# Ağ Segmentasyonu ve VLAN Yapılandırması: Kurumsal Ağlar İçin Kapsamlı Rehber
Modern kurumsal ağlarda **ağ segmentasyonu ve VLAN yapılandırması**, hem güvenliğin hem de performansın temel taşıdır. Düz (flat) bir ağ yapısı, bir saldırganın tek bir uç noktayı ele geçirdiğinde tüm altyapıya erişebilmesi anlamına gelir. Gartner'ın 2024 raporuna göre kurumsal veri ihlallerinin %68'i, ağ içinde yapılan yatay hareket (lateral movement) sayesinde büyümektedir. Bu nedenle BT yöneticilerinin ağ segmentasyonunu stratejik bir öncelik olarak ele alması gerekmektedir. Bu rehberde VLAN yapılandırmasının teknik detaylarını, en iyi uygulamaları ve dikkat edilmesi gereken noktaları ele alıyoruz.
Ağ Segmentasyonu Nedir ve Neden Kritik?
Ağ segmentasyonu, fiziksel veya mantıksal olarak bir bilgisayar ağını birden fazla küçük ağa bölme işlemidir. Bu yaklaşım sayesinde her segment kendi güvenlik politikalarına, erişim kontrollerine ve trafik yönetimine sahip olur. Örneğin finans departmanı, muhasebe sistemleri, IoT cihazları ve misafir Wi-Fi farklı segmentlerde tutulduğunda, bir segmentteki güvenlik ihlali diğerlerini etkilemez.
Segmentasyonun en büyük avantajı, **saldırı yüzeyini (attack surface)** önemli ölçüde azaltmasıdır. Ransomware saldırılarının %80'inden fazlası, düzgün segmente edilmemiş ağlarda yayılma fırsatı bulur. Bunun yanı sıra segmentasyon, broadcast trafiğini %30-40 oranında azaltarak ağ performansını da iyileştirir. PCI DSS, KVKK ve ISO 27001 gibi uyumluluk standartları da kritik verilerin segmente edilmiş ağlarda tutulmasını zorunlu kılar.
VLAN Yapılandırması ve Çalışma Mantığı
VLAN (Virtual Local Area Network), tek bir fiziksel switch üzerinde birden fazla mantıksal ağ oluşturmayı sağlayan IEEE 802.1Q standardına dayalı bir teknolojidir. Her VLAN, kendi broadcast domain'ine sahiptir ve farklı VLAN'lar arasındaki iletişim ancak Layer 3 cihazlar (router veya Layer 3 switch) üzerinden yapılır. Bu yapı, fiziksel altyapıdan bağımsız olarak departman bazlı, fonksiyon bazlı veya güvenlik düzeyi bazlı bölümlemeler yapmaya imkan tanır.
VLAN'lar genellikle 1-4094 arasında ID'lerle tanımlanır; VLAN 1 varsayılan (default) VLAN olup üretim ortamında kullanılmaması önerilir. Tipik bir kurumsal yapılandırmada şu VLAN'lar yer alır: Yönetim VLAN'ı (VLAN 10), Kullanıcı VLAN'ı (VLAN 20), Sunucu VLAN'ı (VLAN 30), VoIP VLAN'ı (VLAN 40), IoT VLAN'ı (VLAN 50) ve Misafir VLAN'ı (VLAN 99). Huawei S5700 veya S6700 serisi switch'lerde VLAN tanımlama oldukça basittir; `vlan batch 10 20 30` komutu ile birden fazla VLAN aynı anda oluşturulabilir.
Trunk, Access Portlar ve Inter-VLAN Routing
VLAN yapılandırmasında portların doğru tipte ayarlanması kritik öneme sahiptir. **Access portlar** tek bir VLAN'a aittir ve genellikle bilgisayar, yazıcı, IP telefon gibi son kullanıcı cihazlarına bağlanır. **Trunk portlar** ise birden fazla VLAN trafiğini taşıyabilir ve switch-to-switch veya switch-to-router bağlantılarında kullanılır. Trunk portlarda 802.1Q tagging mekanizması ile her paket, ait olduğu VLAN ID'si ile etiketlenir.
Farklı VLAN'lar arasında iletişim sağlamak için **inter-VLAN routing** yapılandırması gereklidir. Bu işlem ya Layer 3 switch üzerinde SVI (Switched Virtual Interface) tanımlanarak ya da router-on-a-stick yöntemi ile yapılır. Layer 3 switch yaklaşımı daha performanslıdır ve büyük kurumsal ortamlar için önerilir. Inter-VLAN routing yapılandırılırken ACL (Access Control List) kuralları mutlaka eklenmelidir; aksi halde segmentasyonun güvenlik avantajı büyük ölçüde kaybolur.
Mikro Segmentasyon ve Zero Trust Entegrasyonu
Geleneksel VLAN tabanlı segmentasyon, modern tehditlere karşı bazen yetersiz kalabilir. Bu noktada **mikro segmentasyon** devreye girer; bu yaklaşımda her iş yükü (workload) kendi güvenlik çevresine sahip olur. VMware NSX, Cisco ACI veya Fortinet FortiGate çözümleri ile veri merkezindeki her sanal makine arasındaki trafik bile politika bazlı kontrol edilebilir. Bu yöntem özellikle east-west trafik güvenliği için kritiktir.
Mikro segmentasyon, **Zero Trust** mimarisinin temel bileşenidir. "Asla güvenme, her zaman doğrula" prensibi gereği, her bağlantı kimlik doğrulama ve yetkilendirme süreçlerinden geçer. Fortinet FortiGate firewall'lar, kurumsal ağlarda VLAN segmentasyonunu Zero Trust politikalarıyla birleştirerek hem kuzey-güney hem de doğu-batı trafiğini detaylı şekilde inceleyebilir. Bu sayede bir kullanıcı veya cihaz, sadece görevini yerine getirmek için ihtiyaç duyduğu kaynaklara erişebilir.
VLAN Yapılandırmasında En İyi Uygulamalar
Profesyonel bir VLAN yapılandırması için bazı en iyi uygulamaları takip etmek gerekir. Öncelikle **dokümantasyon** çok önemlidir; her VLAN ID'sinin hangi departmana ait olduğu, IP aralıkları ve gateway bilgileri ayrıntılı şekilde belgelenmelidir. Yönetim VLAN'ı (management VLAN) mutlaka kullanıcı trafiğinden ayrılmalı ve sadece yetkili IP'lerden erişilebilir olmalıdır.
VTP (VLAN Trunking Protocol) kullanımı dikkat ister; yanlış yapılandırılmış bir VTP, tüm ağdaki VLAN bilgilerinin yanlışlıkla silinmesine yol açabilir. Bu nedenle VTP transparent modu veya manuel VLAN tanımlama tercih edilmelidir. **Native VLAN** ayarı varsayılan VLAN 1'den farklı bir VLAN'a (örneğin VLAN 999) atanmalı ve hiçbir trafik bu VLAN üzerinden taşınmamalıdır. Ayrıca STP (Spanning Tree Protocol) yapılandırması, VLAN bazlı RPVST+ veya MSTP olarak düzenlenmeli; root bridge seçimi manuel yapılmalıdır.
Performans, İzleme ve Sorun Giderme
VLAN yapılandırmasından sonra düzenli izleme ve performans analizi yapmak gerekir. SNMP tabanlı izleme araçları, PRTG, Zabbix veya SolarWinds gibi platformlar her VLAN'ın trafik yoğunluğunu, hata oranlarını ve broadcast/multicast oranlarını gerçek zamanlı olarak takip edebilir. NetFlow veya sFlow protokolleri ile trafik analizi yaparak anormal davranışları erkenden tespit etmek mümkündür.
Sorun giderme aşamasında en yaygın hatalar; trunk port üzerinde VLAN'ın "allowed list"e eklenmemesi, native VLAN uyumsuzluğu ve duplicate IP atamalarıdır. `show vlan brief`, `show interfaces trunk` ve `display port vlan` (Huawei) komutları temel teşhis araçlarıdır. Switch CPU ve memory kullanımı da düzenli kontrol edilmelidir; aşırı broadcast trafiği veya yanlış yapılandırılmış STP, switch'leri zorlayabilir.
Sonuç
Ağ segmentasyonu ve VLAN yapılandırması, modern kurumsal BT altyapısının vazgeçilmez bileşenleridir. Doğru planlanmış bir segmentasyon stratejisi; güvenlik ihlallerinin etkisini minimize eder, ağ