1. 固定IP宽带接入基础认知固定IP宽带是企业网络部署中最常见的接入方式之一。与普通家庭宽带最大的区别在于运营商为企业用户分配了固定的公网IP地址而不是每次拨号随机获取的动态IP。这种接入方式带来的优势非常明显网络稳定性更高、上行带宽更大、支持多公网IP地址分配特别适合需要对外提供服务的场景。我第一次接触固定IP宽带是在2015年当时给一家电商公司部署邮件服务器。那时犯了个低级错误——把子网掩码输错了一位导致整个公司断网两小时。这个教训让我深刻认识到固定IP配置虽然看似简单但每个参数都必须精确无误。固定IP宽带通常包含以下核心参数公网IP地址运营商分配给你的唯一标识子网掩码定义IP地址的网络部分和主机部分默认网关数据包离开本地网络的出口DNS服务器域名解析服务地址这些参数一般会由运营商以书面形式提供建议收到后先做好备份。在实际部署中我发现很多网络故障都源于参数输入错误特别是容易混淆255.255.255.0和255.255.254.0这样的子网掩码。2. FortiGate接口配置实战2.1 外网接口配置登录FortiGate防火墙后配置固定IP宽带的第一步就是设置外网接口。在7.0版本中操作路径是【网络】-【接口】。这里有个细节需要注意不同型号的FortiGate对接口的默认定义不同。中低端设备通常有明确的Wan1、Wan2接口而高端设备则需要手动定义每个接口的角色。我习惯使用port1作为外网接口配置步骤如下点击port1对应的【编辑】按钮在别名处填写有意义的名称如Internet_Line1角色选择【WAN】接口模式选择【手动】输入运营商提供的IP地址和子网掩码首次配置建议开启PING和HTTPS管理协议这里有个实用技巧在输入IP参数时我通常会打开记事本先粘贴运营商提供的参数然后逐个复制到对应字段。这样可以避免手动输入错误。曾经有次项目客户把192.168.1.1误输为192.168.l.1字母l代替数字1排查了整整一上午。2.2 静态路由配置配置完接口IP后很多人会忽略一个关键步骤——添加默认路由。与PPPoE拨号不同固定IP接入不会自动生成默认路由。缺少这一步防火墙虽然能识别外网接口但不知道如何将数据包发送到互联网。添加静态路由的具体方法进入【网络】-【静态路由】点击【新建】接口选择刚才配置的外网接口如port1目的地址保持0.0.0.0/0网关输入运营商提供的网关地址其他参数保持默认在实际项目中我遇到过网关地址与接口IP不在同一网段的情况。这种情况虽然少见但确实存在。如果发现ping不通网关建议先用get router info routing-table all命令检查路由表确认默认路由是否生效。3. 内网接口与DHCP部署3.1 内网接口配置内网接口的配置逻辑与外网接口类似但角色要选择【LAN】。FortiGate的中低端型号通常会有标记为internal或LAN的专用内网接口但高端设备同样需要手动指定。我的标准配置流程选择一个物理接口如port5设置易于识别的别名如Office_LAN角色选择【LAN】接口模式为【手动】输入规划好的内网IP地址如192.168.10.1/24根据需要开启HTTPS和PING协议这里有个经验之谈内网IP规划要预留扩展空间。比如当前只有50台设备不要用192.168.1.0/26仅支持62个主机建议至少用/24网段。我见过太多企业因为初期规划不足后期不得不重新规划IP导致的网络中断。3.2 DHCP服务配置对于中小型企业直接在防火墙上开启DHCP是最简单的方案。配置要点包括启用DHCP服务器设置地址池范围如192.168.10.100-192.168.10.200租期时间默认7天通常够用DNS服务器设置关于DNS服务器有个实际经验分享如果只有单条宽带建议使用运营商提供的DNS解析速度更快但如果是多运营商线路则推荐使用114.114.114.114或8.8.8.8等公共DNS。曾经有个客户同时接了电信和联通线路但DNS设为了电信的结果联通线路的解析总是超时。4. 防火墙策略与NAT配置4.1 上网策略创建允许内网访问外网的基础策略配置进入【策略与对象】-【防火墙策略】点击【新建】流入接口选择内网接口如port5流出接口选择外网接口如port1源地址和目标地址先设为ALL后期再细化服务也暂时选择ALL最关键的一步启用NATNAT网络地址转换是内网设备访问互联网的核心技术。简单理解它把多个内网IP转换成单个公网IP进行通信。如果不启用NAT内网设备将无法上网。我遇到过不少新手管理员忘记勾选这个选项导致整个公司无法上网的案例。4.2 策略状态检查新建策略后界面会显示策略状态图标绿色对勾策略生效且路径可达黄色三角策略配置完成但路径不通红色叉号策略配置有误如果看到黄色三角通常是因为接口未连接网线。这时可以临时用笔记本直连接口进行测试。有个排查技巧在命令行输入diagnose debug flow可以查看数据包的实际流向对排查策略问题非常有帮助。5. 多公网IP的高级应用5.1 附加IP地址配置固定IP宽带的优势之一是可以分配多个公网IP。在FortiGate上配置附加IP的方法编辑外网接口如port1找到【附加的IP地址】选项点击【新建】输入其他可用的公网IP和子网掩码根据需要开启管理协议附加IP最常见的用途是端口映射。比如你有三台内部服务器都需要通过80端口对外提供服务这时就需要三个公网IP分别映射。我去年给一家酒店部署系统时就用了这个方案实现多台预订服务器同时对外服务。5.2 IP池的应用IP池功能可以实现更灵活的地址转换进入【策略与对象】-【IP池】点击【新建】输入IP池名称选择类型动态或固定输入外部IP范围在防火墙策略中引用该IP池实际案例某跨境电商需要不同部门使用不同公网IP访问海外平台。通过配置IP池实现了财务部用IP1、运营部用IP2的精准控制避免了账号关联风险。配置时要注意IP池的类型选择会影响NAT行为需要根据实际需求选择。