SD-WAN para filiais: como usar múltiplos links com failover automático no FortiGate

O problema: filial dependente de um único link

A maioria das filiais brasileiras tem um único link de fibra ou cabo para acesso à internet e à rede da sede. Quando esse link cai — queda de energia no provedor, corte de cabo, falha no equipamento do ISP — a filial perde completamente o acesso a sistemas críticos, VPN, Microsoft 365 e comunicação.

A solução clássica era contratar um segundo link MPLS dedicado — caro, com longo prazo de ativação e muitas vezes do mesmo provedor físico que o link principal. O SD-WAN com FortiGate muda esse cenário: um segundo link 4G/5G ou de um segundo provedor de fibra funciona como backup automático com custo mensal baixo.

Configurando SD-WAN no FortiGate: passo a passo

1. Adicionar interfaces ao SD-WAN: em Network > SD-WAN > SD-WAN Zones, crie uma zona (ex: internet) e adicione as interfaces WAN — wan1 para fibra principal, wan2 para 4G de backup. O FortiGate passa a tratar essas interfaces como membros do grupo SD-WAN.

2. Configurar Performance SLAs: em Network > SD-WAN > Performance SLAs, crie uma SLA com os critérios de qualidade aceitável para cada link — latência máxima de 100ms, jitter máximo de 20ms, perda de pacotes máxima de 2%. O FortiGate monitora cada link continuamente com probes para servidores de referência.

3. Criar SD-WAN Rules: em Network > SD-WAN > SD-WAN Rules, defina o roteamento por tipo de tráfego. Microsoft 365 e Teams: link com menor latência. Backup e transferências bulk: link mais barato. Tráfego geral: balanceamento entre os links disponíveis.

Failover automático: como o FortiGate decide

O FortiGate monitora a qualidade de cada link em tempo real via Performance SLAs. Quando um link degrada abaixo dos limites configurados — ou cai completamente — o tráfego é movido automaticamente para o melhor link disponível.

O processo de failover é rápido: o FortiGate detecta a degradação em segundos (dependendo do intervalo de probe configurado) e remapeia as sessões ativas para o link alternativo. Sessões TCP estabelecidas podem ser afetadas brevemente, mas aplicações modernas se recuperam automaticamente.

Quando o link principal se recupera e estabiliza acima dos SLA configurados por um período mínimo (configurável), o tráfego retorna automaticamente — sem necessidade de reinicialização ou intervenção do administrador.

Balanceamento de carga entre links

Além do failover, o SD-WAN permite balanceamento de carga — usar os dois links simultaneamente para distribuir o tráfego e aproveitar a largura de banda agregada dos dois.

O FortiGate suporta diferentes algoritmos de balanceamento: por sessão (cada nova sessão vai para o link com menos carga), por volume (distribui por bytes transferidos) e por destino (mesmos destinos sempre pelo mesmo link — útil para aplicações que não toleram mudança de IP no meio da sessão).

Com dois links de 100 Mbps em balanceamento, a filial tem até 200 Mbps de capacidade agregada para tráfego normal — com failover automático se um dos links cair.

Gestão centralizada de múltiplas filiais

Para empresas com 5 ou mais filiais, gerenciar o SD-WAN de cada FortiGate individualmente não é escalável. O FortiManager centraliza a gestão com templates de SD-WAN que se aplicam a todas as filiais:

Um único template define as regras de SD-WAN, os SLAs e as políticas de firewall — e é propagado automaticamente para todas as filiais do grupo. Mudanças (adicionar um novo link, ajustar prioridade de aplicação) são feitas uma vez e implantadas em segundos em todas as filiais simultaneamente.

O FortiAnalyzer complementa com visibilidade de qualidade de link por filial — latência, jitter, eventos de failover e volume de tráfego por link — em uma única tela de dashboard.