forward)

Bước 2

Tạo 2 default routes (ưu tiên WAN1)

Tạo 2 route 0.0.0.0/0: WAN1 distance thấp hơn (ưu tiên), WAN2 distance cao hơn (dự phòng).

💡 Ví dụ: WAN1 distance 10, WAN2 distance 20 (con số chỉ là nguyên tắc ưu tiên).

2️⃣ Link Monitor: “đứt thật” mới chuyển (quan trọng nhất)

Nếu chỉ dựa vào trạng thái interface up/down thì sẽ gặp case: cáp vẫn cắm, modem vẫn trả link, nhưng Internet “tạch”. Vì vậy phải monitor bằng ping/health-check.

Bước 1

Chọn monitor targets (khuyến nghị 2–3 IP)

Chọn 2–3 mục tiêu khác nhau (ví dụ DNS public / cloud)
Không chỉ ping gateway ISP
Targets nên ổn định, độ tin cậy cao

Bước 2

Gán monitor cho từng WAN

WAN1 có monitor riêng, WAN2 có monitor riêng. Khi WAN1 fail theo monitor → route WAN1 bị “withdraw/disable” và WAN2 takeover.

Bước 3

Thiết lập threshold hợp lý

Đặt số lần fail liên tiếp trước khi coi là down và số lần pass để coi là up. Mục tiêu: tránh “nhấp nháy” chuyển qua lại khi ISP chập chờn.

⚠️ Threshold quá nhạy → false failover; quá lỏng → user chịu lỗi lâu mới chuyển.

3️⃣ Firewall Policy ra Internet (NAT) – làm đúng để chuyển WAN không bị sót

➡️ LAN → WAN1

Incoming: LAN / VLAN
Outgoing: WAN1
NAT: Enable
Log Allowed Traffic: (khuyến nghị) All Sessions

➡️ LAN → WAN2

Incoming: LAN / VLAN
Outgoing: WAN2
NAT: Enable
Log Allowed Traffic: (khuyến nghị) All Sessions

💡 Nếu khách có server publish (DNAT/Virtual IP), cần thiết kế thêm inbound policy theo từng WAN (phần này có thể tách thành bài nâng cao).

🔍 Test Failover & Failback (bắt buộc trước bàn giao)

Test 1

Đang chạy WAN1 → rút cable/đứt modem WAN1

Quan sát Internet chuyển sang WAN2. Test web, VPN outbound, ứng dụng SaaS.

Test 2

WAN1 “còn link nhưng mất Internet”

Giả lập bằng cách chặn upstream (hoặc đổi monitor target), kiểm tra monitor có “down” đúng không.

💡 Đây là test “ăn tiền” vì phản ánh lỗi ISP thực tế hay gặp nhất.

Test 3

Internet WAN1 hồi → tự quay về WAN1

Khôi phục WAN1, quan sát hệ thống chuyển về WAN1 sau khi monitor pass ổn định.

⚠️ Nếu failover ok nhưng failback không quay về: kiểm tra priority/distance và trạng thái monitor WAN1.

❌ Lỗi thường gặp & cách xử lý nhanh (accordion)

❌ WAN1 đứt nhưng không chuyển qua WAN2

Chưa có default route WAN2 hoặc distance ưu tiên sai
Policy LAN→WAN2 thiếu hoặc NAT chưa bật
Monitor chưa “withdraw” route WAN1

❌ Chuyển qua WAN2 được nhưng không quay về WAN1

WAN1 vẫn bị monitor đánh fail (target unreachable)
Distance/priority chưa ưu tiên WAN1
Threshold quá lỏng, chưa đủ pass để coi WAN1 up

❌ Chuyển qua lại liên tục (flapping)

ISP chập chờn + threshold quá nhạy
Monitor target không ổn định
Nên tăng fail/pass count hoặc chọn targets tốt hơn

❌ Một số dịch vụ “đứt” sau failover (mail, VPN outbound, SaaS)

Do thay đổi IP public khi chuyển WAN. Một số dịch vụ whitelisting IP hoặc session nhạy sẽ bị gián đoạn. Cần tư vấn khách: dùng IP cố định, hoặc dịch vụ có cơ chế roaming, hoặc giải pháp nâng cao (SD-WAN, policy theo app).

🧩 Kết luận

Dual-WAN Failover “chuẩn” không phải chỉ tạo 2 default route, mà là monitor đúng để nhận biết lỗi Internet thực sự, và policy/NAT đủ để chuyển WAN không bị sót lưu lượng. Bài tiếp theo (Bài 14) sẽ nâng cấp lên SD-WAN cơ bản để chọn đường theo SLA và ứng dụng.

➡️ Bài tiếp theo