Giriş
FortiGate'in Network menüsü, cihazın tüm ağ katmanı yapılandırmasını barındırır. Arayüz tanımlamalarından dinamik yönlendirme protokollerine, DNS ayarlarından ağ tanılama araçlarına kadar her şey bu menü altında toplanmıştır. Aşağıda her alt menü tek tek ele alınmıştır.
Interfaces — Arayüzler
Ne gösterir: FortiGate üzerindeki tüm fiziksel ve sanal ağ arayüzlerinin listesini, IP adreslerini, durumlarını ve bağlı cihaz sayısını gösterir.
Arayüz Türleri
- Physical: Fiziksel portlar (port1, port2, WAN1 vb.)
- VLAN: Bir fiziksel port üzerinde tanımlanan sanal arayüz (802.1Q)
- Aggregate (LAG): Birden fazla fiziksel portu birleştirerek bant genişliği artırma veya yedekleme
- Redundant: İki fiziksel portu active/standby modda birleştirme
- Loopback: Yönetim veya BGP/OSPF için sanal IP arayüzü
- Tunnel (IPsec, GRE): VPN tünellerinin arayüz temsili
- Software Switch: Birden fazla portu Layer 2 switch gibi birleştirme
Ne için kullanılır?
- WAN ve LAN arayüzlerine IP adresi atama
- VLAN segmentasyonu oluşturma
- Administrative Access ayarlarını yapılandırma (HTTPS, SSH, Security Fabric)
- DHCP sunucusunu arayüz bazında etkinleştirme
- MTU, speed/duplex ayarlarını manuel belirleme
DNS
Ne gösterir: FortiGate'in kendi kullandığı DNS sunucularını ve isteğe bağlı olarak iç ağ istemcilerinin DNS sorgularını nasıl işleyeceğini yapılandırır.
DNS Modları
- Forward to System DNS: Tüm DNS sorguları FortiGate'in tanımlı DNS sunucularına iletilir (varsayılan)
- Local DNS Database: FortiGate kendisi yerel DNS kaydı tutar — belirli hostname'leri statik IP ile eşleştirme
- DNS over TLS/HTTPS: Şifreli DNS sorguları için DoT/DoH desteği
Ne için kullanılır?
- ISP DNS yerine güvenilir DNS sunucusu tanımlamak (8.8.8.8, 1.1.1.1 veya kurumsal DNS)
- İç ağ hostlarını dahili DNS ile çözmek
- DNS filtreleme (FortiGuard DNS Filter) için DNS trafiğini FortiGate üzerinden geçirmek
- DNS rebinding saldırılarına karşı koruma etkinleştirmek
IPAM — IP Adres Yönetimi
Ne gösterir: FortiGate'in ağınızdaki IP adres havuzlarını merkezi olarak yönetmesini sağlar. Özellikle çok sayıda şube veya segment olan ortamlarda IP çakışmalarını önler.
Ne için kullanılır?
- Subnet havuzları oluşturmak ve kullanılan/boş IP'leri görselleştirmek
- Şube FortiGate'lere otomatik subnet atamak (SD-WAN senaryolarında)
- IP çakışması tespiti ve önlenmesi
Not: IPAM özelliği FortiOS 7.0 ve sonrasında geliştirilmiştir. Küçük ağlarda genellikle kullanılmaz; onlarca subnet'i olan kurumsal yapılar için değerlidir.
SD-WAN
Ne gösterir: Birden fazla WAN bağlantısını (fiber, ADSL, LTE) tek bir mantıksal arayüz altında birleştirerek akıllı trafik yönetimi sağlar.
Temel Bileşenler
- SD-WAN Members: WAN arayüzleri ve öncelikleri
- Performance SLA: Her bağlantının gecikme, jitter ve paket kaybı ölçümü
- SD-WAN Rules: Uygulamaya veya hedefe göre hangi WAN hattının kullanılacağı kuralları
Ne için kullanılır?
- Failover: Birincil hat koptuğunda trafiği otomatik yedek hatta taşıma
- Load Balancing: Trafiği birden fazla hat arasında dağıtma
- Uygulama bazlı yönlendirme: VoIP trafiğini düşük gecikmeli hattan, bulk veriyi ucuz hattan gönderme
- Bant genişliği optimizasyonu: En iyi performanslı hattı otomatik seçme
Örnek SD-WAN Kuralı
Microsoft Teams trafiğini her zaman fiber hattan geçirmek için:
config system sdwan
config service
edit 1
set name "Teams_Fiber"
set mode manual
set dst "Microsoft-Teams"
set priority-members 1
next
end
endStatic Routes — Statik Rotalar
Ne gösterir: Manuel olarak tanımlanan ağ yollarını listeler. FortiGate, bir paketi nereye göndereceğini bilmediğinde bu tabloya bakar.
Ne için kullanılır?
- Default route (0.0.0.0/0): İnternete çıkış için gateway tanımı — en temel rota
- İç ağ rotaları: Farklı subnette bulunan ağlara ulaşmak için next-hop tanımı
- VPN rotaları: Uzak sitelere tünel üzerinden erişim için statik rota
- Blackhole rota: Belirli trafiği düşürmek için null arayüze yönlendirme
Rota Önceliği (Distance ve Priority)
Aynı hedefe birden fazla rota varsa Administrative Distance düşük olan tercih edilir. Eşit distance'ta Priority devreye girer. Bu mekanizma failover rotaları oluşturmak için kullanılır:
# Birincil rota (distance 10)
dst: 0.0.0.0/0 gateway: 1.1.1.1 distance: 10
# Yedek rota (distance 20 - yalnızca birincil düşünce aktif olur)
dst: 0.0.0.0/0 gateway: 2.2.2.2 distance: 20Policy Routes — Politika Rotaları
Ne gösterir: Kaynak IP, hedef IP, protokol veya gelen arayüze göre trafiği farklı gateway'lere yönlendirme kuralları. Statik rotadan daha granüler kontrol sağlar.
Ne için kullanılır?
- Belirli bir subnet'in trafiğini her zaman belirli bir WAN hattından çıkarmak
- Yönetim trafiğini (SSH, HTTPS) farklı hattan geçirmek
- Çok ISP'li ortamlarda gelişmiş trafik mühendisliği
Örnek: 192.168.10.0/24 subnet'indeki kullanıcıların trafiği her zaman ISP2'den çıksın — Policy Route ile tek kuralla sağlanır.
RIP — Routing Information Protocol
En eski dinamik yönlendirme protokollerinden biridir. Hop sayısını (maksimum 15) metrik olarak kullanır. Modern kurumsal ağlarda genellikle tercih edilmez — OSPF veya BGP daha güvenilirdir. Yalnızca eski altyapılarla uyumluluk için kullanılır.
OSPF — Open Shortest Path First
Ne gösterir: Link-state tabanlı interior gateway protokolü. Ağ topolojisini tüm routerlar arasında paylaşarak en kısa yolu hesaplar.
Ne için kullanılır?
- Çok sayıda router içeren kurumsal ağlarda otomatik rota öğrenme
- Şube-merkez topolojilerinde dinamik failover
- Data center içi ağ yönlendirmesi
- FortiGate'i mevcut OSPF ağına dahil etme
Temel Kavramlar
- Area: OSPF ağını segmentlere böler. Area 0 (backbone) zorunludur.
- Hello paketi: Komşu routerları keşfetmek için periyodik gönderilir
- LSA (Link State Advertisement): Topoloji bilgisinin yayıldığı mesajlar
- DR/BDR: Multi-access ağlarda seçilen designated router
BGP — Border Gateway Protocol
Ne gösterir: İnternetin omurgasını oluşturan exterior gateway protokolü. AS (Autonomous System) numaraları arasında rota değişimi yapar.
Ne için kullanılır?
- Birden fazla ISP bağlantısı olan kurumlar için çoklu uplink yönetimi (Multi-homing)
- MPLS/leased line ile bağlı şubeler arasında rota öğrenme
- Veri merkezi ve büyük kurumsal ağlarda trafik mühendisliği
- SD-WAN overlay ağlarında underlay BGP kullanımı
Not: BGP, RIP ve OSPF'e göre daha karmaşık bir yapılandırma gerektirir. Yanlış yapılandırma ciddi routing sorunlarına yol açabilir — uzman desteği önerilir.
Routing Objects — Yönlendirme Nesneleri
Ne gösterir: OSPF ve BGP yapılandırmalarında kullanılan route-map, prefix-list ve access-list gibi yardımcı nesneleri barındırır.
Ne için kullanılır?
- Prefix List: Belirli ağ bloklarını filtrele veya izin ver
- Route Map: Rota özelliklerini (metric, next-hop, community) değiştir
- Access List: Dinamik yönlendirme protokollerinde rota filtreleme
Bu nesneler tek başına işlev görmez; OSPF veya BGP yapılandırmalarında referans olarak kullanılır.
Multicast
Ne gösterir: IP multicast trafiğinin yönetimi için PIM (Protocol Independent Multicast) ve IGMP (Internet Group Management Protocol) ayarlarını barındırır.
Ne için kullanılır?
- IP TV ve video akış altyapıları
- IPTV dağıtım ağları
- Video konferans sistemlerinde multicast optimizasyonu
- Finansal sistemlerde piyasa verisi (market data) dağıtımı
Not: Multicast, özel bir ihtiyaç olmadıkça kurumsal ağlarda aktif tutulmaz. Devre dışı bırakılmış bırakmak güvenlik açısından önerilir.
Diagnostics — Ağ Tanılama
Ne gösterir: FortiGate GUI üzerinden çalıştırılabilen ağ tanılama araçlarını sunar. Komut satırına gerek kalmadan temel testler yapılabilir.
Araçlar
- Ping: Hedef IP'ye ICMP echo testi. Kaynak arayüzü seçilebilir — bu özellikle çok arayüzlü ortamlarda kritiktir.
- Traceroute: Hedefe giden yol üzerindeki her atlamayı (hop) ve gecikmeyi gösterir.
- DNS Lookup: Belirli bir domain'in DNS çözümlemesini FortiGate üzerinden test eder.
- Sniffer (Packet Capture): Belirli bir arayüzdeki trafiği anlık yakalar — sorun gidermede en güçlü araç.
Packet Capture (Sniffer) Kullanımı
CLI üzerinden daha gelişmiş filtreleme mümkündür:
# port1 arayüzünde tüm ICMP trafiğini yakala
diagnose sniffer packet port1 "icmp" 4 10
# Belirli bir IP'nin trafiğini izle
diagnose sniffer packet any "host 192.168.1.100" 4
# HTTP trafiğini izle
diagnose sniffer packet any "port 80" 4 100Ping'de Kaynak Arayüzü Seçimi Neden Önemli?
FortiGate'de ping yaparken kaynak arayüzünü seçmezseniz, FortiGate en uygun arayüzü otomatik seçer ve bu test sonucunu yanıltabilir. Örneğin WAN üzerinden bir hedefe erişimi test etmek istiyorsanız kaynak olarak WAN arayüzünü seçmelisiniz.
Hangi Senaryo için Hangi Menü?
| Senaryo | Kullanılacak Menü |
|---|---|
| WAN bağlantısı kurulamıyor | Interfaces → WAN arayüzü, Static Routes → Default Route, Diagnostics → Ping |
| DNS çözümlenmiyor | DNS → DNS sunucusu, Diagnostics → DNS Lookup |
| İki WAN hattı var, failover isteniyorr | SD-WAN veya Static Routes → farklı distance ile |
| Şube ağları otomatik öğrenilsin | OSPF veya BGP |
| Belirli bir subnet farklı ISP'den çıksın | Policy Routes |
| Ağda paket kaybı var, nerede sorun? | Diagnostics → Traceroute, Sniffer |
Sonuç
FortiGate'in Network menüsü, basit bir arayüz IP atamasından BGP gibi karmaşık yönlendirme protokollerine kadar her ölçekteki ağ ihtiyacını karşılar. Günlük operasyonlarda en sık kullanılanlar Interfaces, Static Routes, DNS ve Diagnostics'tir. SD-WAN ise çok WAN hatlı ortamlarda vazgeçilmez hale gelmiştir. Lider Network olarak FortiGate ağ tasarımı, SD-WAN kurulumu ve yönlendirme protokolleri yapılandırmasında NSE sertifikalı mühendislerimizle yanınızdayız.