Ağlarda broadcast, multicast veya unknown unicast trafiği belirli bir eşiğin üzerine çıktığında, bu durum “storm” olarak adlandırılan trafik fırtınalarına yol açabilir. Bu fırtınalar, switch CPU’sunu ve uplink bağlantılarını aşırı yükleyerek ağda ciddi performans düşüşü, hatta servis kesintilerine neden olabilir.
Storm Control, bu tür istenmeyen trafiklerin seviyesini sınırlandırarak ağı koruyan bir güvenlik ve performans önlemidir. Fortinet altyapısında, FortiSwitch cihazları FortiGate üzerinden FortiLink ile yönetildiğinde, storm control yapılandırmaları da doğrudan FortiGate üzerinden yapılır.
FortiGate Üzerinden FortiSwitch Storm Control Nasıl Yapılandırılır?
1.Storm Control Politikası Oluşturma
Öncelikle, ağınızda yayına neden olabilecek trafik türlerini hedefleyen bir storm control politikası tanımlamanız gerekir:
config switch-controller storm-control-policy
edit "storm-policy-1"
set storm-control-mode override
set rate 500
set unknown-unicast enable
set unknown-multicast enable
set broadcast enable
next
end
rate değeri 500 pps (paket/saniye) cinsindendir. 500 pps gibi bir değer çoğu uç cihaz için yeterlidir. Ancak ağınıza göre test ederek optimize etmeniz önemlidir.2.Politikayı Uygulamak İstediğiniz Porta Atama
Belirli bir FortiSwitch portuna bu politikayı atamak için:
config switch-controller managed-switch
edit <SWITCH_SERI_NO>
config ports
edit port1
set storm-control-policy "storm-policy-1"
next
endport1 örnektir. Gerçek port adını ve FortiSwitch seri numarasını kullanmanız gerekir. Seri numaraları için: get switch-controller managed-switch komutu kullanılabilir.Hangi Portlarda Storm Control Kullanılmalı?
Storm Control yapılandırmasında en kritik konu, doğru portlara uygulanmasıdır. Aksi takdirde önemli servislerde kesinti yaşanabilir.
✅ Storm Control Kullanılması Önerilen Portlar
Bu tür portlarda storm control, ağ performansını korumak için oldukça faydalıdır:
| Port Türü | Tipik Cihazlar | Açıklama |
|---|---|---|
| Uç portlar | IP Kamera, VoIP Telefon | Multicast ve broadcast üretme eğilimindedirler. Loop durumunda fırtına yaratabilirler. |
| Misafir portları | Laptop, BYOD cihazlar | DHCP, NetBIOS, mDNS gibi çok sayıda yayın trafiği üretebilirler. |
| AP portları | Kablosuz Access Point | Yayın bazlı protokoller kullandıkları için multicast trafiği yüksektir. |
| Medya cihazları | Smart TV, IP medya oynatıcı | DLNA, IPTV gibi servislerde yoğun multicast kullanımı görülür. |
❌ Storm Control Kullanılmaması Gereken Portlar
Bazı portlara storm control uygulanması sistemsel sorunlara yol açabilir:
| Port Türü | Tipik Cihazlar | Neden Kaçınılmalı? |
|---|---|---|
| Uplink portları | Diğer switch bağlantıları | Broadcast doğal olarak yüksektir, sınırlandırılırsa ağ kesilir. |
| FortiLink portları | FortiSwitch trunk | Yönetim trafiğini engelleyerek FortiSwitch erişimini bozabilir. |
| Sunucu bağlantıları | Hypervisor, DHCP, DNS | Bazı servisler bilinçli olarak yayın yapar, engellenmesi servis kesintisi yaratır. |
Sonuç
Storm Control, ağın kararlılığı ve güvenliği için özellikle uç cihazlar bağlanan portlarda mutlaka uygulanması gereken bir önlemdir. FortiGate üzerinden tanımlanan politikalarla FortiSwitch portlarında bu trafiği sınırlayarak:
- Broadcast fırtınalarını önler,
- Multicast yoğunluğunu kontrol eder,
- Loop ve ağ darboğazlarını engeller.
Ancak, storm control yanlış portlara uygulanırsa bağlantı problemleri yaşanabilir. Bu nedenle cihaz türlerine göre seçici davranmak en iyi uygulamadır.
Kaynak:
https://docs.fortinet.com/document/fortiswitch/7.6.3/fortilink-guide/173291
