Bir ağ mühendisliği kariyerinde en temel kavramlardan biriyle karşı karşıyasınız. Ancak insanlar bu kavramı sıklıkla yanlış anlıyor. Ağ segmentasyonu yani VLAN (Virtual Local Area Network), günümüz siber güvenlik mimarisinin omurgasını oluşturur.
Kurumsal bir ağda yayın trafiğini kontrol etmek isteyebilirsiniz. Şöyle ki güvenlik açıklarını kapatmak ve performansı optimize etmek için bu kavramı kavramalısınız.
Bu yazıda standart tanımların dışına çıkıyoruz. Üstelik 20 yıllık saha tecrübemden sıra dışı vakaları ve çözümleri paylaşıyorum. Ayrıca modern ağların vazgeçilmezi olan 802.1Q protokolünün çalışma mantığını inceliyoruz. Bununla birlikte en korkulan VLAN hopping saldırılarını da ele alıyoruz.
Özellikle güncel tehditler karşısında ağınızı nasıl koruyacağınızı bilmek büyük önem taşır. Bu nedenle double tagging gibi sinsi saldırı vektörlerini anlatıyorum. Üstelik, sadece Cisco değil; MikroTik, Huawei ve Juniper cihazlarında da yapılandırma komutlarını karşılaştırmalı olarak bulacaksınız.
Amacım, bu rehberi bitirdiğinizde elinizde doğrudan üretim ortamında kullanabileceğiniz bir kontrol listesi oluşturmak. Teorik bilgiyi pratik senaryolarla harmanlayarak, aklınızdaki tüm soru işaretlerini kalıcı olarak gidereceğiz. Hadi, kahvenizi alın ve ağ mühendisliğinin bu büyüleyici dünyasına derinlemesine dalalım!

VLAN Nedir? — Sanal Yerel Alan Ağının Tanımı, Tarihçesi ve OSI Katmanındaki Yeri
Mantıksal ağ bölümleme yani VLAN, ağ dünyasının en zarif buluşlarından biridir. Şöyle ki fiziksel topolojiden bağımsız bir iletişim ortamı oluşturur.
VLAN’ı anlamak için önce klasik yerel alan ağını bilmelisiniz. LAN yapısı fiziksel sınırlara dayanır. VLAN ise bu sınırları sanallaştırarak aşıyor.
İlk Cisco 1900 serisi switch ile bu yapıyı kurduğum anı hatırlıyorum. Aslında o an mühendisliğin ne kadar yaratıcı olabileceğini anladım. Düşünsenize, tek bir fiziksel anahtar üzerinde birbirinden tamamen izole edilmiş farklı yayın alanları inşa edebiliyorsunuz.
Geçmişe baktığımda, ağ segmentasyonu ihtiyacı ilk olarak 1990’ların başında patlak verdi. Geleneksel düz ağlarda, bir bilgisayarın gönderdiği yayın paketi tüm cihazlara ulaşıyordu.
Neticede, bu durum hem güvenlik zaafiyeti doğuruyor hem de ağ performansını ciddi şekilde baltalıyordu. O yıllarda IEEE, 802.1Q standardı üzerinde çalışmaya başladı ve 1998’de resmen yayınladı.
VLAN teknolojisi OSI modelinin ikinci katmanında çalışır. Yani veri bağlantı katmanında MAC adresi tabanlı gruplama yapar. Ayrıca ethernet çerçevesine eklenen 4 baytlık etiket trafiğin ait olduğu sanal ağı belirler.
Üstelik bu işlem donanım seviyesinde gerçekleştiği için neredeyse hiç gecikme yaşamazsınız. Çünkü ASIC çipleri bu süreci doğrudan yönetir.
VLAN Teknolojisinin Sağladığı Avantajlar
Şahsi tecrübeme göre, bu teknolojinin en büyük devrimi ağ yöneticilerine kazandırdığı esnekliktir. Bir departmanı taşımanız gerektiğinde, artık fiziksel kablolara dokunmanız gerekmez.
Sadece port ataması değiştirerek kullanıcıyı anında yeni bir yayın alanına dahil edersiniz. İşte bu özgürlük, modern kurumsal ağ topolojisi için vazgeçilmez bir temel oluşturur.
Broadcast Domain Nedir? VLANsız Ağda Neden Sorun Oluşturur?
Her ağ mühendisinin kariyerinde en az bir kez karşılaştığı o korkunç senaryoyu düşünün: broadcast fırtınası.
Yayın alanı, bir ağ cihazının gönderdiği broadcast çerçevesinin ulaşabildiği tüm düğümleri kapsar. Örneğin bir ARP isteği gönderdiğinizde, bu istek aynı yayın alanındaki bütün cihazlara ulaşır. Şöyle ki, oradaki her cihaz bu işlem için işlemci döngüsü harcar.
Düz bir ağda herhangi bir bölümlendirme yapmazsınız. Netice itibarıyla tek bir yayın alanı tüm anahtarı kapsar. Bu durum, özellikle 200’den fazla cihazın bulunduğu ağlarda ciddi performans düşüşlerine yol açar.
ARP trafik gürültüsü o kadar artar ki, kullanıcılar dosya sunucusuna erişmekte bile zorlanmaya başlar. Üstelik, kötü niyetli bir kişi ağa bağlandığında tüm trafiği rahatça dinleyebilir.
Ne yazık ki, birçok KOBİ bu tehlikeyi görmezden geliyor. Ağ performans optimizasyonu için ilk adımın broadcast domain kontrolü olduğunu anlatmakta hala zorlanıyorum.
Çünkü, yayın trafiğini küçültmek hem bant genişliğini verimli kullanmanızı sağlar hem de saldırı yüzeyini daraltır. Ayrıca, ağ yönetilebilirlik açısından da sorunları tespit etmeyi kolaylaştırır.
Aşağıdaki tablo, VLAN kullanılan ve kullanılmayan ağlar arasındaki farkı net bir şekilde ortaya koyar:
| Özellik | VLAN’sız Düz Ağ | VLAN’lı Segmente Ağ |
|---|---|---|
| Yayın Alanı Sayısı | 1 (tüm cihazlar aynı domain) | Her VLAN için ayrı domain |
| Güvenlik İzolasyonu | Yok (herkes her şeyi görür) | Var (VLAN’lar arası izolasyon) |
| Performans Etkisi | Yüksek CPU kullanımı, yavaşlama | Düşük CPU kullanımı, stabil |
| Sorun Giderme Kolaylığı | Zor (tüm trafik karışık) | Kolay (izole segmentler) |
| Ölçeklenebilirlik | Çok düşük | Çok yüksek |
IEEE 802.1Q Standardı: 4 Baytlık VLAN Etiketinin Yapısı

Standart bir Ethernet çerçevesi düşünün. Kaynak ve hedef MAC adreslerinden sonra genellikle EtherType alanı gelir.
802.1Q protokolü, işte tam bu noktada devreye girer ve çerçeveye 4 baytlık bir etiket ekler. Tag Protocol Identifier (TPID) değeri olarak 0x8100 kullanır. Açıkçası bu değer çerçevenin etiketli olduğunu gösterir.
Etiketin iç yapısına baktığınızda, 3 bitlik Priority Code Point (PCP) ile QoS önceliklendirmesi yapıldığını görürsünüz.
Ardından, 1 bitlik Drop Eligible Indicator (DEI) gelir ve tıkanıklık durumunda çerçevenin düşürülebilir olduğunu işaretler. Son olarak, 12 bitlik VLAN ID (VID) alanı yer alır. Bu alan, 0 ile 4095 arasında değer alabilir.
Fakat dikkat etmeniz gereken kritik bir detay var. VID 0 ve 4095, standart tarafından rezervedir. Geriye kalan 4094 adet kullanılabilir kimlik, büyük veri merkezleri için bile uzun yıllar yeterli oldu.
Ancak, modern bulut mimarilerinde artık VLAN 4096 limiti ve çözümleri ciddi bir tartışma konusudur. İşte tam da bu nedenle VXLAN gibi overlay teknolojileri doğdu.
Aşağıdaki tablo, 802.1Q etiketinin 4 baytlık yapısını detaylandırır:
| Alan Adı | Uzunluk | Açıklama | Örnek Değer |
|---|---|---|---|
| TPID | 16 bit (2 bayt) | Etiket protokolü tanımlayıcısı | 0x8100 |
| PCP | 3 bit | QoS öncelik seviyesi (0-7) | 5 (ses trafiği) |
| DEI | 1 bit | Düşürülebilirlik göstergesi | 0 veya 1 |
| VID | 12 bit | VLAN kimlik numarası (1-4094) | 100 |
VLAN vs Subnet: Neden İkisi Birlikte Kullanılmalı?
Bu soru, CCNA eğitimlerinin en başından beri öğrencilerin aklını karıştırır. Subnet, OSI modelinin üçüncü katmanında çalışan bir IP adresleme ve ağ bölme yöntemidir.
Oysaki VLAN, ikinci katmanda yayın alanlarını ayırır. İkisi birbirinin rakibi değil, aksine tamamlayıcısıdır. Birini diğerine tercih etmek diye bir şey söz konusu olamaz.
IP planlamasında CIDR adresleme ile alt ağları verimli bölersiniz. VLAN ile CIDR birlikte kullanıldığında yapı çok esnek olur.
Uygulamada her zaman bire bir eşleme kullanırız. Yani, bir VLAN ID’si bir IP alt ağına karşılık gelir. Örneğin, VLAN 10 için 192.168.10.0/24 alt ağını, VLAN 20 için 192.168.20.0/24 alt ağını atarız.
Bu sayede hem ikinci katmanda izolasyon sağlarız hem de üçüncü katmanda yönlendirme yapabiliriz. Ayrıca, güvenlik duvarı kurallarını subnet bazında yazmak çok daha kolaydır.
Yıllar önce bir üretim tesisinde bir yönetici tanıdım. Kendisi sırf bu mantığı kavrayamadığı için tüm VLAN’ları aynı IP bloğunda çalıştırmaya çalışıyordu.
Sonuç tam bir felaketti. Cihazlar IP alamıyor, DHCP çakışmaları yaşanıyor ve ağ sürekli çöküyordu. O günden sonra ağ izolasyonu ile IP planlamasının önemini her fırsatta vurgulamaya başladım.
İşte ikisi arasındaki temel farkları özetleyen kapsamlı bir karşılaştırma tablosu:
| Özellik | VLAN (Katman-2) | Subnet (Katman-3) |
|---|---|---|
| Çalışma Katmanı | OSI Layer 2 (Veri Bağlantı) | OSI Layer 3 (Ağ) |
| Tanımlama Yöntemi | 802.1Q etiketi (VLAN ID) | IP adresi ve alt ağ maskesi |
| İzolasyon Türü | Yayın alanı izolasyonu | IP seviyesinde izolasyon |
| İletişim İçin Gereken | Inter-VLAN routing (L3 cihaz) | Router veya L3 switch |
| Esneklik | Fiziksel konumdan bağımsız | IP planına bağımlı |
| En İyi Kullanım | Birlikte (bire bir eşleme) | Birlikte (bire bir eşleme) |
Access Port ve Trunk Port: VLAN Yapılandırmasının Temel Taşları
Switch dünyasında portlar, tıpkı bir kalenin kapıları gibidir. Her kapının belirli bir amacı ve erişim seviyesi vardır.
Access port, yalnızca tek bir sanal ağa ait etiketsiz trafiği taşır. Genellikle son kullanıcı bilgisayarları, yazıcılar veya IP kameralar bu tür portlara bağlanır. Söz konusu çevre birimi, kendisinin bir ağ segmentasyonu içinde olduğunu asla bilmez.
Öte yandan, trunk port özelliği tamamen farklı bir canavardır. Geliştiriciler bu portu özel olarak tasarladı. Üstelik bu yapı birden fazla sanal ağın trafiğini tek bir fiziksel bağlantı üzerinden taşır.
Trunk link üzerinde ilerleyen her çerçeve, 802.1Q etiketiyle işaretler. Böylece karşıdaki switch, gelen paketin hangi yayın alanına ait olduğunu anında tespit eder.
İşin mutfağında, en sık karşılaştığım hatalardan biri access ve trunk port kavramlarının karıştırılmasıdır. Bir anahtar portunu yanlışlıkla trunk port yaparsanız, uç cihaz etiketli çerçeveleri anlayamaz. Sonuç olarak bağlantı kopar.
Bu tür hataları önlemek için her zaman port tipini açıkça belirlemeniz gerekir. Ayrıca DTP gibi otomatik protokolleri kontrollü kullanmalısınız.
Aşağıdaki tablo, iki port tipi arasındaki temel farkları netleştirir.
| Özellik | Access Port | Trunk Port |
|---|---|---|
| Taşıdığı VLAN Sayısı | 1 (Data VLAN) | Çoklu (İzin verilen tüm VLAN’lar) |
| Etiketleme | Etiketsiz (Untagged) | Etiketli (Tagged) – Native hariç |
| Kullanım Amacı | Son kullanıcı cihazları | Switch-switch veya switch-router bağlantısı |
| Varsayılan Durum | Dynamic Auto (bazı modellerde) | Dynamic Desirable (bazı modellerde) |
| Güvenlik Riski | Düşük (doğru yapılandırmada) | Yüksek (VLAN hopping riski) |
Access Port Yapılandırması (Cisco, MikroTik, Huawei, Juniper)

Sahada en çok kullandığım yapılandırma adımlarını sizinle paylaşıyorum. Cisco dünyasında, bir portu access moda almak için önce switchport mode access komutunu vermelisiniz.
Ardından, switchport access vlan 10 diyerek portu istediğiniz ağa atarsınız. Bu işlemi çok basit görebilirsiniz. Aslında arka planda MAC adres tabanlı devasa bir gruplama mekanizması çalışır.
MikroTik tarafında işler biraz daha farklı ilerler. Bridge VLAN filtering özelliğini etkinleştirmeniz ve her port için PVID değerini belirlemeniz gerekir.
/interface bridge vlan add bridge=bridge1 vlan-ids=10 tagged=ether1 untagged=ether2 komutuyla, ether2’yi etiketsiz olarak VLAN 10’a atamış olursunuz. RouterOS’un bu esnek yapısı, özellikle küçük ölçekli ağlarda hızlı kurulum avantajı sağlar.
Huawei ve Juniper cihazlarında da mantık aynıdır. Huawei’de port link-type access ve port default vlan 10 komutlarını kullanırsınız.
Juniper tarafında ise set interfaces ge-0/0/0 unit 0 family ethernet-switching vlan members vlan10 yapısı hakimdir. Görüyorsunuz, vendor değişse de temel prensip asla değişmez. Hepsi aynı IEEE standardına dayanır.
show lldp neighbors komutu, ağdaki komşu cihazları listeleyerek size büyük bir görünürlük kazandırır.Access port yapılandırması için adım adım izlenecek yol şöyledir:
- Portu seçin:
interface GigabitEthernet0/1 - Port modunu access olarak ayarlayın:
switchport mode access - VLAN ID’sini atayın:
switchport access vlan 10 - DTP’yi kapatın:
switchport nonegotiate - Portu aktif edin:
no shutdown - Doğrulama yapın:
show vlan briefveshow interfaces switchport
Trunk Port Yapılandırması ve Allowed VLAN Listesi
Trunk port yapılandırması, güvenlik duvarı kurallarınız kadar kritiktir. Cisco’da switchport mode trunk komutuyla başlarsınız. Ancak, asla burada durmamalısınız.
Varsayılan olarak tüm VLAN’lar trunk üzerinden geçer. Oysa ki, en iyi pratikler sadece ihtiyaç duyulan kimliklerin taşınmasını söyler. Bu nedenle, hemen ardından switchport trunk allowed vlan 10,20,30 komutunu vermelisiniz.
MikroTik’te ise tagged port listesi oluşturarak aynı sonuca ulaşırsınız. /interface bridge vlan add bridge=bridge1 vlan-ids=10,20,30 tagged=ether1 komutu, ether1’in yalnızca belirtilen kimlikler için trunk görevi görmesini sağlar. Üstelik, bu yöntemle her port için özelleştirilmiş izin listeleri oluşturabilirsiniz.
Yıllardır edindiğim bir alışkanlığı paylaşmak istiyorum. Yeni bir trunk bağlantı kurduğumda, her zaman show interfaces trunk komutuyla doğrulama yaparım.
Çünkü, allowed listesinde yanlışlıkla eksik bırakılan bir kimlik, saatlerce süren sorun giderme seanslarına yol açabilir. Ayrıca, gereksiz yayın alanlarını trunk’tan kaldırmak, ARP trafik gürültüsü ve broadcast storm riskini azaltır.
Trunk yapılandırma adımlarını sırasıyla uygulayın:
- Portu seçin:
interface GigabitEthernet0/24 - Trunk modunu etkinleştirin:
switchport mode trunk - Kapsülleme protokolünü belirleyin:
switchport trunk encapsulation dot1q - İzin verilen VLAN’ları sınırlayın:
switchport trunk allowed vlan 10,20,30,100 - Native VLAN’ı değiştirin:
switchport trunk native vlan 999 - Doğrulama yapın:
show interfaces trunk
Native VLAN Neden Değiştirilmelidir? (Güvenlik Açığı Detayı)
Bu başlık, benim için kişisel bir güvenlik takıntısı haline geldi. Native VLAN, trunk port üzerinde etiketsiz olarak taşınan çerçevelerin ait olduğu ağdır. Varsayılan olarak bu kimlik 1’dir.
İşte bu noktada, ciddi bir güvenlik açığıyla karşı karşıya kalırsınız. Çünkü, saldırganlar double tagging gibi yöntemlerle bu varsayılan yapılandırmayı istismar eder.
Geçmişte, bir finans kuruluşunda yaptığım sızma testinde, native VLAN’ın hala 1 olarak bırakıldığını gördüm. Bu zafiyeti kullanarak, saldırganın farklı bir yayın alanına sızması işten bile değildi.
Dolayısıyla, bu varsayılan kimliği değiştirmek sadece bir öneri değil, zorunlu bir güvenlik adımıdır. Yeni bir değer olarak, kullanılmayan rastgele bir kimlik seçmelisiniz (örneğin VLAN 999).
Değişiklik işlemi son derece basittir. Cisco’da switchport trunk native vlan 999 komutunu uygulamanız yeterlidir.
Ancak, trunk’ın her iki ucunda da bu değişikliği yapmayı sakın unutmayın. Yoksa native VLAN mismatch hatası alırsınız. Bununla birlikte CDP konsolunuza sürekli uyarı mesajları yağdırır. Bu uyarılar, yanlış yapılandırmanın habercisidir.
VLAN Hopping Saldırıları: Switch Spoofing ve Double Tagging (Gerçek Dünya Saldırı Analizi)
Güvenlik dünyasının en eski ama hala en etkili katman-2 saldırılarından birini konuşacağız.
VLAN hopping siber saldırganların yaptığı bir işlemdir. Açıkçası saldırgan kendi yayın alanından çıkarak başka bir sanal ağa sızar.
Bu saldırıyı ilk kez 2002 yılında bir güvenlik konferansında canlı izledim. Aslında o an ağ güvenliğine bakış açım tamamen değişmişti.
İki temel VLAN hopping yöntemi vardır. Birincisi switch spoofing, yani saldırganın kendini bir switch gibi tanıtarak trunk bağlantısı kurmasıdır.
İkincisini ise double tagging saldırısı olarak biliriz. Üstelik bu yöntem native VLAN zafiyetinden yararlanır. Her iki yöntem de doğru yapılandırılmamış switch’lerde inanılmaz derecede etkilidir.
Örneğin, 2018 yılında büyük bir hastane ağında denetim yaptım. Açıkçası bir saldırganın bu yöntemle hasta kayıt sistemine eriştiğini gördüm.
Saldırı, tam olarak otomatik trunk negotiation özelliği etkin bırakıldığı için gerçekleşmişti. O günden sonra, tüm istemci portlarında DTP’yi kapatmayı standart bir prosedür haline getirdim. Şimdi bu saldırı vektörlerini detaylandıralım.
Switch Spoofing Saldırısı: DTP ile Trunk Nasıl Ele Geçirilir?
Dynamic Trunking Protocol, switch’lerin otomatik olarak trunk bağlantısı kurmasını sağlayan bir Cisco protokolüdür. Ne var ki, bu kolaylık beraberinde devasa bir güvenlik açığını getirir.
Saldırgan, kendi bilgisayarına yüklediği özel bir yazılımla kendini switch gibi tanıtır ve DTP paketleri gönderir. Karşıdaki switch bu paketleri alır almaz, portu otomatik olarak trunk moda çevirir.
Başka bir deyişle, saldırgan artık tüm etiketli trafiği görebilir. Hatta, daha da kötüsü, kendi çerçevelerini etiketleyerek istediği yayın alanına enjekte edebilir.
Bu saldırının en korkutucu yanı, tamamen sessiz ve iz bırakmadan gerçekleşmesidir. Çünkü, switch loglarında sadece bir trunk bağlantısı kurulduğu yazar.
Daha doğrusu, bu saldırıyı önlemek son derece basittir. Tüm istemci portlarında switchport mode access ve switchport nonegotiate komutlarını kullanarak DTP’yi kapatmalısınız.
Üstelik, kullanılmayan tüm portları kapatıp siyah delik VLAN’a atmanız gerekir. Zira, duvardaki boş bir Ethernet jakı bile bir saldırgan için potansiyel bir giriş noktasıdır.
switchport nonegotiate komutunu eklemelisiniz. İkisi birlikte tam koruma sağlar.Double Tagging Saldırısı: Native VLAN Zafiyetinden Yararlanma
Bu saldırı, biraz daha karmaşık ama bir o kadar da zekicedir. Saldırgan, kurbanının bulunduğu sanal ağa erişmek için çift katmanlı 802.1Q etiketi kullanır.
İlk etiket, saldırganın kendi yayın alanına aittir. İkinci etiket ise hedef ağın kimliğini taşır. Saldırgan çerçeveyi gönderdiğinde, ilk switch ilk etiketi görür ve kendi ağında iletir.
Gelgelelim, ikinci switch’in trunk portu native VLAN’ı etiketsiz taşıdığı için, ilk etiketi sıyırıp atar. Ardından, ikinci etiketi okur ve çerçeveyi hedef ağa gönderir.
Saldırganın kendi yayın alanından hiç çıkmamış gibi görünen bu çerçeve, şimdi kurban ağındadır. Dönüş trafiği olmadığı için saldırı tek yönlüdür ancak yine de çok tehlikelidir.
Bu saldırıyı engellemek için native VLAN’ı kullanılmayan bir kimlikle değiştirmeniz gerekir. Dahası, tüm trunk’larda etiketli taşımayı zorunlu kılmalısınız.
vlan dot1q tag native komutu, bu korumayı sağlar. Hatta, bazı modern switch’ler bu özelliği varsayılan olarak etkinleştirmeye başladı. Neyse ki, sektör bu konuda doğru yönde ilerliyor.
VLAN Hopping’den Korunma Kontrol Listesi (Tüm Vendor’lar için)
Aşağıdaki adımları sırasıyla uygulayarak ağınızı VLAN hopping saldırılarına karşı koruyabilirsiniz:
- Tüm istemci portlarını access modda yapılandırın ve DTP’yi kapatın (
switchport mode access,switchport nonegotiate). - Native VLAN’ı varsayılan 1’den farklı, kullanılmayan bir kimliğe değiştirin. Bununla birlikte bu değişikliği trunk’ın her iki ucunda da güncelleyin.
- Kullanılmayan tüm portları kapatın (
shutdown) ve bir Black Hole VLAN’a atayın. - Trunk portlarda allowed VLAN listesini sadece ihtiyaç duyulan kimliklerle sınırlayın.
- Mümkünse
vlan dot1q tag nativekomutu ile native trafiği de etiketli taşıyın. - Tüm switch’lerde VTP’yi transparent moda alın veya tamamen kapatın.
- Port security özelliğini tüm access portlarda etkinleştirin.
- Düzenli olarak
show interfaces trunkçıktılarını denetleyin.
VLAN Türleri Derinlemesine: Data, Voice, Management, Native, Private, Black Hole VLAN

Bir ağ mimarı olarak, her sanal ağın belirli bir görevi ve karakteri olduğunu bilirsiniz. Data VLAN, adı üstünde, kullanıcı veri trafiğini taşır.
Genellikle her departman için ayrı bir data kimliği oluştururuz. Örneğin, muhasebe için VLAN 10, pazarlama için VLAN 20 gibi. Bu sayede, bir departmandaki yayın fırtınası diğerini etkilemez.
Voice VLAN ise tamamen farklı bir dünyadır. Geliştiriciler bu ağı VoIP telefonlarının ses paketlerini taşımak için özel olarak tasarladı.
Bu türde, QoS yapılandırması hayati önem taşır. Çünkü, ses paketleri gecikmeye karşı son derece hassastır. Telefon, LLDP veya CDP aracılığıyla kendi ses ağını otomatik olarak öğrenir. Bununla birlikte tüm ses trafiğini etiketli olarak gönderir.
Management VLAN, ağ yöneticilerinin switch ve router’lara uzaktan erişmesini sağlayan özel bir yönetim ağıdır. Bu ağın, kullanıcı trafiğinden tamamen izole edilmesi gerekir.
Özellikle, yönetim arayüzüne yalnızca belirli IP adreslerinden erişim izni vermelisiniz. Ayrıca, SNMP ve SSH gibi protokoller sadece bu ağ üzerinde çalışmalıdır.
Aşağıdaki tablo, en yaygın VLAN türlerini ve kullanım amaçlarını özetler:
| VLAN Türü | Tipik VLAN ID | Amaç | QoS Gereksinimi |
|---|---|---|---|
| Data VLAN | 10, 20, 30… | Kullanıcı veri trafiği | Düşük-Orta |
| Voice VLAN | 100, 200… | VoIP telefon trafiği | Yüksek (DSCP EF) |
| Management VLAN | 99, 999… | Cihaz yönetimi | Orta |
| Native VLAN | 999 (değiştirilmiş) | Trunk etiketsiz trafik | Düşük |
| Black Hole VLAN | 666, 999… | Kullanılmayan portlar | Yok |
Private VLAN (PVLAN): Primary – Secondary (Isolated/Community)
Private VLAN, aynı yayın alanı içindeki cihazların birbiriyle iletişimini kısıtlayan ileri düzey bir özelliktir.
Birincil (primary) kimlik, dış dünyayla iletişimi sağlar. Diğer yandan, ikincil (secondary) kimlikler izole veya topluluk portlarını barındırır. Bu yapılandırma, özellikle DMZ bölgesinde veya çok kiracılı veri merkezlerinde inanılmaz faydalıdır.
Mesela, bir web sunucu çiftliği düşünün. Tüm sunucular aynı ağda olmalı ama birbirleriyle doğrudan konuşmamalıdır. İşte burada isolated portlar devreye girer.
Bu portlar, yalnızca promiscuous port üzerinden dış dünyayla iletişim kurabilir. Community portlar ise kendi aralarında konuşabilir ancak diğer topluluklara erişemez. Özellikle ölçeklenebilir ağ mimarisi için biçilmiş kaftandır.
Ancak, PVLAN yapılandırması karmaşık olabilir. Promiscuous port, tüm ikincil portlarla iletişim kurabilen tek noktadır. Bu portu yanlış yapılandırmak, tüm izolasyonu bozar.
Dolayısıyla, PVLAN kurarken her zaman iki kere kontrol etmeli ve test senaryoları ile doğrulama yapmalısınız. Private VLAN port izolasyonu, doğru uygulandığında ağ güvenlik politikası için mükemmel bir katmandır.
| PVLAN Port Tipi | İletişim Kurabildiği | İletişim Kuramadığı | Kullanım Senaryosu |
|---|---|---|---|
| Promiscuous | Herkes (tüm secondary portlar) | – | Router, güvenlik duvarı bağlantısı |
| Isolated | Sadece promiscuous port | Diğer tüm portlar | DMZ sunucuları, misafir kullanıcılar |
| Community | Promiscuous + aynı community üyeleri | Diğer community ve isolated portlar | Aynı proje ekibi sunucuları |
Black Hole VLAN (Sinkhole VLAN): Güvenlik Olaylarında Trafiği Karartma
Black Hole VLAN, adından da anlaşılacağı gibi sanal bir kara deliktir. Yani içine giren trafiği bir daha dışarı bırakmaz.
Kullanılmayan tüm switch portlarını bu ağa atayarak potansiyel saldırganların ağa sızmasını engellersiniz. Duvar prizine bir kablo takıp IP almayı deneyen kişi, kendini tamamen izole bir ortamda bulur.
Bununla birlikte, bu ağın çok daha sofistike bir kullanımı vardır. Bir güvenlik ihlali tespit ettiğinizde, şüpheli cihazı anında bu kara deliğe atabilirsiniz.
Cihazın tüm ağ bağlantısı kesilirken, siz uzaktan adli analiz yapmaya devam edersiniz. Üstelik, saldırgan bu izolasyonu hemen fark etmez.
Yapılandırması son derece basittir. Kullanılmayan tüm portları switchport access vlan 999 gibi bir komutla bu özel ağa atamanız yeterlidir.
Önemli olan, bu kimliğe hiçbir katman-3 arayüzü (SVI) atamamaktır. Yani, bu ağın hiçbir yere çıkışı olmamalıdır. Ayrıca, bu kimliği trunk portlardaki allowed listesinden de çıkarmalısınız.
Voice VLAN ve QoS: VoIP Trafiğine Öncelik Verme

Günümüz ofislerinde, masaüstü telefonlar neredeyse bilgisayarlar kadar yaygın. Bu cihazlar, genellikle bilgisayar ile duvar prizi arasında köprü görevi görür.
Telefonun dahili switch’i, bilgisayardan gelen trafiği etiketsiz geçirirken, kendi ses paketlerini etiketli olarak gönderir. Sistem bu etiketleme sayesinde, ses trafiğini ayrı bir sanal ağda taşır.
Ancak, sadece ayırmak yetmez. Ses paketleri, milisaniyelerle yarışır. Bu nedenle, QoS yapılandırması şarttır. Cisco’da auto qos voip trust komutu, bu yapılandırmayı büyük ölçüde otomatikleştirir.
Switch, telefonun işaretlediği DSCP değerlerini okuyarak ses paketlerini öncelikli kuyruğa alır. Sonuç olarak, ağda yoğunluk olsa bile ses kalitesi bozulmaz.
Yine de, Voice VLAN QoS ayarlarını manuel olarak yapılandırmak daha hassas kontrol sağlar. LLDP-MED protokolü, telefonun hangi ağa ait olduğunu otomatik olarak öğrenmesini sağlar.
Üstelik cihaz hangi QoS politikasını uygulayacağını da bu sayede belirler. Bu sayede, her yeni telefon takıldığında tek tek yapılandırma yapmak zorunda kalmazsınız.
mls qos trust dscp komutu ile switch’in DSCP değerlerine güvenmesini sağlayın.Management VLAN: Out-of-Band Yönetim için En İyi Pratikler
Yönetim ağı, ağ altyapınızın beynidir. Bu ağa erişim, mutlaka kullanıcı trafiğinden ayrılmalıdır. Management VLAN out-of-band prensibine göre, yönetim trafiğini özel bir yoldan taşırsınız.
Bir başka deyişle bu işlem için fiziksel veya mantıksal bir hat kullanırsınız. Bu sayede, kullanıcıların yoğun veri trafiği yönetim erişimini etkilemez.
En iyi pratikler arasında, yönetim arayüzüne yalnızca belirli bir IP aralığından erişim izni vermek vardır. access-class komutu ile VTY hatlarına erişim kontrol listesi uygulayabilirsiniz.
Ayrıca yönetim için Telnet yerine SSH kullanırsınız. Buna ek olarak SNMP’de sadece salt okunur dize belirlersiniz. Sonuç olarak gereksiz hizmetleri kapatmanız gerekir.
Şahsen, tüm cihazlarımda yönetim arayüzünü ayrı bir loopback adresine bağlarım. Bu, cihazın fiziksel portlarından bağımsız, her zaman ulaşılabilir bir yönetim noktası oluşturur.
Üstelik, bu yöntemle yönetim erişimi için trunk bağlantılara bağımlı kalmazsınız. Doğal olarak, bu da ağ güvenlik katmanı sayısını artırır.
Management VLAN için altın kurallar şunlardır:
- Yönetim ağını asla VLAN 1’de bırakmayın. Mutlaka özel bir VLAN ID’sine taşıyın.
- Yönetim erişimi için daima SSH v3 kullanın. Artı olarak Telnet ve HTTP’yi kapatın.
- SNMP community string’lerini varsayılan “public”/”private” değerlerinden değiştirin.
- Yönetim ağına yalnızca yetkili IP adreslerinden erişim izni verin.
- Tüm yönetim oturumlarını AAA (Authentication, Authorization, Accounting) ile denetleyin.
Inter-VLAN Routing: VLAN’lar Arasında İletişim Nasıl Kurulur?
Farklı sanal ağlardaki cihazlar, varsayılan olarak birbiriyle konuşamaz. Zaten, ağ izolasyonu stratejisinin temel amacı da budur.
Ancak, muhasebe sunucusunun pazarlama departmanındaki bir yazıcıya erişmesi gerektiğinde ne yapacaksınız?
İşte tam bu noktada, Inter VLAN routing devreye girer. Bu, katman-3 cihazı kullanarak farklı yayın alanları arasında trafik yönlendirme işlemidir.
Geçmişte, bu işlem için harici bir router kullanmak zorundaydık. Router on a stick yöntemi, yıllarca veri merkezlerinin bel kemiği oldu.
Bugün ise Layer 3 switch’ler, donanım hızında yönlendirme yapar. Özellikle bu görevi çok daha verimli şekilde üstlenirler. Switch Virtual Interface (SVI) kullanımı, modern ağların standart mimarisi haline geldi.
Yine de, trafik kontrolü burada bitmez. Katman-2 izolasyonunu katman-3’te de sürdürmek için ACL veya Zone-Based Firewall kullanmalısınız.
Sırf yönlendirme yapabiliyorsunuz diye tüm trafiğe izin veremezsiniz. Aksine bu durum ağ segmentasyonu stratejinizi baltalar. Bu nedenle, her zaman en az ayrıcalık prensibiyle hareket etmelisiniz. Aşağıdaki tablo, iki ana yönlendirme yöntemini karşılaştırmaktadır.
| Özellik | Router-on-a-Stick | Layer 3 Switch (SVI) |
|---|---|---|
| Yönlendirme Hızı | Yazılım tabanlı, sınırlı | Donanım tabanlı (ASIC), yüksek |
| Port Kullanımı | Tek fiziksel port yeterli | Her VLAN için SVI gerekir |
| Ölçeklenebilirlik | Düşük (bant genişliği paylaşımı) | Yüksek (wire-speed routing) |
| Maliyet | Düşük | Orta-Yüksek |
| Yedeklilik | Tek nokta arızası riski | HSRP/VRRP ile yedeklenebilir |
Router-on-a-Stick Yöntemi: Sub-Interface ile VLAN Yönlendirme
Bu klasik yöntem, tek bir fiziksel router arayüzünü birden fazla mantıksal alt arayüze böler. Her alt arayüz, belirli bir sanal ağın ağ geçidi olarak görev yapar.
Örneğin, interface GigabitEthernet0/0.10 komutuyla VLAN 10 için bir alt arayüz oluşturursunuz. Ardından, encapsulation dot1Q 10 komutuyla bu alt arayüzü ilgili kimlikle eşleştirirsiniz.
Bu yöntemin en büyük avantajı maliyettir. Tek bir router portu ve trunk bağlantı ile düzinelerce ağ arasında yönlendirme yapabilirsiniz.
Hatta, laboratuvar ortamlarında hızlıca test senaryoları kurmak için hala bu yöntemi kullanırım. Ancak tüm trafik tek bir fiziksel bağlantıdan geçer. Dolayısıyla yüksek bant genişliği isteyen yerlerde darboğazla karşılaşırsınız.
Router on a stick yapılandırması sırasında en sık yapılan hata, native VLAN’ı unutmaktır. Alt arayüzlerde native kimlik için encapsulation dot1Q 10 native komutunu kullanmalısınız.
Ayrıca, router tarafında da trunk’ın her iki ucunda aynı native kimliğin tanımlandığından emin olmalısınız. Aksi takdirde, yönlendirme çalışmaz ve saatlerce sorun giderirsiniz.
no shutdown ile aktif edilmelidir. Ayrıca, her alt arayüz için doğru VLAN ID’sini kapsülleme komutunda belirttiğinizden emin olun.Layer 3 Switch ve SVI (Switch Virtual Interface)
Modern kurumsal ağların kalbi, Layer 3 switch’lerdir. Bu cihazlar, hem katman-2 anahtarlama hem de katman-3 yönlendirme yapabilir.
Switch’lerin farklı anahtarlama türleri olduğunu biliyor muydunuz? Cut‑through ve store‑and‑forward gibi modlar performansı etkiliyor. Aslında bu detay VLAN trafiğinin işlenmesinde rol oynar.
Switch virtual interface SVI, her bir sanal ağ için oluşturulan mantıksal bir katman-3 arayüzüdür. interface vlan 10 komutuyla oluşturduğunuz bu arayüze bir IP adresi atar ve ağ geçidi olarak kullanırsınız.
Layer 3 switch yönlendirme, ASIC çipleri sayesinde donanım hızında gerçekleşir. Bu, router-on-a-stick yöntemine kıyasla çok daha yüksek performans sunar.
Ayrıca, yönlendirme işlemi için harici bir cihaza ihtiyaç duymazsınız. Tüm bu nedenlerle, yeni kurulumlarda her zaman Layer 3 switch kullanılmasını öneririm.
Birden çok fiziksel bağlantıyı tek mantıksal bağlantıda birleştirmek için EtherChannel idealdir. Böylece bant genişliği artar ve yedeklilik sağlarsınız.
Elbette, her güzel şeyin bir bedeli vardır. Layer 3 switch’ler daha pahalıdır ve yapılandırması daha karmaşıktır. IP routing’i etkinleştirmek için ip routing komutunu unutmamalısınız.
Üstelik, her VLAN için bir SVI oluşturmak, IP adresleme planınızın titizlikle yapılmasını gerektirir. Yine de, sağladığı performans ve esneklik, bu çabaya fazlasıyla değer.
SVI yapılandırma adımlarını sırasıyla izleyin:
- Global IP routing’i etkinleştirin:
ip routing - SVI oluşturun:
interface vlan 10 - IP adresi atayın:
ip address 192.168.10.1 255.255.255.0 - Arayüzü aktif edin:
no shutdown - Varsa DHCP relay ekleyin:
ip helper-address 192.168.100.10 - Doğrulama yapın:
show ip interface briefveshow ip route
VLAN’lar Arası Trafik Kontrolü: ACL ve Zone-Based Firewall

Yönlendirme çalışıyor diye her şeye izin vermek, güvenlik duvarı olmayan bir eve benzer. Access Control List (ACL), trafik kontrolü için en temel araçtır. Standart ACL’ler sadece kaynak IP’ye bakar.
Genişletilmiş ACL’ler ise kaynak, hedef, protokol ve port numarasına göre filtreleme yapar. Örneğin, sadece muhasebe sunucusunun belirli bir porta erişmesine izin verirsiniz.
Zone-Based Firewall ise daha sofistike bir yaklaşımdır. Ağınızı güvenlik bölgelerine ayırır ve bölgeler arası trafik politikaları tanımlarsınız.
Bu yöntem, özellikle çok segmentli kurumsal ağlarda ACL yönetimini büyük ölçüde basitleştirir. Ayrıca, durum bilgisi olan (stateful) inceleme yaparak, geri dönüş trafiğine otomatik olarak izin verir.
Şahsi tercihim, her zaman en az ayrıcalık prensibine dayanır. Önce tüm trafiği kapatır, sonra sadece ihtiyaç duyulanlara izin veririm.
Bu yaklaşım başlangıçta sizi biraz uğraştırır. Fakat uzun vadede güvenlik ve yönetilebilirlik açısından büyük rahatlık sağlar. Böylece ağ güvenlik politikasını ancak bu şekilde etkin biçimde uygularsınız.
| Özellik | Standart ACL | Genişletilmiş ACL | Zone-Based Firewall |
|---|---|---|---|
| Filtreleme Kriteri | Sadece kaynak IP | Kaynak, hedef, port, protokol | Bölge bazlı stateful inceleme |
| Durum Bilgisi | Stateless | Stateless | Stateful |
| Yapılandırma Karmaşıklığı | Düşük | Orta | Yüksek |
| En İyi Kullanım | Basit izin/red | Detaylı trafik kontrolü | Çok segmentli kurumsal ağ |
DHCP Relay: Tek DHCP Sunucusu ile Tüm VLAN’lara IP Dağıtma
Her ağ için ayrı bir DHCP sunucusu kurmak hem maliyetlidir. Üstelik bu yöntem yönetimi zor bir çözümdür. Oysa ki, DHCP relay ajanı kullanarak tek bir merkezi sunucudan tüm sanal ağlara IP dağıtabilirsiniz.
Bu özellik, özellikle orta ve büyük ölçekli ağlarda vazgeçilmezdir. Çünkü, IP yönetimini merkezileştirir ve operasyonel yükü azaltır.
Çalışma mantığı oldukça basittir. Bir istemci DHCP isteği gönderdiğinde, bu istek broadcast paketi olduğu için kendi yayın alanında kalır.
DHCP relay ajanı, bu broadcast’i unicast pakete dönüştürerek doğrudan DHCP sunucusuna gönderir. Sunucudan gelen yanıtı da tekrar istemciye iletir. Bu sayede, farklı ağlardaki cihazlar sorunsuzca IP alabilir.
Sahada en çok karşılaştığım hatalardan biri, DHCP relay yapılandırmasının unutulmasıdır. Yeni bir ağ oluşturursunuz ama istemciler IP alamaz.
Saatlerce switch yapılandırmasını kontrol eder, sonunda bunun eksikliğini fark edersiniz. Bu nedenle, yeni bir ağ kurarken kontrol listesine DHCP relay’i eklemeyi asla unutmam.
DHCP Relay Cisco Switch’te Yapılandırma (ip helper-address)
Cisco dünyasında, DHCP relay yapılandırması için ip helper-address komutunu kullanırız. Bu komutu, istemci ağının SVI arayüzüne uygularsınız.
Örneğin, VLAN 10 için interface vlan 10 altına girip ip helper-address 192.168.1.10 yazarak DHCP sunucusunun IP adresini belirtirsiniz. İşte bu kadar basit.
Ancak, dikkat etmeniz gereken bir nokta var. IP helper-address, sadece DHCP paketlerini değil, diğer UDP broadcast’lerini de (TFTP, DNS gibi) yönlendirir. Bu durum, güvenlik riski oluşturabilir.
Neyse ki, bu davranışı no ip forward-protocol udp komutuyla kontrol altına alabilirsiniz. Yalnızca DHCP paketlerinin iletilmesini istiyorsanız, diğer protokolleri tek tek kapatmalısınız.
Ancak DHCP sunucusu farklı bir ağda yer alabilir. Bu durumda sunucu tarafında da ilgili scope’ları tanımlamanız gerekir. Sistemde her ağ için doğru IP havuzunu belirlemelisiniz. Bunun yanı sıra varsayılan ağ geçidi bilgisini de girmelisiniz.
Ayrıca, güvenlik duvarı kurallarının DHCP trafiğine izin verdiğinden emin olmalısınız. Bu üç bileşen bir arada çalıştığında sistem sorunsuz işler. Dolayısıyla, ağ segmentasyonu yapsanız bile IP dağıtımını kolayca gerçekleştirirsiniz.
MikroTik ve pfSense ile DHCP Relay

MikroTik RouterOS, DHCP relay işlevini son derece esnek bir şekilde sunar. /ip dhcp-relay menüsü altında, relay ajanını etkinleştirir ve hangi arayüzlerde dinleme yapacağını belirlersiniz.
add name=relay1 interface=bridge1 dhcp-server=192.168.1.10 komutuyla, bridge1 üzerinden gelen istekleri belirtilen sunucuya yönlendirebilirsiniz. Ayrıca, local-address parametresi ile relay trafiğinin kaynak adresini de belirleyebilirsiniz.
pfSense ise açık kaynak dünyasının yıldızıdır. DHCP Relay hizmetini etkinleştirmek için Services > DHCP Relay menüsüne gidersiniz. Burada, dinlenecek arayüzleri ve hedef DHCP sunucusunun IP adresini tanımlarsınız.
pfSense’in en büyük avantajı, aynı zamanda güvenlik duvarı ve VPN sunucusu olarak da çalışabilmesidir. Böylece, küçük ofislerde tek bir cihazla birçok ihtiyacı karşılarsınız.
Her iki platformda da ortak bir hatayla karşılaşabilirsiniz. Relay ajanı, DHCP sunucusuna isteği gönderirken kaynak IP olarak kendi arayüz IP’sini kullanır. Sunucu tarafında bu IP’nin tanımlı olduğundan emin olmalısınız.
Ayrıca, relay ajanının bulunduğu cihazda, istemci ağlarına yönelik doğru rotaların tanımlı olması gerekir. Aksi halde, sunucudan dönen yanıt istemciye ulaşamaz.
| Özellik | Cisco IOS | MikroTik RouterOS | pfSense |
|---|---|---|---|
| Yapılandırma Komutu | ip helper-address | /ip dhcp-relay add | Web GUI > DHCP Relay |
| Dinleme Arayüzü | SVI (interface vlan) | Bridge veya VLAN arayüzü | VLAN arayüzü |
| Ek Özellikler | UDP broadcast filtreleme | local-address belirleme | Entegre güvenlik duvarı |
| Zorluk Seviyesi | Orta | Orta | Düşük (GUI tabanlı) |
VTP (VLAN Trunking Protocol) ve Güvenlik Riskleri: Kullanmalı mı, Kapatmalı mı?
VTP özelliği, Cisco’nun sanal ağ veritabanını otomatik olarak dağıtmak için geliştirdiği özel bir protokoldür. Bu protokol büyük bir ağda yüzlerce cihazı tek tek yapılandırma zahmetini bitirir.
Üstelik tüm switch’leri merkezi bir sunucudan güncellemeyi vaat eder. Kulağa harika geliyor, değil mi? Ancak, sahadaki tecrübelerim bu protokolün baş ağrısından başka bir şey getirmediğini gösterdi.
Geçmişte, bir meslektaşım yanlışlıkla yüksek revizyon numarasına sahip bir switch’i ağa bağladı. Sonuç, tüm üretim ağındaki yapılandırmanın silinmesi oldu.
İşte bu yüzden, VTP domain yapılandırmasında her zaman dikkatli olmalısınız. Daha doğrusu, mümkünse tamamen kapatmalı veya transparent modda çalıştırmalısınız.
VTP version 3, bu sorunların bir kısmını giderdi ama hala riskleri tamamen ortadan kaldırmaz.
Uzmanlar, güvenlik riskleri nedeniyle modern ağ tasarımında VLAN trunking protokolünü (VTP) önermez. Bunun yerine, her switch’te manuel yapılandırma yapmak artık standart pratik haline geldi.
Otomasyon ihtiyacınız varsa, Ansible veya Python scriptleri kullanarak kontrollü dağıtım yapabilirsiniz. Bu sayede, hem merkezi yönetim avantajını elde eder hem de VTP’nin getirdiği risklerden kurtulursunuz.
VTP Modları: Server, Client, Transparent
VTP’nin üç çalışma modu vardır. Server modu, yapılandırma değişikliklerini yapabileceğiniz ve diğer switch’lere dağıtabileceğiniz moddur.
Bu modda yapacağınız her ekleme veya silme işlemi revizyon numarasını artırır. Üstelik sistem bu değişiklikleri tüm client’lara gönderir. Client modu ise sadece güncellemeleri alır, kendisi değişiklik yapamaz.
Transparent mod, benim her zaman tercih ettiğim moddur. Bu modda switch, VTP paketlerini alır ve iletir ancak kendi veritabanını güncellemez.
Yani, diğer cihazların birbirine güncelleme göndermesine izin verirken kendi yapılandırmanızı korursunuz. Bu, özellikle farklı ekiplerin yönettiği büyük ağlarda hayat kurtarıcıdır.
Mod değiştirmek için vtp mode transparent komutunu kullanabilirsiniz. Ancak, mod değiştirdikten sonra revizyon numarasının sıfırlandığından emin olmalısınız.
vtp domain adını değiştirip eski haline getirerek bu sıfırlamayı manuel olarak yapabilirsiniz. Ayrıca, VTP pruning özelliğini kullanıyorsanız, transparent modda bu özelliğin çalışmayacağını unutmayın.
VTP Güvenlik: Şifreleme ve VTP Version 3’e Yükseltme
VTP version 1 ve 2, neredeyse hiçbir güvenlik mekanizması sunmaz. Bir saldırgan, ağa bağladığı sahte bir switch ile tüm yapılandırmayı bozabilir.
Geliştiriciler, bu açıkları kapatmak için VTP version 3 sürümünü üretti. Şifreleme desteği, gizli anahtar koruması ve gelişmiş yetkilendirme mekanizmaları getirdi. Yine de, bu sürüme yükseltme yapmak tüm cihazlarınızın uyumlu olmasını gerektirir.
Yükseltme kararı vermeden önce, ağınızdaki tüm switch’lerin VTP version 3’ü desteklediğinden emin olmalısınız.
Eski model cihazlar, bu sürümü tanımayabilir ve ağda uyumsuzluk sorunlarına yol açabilir. Ayrıca, yükseltme işlemi sırasında tüm cihazları kademeli olarak güncellemeli ve her adımda doğrulama yapmalısınız.
Açıkçası, VTP kullanmamayı tercih ediyorum. Şifreleme ve güvenlik önlemlerine rağmen, protokolün doğası gereği taşıdığı riskler beni rahatsız ediyor.
Manuel yapılandırma ilk başta daha fazla iş gibi görünebilir. Doğal olarak uzun vadede daha güvenli bir ortam sağlarsınız. Ayrıca, VTP’nin detaylı çalışma yapısını anlamak, bu konudaki kararınızı netleştirecektir.
VLAN Yapılandırmasında En Sık Yapılan 10 Hata ve Kapsamlı Çözüm Rehberi (Troubleshooting)
20 yılı aşkın kariyerimde, sayısız ağ sorunuyla karşılaştım. Ancak, sorunların büyük çoğunluğu aynı temel hatalardan kaynaklanıyor.
Şimdi, en sık karşılaştığım 10 hatayı ve çözüm yollarını sizlerle paylaşıyorum. Bu listeyi, bir troubleshooting kılavuzu olarak kullanabilirsiniz.
Her bir hata için önce sorunun belirtilerini anlatıyorum. Şöyle ki, ardından kök nedenini ve son olarak adım adım çözüm yolunu paylaşıyorum.
Amacım, bir daha aynı sorunla karşılaştığınızda saatlerce uğraşmadan, doğrudan çözüme odaklanabilmeniz. Çünkü, üretim ortamında geçen her dakika, iş kaybı ve müşteri memnuniyetsizliği demektir.
Bu hataların çoğu, aslında basit yapılandırma yanlışlıklarıdır. Ancak, bu basit hatalar zincirleme reaksiyonlarla tüm ağı etkileyebilir.
Örneğin, yanlış PVID değeri nedeniyle aynı VLAN içinde ping gitmiyor olabilir. Veya, allowed listesinde eksik kimlik olduğu için trunk port üzerinden belirli bir ağı taşıyamazsınız. Şimdi, bu sorunları tek tek ele alalım.
show running-config çıktısını bir dosyaya kaydedin. Ayrıca, değişiklikleri teker teker yapın ve her adımdan sonra doğrulama yapın. Toplu değişiklikler, sorunun kaynağını bulmayı imkansız hale getirir.1. Hata: Aynı VLAN’daki Cihazlar Birbirini Görmüyor (PVID Yanlışlığı)
- Sorun: Aynı IP alt ağında ve aynı VLAN’da olması gereken iki cihaz birbirine ping atamaz. ARP istekleri karşı tarafa ulaşmaz.
- Kök Neden: MikroTik veya benzeri switch’lerde, access port’un PVID değeri yanlış atanmıştır. Etiketsiz gelen çerçeve, doğru VLAN’a yönlendirilmez.
- Çözüm:
/interface bridge port printile portun PVID değerini kontrol edin./interface bridge port set [find interface=ether2] pvid=10komutuyla doğru VLAN ID’yi atayın. Ardından bridge VLAN tablosunda portun untagged üye olduğunu doğrulayın. - Önlem: Her yeni port eklediğinizde PVID ve VLAN üyeliğini birlikte yapılandırın. Otomatik atamalara asla güvenmeyin. Yapılandırma sonrası ping testi ile doğrulama yapmayı alışkanlık haline getirin.
2. Hata: Trunk Port Üzerinden Belirli VLAN Taşınmıyor (Allowed VLAN Hatası)
- Sorun: Uçtaki switch’te tanımlı olan bir VLAN, çekirdek switch’e ulaşmıyor. Kullanıcılar IP alamıyor veya ağ geçidine ping atamıyor.
- Kök Neden: Trunk port üzerindeki allowed VLAN listesi, sorunlu VLAN’ı içermiyor. Protokol varsayılan olarak tüm VLAN’lara izin verir. Ancak önceden filtreleme yaptıysanız yeni bir grup ekleyemeyebilirsiniz.
- Çözüm:
show interfaces trunkkomutuyla trunk portun izin verdiği VLAN’ları listeleyin. Eksik VLAN’ı eklemek içinswitchport trunk allowed vlan add [VLAN_ID]komutunu kullanın. Her iki uçtaki switch’te de bu işlemi tekrarlayın. - Önlem: Trunk yapılandırmasını değiştirdikten sonra her zaman
show spanning-tree vlan [VLAN_ID]ile STP durumunu kontrol edin. VLAN’ın trunk üzerinde forwarding durumda olduğundan emin olun.
NOT: STP yakınsamasını hızlandırmak için UplinkFast harika bir Cisco özelliğidir. Direkt bağlantı kopmalarında saniyeler içinde yedek yola geçer.
3. Hata: Inter-VLAN Routing Çalışmıyor (IP Routing veya Default Gateway Eksik)
- Sorun: Farklı VLAN’lardaki cihazlar birbiriyle iletişim kuramıyor. Aynı VLAN içinde ping çalışıyor ancak diğer gruplara ping başarısız.
- Kök Neden: Layer 3 switch’te
ip routingkomutu etkinleştirmemiş olabilirsiniz. Veya, SVI arayüzlerini doğru yapılandırmadınız. İstemci cihazlarda varsayılan ağ geçidi yanlış olabilir. - Çözüm:
show ip routeile yönlendirme tablosunu kontrol edin. Tüm SVI’ların doğrudan bağlı rotalar olarak göründüğünden emin olun. Eksikseip routingkomutunu global konfigürasyonda verin. İstemci tarafındaipconfig /allile ağ geçidi adresini doğrulayın. - Önlem: Her yeni SVI oluşturduğunuzda, hemen ardından
no shutdownkomutunu vermeyi unutmayın. SVI’ların varsayılan durumu kapalıdır.
4. Hata: DHCP Üzerinden IP Alamama (DHCP Relay Eksikliği)
- Sorun: İstemci cihazlar sürekli 169.254.x.x (APIPA) adresi alıyor. DHCP sunucusuna ulaşamıyorlar.
- Kök Neden: DHCP sunucusu farklı bir VLAN’da yer alıyor. Bununla birlikte istemci ağının SVI’sında DHCP relay (ip helper-address) özelliğini yapılandırmadınız. Broadcast DHCP istekleri yönlendirilmiyor.
- Çözüm: İstemci ağının SVI’sına
ip helper-address [DHCP_SERVER_IP]ekleyin.show ip interface vlan [VLAN_ID]ile helper-address’in tanımlandığını doğrulayın. DHCP sunucusunda ilgili scope’un tanımlı olduğunu kontrol edin. - Önlem: Yeni VLAN oluşturma kontrol listenize DHCP relay yapılandırmasını ekleyin. Ayrıca, güvenlik duvarı kurallarının DHCP trafiğine izin verdiğinden emin olun.
5. Hata: Broadcast Storm Nedeniyle Ağ Çökmesi (Storm Control)
- Sorun: Ağ aniden yavaşlıyor veya tamamen çöküyor. Switch CPU kullanımı %100’e ulaşıyor. Kullanıcılar bağlantı kopmaları yaşıyor.
- Kök Neden: Bir cihaz veya yanlış yapılandırma nedeniyle ağda kontrolsüz broadcast trafiği oluşuyor. Storm control yapılandırılmadığı için bu trafik tüm portları etkiliyor.
- Çözüm: Öncelikle kaynağı bulmak için
show interfacesile port istatistiklerini inceleyin. Storm control’ü etkinleştirmek içinstorm-control broadcast level 5.00komutunu kullanın. Böylece eşik değeri aşan portları otomatik kapatırsınız. - Önlem: Tüm access portlarda storm control’ü varsayılan olarak etkinleştirin. Yayın fırtınası eşiği olarak %5-10 arası bir değer idealdir. Ayrıca, Spanning Tree Protokolü ile döngüleri engelleyin.
6. Hata: Yeni VLAN Oluşturulduğunda Aktif Olmaması (VLAN Database)
- Sorun: Yeni bir VLAN oluşturuldu ancak
show vlançıktısında görünmüyor. Port ataması yapılamıyor. - Kök Neden: Cisco switch’lerde, VTP transparent modu VLAN bilgisini running-config dosyasında tutar. Yanlışlıkla VLAN database modunda oluşturulan VLAN, transparent modda geçerli olmaz. Bir başka deyişle, VLAN’ı oluştursanız bile cihaz bunu veritabanına yazmamış olabilir.
- Çözüm: Global konfigürasyon modunda
vlan [VLAN_ID]komutuyla VLAN’ı oluşturun.name [VLAN_ADI]ile isimlendirin.show vlan briefile VLAN’ın oluşturulduğunu doğrulayın. Özellikle VTP transparent modu bu süreçte VLAN bilgisini otomatik olarak running-config dosyasına yazar. - Önlem: VLAN oluşturma işlemlerini her zaman global konfigürasyon modunda yapın. VLAN database modundan kaçının. Konfigürasyonu kaydetmeyi unutmayın:
write memoryveyacopy running-config startup-config.
7. Hata: Voice VLAN Çalışmıyor (Telefon IP Alamıyor veya QoS Yok)
- Sorun: IP telefon açılıyor fakat ses ağından IP adresi alamıyor. Telefon, data VLAN’ından IP alıyor veya hiç IP almıyor. Ses kalitesi kötü.
- Kök Neden: Access port üzerinde ses (voice) VLAN tanımlamasını yapmadınız. Veya, LLDP/CDP düzgün çalışmadığı için telefon ses ağını öğrenemiyor. Yani QoS yapılandırması eksik.
- Çözüm: Access portta
switchport voice vlan [VLAN_ID]komutunu uygulayın.show lldp neighborsveyashow cdp neighborsile telefonun tanındığını doğrulayın.auto qos voip trustile QoS’u etkinleştirin. - Önlem: Tüm telefon portlarında voice VLAN yapılandırmasını otomatik yapmak isteyebilirsiniz. Bunun için port şablonları veya toplu yapılandırma scriptleri kullanın. LLDP’nin etkin olduğundan emin olun.
8. Hata: Native VLAN Mismatch (Trunk Log Hatası)
- Sorun: Switch konsolunda sürekli
%CDP-4-NATIVE_VLAN_MISMATCHveya benzeri hata mesajları görünüyor. Belirli VLAN’larda bağlantı sorunları yaşanıyor. - Kök Neden: Trunk bağlantının iki ucundaki native VLAN tanımları birbirinden farklı. Bir uçta VLAN 1, diğer uçta ise VLAN 999 ayarını seçtiniz.
- Çözüm:
show interfaces trunkile her iki uçtaki native VLAN değerini kontrol edin.switchport trunk native vlan [VLAN_ID]komutuyla her iki uçta da aynı değere ayarlayın. Değişiklik sonrası log mesajlarının kesildiğini doğrulayın. - Önlem: Yeni trunk bağlantı kurarken native VLAN’ı standart bir değere (örn. 999) ayarlayın. Bu değeri tüm trunk bağlantılarda tutarlı olarak kullanın. Native VLAN hakkında detaylı bilgi için ilgili rehbere göz atabilirsiniz.
9. Hata: Private VLAN (PVLAN) Yapılandırmasında Promiscuous Port Hatası
- Sorun: PVLAN içindeki izole portlar dış dünyayla iletişim kuramıyor. Promiscuous port üzerinden trafik geçmiyor.
- Kök Neden: Promiscuous port, doğru primary VLAN’a atanmamış. Bir başka deyişle, ikincil (secondary) VLAN ile birincil (primary) VLAN eşlemesini yanlış yaptınız. Dolayısıyla port, tüm secondary VLAN’lara erişemiyor.
- Çözüm:
show vlan private-vlanile PVLAN eşlemelerini kontrol edin. Primary VLAN’ı oluşturun:vlan 100,private-vlan primary. Secondary VLAN’ları oluşturun ve eşleyin:private-vlan association [SEC_VLAN_LIST]. Promiscuous portu primary VLAN’a atayın:switchport private-vlan mapping 100 [SEC_VLAN_LIST]. - Önlem: PVLAN yapılandırması karmaşıktır. Değişiklik yapmadan önce mutlaka yedek alın. Her adımda doğrulama yapın. Özellikle test ortamında çalıştırmadan üretime almayın.
10. Hata: VLAN ID 1 Üzerinde Güvenlik Zafiyeti (VLAN Hopping Risk)
- Sorun: Sistemde varsayılan VLAN 1 ayarını hala aktif olarak kullanıyorsunuz. Kullanıcı trafiği, yönetim trafiği ve native trafik aynı VLAN üzerinde akıyor.
- Kök Neden: Tüm portlar varsayılan olarak VLAN 1’e atanır. Yöneticiler bu varsayılanı değiştirmez ve VLAN 1 üzerinde trafik akışına izin verir. Bu, VLAN hopping saldırıları için geniş bir saldırı yüzeyi oluşturur.
- Çözüm: Tüm access portları kullanılmayan farklı bir VLAN’a atayın. VLAN 1’i kullanılmayan bir Black Hole VLAN olarak bırakın. Trunk portlarda native VLAN’ı değiştirin.
show vlan id 1ile VLAN 1’de hangi portların kaldığını kontrol edin ve temizleyin. - Önlem: Yeni switch kurulumunda ilk iş olarak VLAN 1’den tüm portları çıkarın. Varsayılan VLAN’ı değiştirmek mümkün olmasa da, kullanmamak en iyi stratejidir. Ayrıca, access port güvenliği için ek önlemler alın.
VLAN ve İleri Düzey Teknolojiler: VXLAN, SD-Access, EVPN, Network Virtualization

Klasik ağ segmentasyonu, 4096 VLAN limiti nedeniyle büyük veri merkezlerinde yetersiz kalmaya başladı.
Modern bulut mimarilerinde, çok kiracılı (multi-tenant) ortamlar binlerce izole ağ gerektiriyor. İşte tam bu noktada, VXLAN ve SD-Access gibi yeni nesil teknolojiler devreye giriyor.
VXLAN (Virtual Extensible LAN), geleneksel sınırları aşmak için MAC-in-UDP kapsülleme kullanır. 24 bitlik VXLAN Network Identifier (VNI) sayesinde, 16 milyona kadar izole ağ oluşturabilirsiniz.
Bu sayı, en büyük bulut sağlayıcılarının bile ihtiyacını karşılayacak düzeydedir. Ayrıca, VXLAN overlay ağ yapısı, katman-3 ağı üzerinde katman-2 iletişimi sağlar.
SD-Access ise Cisco’nun yazılım tanımlı ağ (SDN) vizyonunun bir parçasıdır. Scalable Group Tagging (SGT) ile kullanıcı veya cihaz bazlı politikalar uygularsınız.
Artık IP adresine veya VLAN’a bağımlı değilsinizdir. Bir kullanıcı, ofis içinde nereye giderse gitsin, güvenlik politikası onunla birlikte hareket eder. Bu, Zero Trust ağ mimarisi için temel bir yapı taşıdır.
VXLAN (Virtual Extensible LAN): VLAN Yetersiz Kaldığında
VXLAN, geleneksel sanal ağların tüm iyi özelliklerini alır ve ölçeklenebilirlik sorununu kökten çözer. Her VXLAN segmenti, bir VNI ile tanımlarsınız.
VTEP cihazları orijinal Ethernet çerçevesini bir UDP paketinin içine yerleştirir. Şöyle ki, bu paketleri IP ağı üzerinden taşır. Bu sayede, katman-2 yayın alanlarını katman-3 sınırlarının ötesine genişletirsiniz.
Geleneksel VLAN ile VXLAN arasındaki en büyük fark, ölçeklenebilirliktir. VLAN 4096 limiti, VXLAN’da 16 milyona çıkar.
Ayrıca, VXLAN tünelleme sayesinde, fiziksel topolojiden tamamen bağımsız mantıksal ağlar kurabilirsiniz. Bu, özellikle sanal makine hareketliliği (vMotion) gerektiren veri merkezlerinde kritik bir avantajdır.
Ancak, VXLAN’ın getirdiği bu karmaşıklığı hiçbir şekilde göz ardı edemezsiniz. Multicast tabanlı flood-and-learn mekanizması, ağ mühendisleri için yeni bir öğrenme eğrisi anlamına gelir.
Neyse ki, EVPN (Ethernet VPN) ile birleştiğinde, kontrol düzlemi çok daha verimli hale gelir. MP-BGP kullanarak VTEP’ler arasında MAC adresi bilgisini paylaşır. Dahası, bu yöntemle gereksiz multicast trafiğini engellersiniz.
| Özellik | Geleneksel VLAN | VXLAN |
|---|---|---|
| Segment Sayısı | 4094 (maksimum) | 16 milyon (maksimum) |
| Kapsülleme | 802.1Q (4 bayt etiket) | MAC-in-UDP (50 bayt başlık) |
| Ağ Katmanı | Katman-2 | Katman-3 (overlay) |
| Yayın Alanı Genişletme | Sınırlı (STP bağımlı) | Esnek (IP tabanlı) |
| Kontrol Düzlemi | STP, VTP | EVPN (MP-BGP) |
| Kullanım Alanı | Kampüs, KOBİ | Veri merkezi, bulut |
SD-Access ve SGT (Scalable Group Tagging): VLAN’ı Dijital Çağa Taşımak
SD-Access, geleneksel ağ segmentasyonu stratejisini kökten değiştiren bir mimaridir. Cisco DNA Center platformu bu yapıyı doğrudan yönetir.
Üstelik sistem, fiziksel ve sanal ağları tek bir politika düzleminde birleştirir. Fabric edge düğümleri, kullanıcı trafiğini VXLAN ile kapsüller ve SD-Access fabric üzerinden taşır.
SGT, bu mimarinin en güçlü özelliğidir. Her kullanıcı veya cihaz, kimlik doğrulama sonrası bir güvenlik grubu etiketi (SGT) alır. Ağ cihazları, bu etikete bakarak trafiğe izin verir veya reddeder.
Bu sayede, IP adresi değişse bile politika tutarlı kalır. Mikro segmentasyon, artık sadece veri merkezlerinde değil, kampüs ağlarında da mümkündür.
Zero Trust VLAN ilişkisi, SD-Access ile yeni bir boyut kazanır. Artık, “aynı VLAN’da oldukları için güvenli” varsayımı tamamen ortadan kalkar.
Her cihaz, sürekli olarak kimlik doğrulamasından geçer ve en az ayrıcalık prensibiyle hareket eder. Bu, modern siber güvenlik mimarisinin olmazsa olmazıdır.
Bulut Ortamlarında VLAN Karşılığı: AWS VPC, Azure VNet, GCP VPC

Bulut sağlayıcıları, ağ izolasyonu için kendi çözümlerini sunar. AWS VPC (Virtual Private Cloud), kullanıcıya özel izole bir sanal ağ ortamı sağlar.
Burada, subnet’ler ve güvenlik grupları ile geleneksel VLAN mantığının bir benzerini kurarsınız. Ancak, 802.1Q etiketlemesi kullanıcıya açık değildir; bu işlemi arka planda otomatik olarak yürütür.
Azure VNet ve GCP VPC de benzer prensiplerle çalışır. Cloud network segmentasyonu, çoğunlukla yazılım tabanlıdır ve kullanıcıya büyük esneklik sunar.
VPC sanal özel bulut ile VLAN arasındaki en büyük fark, ölçeklenebilirlik ve yönetim kolaylığıdır. Bulut ortamında, donanım sınırlamaları olmadan istediğiniz kadar segment oluşturabilirsiniz.
VTEP cihazları orijinal Ethernet çerçevesini bir UDP paketinin içine yerleştirir. Bununla birlikte bu paketleri IP ağı üzerinden taşır.
Tutarlı bir politika seti oluşturmak için, her iki ortamda da aynı segmentasyon mantığını uygulamalısınız. Bu nedenle, buluta geçiş projelerinde ağ mimarisinin baştan planlanması şarttır.
| Özellik | AWS VPC | Azure VNet | GCP VPC |
|---|---|---|---|
| Segmentasyon Yöntemi | Subnet + Security Group | Subnet + NSG | Subnet + Firewall Rules |
| VLAN Desteği | Yok (arka planda otomatik) | Yok (arka planda otomatik) | Yok (arka planda otomatik) |
| Maks. Segment | Sınırsız (bölge başına) | Sınırsız | Sınırsız (global) |
| Hibrit Bağlantı | VPN, Direct Connect | VPN, ExpressRoute | VPN, Interconnect |
Pratikte VLAN: Ev, KOBİ ve Kurumsal Ölçekte Gerçek Dünya Senaryoları
Teoriyi pratiğe dökmek, her zaman en zor adımdır. Bu bölümde, farklı ölçeklerdeki ağlar için gerçek dünya senaryoları sunuyorum.
Ev ağından başlayıp, KOBİ ve kurumsal ölçeğe kadar uzanan bir yolculuk yapacağız. Her senaryoda, belirli ihtiyaçlara yönelik özelleştirilmiş çözümler bulacaksınız.
Amaç, bu teknolojinin sadece büyük şirketler için olmadığını göstermek. Evinizdeki akıllı cihazları bu yöntemle kolayca izole edebilirsiniz.
Üstelik 30 kişilik bir ofiste misafir ağı kurarken de bu teknolojiyi kullanırsınız. Yeter ki doğru araçları ve yapılandırma adımlarını bilin.
Ev Ağında VLAN: Misafir ve IoT İzolasyonu (OpenWRT/pfSense)
Ev ağınızda bu teknolojiyi kullanmak, düşündüğünüzden çok daha kolaydır. Akıllı ev cihazları için VLAN segmentasyonu, güvenliğinizi ciddi şekilde artırır.
Diyelim ki, ucuz bir IP kameranız var. Bu cihazın üreticisi güvenlik güncellemesi yayınlamayı bıraktı. Bu cihazı ana ağınızdan izole etmezseniz, tüm ev ağınız savunmasız kalır.
OpenWRT VLAN yapılandırması için, öncelikle switch menüsünden port bazlı VLAN tanımlaması yaparsınız. Her SSID için ayrı bir kimlik atayarak WiFi SSID VLAN mapping uygulayabilirsiniz.
Örneğin, ana ağınız VLAN 1’de, misafir ağınız VLAN 99’da, IoT cihazlarınız VLAN 100’de olsun. Ardından, güvenlik duvarı kuralları ile bu ağlar arasındaki trafiği kısıtlarsınız.
pfSense VLAN segmentasyonu ise biraz daha gelişmiş seçenekler sunar. Tek bir fiziksel arayüzü trunk olarak yapılandırıp, üzerinde dilediğiniz kadar VLAN arayüzü oluşturabilirsiniz.
pfSense güvenlik duvarı sayesinde misafir ağını sadece internete çıkarabilirsiniz. Bununla birlikte IoT ağını da belirli sunucularla kısıtlarsınız. Bu sayede, ev ağınız kurumsal düzeyde koruma kazanır.
Ev ağında VLAN kurulumu için adım adım rehber:
- Yönetilebilir bir switch veya VLAN destekli bir router edinin (pfSense, OpenWRT, MikroTik).
- Ana ağınız için bir VLAN ID’si belirleyin (örn. VLAN 10).
- Misafir ağı için ayrı bir VLAN ID’si oluşturun (örn. VLAN 99).
- IoT cihazları için üçüncü bir VLAN ID’si tanımlayın (örn. VLAN 100).
- Her VLAN için ayrı IP alt ağı ve DHCP scope’u yapılandırın.
- WiFi SSID’lerini VLAN’lara eşleyin (SSID-VLAN mapping).
- Güvenlik duvarı kuralları ile VLAN’lar arası trafiği kısıtlayın.
- Misafir ve IoT VLAN’larının sadece internete çıkmasına izin verin.
KOBİ VLAN Tasarım Şablonu (30 kullanıcı, tek katlı ofis)
30 kullanıcılı bir ofis için tipik bir tasarım şablonu aşağıdaki tabloda verdim. Bu şablonu, temel güvenlik ve performans ihtiyaçlarını karşılayacak şekilde optimize ettim.
| VLAN ID | Adı | Amaç | IP Alt Ağı | Ağ Geçidi | DHCP Aralığı |
|---|---|---|---|---|---|
| 10 | Yönetim | Switch, AP yönetimi | 192.168.10.0/24 | 192.168.10.1 | 192.168.10.10-250 |
| 20 | Ofis Çalışanları | Kablolu ve kablosuz kullanıcı | 192.168.20.0/24 | 192.168.20.1 | 192.168.20.10-250 |
| 30 | Misafir WiFi | Sadece internet erişimi | 192.168.30.0/24 | 192.168.30.1 | 192.168.30.10-250 |
| 40 | VoIP | IP telefonlar | 10.0.40.0/24 | 10.0.40.1 | 10.0.40.10-250 |
| 50 | Sunucu | Dosya sunucusu, ERP | 192.168.50.0/24 | 192.168.50.1 | Statik atama |
| 99 | Black Hole | Kullanılmayan portlar | – | – | – |
Kurumsal Ölçekte VLAN Tasarımı (Best Practices ve Örnek Şirket)
Kurumsal ölçekte ağ tasarımı, katmanlı bir mimari gerektirir. Erişim katmanı, kullanıcıların doğrudan bağlandığı switch’lerden oluşur.
Dağıtım katmanı, access switch’leri birbirine bağlar ve politika uygulama noktasıdır. Çekirdek katman ise yüksek hızlı yönlendirme ve ana omurga görevi görür.
Büyük şirketlerde VLAN planlamasını coğrafi konum ve departman bazında yaparsınız. Örneğin İstanbul pazarlama departmanı için VLAN 120 kullanırsınız.
Bunun yanı sıra Ankara pazarlama için VLAN 220 tercih edebilirsiniz. Böylece hem konum hem fonksiyon bazında esnek politikalar uygularsınız. Üstelik yönetim ağını tamamen ayırarak out-of-band erişim sağlarsınız.
En iyi pratikler arasında, VLAN başına 200’den az cihaz bulundurmak vardır. Broadcast domain boyutunu küçük tutmak, ağ performans optimizasyonu için kritiktir.
Ayrıca, her VLAN için belgelenmiş bir IP adresleme planı ve değişiklik yönetimi süreci şarttır. Ölçeklenebilir ağ mimarisi, ancak disiplinli bir yönetim anlayışıyla mümkündür.
Kurumsal VLAN tasarımında altın kurallar:
- Her VLAN için benzersiz ve anlamlı bir isimlendirme şeması kullanın (örn. IST-PAZARLAMA-120).
- VLAN başına maksimum 200 cihaz sınırını aşmayın.
- Yönetim VLAN’ını tamamen izole edin ve güçlü erişim kontrolü uygulayın.
- Tüm trunk bağlantılarda allowed VLAN listesini sıkılaştırın.
- Her VLAN değişikliğini değişiklik yönetimi sürecine tabi tutun.
- Acil durum kurtarma için VLAN yapılandırmasının düzenli yedeğini alın.
VLAN Güvenliği: Port Security, BPDU Guard, DHCP Snooping, Dynamic ARP Inspection
Katman-2 güvenliği, genellikle ihmal edilen ama en kritik savunma hattıdır. Saldırganlar, güvenlik duvarınızı aşamasalar bile, switch portları üzerinden ağınıza sızabilir.
Bu nedenle port security ve BPDU guard adımlarını devreye almalısınız. Ek olarak DHCP snooping ve Dynamic ARP Inspection özelliklerini de kesinlikle açmalısınız.
Bu güvenlik önlemleri, birbirini tamamlayan katmanlar oluşturur. Port security, yetkisiz MAC adreslerini engeller. BPDU guard, STP manipülasyonunu önler. DHCP snooping, sahte DHCP sunucularını tespit eder.
STP’de portlar blocking, listening, learning, forwarding gibi durumlardan geçer. Bu döngüyü anlamak sorun gidermede işe yarar.
Dynamic ARP Inspection ise ARP zehirlenmesi saldırılarını bloke eder. Birlikte çalıştıklarında, ağınızı katman-2 saldırılarına karşı neredeyse aşılmaz bir kaleye dönüştürür.
Şahsen, tüm bu özellikleri varsayılan olarak etkinleştiriyorum. Üretim ortamında yaşadığım bir ARP zehirlenmesi vakasından sonra, katman-2 güvenliğine olan bakış açım tamamen değişti.
Port Security: MAC Adresi ile VLAN Erişim Kontrolü

Port security, bir switch portuna bağlanabilecek MAC adresi sayısını sınırlandıran temel bir güvenlik özelliğidir. Örneğin, bir kullanıcı portunda sadece bir MAC adresine izin verirsiniz.
Birisi portunuza switch takıp çok sayıda cihaz bağlamaya çalışabilir. Dolayısıyla sistem bu portu otomatik olarak kapatır. Bu, özellikle lobi veya toplantı odası gibi genel alanlarda hayati önem taşır.
Yapılandırması oldukça basittir: switchport port-security ile özelliği etkinleştirir, switchport port-security maximum 1 ile sınırı belirlersiniz.
İhlal durumunda ne olacağını switchport port-security violation shutdown ile tanımlarsınız. Ayrıca, switchport port-security mac-address sticky ile öğrenilen MAC adreslerini kalıcı olarak kaydedebilirsiniz.
Ancak, bu özelliği yapılandırırken dikkatli olmalısınız. IP telefon bağlı portlarda, telefonun dahili switch’i nedeniyle en az iki MAC adresine izin vermelisiniz.
Ayrıca, yanlışlıkla kapanan bir portu açmak için shutdown ve no shutdown komutlarını sırayla uygulamanız gerektiğini unutmayın.
BPDU Guard: STP Saldırılarını Engelleme
Spanning Tree Protocol, ağ döngülerini önlemek için hayati bir protokoldür. Ancak, bir saldırgan kendi cihazından BPDU paketleri göndererek STP topolojisini manipüle edebilir.
BPDU Guard, bu tür saldırıları engellemek için tasarladılar. Bu özelliği etkinleştirdiğinizde, port bir BPDU paketi alır almaz otomatik olarak kapatırsınız.
Yapılandırmak için, istemci portlarında spanning-tree bpduguard enable komutunu uygulamalısınız. Veya, global olarak spanning-tree portfast bpduguard default komutu ile tüm portfast portlarda otomatik olarak etkinleştirebilirsiniz. İkinci yöntem, özellikle büyük ağlarda yönetim kolaylığı sağlar.
Bu özelliğin, normal kullanıcı portları dışında hiçbir yerde sorun çıkarmaması gerekir. Ancak, yanlışlıkla trunk portlarda etkinleştirirseniz, meşru BPDU trafiğini de engelleyerek ağda döngülere yol açabilirsiniz. Bu nedenle, BPDU Guard’ı yalnızca access portlarda kullanmalısınız.
DHCP Snooping ve Dynamic ARP Inspection (DAI)
DHCP snooping, ağınızdaki yetkisiz DHCP sunucularını tespit eden ve engelleyen bir güvenlik mekanizmasıdır. Switch, portları trusted (güvenilir) ve untrusted (güvenilmeyen) olarak sınıflandırır.
Yalnızca trusted portlardan gelen DHCP yanıtlarına (DHCPOFFER, DHCPACK) izin verir. Bu sayede, bir saldırganın kendi DHCP sunucusunu kurarak kullanıcıları yanlış ağ geçidine yönlendirmesini engellersiniz.
Yapılandırma adımları şöyledir: Önce global olarak ip dhcp snooping ile özelliği etkinleştirirsiniz. Ardından, DHCP sunucusunun bağlı olduğu portu ip dhcp snooping trust ile güvenilir olarak işaretlersiniz.
Son olarak, kullanıcı VLAN’larında ip dhcp snooping vlan 10,20,30 ile snooping’i etkinleştirirsiniz.
Dynamic ARP Inspection (DAI), DHCP snooping ile el ele çalışır. DHCP snooping’in oluşturduğu IP-MAC bağlama tablosunu kullanarak, ARP paketlerini doğrular.
Geçersiz ARP yanıtları otomatik olarak düşürür. Bu sayede, ARP zehirlenmesi saldırılarını tamamen engellersiniz. DAI’yi etkinleştirmek için ip arp inspection vlan 10,20,30 komutunu kullanabilirsiniz.
Katman-2 güvenliği için adım adım yapılandırma sırası:
- Önce DHCP snooping’i global olarak etkinleştirin:
ip dhcp snooping - Güvenilir portları işaretleyin:
interface g0/1,ip dhcp snooping trust - Kullanıcı VLAN’larında snooping’i açın:
ip dhcp snooping vlan 10,20 - DAI’yi aynı VLAN’larda etkinleştirin:
ip arp inspection vlan 10,20 - Port security’yi access portlara uygulayın:
switchport port-security - BPDU guard’ı etkinleştirin:
spanning-tree bpduguard enable - Doğrulama yapın:
show ip dhcp snooping,show ip arp inspection
VLAN Ağları İçin İleri Okuma Kaynakları
Bu rehberde ele aldığımız konuları daha da derinleştirmek için aşağıdaki otoriter kaynakları incelemenizi öneririm. Bu kaynaklar, konunun en güncel standartlarını ve akademik temellerini sunar.
- IEEE 802.1Q Standardı: VLAN etiketleme mekanizmasının resmi tanımını içeren IEEE dokümanıdır. Çerçeve yapısı, PCP kodlama detayları ve protokol davranışı hakkında en yetkili kaynaktır.
- IETF RFC 7348 (VXLAN): VXLAN’in temel tanımını ve kapsülleme yapısını belirleyen IETF dokümanıdır. Ağ uzmanları VNI atamasını ve VTEP keşfini standart hale getirir. Dahası veri düzlemi işleyişini de burada netleştirirler.
- Cisco Catalyst 9000 Serisi VLAN Yapılandırma Kılavuzu: Cisco’nun güncel donanımları için resmi yapılandırma rehberidir. SD-Access entegrasyonu ve TrustSec SGT gibi ileri konuları kapsar.
Ağ Segmentasyonu ve VLAN Teknolojisi Üzerine SSS
VLAN ile subnet arasındaki fark nedir?
VLAN hopping nedir ve nasıl engellenir?
VLAN için yönetilebilir switch şart mı?
Native VLAN neden değiştirilmeli?
Inter-VLAN routing için Layer 3 switch gerekli mi?
Ev ağımda VLAN kullanabilir miyim? Hangi cihazlar destekliyor?
Aynı VLAN içindeki iki bilgisayar birbirini görmüyorsa ne yapmalıyım?
VTP (VLAN Trunking Protocol) güvenli midir?
VXLAN nedir, VLAN’dan farkı ne?
Wireshark ile VLAN trafiği nasıl yakalanır ve analiz edilir?
Private VLAN (PVLAN) nedir? Ne zaman kullanılır?
DHCP Relay nedir? Neden kullanılır?
Broadcast storm nedir, VLAN nasıl önler?
VLAN ID 1 neden kullanılmamalı?
VLAN yapılandırmasında en sık yapılan hatalar nelerdir?
Sonuç: VLAN Yapılandırmasında Nihai Kontrol Listesi ve En İyi Pratikler
Bu kapsamlı yolculuğun sonuna geldik. Şimdi, öğrendiğimiz her şeyi eyleme dökülebilir bir kontrol listesine dönüştürme zamanı. Bu liste ister yeni bir ağ kurun ister mevcut ağı denetleyin size rehberlik edecek. Her maddeyi uyguladığınızdan emin olun.
Unutmayın, ağ segmentasyonu bir kerelik bir proje değil, sürekli bir süreçtir. İş yükleri değiştikçe, yeni tehditler ortaya çıktıkça, yapılandırmanızı gözden geçirmeli ve güncellemelisiniz.
Ağ güvenlik politikası, yaşayan bir belge olmalıdır. Ayrıca, tüm değişiklikleri kayıt altına almak ve düzenli yedek almak, felaket kurtarma senaryolarında hayat kurtarır.
Aşağıdaki kontrol listesini, her VLAN yapılandırması öncesinde ve sonrasında gözden geçirin. Bu liste, 20 yıllık saha tecrübesinin damıtılmış özüdür. Her bir madde, geçmişte yaşadığım bir sorunun veya önlediğim bir felaketin sonucunda oluştu. Umarım sizin için de aynı derecede faydalı olur.
- VLAN Planlaması: Tüm VLAN’ları belgeleyin (ID, isim, IP alt ağı, ağ geçidi, amaç).
- Varsayılan VLAN 1: VLAN 1’den tüm kullanıcı portlarını çıkarın.
- Native VLAN: Tüm trunk’larda varsayılanı değiştirin ve eşleştiğini doğrulayın.
- Trunk Allowed List: Yalnızca gerekli VLAN’ların taşınmasına izin verin.
- DTP: Tüm access portlarda kapatın (
switchport nonegotiate). - Kullanılmayan Portlar: Kapatın ve Black Hole VLAN’a atayın.
- Port Security: Tüm access portlarda etkinleştirin.
- BPDU Guard: Tüm access portlarda etkinleştirin.
- DHCP Snooping: Kullanıcı VLAN’larında etkinleştirin.
- Storm Control: Tüm access portlarda broadcast storm eşiği belirleyin.
- Management VLAN: Kullanıcı trafiğinden ayırın ve erişimi kısıtlayın.
- Belgeleme ve Yedek: Konfigürasyonu düzenli yedekleyin ve değişiklikleri belgeleyin.

14 Kişi Deneyimini Paylaştı
Sağ olun
Yorumunuz için teşekkürler…