VLAN Nedir? Virtual Local Area Network Çalışma Mantığı ve Yapılandırma

Hızlı Bakış

VLAN, fiziksel bir anahtar üzerinde cihazları mantıksal gruplara ayıran sanal bir ağ tekniğidir. Bu yapı OSI ikinci katmanda çalışıyor. Yayın trafiğini yalnızca aynı gruba üye portlarla sınırlandırıyor. Böylece gereksiz veri akışı engelleniyor. Yönetici her portu manuel olarak ilgili gruba atıyor. Bu sayede aynı kattaki farklı departmanlar birbirinden yalıtılmış oluyor. Ancak gruplar arası iletişim için mutlaka bir yönlendirici gerekiyor.

Bir ağ mühendisliği kariyerinde en temel kavramlardan biriyle karşı karşıyasınız. Ancak insanlar bu kavramı sıklıkla yanlış anlıyor. Ağ segmentasyonu yani VLAN (Virtual Local Area Network), günümüz siber güvenlik mimarisinin omurgasını oluşturur.

Kurumsal bir ağda yayın trafiğini kontrol etmek isteyebilirsiniz. Şöyle ki güvenlik açıklarını kapatmak ve performansı optimize etmek için bu kavramı kavramalısınız.

Bu yazıda standart tanımların dışına çıkıyoruz. Üstelik 20 yıllık saha tecrübemden sıra dışı vakaları ve çözümleri paylaşıyorum. Ayrıca modern ağların vazgeçilmezi olan 802.1Q protokolünün çalışma mantığını inceliyoruz. Bununla birlikte en korkulan VLAN hopping saldırılarını da ele alıyoruz.

Özellikle güncel tehditler karşısında ağınızı nasıl koruyacağınızı bilmek büyük önem taşır. Bu nedenle double tagging gibi sinsi saldırı vektörlerini anlatıyorum. Üstelik, sadece Cisco değil; MikroTik, Huawei ve Juniper cihazlarında da yapılandırma komutlarını karşılaştırmalı olarak bulacaksınız.

İpucu
Bu rehberi baştan sona okumak zorunda değilsiniz. İhtiyacınız olan bölüme doğrudan atlayabilirsiniz. Ancak, temel kavramları atlamanızı önermem. Özellikle Native VLAN ve VLAN Hopping bölümleri, ağ güvenliğiniz için kritik önem taşır.

Amacım, bu rehberi bitirdiğinizde elinizde doğrudan üretim ortamında kullanabileceğiniz bir kontrol listesi oluşturmak. Teorik bilgiyi pratik senaryolarla harmanlayarak, aklınızdaki tüm soru işaretlerini kalıcı olarak gidereceğiz. Hadi, kahvenizi alın ve ağ mühendisliğinin bu büyüleyici dünyasına derinlemesine dalalım!

VLAN (Virtual Local Area Network) Tanımı, Özellikleri, Türleri ve Kullanımı

VLAN Nedir? — Sanal Yerel Alan Ağının Tanımı, Tarihçesi ve OSI Katmanındaki Yeri

Mantıksal ağ bölümleme yani VLAN, ağ dünyasının en zarif buluşlarından biridir. Şöyle ki fiziksel topolojiden bağımsız bir iletişim ortamı oluşturur.

VLAN’ı anlamak için önce klasik yerel alan ağını bilmelisiniz. LAN yapısı fiziksel sınırlara dayanır. VLAN ise bu sınırları sanallaştırarak aşıyor.

İlk Cisco 1900 serisi switch ile bu yapıyı kurduğum anı hatırlıyorum. Aslında o an mühendisliğin ne kadar yaratıcı olabileceğini anladım. Düşünsenize, tek bir fiziksel anahtar üzerinde birbirinden tamamen izole edilmiş farklı yayın alanları inşa edebiliyorsunuz.

Geçmişe baktığımda, ağ segmentasyonu ihtiyacı ilk olarak 1990’ların başında patlak verdi. Geleneksel düz ağlarda, bir bilgisayarın gönderdiği yayın paketi tüm cihazlara ulaşıyordu.

Neticede, bu durum hem güvenlik zaafiyeti doğuruyor hem de ağ performansını ciddi şekilde baltalıyordu. O yıllarda IEEE, 802.1Q standardı üzerinde çalışmaya başladı ve 1998’de resmen yayınladı.

VLAN teknolojisi OSI modelinin ikinci katmanında çalışır. Yani veri bağlantı katmanında MAC adresi tabanlı gruplama yapar. Ayrıca ethernet çerçevesine eklenen 4 baytlık etiket trafiğin ait olduğu sanal ağı belirler.

Üstelik bu işlem donanım seviyesinde gerçekleştiği için neredeyse hiç gecikme yaşamazsınız. Çünkü ASIC çipleri bu süreci doğrudan yönetir.

Gerçek
Mühendisler IEEE 802.1Q standardını 1998 yılında onayladı. O günden beri neredeyse tüm yönetilebilir switch’ler bu sistemi destekler. Günümüzde, kurumsal ağların %95’inden fazlası bu standardı aktif olarak kullanır. ISL gibi özel protokoller ise tamamen tarihe karışmıştır.

VLAN Teknolojisinin Sağladığı Avantajlar

Şahsi tecrübeme göre, bu teknolojinin en büyük devrimi ağ yöneticilerine kazandırdığı esnekliktir. Bir departmanı taşımanız gerektiğinde, artık fiziksel kablolara dokunmanız gerekmez.

Sadece port ataması değiştirerek kullanıcıyı anında yeni bir yayın alanına dahil edersiniz. İşte bu özgürlük, modern kurumsal ağ topolojisi için vazgeçilmez bir temel oluşturur.

Deneyim
Büyük bir bankanın genel müdürlük taşınma projesi vardı. Ben de 2003 yılında bu ekipte çalıştım. Hafta sonu 500 kullanıcılı bir ofisi yeni binaya taşıyorduk. Bu süreçte VLAN büyük bir kolaylık sağladı. Şöyle ki sadece switch konfigürasyonlarını güncelledik.
Sonuç olarak sıfırdan kablolama yapmadan tüm departmanları hızla ayağa kaldırdık. IT direktörü, “Fiziksel kablolara hiç dokunmadınız, bu nasıl mümkün oldu?” diye sorduğunda, ağ izolasyonu stratejisinin gücünü bir kez daha kanıtlamanın gururunu yaşadım.

Broadcast Domain Nedir? VLANsız Ağda Neden Sorun Oluşturur?

Her ağ mühendisinin kariyerinde en az bir kez karşılaştığı o korkunç senaryoyu düşünün: broadcast fırtınası.

Yayın alanı, bir ağ cihazının gönderdiği broadcast çerçevesinin ulaşabildiği tüm düğümleri kapsar. Örneğin bir ARP isteği gönderdiğinizde, bu istek aynı yayın alanındaki bütün cihazlara ulaşır. Şöyle ki, oradaki her cihaz bu işlem için işlemci döngüsü harcar.

Düz bir ağda herhangi bir bölümlendirme yapmazsınız. Netice itibarıyla tek bir yayın alanı tüm anahtarı kapsar. Bu durum, özellikle 200’den fazla cihazın bulunduğu ağlarda ciddi performans düşüşlerine yol açar.

ARP trafik gürültüsü o kadar artar ki, kullanıcılar dosya sunucusuna erişmekte bile zorlanmaya başlar. Üstelik, kötü niyetli bir kişi ağa bağlandığında tüm trafiği rahatça dinleyebilir.

Ne yazık ki, birçok KOBİ bu tehlikeyi görmezden geliyor. Ağ performans optimizasyonu için ilk adımın broadcast domain kontrolü olduğunu anlatmakta hala zorlanıyorum.

Çünkü, yayın trafiğini küçültmek hem bant genişliğini verimli kullanmanızı sağlar hem de saldırı yüzeyini daraltır. Ayrıca, ağ yönetilebilirlik açısından da sorunları tespit etmeyi kolaylaştırır.

Aşağıdaki tablo, VLAN kullanılan ve kullanılmayan ağlar arasındaki farkı net bir şekilde ortaya koyar:

ÖzellikVLAN’sız Düz AğVLAN’lı Segmente Ağ
Yayın Alanı Sayısı1 (tüm cihazlar aynı domain)Her VLAN için ayrı domain
Güvenlik İzolasyonuYok (herkes her şeyi görür)Var (VLAN’lar arası izolasyon)
Performans EtkisiYüksek CPU kullanımı, yavaşlamaDüşük CPU kullanımı, stabil
Sorun Giderme KolaylığıZor (tüm trafik karışık)Kolay (izole segmentler)
ÖlçeklenebilirlikÇok düşükÇok yüksek

IEEE 802.1Q Standardı: 4 Baytlık VLAN Etiketinin Yapısı

IEEE 802.1Q standardına ilişkin bir switch görseli

Standart bir Ethernet çerçevesi düşünün. Kaynak ve hedef MAC adreslerinden sonra genellikle EtherType alanı gelir.

802.1Q protokolü, işte tam bu noktada devreye girer ve çerçeveye 4 baytlık bir etiket ekler. Tag Protocol Identifier (TPID) değeri olarak 0x8100 kullanır. Açıkçası bu değer çerçevenin etiketli olduğunu gösterir.

Etiketin iç yapısına baktığınızda, 3 bitlik Priority Code Point (PCP) ile QoS önceliklendirmesi yapıldığını görürsünüz.

Ardından, 1 bitlik Drop Eligible Indicator (DEI) gelir ve tıkanıklık durumunda çerçevenin düşürülebilir olduğunu işaretler. Son olarak, 12 bitlik VLAN ID (VID) alanı yer alır. Bu alan, 0 ile 4095 arasında değer alabilir.

Fakat dikkat etmeniz gereken kritik bir detay var. VID 0 ve 4095, standart tarafından rezervedir. Geriye kalan 4094 adet kullanılabilir kimlik, büyük veri merkezleri için bile uzun yıllar yeterli oldu.

Ancak, modern bulut mimarilerinde artık VLAN 4096 limiti ve çözümleri ciddi bir tartışma konusudur. İşte tam da bu nedenle VXLAN gibi overlay teknolojileri doğdu.

İpucu
Bir çerçevenin etiketlenip etiketlenmediğini anlamak için Wireshark kullanabilirsiniz. Yakalanan pakette “802.1Q Virtual LAN” başlığını gördüğünüz anda, o çerçevenin trunk link üzerinden taşındığını hemen anlarsınız. Özellikle sorun giderme sırasında bu ipucu hayat kurtarır.

Aşağıdaki tablo, 802.1Q etiketinin 4 baytlık yapısını detaylandırır:

Alan AdıUzunlukAçıklamaÖrnek Değer
TPID16 bit (2 bayt)Etiket protokolü tanımlayıcısı0x8100
PCP3 bitQoS öncelik seviyesi (0-7)5 (ses trafiği)
DEI1 bitDüşürülebilirlik göstergesi0 veya 1
VID12 bitVLAN kimlik numarası (1-4094)100

VLAN vs Subnet: Neden İkisi Birlikte Kullanılmalı?

Bu soru, CCNA eğitimlerinin en başından beri öğrencilerin aklını karıştırır. Subnet, OSI modelinin üçüncü katmanında çalışan bir IP adresleme ve ağ bölme yöntemidir.

Oysaki VLAN, ikinci katmanda yayın alanlarını ayırır. İkisi birbirinin rakibi değil, aksine tamamlayıcısıdır. Birini diğerine tercih etmek diye bir şey söz konusu olamaz.

IP planlamasında CIDR adresleme ile alt ağları verimli bölersiniz. VLAN ile CIDR birlikte kullanıldığında yapı çok esnek olur.

Uygulamada her zaman bire bir eşleme kullanırız. Yani, bir VLAN ID’si bir IP alt ağına karşılık gelir. Örneğin, VLAN 10 için 192.168.10.0/24 alt ağını, VLAN 20 için 192.168.20.0/24 alt ağını atarız.

Bu sayede hem ikinci katmanda izolasyon sağlarız hem de üçüncü katmanda yönlendirme yapabiliriz. Ayrıca, güvenlik duvarı kurallarını subnet bazında yazmak çok daha kolaydır.

Yıllar önce bir üretim tesisinde bir yönetici tanıdım. Kendisi sırf bu mantığı kavrayamadığı için tüm VLAN’ları aynı IP bloğunda çalıştırmaya çalışıyordu.

Sonuç tam bir felaketti. Cihazlar IP alamıyor, DHCP çakışmaları yaşanıyor ve ağ sürekli çöküyordu. O günden sonra ağ izolasyonu ile IP planlamasının önemini her fırsatta vurgulamaya başladım.

İşte ikisi arasındaki temel farkları özetleyen kapsamlı bir karşılaştırma tablosu:

ÖzellikVLAN (Katman-2)Subnet (Katman-3)
Çalışma KatmanıOSI Layer 2 (Veri Bağlantı)OSI Layer 3 (Ağ)
Tanımlama Yöntemi802.1Q etiketi (VLAN ID)IP adresi ve alt ağ maskesi
İzolasyon TürüYayın alanı izolasyonuIP seviyesinde izolasyon
İletişim İçin GerekenInter-VLAN routing (L3 cihaz)Router veya L3 switch
EsneklikFiziksel konumdan bağımsızIP planına bağımlı
En İyi KullanımBirlikte (bire bir eşleme)Birlikte (bire bir eşleme)
Tavsiye
Her VLAN için mutlaka bir IP alt ağı planlayın. VLAN 10 = 10.0.10.0/24, VLAN 20 = 10.0.20.0/24 gibi tutarlı bir şema kullanın. Bu, sorun giderme sırasında IP’yi gördüğünüz anda hangi VLAN’da olduğunuzu anlamanızı sağlar. Karmaşık ağlarda bu basit numara saatler kazandırır.

Access Port ve Trunk Port: VLAN Yapılandırmasının Temel Taşları

Switch dünyasında portlar, tıpkı bir kalenin kapıları gibidir. Her kapının belirli bir amacı ve erişim seviyesi vardır.

Access port, yalnızca tek bir sanal ağa ait etiketsiz trafiği taşır. Genellikle son kullanıcı bilgisayarları, yazıcılar veya IP kameralar bu tür portlara bağlanır. Söz konusu çevre birimi, kendisinin bir ağ segmentasyonu içinde olduğunu asla bilmez.

Öte yandan, trunk port özelliği tamamen farklı bir canavardır. Geliştiriciler bu portu özel olarak tasarladı. Üstelik bu yapı birden fazla sanal ağın trafiğini tek bir fiziksel bağlantı üzerinden taşır.

Trunk link üzerinde ilerleyen her çerçeve, 802.1Q etiketiyle işaretler. Böylece karşıdaki switch, gelen paketin hangi yayın alanına ait olduğunu anında tespit eder.

İşin mutfağında, en sık karşılaştığım hatalardan biri access ve trunk port kavramlarının karıştırılmasıdır. Bir anahtar portunu yanlışlıkla trunk port yaparsanız, uç cihaz etiketli çerçeveleri anlayamaz. Sonuç olarak bağlantı kopar.

Bu tür hataları önlemek için her zaman port tipini açıkça belirlemeniz gerekir. Ayrıca DTP gibi otomatik protokolleri kontrollü kullanmalısınız.

Aşağıdaki tablo, iki port tipi arasındaki temel farkları netleştirir.

ÖzellikAccess PortTrunk Port
Taşıdığı VLAN Sayısı1 (Data VLAN)Çoklu (İzin verilen tüm VLAN’lar)
EtiketlemeEtiketsiz (Untagged)Etiketli (Tagged) – Native hariç
Kullanım AmacıSon kullanıcı cihazlarıSwitch-switch veya switch-router bağlantısı
Varsayılan DurumDynamic Auto (bazı modellerde)Dynamic Desirable (bazı modellerde)
Güvenlik RiskiDüşük (doğru yapılandırmada)Yüksek (VLAN hopping riski)
Not
Bir port aynı anda hem access hem trunk modda olamaz. Bu iki mod birbirini dışlar. Port modunu değiştirdiğinizde, önceki yapılandırma tamamen geçersiz olur. Bu nedenle, canlı bir sistemde port modu değiştirirken mutlaka bakım penceresi planlayın.

Access Port Yapılandırması (Cisco, MikroTik, Huawei, Juniper)

Bir ağ cihazında erişim portuna ilişkin görsel

Sahada en çok kullandığım yapılandırma adımlarını sizinle paylaşıyorum. Cisco dünyasında, bir portu access moda almak için önce switchport mode access komutunu vermelisiniz.

Ardından, switchport access vlan 10 diyerek portu istediğiniz ağa atarsınız. Bu işlemi çok basit görebilirsiniz. Aslında arka planda MAC adres tabanlı devasa bir gruplama mekanizması çalışır.

MikroTik tarafında işler biraz daha farklı ilerler. Bridge VLAN filtering özelliğini etkinleştirmeniz ve her port için PVID değerini belirlemeniz gerekir.

/interface bridge vlan add bridge=bridge1 vlan-ids=10 tagged=ether1 untagged=ether2 komutuyla, ether2’yi etiketsiz olarak VLAN 10’a atamış olursunuz. RouterOS’un bu esnek yapısı, özellikle küçük ölçekli ağlarda hızlı kurulum avantajı sağlar.

Huawei ve Juniper cihazlarında da mantık aynıdır. Huawei’de port link-type access ve port default vlan 10 komutlarını kullanırsınız.

Juniper tarafında ise set interfaces ge-0/0/0 unit 0 family ethernet-switching vlan members vlan10 yapısı hakimdir. Görüyorsunuz, vendor değişse de temel prensip asla değişmez. Hepsi aynı IEEE standardına dayanır.

Tavsiye
Üretim ortamında asla CDP veya LLDP gibi komşuluk protokollerini kapatmayın. Çünkü, access port üzerinde yanlışlıkla trunk yapılandırması yaptığınızı bu protokoller sayesinde anında fark edersiniz. Özellikle show lldp neighbors komutu, ağdaki komşu cihazları listeleyerek size büyük bir görünürlük kazandırır.

Access port yapılandırması için adım adım izlenecek yol şöyledir:

  1. Portu seçin: interface GigabitEthernet0/1
  2. Port modunu access olarak ayarlayın: switchport mode access
  3. VLAN ID’sini atayın: switchport access vlan 10
  4. DTP’yi kapatın: switchport nonegotiate
  5. Portu aktif edin: no shutdown
  6. Doğrulama yapın: show vlan brief ve show interfaces switchport

Trunk Port Yapılandırması ve Allowed VLAN Listesi

Trunk port yapılandırması, güvenlik duvarı kurallarınız kadar kritiktir. Cisco’da switchport mode trunk komutuyla başlarsınız. Ancak, asla burada durmamalısınız.

Varsayılan olarak tüm VLAN’lar trunk üzerinden geçer. Oysa ki, en iyi pratikler sadece ihtiyaç duyulan kimliklerin taşınmasını söyler. Bu nedenle, hemen ardından switchport trunk allowed vlan 10,20,30 komutunu vermelisiniz.

MikroTik’te ise tagged port listesi oluşturarak aynı sonuca ulaşırsınız. /interface bridge vlan add bridge=bridge1 vlan-ids=10,20,30 tagged=ether1 komutu, ether1’in yalnızca belirtilen kimlikler için trunk görevi görmesini sağlar. Üstelik, bu yöntemle her port için özelleştirilmiş izin listeleri oluşturabilirsiniz.

Yıllardır edindiğim bir alışkanlığı paylaşmak istiyorum. Yeni bir trunk bağlantı kurduğumda, her zaman show interfaces trunk komutuyla doğrulama yaparım.

Çünkü, allowed listesinde yanlışlıkla eksik bırakılan bir kimlik, saatlerce süren sorun giderme seanslarına yol açabilir. Ayrıca, gereksiz yayın alanlarını trunk’tan kaldırmak, ARP trafik gürültüsü ve broadcast storm riskini azaltır.

Trunk yapılandırma adımlarını sırasıyla uygulayın:

  1. Portu seçin: interface GigabitEthernet0/24
  2. Trunk modunu etkinleştirin: switchport mode trunk
  3. Kapsülleme protokolünü belirleyin: switchport trunk encapsulation dot1q
  4. İzin verilen VLAN’ları sınırlayın: switchport trunk allowed vlan 10,20,30,100
  5. Native VLAN’ı değiştirin: switchport trunk native vlan 999
  6. Doğrulama yapın: show interfaces trunk

Native VLAN Neden Değiştirilmelidir? (Güvenlik Açığı Detayı)

Bu başlık, benim için kişisel bir güvenlik takıntısı haline geldi. Native VLAN, trunk port üzerinde etiketsiz olarak taşınan çerçevelerin ait olduğu ağdır. Varsayılan olarak bu kimlik 1’dir.

İşte bu noktada, ciddi bir güvenlik açığıyla karşı karşıya kalırsınız. Çünkü, saldırganlar double tagging gibi yöntemlerle bu varsayılan yapılandırmayı istismar eder.

Geçmişte, bir finans kuruluşunda yaptığım sızma testinde, native VLAN’ın hala 1 olarak bırakıldığını gördüm. Bu zafiyeti kullanarak, saldırganın farklı bir yayın alanına sızması işten bile değildi.

Dolayısıyla, bu varsayılan kimliği değiştirmek sadece bir öneri değil, zorunlu bir güvenlik adımıdır. Yeni bir değer olarak, kullanılmayan rastgele bir kimlik seçmelisiniz (örneğin VLAN 999).

Değişiklik işlemi son derece basittir. Cisco’da switchport trunk native vlan 999 komutunu uygulamanız yeterlidir.

Uyarı
Native VLAN’ı değiştirirken, yönetim VLAN’ı ile aynı kimliği kullanmayın. Bu iki kavramı birbirine karıştırmak, yönetim trafiğinizi etiketsiz olarak trunk üzerinde taşımak anlamına gelir. Oysa ki, out-of-band yönetim için management VLAN daima ayrı ve etiketli olmalıdır. Aksi takdirde, yönetim arayüzünüz VLAN hopping saldırılarına açık hale gelir.

Ancak, trunk’ın her iki ucunda da bu değişikliği yapmayı sakın unutmayın. Yoksa native VLAN mismatch hatası alırsınız. Bununla birlikte CDP konsolunuza sürekli uyarı mesajları yağdırır. Bu uyarılar, yanlış yapılandırmanın habercisidir.

Önemli
Native VLAN değişikliğini tüm trunk bağlantılarda aynı değerle yapın. Farklı trunk’larda farklı değer kullanmak, yönetim karmaşasına ve beklenmedik güvenlik açıklarına yol açar. Kurumsal standart olarak tek bir standart belirleyin (örn. VLAN 999) ve tüm cihazlarda tutarlı şekilde uygulayın.

VLAN Hopping Saldırıları: Switch Spoofing ve Double Tagging (Gerçek Dünya Saldırı Analizi)

Güvenlik dünyasının en eski ama hala en etkili katman-2 saldırılarından birini konuşacağız.

VLAN hopping siber saldırganların yaptığı bir işlemdir. Açıkçası saldırgan kendi yayın alanından çıkarak başka bir sanal ağa sızar.

Bu saldırıyı ilk kez 2002 yılında bir güvenlik konferansında canlı izledim. Aslında o an ağ güvenliğine bakış açım tamamen değişmişti.

İki temel VLAN hopping yöntemi vardır. Birincisi switch spoofing, yani saldırganın kendini bir switch gibi tanıtarak trunk bağlantısı kurmasıdır.

İkincisini ise double tagging saldırısı olarak biliriz. Üstelik bu yöntem native VLAN zafiyetinden yararlanır. Her iki yöntem de doğru yapılandırılmamış switch’lerde inanılmaz derecede etkilidir.

Örneğin, 2018 yılında büyük bir hastane ağında denetim yaptım. Açıkçası bir saldırganın bu yöntemle hasta kayıt sistemine eriştiğini gördüm.

Saldırı, tam olarak otomatik trunk negotiation özelliği etkin bırakıldığı için gerçekleşmişti. O günden sonra, tüm istemci portlarında DTP’yi kapatmayı standart bir prosedür haline getirdim. Şimdi bu saldırı vektörlerini detaylandıralım.

Deneyim
2019 yılında bir e-ticaret firmasının ağ denetiminde, tam 47 switch portunda DTP’nin aktif olduğunu gördüm. Saldırganın işi inanılmaz kolaydı. Yaptığımız kontrollü sızma testinde, 3 dakika içinde finans VLAN’ına erişmeyi başardık. Bu olaydan sonra firma, tüm ağ güvenlik politikasını baştan yazdı.

Switch Spoofing Saldırısı: DTP ile Trunk Nasıl Ele Geçirilir?

Dynamic Trunking Protocol, switch’lerin otomatik olarak trunk bağlantısı kurmasını sağlayan bir Cisco protokolüdür. Ne var ki, bu kolaylık beraberinde devasa bir güvenlik açığını getirir.

Saldırgan, kendi bilgisayarına yüklediği özel bir yazılımla kendini switch gibi tanıtır ve DTP paketleri gönderir. Karşıdaki switch bu paketleri alır almaz, portu otomatik olarak trunk moda çevirir.

Başka bir deyişle, saldırgan artık tüm etiketli trafiği görebilir. Hatta, daha da kötüsü, kendi çerçevelerini etiketleyerek istediği yayın alanına enjekte edebilir.

Bu saldırının en korkutucu yanı, tamamen sessiz ve iz bırakmadan gerçekleşmesidir. Çünkü, switch loglarında sadece bir trunk bağlantısı kurulduğu yazar.

Daha doğrusu, bu saldırıyı önlemek son derece basittir. Tüm istemci portlarında switchport mode access ve switchport nonegotiate komutlarını kullanarak DTP’yi kapatmalısınız.

Üstelik, kullanılmayan tüm portları kapatıp siyah delik VLAN’a atmanız gerekir. Zira, duvardaki boş bir Ethernet jakı bile bir saldırgan için potansiyel bir giriş noktasıdır.

Kritik
DTP’yi yalnızca kapatmak yetmez. Saldırgan, DTP paketlerine yanıt vermeyen bir switch’e karşı bile manuel olarak trunk oluşturmayı deneyebilir. Bu nedenle, port modunu açıkça access olarak tanımlamalı ve switchport nonegotiate komutunu eklemelisiniz. İkisi birlikte tam koruma sağlar.

Double Tagging Saldırısı: Native VLAN Zafiyetinden Yararlanma

Bu saldırı, biraz daha karmaşık ama bir o kadar da zekicedir. Saldırgan, kurbanının bulunduğu sanal ağa erişmek için çift katmanlı 802.1Q etiketi kullanır.

İlk etiket, saldırganın kendi yayın alanına aittir. İkinci etiket ise hedef ağın kimliğini taşır. Saldırgan çerçeveyi gönderdiğinde, ilk switch ilk etiketi görür ve kendi ağında iletir.

Gelgelelim, ikinci switch’in trunk portu native VLAN’ı etiketsiz taşıdığı için, ilk etiketi sıyırıp atar. Ardından, ikinci etiketi okur ve çerçeveyi hedef ağa gönderir.

Saldırganın kendi yayın alanından hiç çıkmamış gibi görünen bu çerçeve, şimdi kurban ağındadır. Dönüş trafiği olmadığı için saldırı tek yönlüdür ancak yine de çok tehlikelidir.

Bu saldırıyı engellemek için native VLAN’ı kullanılmayan bir kimlikle değiştirmeniz gerekir. Dahası, tüm trunk’larda etiketli taşımayı zorunlu kılmalısınız.

vlan dot1q tag native komutu, bu korumayı sağlar. Hatta, bazı modern switch’ler bu özelliği varsayılan olarak etkinleştirmeye başladı. Neyse ki, sektör bu konuda doğru yönde ilerliyor.

VLAN Hopping’den Korunma Kontrol Listesi (Tüm Vendor’lar için)

Aşağıdaki adımları sırasıyla uygulayarak ağınızı VLAN hopping saldırılarına karşı koruyabilirsiniz:

  1. Tüm istemci portlarını access modda yapılandırın ve DTP’yi kapatın (switchport mode access, switchport nonegotiate).
  2. Native VLAN’ı varsayılan 1’den farklı, kullanılmayan bir kimliğe değiştirin. Bununla birlikte bu değişikliği trunk’ın her iki ucunda da güncelleyin.
  3. Kullanılmayan tüm portları kapatın (shutdown) ve bir Black Hole VLAN’a atayın.
  4. Trunk portlarda allowed VLAN listesini sadece ihtiyaç duyulan kimliklerle sınırlayın.
  5. Mümkünse vlan dot1q tag native komutu ile native trafiği de etiketli taşıyın.
  6. Tüm switch’lerde VTP’yi transparent moda alın veya tamamen kapatın.
  7. Port security özelliğini tüm access portlarda etkinleştirin.
  8. Düzenli olarak show interfaces trunk çıktılarını denetleyin.
Gerçek
SANS Institute’un 2025 raporunu incelersek, doğru yapılandırma ile VLAN hopping saldırılarını tamamen engelleyebilirsiniz. Buna rağmen, kurumsal ağların %30’unda hala en az bir trunk portta zafiyet bulunuyor. Bu istatistik, düzenli denetimin ne kadar önemli olduğunu kanıtlıyor.

VLAN Türleri Derinlemesine: Data, Voice, Management, Native, Private, Black Hole VLAN

VLAN türlerini (Data, Voice, Management, Native, Private, Black Hole) gösteren bir ağ diyagramı

Bir ağ mimarı olarak, her sanal ağın belirli bir görevi ve karakteri olduğunu bilirsiniz. Data VLAN, adı üstünde, kullanıcı veri trafiğini taşır.

Genellikle her departman için ayrı bir data kimliği oluştururuz. Örneğin, muhasebe için VLAN 10, pazarlama için VLAN 20 gibi. Bu sayede, bir departmandaki yayın fırtınası diğerini etkilemez.

Voice VLAN ise tamamen farklı bir dünyadır. Geliştiriciler bu ağı VoIP telefonlarının ses paketlerini taşımak için özel olarak tasarladı.

Bu türde, QoS yapılandırması hayati önem taşır. Çünkü, ses paketleri gecikmeye karşı son derece hassastır. Telefon, LLDP veya CDP aracılığıyla kendi ses ağını otomatik olarak öğrenir. Bununla birlikte tüm ses trafiğini etiketli olarak gönderir.

Management VLAN, ağ yöneticilerinin switch ve router’lara uzaktan erişmesini sağlayan özel bir yönetim ağıdır. Bu ağın, kullanıcı trafiğinden tamamen izole edilmesi gerekir.

Özellikle, yönetim arayüzüne yalnızca belirli IP adreslerinden erişim izni vermelisiniz. Ayrıca, SNMP ve SSH gibi protokoller sadece bu ağ üzerinde çalışmalıdır.

Aşağıdaki tablo, en yaygın VLAN türlerini ve kullanım amaçlarını özetler:

VLAN TürüTipik VLAN IDAmaçQoS Gereksinimi
Data VLAN10, 20, 30…Kullanıcı veri trafiğiDüşük-Orta
Voice VLAN100, 200…VoIP telefon trafiğiYüksek (DSCP EF)
Management VLAN99, 999…Cihaz yönetimiOrta
Native VLAN999 (değiştirilmiş)Trunk etiketsiz trafikDüşük
Black Hole VLAN666, 999…Kullanılmayan portlarYok

Private VLAN (PVLAN): Primary – Secondary (Isolated/Community)

Private VLAN, aynı yayın alanı içindeki cihazların birbiriyle iletişimini kısıtlayan ileri düzey bir özelliktir.

Birincil (primary) kimlik, dış dünyayla iletişimi sağlar. Diğer yandan, ikincil (secondary) kimlikler izole veya topluluk portlarını barındırır. Bu yapılandırma, özellikle DMZ bölgesinde veya çok kiracılı veri merkezlerinde inanılmaz faydalıdır.

Mesela, bir web sunucu çiftliği düşünün. Tüm sunucular aynı ağda olmalı ama birbirleriyle doğrudan konuşmamalıdır. İşte burada isolated portlar devreye girer.

Bu portlar, yalnızca promiscuous port üzerinden dış dünyayla iletişim kurabilir. Community portlar ise kendi aralarında konuşabilir ancak diğer topluluklara erişemez. Özellikle ölçeklenebilir ağ mimarisi için biçilmiş kaftandır.

Ancak, PVLAN yapılandırması karmaşık olabilir. Promiscuous port, tüm ikincil portlarla iletişim kurabilen tek noktadır. Bu portu yanlış yapılandırmak, tüm izolasyonu bozar.

Dolayısıyla, PVLAN kurarken her zaman iki kere kontrol etmeli ve test senaryoları ile doğrulama yapmalısınız. Private VLAN port izolasyonu, doğru uygulandığında ağ güvenlik politikası için mükemmel bir katmandır.

PVLAN Port Tipiİletişim Kurabildiğiİletişim KuramadığıKullanım Senaryosu
PromiscuousHerkes (tüm secondary portlar)Router, güvenlik duvarı bağlantısı
IsolatedSadece promiscuous portDiğer tüm portlarDMZ sunucuları, misafir kullanıcılar
CommunityPromiscuous + aynı community üyeleriDiğer community ve isolated portlarAynı proje ekibi sunucuları

Black Hole VLAN (Sinkhole VLAN): Güvenlik Olaylarında Trafiği Karartma

Black Hole VLAN, adından da anlaşılacağı gibi sanal bir kara deliktir. Yani içine giren trafiği bir daha dışarı bırakmaz.

Kullanılmayan tüm switch portlarını bu ağa atayarak potansiyel saldırganların ağa sızmasını engellersiniz. Duvar prizine bir kablo takıp IP almayı deneyen kişi, kendini tamamen izole bir ortamda bulur.

Bununla birlikte, bu ağın çok daha sofistike bir kullanımı vardır. Bir güvenlik ihlali tespit ettiğinizde, şüpheli cihazı anında bu kara deliğe atabilirsiniz.

Cihazın tüm ağ bağlantısı kesilirken, siz uzaktan adli analiz yapmaya devam edersiniz. Üstelik, saldırgan bu izolasyonu hemen fark etmez.

Yapılandırması son derece basittir. Kullanılmayan tüm portları switchport access vlan 999 gibi bir komutla bu özel ağa atamanız yeterlidir.

Önemli olan, bu kimliğe hiçbir katman-3 arayüzü (SVI) atamamaktır. Yani, bu ağın hiçbir yere çıkışı olmamalıdır. Ayrıca, bu kimliği trunk portlardaki allowed listesinden de çıkarmalısınız.

Kritik
Black Hole VLAN’ınıza asla bir SVI atamayın. Katman-3 arayüzü olan bir kara delik, artık kara delik değildir. Trafik, bu arayüz üzerinden yönlendirilebilir hale gelir. Bu nedenle, bu özel ağın tamamen katman-2 seviyesinde kalması ve hiçbir yönlendirme yapılmaması gerekir.

Voice VLAN ve QoS: VoIP Trafiğine Öncelik Verme

VoIP VLAN için bir IP telefon

Günümüz ofislerinde, masaüstü telefonlar neredeyse bilgisayarlar kadar yaygın. Bu cihazlar, genellikle bilgisayar ile duvar prizi arasında köprü görevi görür.

Telefonun dahili switch’i, bilgisayardan gelen trafiği etiketsiz geçirirken, kendi ses paketlerini etiketli olarak gönderir. Sistem bu etiketleme sayesinde, ses trafiğini ayrı bir sanal ağda taşır.

Ancak, sadece ayırmak yetmez. Ses paketleri, milisaniyelerle yarışır. Bu nedenle, QoS yapılandırması şarttır. Cisco’da auto qos voip trust komutu, bu yapılandırmayı büyük ölçüde otomatikleştirir.

Switch, telefonun işaretlediği DSCP değerlerini okuyarak ses paketlerini öncelikli kuyruğa alır. Sonuç olarak, ağda yoğunluk olsa bile ses kalitesi bozulmaz.

Yine de, Voice VLAN QoS ayarlarını manuel olarak yapılandırmak daha hassas kontrol sağlar. LLDP-MED protokolü, telefonun hangi ağa ait olduğunu otomatik olarak öğrenmesini sağlar.

Üstelik cihaz hangi QoS politikasını uygulayacağını da bu sayede belirler. Bu sayede, her yeni telefon takıldığında tek tek yapılandırma yapmak zorunda kalmazsınız.

İpucu
Voice VLAN yapılandırmasında DSCP değerini EF (46) olarak işaretleyin. Bu, Expedited Forwarding anlamına gelir ve paketlerin düşük gecikmeli kuyrukta işlenmesini sağlar. Ayrıca, mls qos trust dscp komutu ile switch’in DSCP değerlerine güvenmesini sağlayın.

Management VLAN: Out-of-Band Yönetim için En İyi Pratikler

Yönetim ağı, ağ altyapınızın beynidir. Bu ağa erişim, mutlaka kullanıcı trafiğinden ayrılmalıdır. Management VLAN out-of-band prensibine göre, yönetim trafiğini özel bir yoldan taşırsınız.

Bir başka deyişle bu işlem için fiziksel veya mantıksal bir hat kullanırsınız. Bu sayede, kullanıcıların yoğun veri trafiği yönetim erişimini etkilemez.

En iyi pratikler arasında, yönetim arayüzüne yalnızca belirli bir IP aralığından erişim izni vermek vardır. access-class komutu ile VTY hatlarına erişim kontrol listesi uygulayabilirsiniz.

Ayrıca yönetim için Telnet yerine SSH kullanırsınız. Buna ek olarak SNMP’de sadece salt okunur dize belirlersiniz. Sonuç olarak gereksiz hizmetleri kapatmanız gerekir.

Şahsen, tüm cihazlarımda yönetim arayüzünü ayrı bir loopback adresine bağlarım. Bu, cihazın fiziksel portlarından bağımsız, her zaman ulaşılabilir bir yönetim noktası oluşturur.

Üstelik, bu yöntemle yönetim erişimi için trunk bağlantılara bağımlı kalmazsınız. Doğal olarak, bu da ağ güvenlik katmanı sayısını artırır.

Management VLAN için altın kurallar şunlardır:

  • Yönetim ağını asla VLAN 1’de bırakmayın. Mutlaka özel bir VLAN ID’sine taşıyın.
  • Yönetim erişimi için daima SSH v3 kullanın. Artı olarak Telnet ve HTTP’yi kapatın.
  • SNMP community string’lerini varsayılan “public”/”private” değerlerinden değiştirin.
  • Yönetim ağına yalnızca yetkili IP adreslerinden erişim izni verin.
  • Tüm yönetim oturumlarını AAA (Authentication, Authorization, Accounting) ile denetleyin.

Inter-VLAN Routing: VLAN’lar Arasında İletişim Nasıl Kurulur?

Farklı sanal ağlardaki cihazlar, varsayılan olarak birbiriyle konuşamaz. Zaten, ağ izolasyonu stratejisinin temel amacı da budur.

Ancak, muhasebe sunucusunun pazarlama departmanındaki bir yazıcıya erişmesi gerektiğinde ne yapacaksınız?

İşte tam bu noktada, Inter VLAN routing devreye girer. Bu, katman-3 cihazı kullanarak farklı yayın alanları arasında trafik yönlendirme işlemidir.

Geçmişte, bu işlem için harici bir router kullanmak zorundaydık. Router on a stick yöntemi, yıllarca veri merkezlerinin bel kemiği oldu.

Bugün ise Layer 3 switch’ler, donanım hızında yönlendirme yapar. Özellikle bu görevi çok daha verimli şekilde üstlenirler. Switch Virtual Interface (SVI) kullanımı, modern ağların standart mimarisi haline geldi.

Yine de, trafik kontrolü burada bitmez. Katman-2 izolasyonunu katman-3’te de sürdürmek için ACL veya Zone-Based Firewall kullanmalısınız.

Sırf yönlendirme yapabiliyorsunuz diye tüm trafiğe izin veremezsiniz. Aksine bu durum ağ segmentasyonu stratejinizi baltalar. Bu nedenle, her zaman en az ayrıcalık prensibiyle hareket etmelisiniz. Aşağıdaki tablo, iki ana yönlendirme yöntemini karşılaştırmaktadır.

ÖzellikRouter-on-a-StickLayer 3 Switch (SVI)
Yönlendirme HızıYazılım tabanlı, sınırlıDonanım tabanlı (ASIC), yüksek
Port KullanımıTek fiziksel port yeterliHer VLAN için SVI gerekir
ÖlçeklenebilirlikDüşük (bant genişliği paylaşımı)Yüksek (wire-speed routing)
MaliyetDüşükOrta-Yüksek
YedeklilikTek nokta arızası riskiHSRP/VRRP ile yedeklenebilir

Router-on-a-Stick Yöntemi: Sub-Interface ile VLAN Yönlendirme

Bu klasik yöntem, tek bir fiziksel router arayüzünü birden fazla mantıksal alt arayüze böler. Her alt arayüz, belirli bir sanal ağın ağ geçidi olarak görev yapar.

Örneğin, interface GigabitEthernet0/0.10 komutuyla VLAN 10 için bir alt arayüz oluşturursunuz. Ardından, encapsulation dot1Q 10 komutuyla bu alt arayüzü ilgili kimlikle eşleştirirsiniz.

Bu yöntemin en büyük avantajı maliyettir. Tek bir router portu ve trunk bağlantı ile düzinelerce ağ arasında yönlendirme yapabilirsiniz.

Hatta, laboratuvar ortamlarında hızlıca test senaryoları kurmak için hala bu yöntemi kullanırım. Ancak tüm trafik tek bir fiziksel bağlantıdan geçer. Dolayısıyla yüksek bant genişliği isteyen yerlerde darboğazla karşılaşırsınız.

Router on a stick yapılandırması sırasında en sık yapılan hata, native VLAN’ı unutmaktır. Alt arayüzlerde native kimlik için encapsulation dot1Q 10 native komutunu kullanmalısınız.

Ayrıca, router tarafında da trunk’ın her iki ucunda aynı native kimliğin tanımlandığından emin olmalısınız. Aksi takdirde, yönlendirme çalışmaz ve saatlerce sorun giderirsiniz.

Not
Router-on-a-stick yapılandırmasında, ana fiziksel arayüze IP adresi atamayın. Bu nedenle, tüm IP adreslerini alt arayüzlerde tanımlamanız gerekir. Ana arayüz sadece no shutdown ile aktif edilmelidir. Ayrıca, her alt arayüz için doğru VLAN ID’sini kapsülleme komutunda belirttiğinizden emin olun.

Layer 3 Switch ve SVI (Switch Virtual Interface)

Modern kurumsal ağların kalbi, Layer 3 switch’lerdir. Bu cihazlar, hem katman-2 anahtarlama hem de katman-3 yönlendirme yapabilir.

Switch’lerin farklı anahtarlama türleri olduğunu biliyor muydunuz? Cut‑through ve store‑and‑forward gibi modlar performansı etkiliyor. Aslında bu detay VLAN trafiğinin işlenmesinde rol oynar.

Switch virtual interface SVI, her bir sanal ağ için oluşturulan mantıksal bir katman-3 arayüzüdür. interface vlan 10 komutuyla oluşturduğunuz bu arayüze bir IP adresi atar ve ağ geçidi olarak kullanırsınız.

Layer 3 switch yönlendirme, ASIC çipleri sayesinde donanım hızında gerçekleşir. Bu, router-on-a-stick yöntemine kıyasla çok daha yüksek performans sunar.

Ayrıca, yönlendirme işlemi için harici bir cihaza ihtiyaç duymazsınız. Tüm bu nedenlerle, yeni kurulumlarda her zaman Layer 3 switch kullanılmasını öneririm.

Birden çok fiziksel bağlantıyı tek mantıksal bağlantıda birleştirmek için EtherChannel idealdir. Böylece bant genişliği artar ve yedeklilik sağlarsınız.

Elbette, her güzel şeyin bir bedeli vardır. Layer 3 switch’ler daha pahalıdır ve yapılandırması daha karmaşıktır. IP routing’i etkinleştirmek için ip routing komutunu unutmamalısınız.

Üstelik, her VLAN için bir SVI oluşturmak, IP adresleme planınızın titizlikle yapılmasını gerektirir. Yine de, sağladığı performans ve esneklik, bu çabaya fazlasıyla değer.

SVI yapılandırma adımlarını sırasıyla izleyin:

  1. Global IP routing’i etkinleştirin: ip routing
  2. SVI oluşturun: interface vlan 10
  3. IP adresi atayın: ip address 192.168.10.1 255.255.255.0
  4. Arayüzü aktif edin: no shutdown
  5. Varsa DHCP relay ekleyin: ip helper-address 192.168.100.10
  6. Doğrulama yapın: show ip interface brief ve show ip route

VLAN’lar Arası Trafik Kontrolü: ACL ve Zone-Based Firewall

Zone tabanlı güvenlik duvarı konfigürasyonu veya ağ güvenliği için kullanılan bir güvenlik duvarı sistemini gösteren bir resim

Yönlendirme çalışıyor diye her şeye izin vermek, güvenlik duvarı olmayan bir eve benzer. Access Control List (ACL), trafik kontrolü için en temel araçtır. Standart ACL’ler sadece kaynak IP’ye bakar.

Genişletilmiş ACL’ler ise kaynak, hedef, protokol ve port numarasına göre filtreleme yapar. Örneğin, sadece muhasebe sunucusunun belirli bir porta erişmesine izin verirsiniz.

Zone-Based Firewall ise daha sofistike bir yaklaşımdır. Ağınızı güvenlik bölgelerine ayırır ve bölgeler arası trafik politikaları tanımlarsınız.

Bu yöntem, özellikle çok segmentli kurumsal ağlarda ACL yönetimini büyük ölçüde basitleştirir. Ayrıca, durum bilgisi olan (stateful) inceleme yaparak, geri dönüş trafiğine otomatik olarak izin verir.

Şahsi tercihim, her zaman en az ayrıcalık prensibine dayanır. Önce tüm trafiği kapatır, sonra sadece ihtiyaç duyulanlara izin veririm.

Bu yaklaşım başlangıçta sizi biraz uğraştırır. Fakat uzun vadede güvenlik ve yönetilebilirlik açısından büyük rahatlık sağlar. Böylece ağ güvenlik politikasını ancak bu şekilde etkin biçimde uygularsınız.

ÖzellikStandart ACLGenişletilmiş ACLZone-Based Firewall
Filtreleme KriteriSadece kaynak IPKaynak, hedef, port, protokolBölge bazlı stateful inceleme
Durum BilgisiStatelessStatelessStateful
Yapılandırma KarmaşıklığıDüşükOrtaYüksek
En İyi KullanımBasit izin/redDetaylı trafik kontrolüÇok segmentli kurumsal ağ

DHCP Relay: Tek DHCP Sunucusu ile Tüm VLAN’lara IP Dağıtma

Her ağ için ayrı bir DHCP sunucusu kurmak hem maliyetlidir. Üstelik bu yöntem yönetimi zor bir çözümdür. Oysa ki, DHCP relay ajanı kullanarak tek bir merkezi sunucudan tüm sanal ağlara IP dağıtabilirsiniz.

Bu özellik, özellikle orta ve büyük ölçekli ağlarda vazgeçilmezdir. Çünkü, IP yönetimini merkezileştirir ve operasyonel yükü azaltır.

Çalışma mantığı oldukça basittir. Bir istemci DHCP isteği gönderdiğinde, bu istek broadcast paketi olduğu için kendi yayın alanında kalır.

DHCP relay ajanı, bu broadcast’i unicast pakete dönüştürerek doğrudan DHCP sunucusuna gönderir. Sunucudan gelen yanıtı da tekrar istemciye iletir. Bu sayede, farklı ağlardaki cihazlar sorunsuzca IP alabilir.

Sahada en çok karşılaştığım hatalardan biri, DHCP relay yapılandırmasının unutulmasıdır. Yeni bir ağ oluşturursunuz ama istemciler IP alamaz.

Saatlerce switch yapılandırmasını kontrol eder, sonunda bunun eksikliğini fark edersiniz. Bu nedenle, yeni bir ağ kurarken kontrol listesine DHCP relay’i eklemeyi asla unutmam.

Tavsiye
DHCP sunucusu olarak Windows Server kullanıyorsanız, her VLAN için ayrı bir scope oluşturmayı unutmayın. Scope seçeneklerinde doğru varsayılan ağ geçidini (router) belirtin. Ayrıca, DHCP failover yapılandırması ile yedeklilik sağlamanızı şiddetle öneririm.

DHCP Relay Cisco Switch’te Yapılandırma (ip helper-address)

Cisco dünyasında, DHCP relay yapılandırması için ip helper-address komutunu kullanırız. Bu komutu, istemci ağının SVI arayüzüne uygularsınız.

Örneğin, VLAN 10 için interface vlan 10 altına girip ip helper-address 192.168.1.10 yazarak DHCP sunucusunun IP adresini belirtirsiniz. İşte bu kadar basit.

Ancak, dikkat etmeniz gereken bir nokta var. IP helper-address, sadece DHCP paketlerini değil, diğer UDP broadcast’lerini de (TFTP, DNS gibi) yönlendirir. Bu durum, güvenlik riski oluşturabilir.

Neyse ki, bu davranışı no ip forward-protocol udp komutuyla kontrol altına alabilirsiniz. Yalnızca DHCP paketlerinin iletilmesini istiyorsanız, diğer protokolleri tek tek kapatmalısınız.

Ancak DHCP sunucusu farklı bir ağda yer alabilir. Bu durumda sunucu tarafında da ilgili scope’ları tanımlamanız gerekir. Sistemde her ağ için doğru IP havuzunu belirlemelisiniz. Bunun yanı sıra varsayılan ağ geçidi bilgisini de girmelisiniz.

Ayrıca, güvenlik duvarı kurallarının DHCP trafiğine izin verdiğinden emin olmalısınız. Bu üç bileşen bir arada çalıştığında sistem sorunsuz işler. Dolayısıyla, ağ segmentasyonu yapsanız bile IP dağıtımını kolayca gerçekleştirirsiniz.

MikroTik ve pfSense ile DHCP Relay

pfSense logo

MikroTik RouterOS, DHCP relay işlevini son derece esnek bir şekilde sunar. /ip dhcp-relay menüsü altında, relay ajanını etkinleştirir ve hangi arayüzlerde dinleme yapacağını belirlersiniz.

add name=relay1 interface=bridge1 dhcp-server=192.168.1.10 komutuyla, bridge1 üzerinden gelen istekleri belirtilen sunucuya yönlendirebilirsiniz. Ayrıca, local-address parametresi ile relay trafiğinin kaynak adresini de belirleyebilirsiniz.

pfSense ise açık kaynak dünyasının yıldızıdır. DHCP Relay hizmetini etkinleştirmek için Services > DHCP Relay menüsüne gidersiniz. Burada, dinlenecek arayüzleri ve hedef DHCP sunucusunun IP adresini tanımlarsınız.

pfSense’in en büyük avantajı, aynı zamanda güvenlik duvarı ve VPN sunucusu olarak da çalışabilmesidir. Böylece, küçük ofislerde tek bir cihazla birçok ihtiyacı karşılarsınız.

Her iki platformda da ortak bir hatayla karşılaşabilirsiniz. Relay ajanı, DHCP sunucusuna isteği gönderirken kaynak IP olarak kendi arayüz IP’sini kullanır. Sunucu tarafında bu IP’nin tanımlı olduğundan emin olmalısınız.

Ayrıca, relay ajanının bulunduğu cihazda, istemci ağlarına yönelik doğru rotaların tanımlı olması gerekir. Aksi halde, sunucudan dönen yanıt istemciye ulaşamaz.

ÖzellikCisco IOSMikroTik RouterOSpfSense
Yapılandırma Komutuip helper-address/ip dhcp-relay addWeb GUI > DHCP Relay
Dinleme ArayüzüSVI (interface vlan)Bridge veya VLAN arayüzüVLAN arayüzü
Ek ÖzelliklerUDP broadcast filtrelemelocal-address belirlemeEntegre güvenlik duvarı
Zorluk SeviyesiOrtaOrtaDüşük (GUI tabanlı)

VTP (VLAN Trunking Protocol) ve Güvenlik Riskleri: Kullanmalı mı, Kapatmalı mı?

VTP özelliği, Cisco’nun sanal ağ veritabanını otomatik olarak dağıtmak için geliştirdiği özel bir protokoldür. Bu protokol büyük bir ağda yüzlerce cihazı tek tek yapılandırma zahmetini bitirir.

Üstelik tüm switch’leri merkezi bir sunucudan güncellemeyi vaat eder. Kulağa harika geliyor, değil mi? Ancak, sahadaki tecrübelerim bu protokolün baş ağrısından başka bir şey getirmediğini gösterdi.

Geçmişte, bir meslektaşım yanlışlıkla yüksek revizyon numarasına sahip bir switch’i ağa bağladı. Sonuç, tüm üretim ağındaki yapılandırmanın silinmesi oldu.

İşte bu yüzden, VTP domain yapılandırmasında her zaman dikkatli olmalısınız. Daha doğrusu, mümkünse tamamen kapatmalı veya transparent modda çalıştırmalısınız.

VTP version 3, bu sorunların bir kısmını giderdi ama hala riskleri tamamen ortadan kaldırmaz.

Uzmanlar, güvenlik riskleri nedeniyle modern ağ tasarımında VLAN trunking protokolünü (VTP) önermez. Bunun yerine, her switch’te manuel yapılandırma yapmak artık standart pratik haline geldi.

Otomasyon ihtiyacınız varsa, Ansible veya Python scriptleri kullanarak kontrollü dağıtım yapabilirsiniz. Bu sayede, hem merkezi yönetim avantajını elde eder hem de VTP’nin getirdiği risklerden kurtulursunuz.

Uyarı
VTP’yi asla varsayılan ayarlarla bırakmayın. VTP domain adını mutlaka değiştirin ve bir parola belirleyin. Ancak en güvenli yaklaşım, protokolü transparent moda almak veya tamamen devre dışı bırakmaktır. Unutmayın, VTP bir kolaylık protokolüdür, güvenlik protokolü değildir.

VTP Modları: Server, Client, Transparent

VTP’nin üç çalışma modu vardır. Server modu, yapılandırma değişikliklerini yapabileceğiniz ve diğer switch’lere dağıtabileceğiniz moddur.

Bu modda yapacağınız her ekleme veya silme işlemi revizyon numarasını artırır. Üstelik sistem bu değişiklikleri tüm client’lara gönderir. Client modu ise sadece güncellemeleri alır, kendisi değişiklik yapamaz.

Transparent mod, benim her zaman tercih ettiğim moddur. Bu modda switch, VTP paketlerini alır ve iletir ancak kendi veritabanını güncellemez.

Yani, diğer cihazların birbirine güncelleme göndermesine izin verirken kendi yapılandırmanızı korursunuz. Bu, özellikle farklı ekiplerin yönettiği büyük ağlarda hayat kurtarıcıdır.

Mod değiştirmek için vtp mode transparent komutunu kullanabilirsiniz. Ancak, mod değiştirdikten sonra revizyon numarasının sıfırlandığından emin olmalısınız.

vtp domain adını değiştirip eski haline getirerek bu sıfırlamayı manuel olarak yapabilirsiniz. Ayrıca, VTP pruning özelliğini kullanıyorsanız, transparent modda bu özelliğin çalışmayacağını unutmayın.

VTP Güvenlik: Şifreleme ve VTP Version 3’e Yükseltme

VTP version 1 ve 2, neredeyse hiçbir güvenlik mekanizması sunmaz. Bir saldırgan, ağa bağladığı sahte bir switch ile tüm yapılandırmayı bozabilir.

Geliştiriciler, bu açıkları kapatmak için VTP version 3 sürümünü üretti. Şifreleme desteği, gizli anahtar koruması ve gelişmiş yetkilendirme mekanizmaları getirdi. Yine de, bu sürüme yükseltme yapmak tüm cihazlarınızın uyumlu olmasını gerektirir.

Yükseltme kararı vermeden önce, ağınızdaki tüm switch’lerin VTP version 3’ü desteklediğinden emin olmalısınız.

Eski model cihazlar, bu sürümü tanımayabilir ve ağda uyumsuzluk sorunlarına yol açabilir. Ayrıca, yükseltme işlemi sırasında tüm cihazları kademeli olarak güncellemeli ve her adımda doğrulama yapmalısınız.

Açıkçası, VTP kullanmamayı tercih ediyorum. Şifreleme ve güvenlik önlemlerine rağmen, protokolün doğası gereği taşıdığı riskler beni rahatsız ediyor.

Manuel yapılandırma ilk başta daha fazla iş gibi görünebilir. Doğal olarak uzun vadede daha güvenli bir ortam sağlarsınız. Ayrıca, VTP’nin detaylı çalışma yapısını anlamak, bu konudaki kararınızı netleştirecektir.

VLAN Yapılandırmasında En Sık Yapılan 10 Hata ve Kapsamlı Çözüm Rehberi (Troubleshooting)

20 yılı aşkın kariyerimde, sayısız ağ sorunuyla karşılaştım. Ancak, sorunların büyük çoğunluğu aynı temel hatalardan kaynaklanıyor.

Şimdi, en sık karşılaştığım 10 hatayı ve çözüm yollarını sizlerle paylaşıyorum. Bu listeyi, bir troubleshooting kılavuzu olarak kullanabilirsiniz.

Her bir hata için önce sorunun belirtilerini anlatıyorum. Şöyle ki, ardından kök nedenini ve son olarak adım adım çözüm yolunu paylaşıyorum.

Amacım, bir daha aynı sorunla karşılaştığınızda saatlerce uğraşmadan, doğrudan çözüme odaklanabilmeniz. Çünkü, üretim ortamında geçen her dakika, iş kaybı ve müşteri memnuniyetsizliği demektir.

Bu hataların çoğu, aslında basit yapılandırma yanlışlıklarıdır. Ancak, bu basit hatalar zincirleme reaksiyonlarla tüm ağı etkileyebilir.

Örneğin, yanlış PVID değeri nedeniyle aynı VLAN içinde ping gitmiyor olabilir. Veya, allowed listesinde eksik kimlik olduğu için trunk port üzerinden belirli bir ağı taşıyamazsınız. Şimdi, bu sorunları tek tek ele alalım.

Önemli
Herhangi bir sorun giderme işlemine başlamadan önce mutlaka mevcut yapılandırmanın yedeğini alın. show running-config çıktısını bir dosyaya kaydedin. Ayrıca, değişiklikleri teker teker yapın ve her adımdan sonra doğrulama yapın. Toplu değişiklikler, sorunun kaynağını bulmayı imkansız hale getirir.

1. Hata: Aynı VLAN’daki Cihazlar Birbirini Görmüyor (PVID Yanlışlığı)

  • Sorun: Aynı IP alt ağında ve aynı VLAN’da olması gereken iki cihaz birbirine ping atamaz. ARP istekleri karşı tarafa ulaşmaz.
  • Kök Neden: MikroTik veya benzeri switch’lerde, access port’un PVID değeri yanlış atanmıştır. Etiketsiz gelen çerçeve, doğru VLAN’a yönlendirilmez.
  • Çözüm: /interface bridge port print ile portun PVID değerini kontrol edin. /interface bridge port set [find interface=ether2] pvid=10 komutuyla doğru VLAN ID’yi atayın. Ardından bridge VLAN tablosunda portun untagged üye olduğunu doğrulayın.
  • Önlem: Her yeni port eklediğinizde PVID ve VLAN üyeliğini birlikte yapılandırın. Otomatik atamalara asla güvenmeyin. Yapılandırma sonrası ping testi ile doğrulama yapmayı alışkanlık haline getirin.

2. Hata: Trunk Port Üzerinden Belirli VLAN Taşınmıyor (Allowed VLAN Hatası)

  • Sorun: Uçtaki switch’te tanımlı olan bir VLAN, çekirdek switch’e ulaşmıyor. Kullanıcılar IP alamıyor veya ağ geçidine ping atamıyor.
  • Kök Neden: Trunk port üzerindeki allowed VLAN listesi, sorunlu VLAN’ı içermiyor. Protokol varsayılan olarak tüm VLAN’lara izin verir. Ancak önceden filtreleme yaptıysanız yeni bir grup ekleyemeyebilirsiniz.
  • Çözüm: show interfaces trunk komutuyla trunk portun izin verdiği VLAN’ları listeleyin. Eksik VLAN’ı eklemek için switchport trunk allowed vlan add [VLAN_ID] komutunu kullanın. Her iki uçtaki switch’te de bu işlemi tekrarlayın.
  • Önlem: Trunk yapılandırmasını değiştirdikten sonra her zaman show spanning-tree vlan [VLAN_ID] ile STP durumunu kontrol edin. VLAN’ın trunk üzerinde forwarding durumda olduğundan emin olun.

NOT: STP yakınsamasını hızlandırmak için UplinkFast harika bir Cisco özelliğidir. Direkt bağlantı kopmalarında saniyeler içinde yedek yola geçer.

3. Hata: Inter-VLAN Routing Çalışmıyor (IP Routing veya Default Gateway Eksik)

  • Sorun: Farklı VLAN’lardaki cihazlar birbiriyle iletişim kuramıyor. Aynı VLAN içinde ping çalışıyor ancak diğer gruplara ping başarısız.
  • Kök Neden: Layer 3 switch’te ip routing komutu etkinleştirmemiş olabilirsiniz. Veya, SVI arayüzlerini doğru yapılandırmadınız. İstemci cihazlarda varsayılan ağ geçidi yanlış olabilir.
  • Çözüm: show ip route ile yönlendirme tablosunu kontrol edin. Tüm SVI’ların doğrudan bağlı rotalar olarak göründüğünden emin olun. Eksikse ip routing komutunu global konfigürasyonda verin. İstemci tarafında ipconfig /all ile ağ geçidi adresini doğrulayın.
  • Önlem: Her yeni SVI oluşturduğunuzda, hemen ardından no shutdown komutunu vermeyi unutmayın. SVI’ların varsayılan durumu kapalıdır.

4. Hata: DHCP Üzerinden IP Alamama (DHCP Relay Eksikliği)

  • Sorun: İstemci cihazlar sürekli 169.254.x.x (APIPA) adresi alıyor. DHCP sunucusuna ulaşamıyorlar.
  • Kök Neden: DHCP sunucusu farklı bir VLAN’da yer alıyor. Bununla birlikte istemci ağının SVI’sında DHCP relay (ip helper-address) özelliğini yapılandırmadınız. Broadcast DHCP istekleri yönlendirilmiyor.
  • Çözüm: İstemci ağının SVI’sına ip helper-address [DHCP_SERVER_IP] ekleyin. show ip interface vlan [VLAN_ID] ile helper-address’in tanımlandığını doğrulayın. DHCP sunucusunda ilgili scope’un tanımlı olduğunu kontrol edin.
  • Önlem: Yeni VLAN oluşturma kontrol listenize DHCP relay yapılandırmasını ekleyin. Ayrıca, güvenlik duvarı kurallarının DHCP trafiğine izin verdiğinden emin olun.

5. Hata: Broadcast Storm Nedeniyle Ağ Çökmesi (Storm Control)

  • Sorun: Ağ aniden yavaşlıyor veya tamamen çöküyor. Switch CPU kullanımı %100’e ulaşıyor. Kullanıcılar bağlantı kopmaları yaşıyor.
  • Kök Neden: Bir cihaz veya yanlış yapılandırma nedeniyle ağda kontrolsüz broadcast trafiği oluşuyor. Storm control yapılandırılmadığı için bu trafik tüm portları etkiliyor.
  • Çözüm: Öncelikle kaynağı bulmak için show interfaces ile port istatistiklerini inceleyin. Storm control’ü etkinleştirmek için storm-control broadcast level 5.00 komutunu kullanın. Böylece eşik değeri aşan portları otomatik kapatırsınız.
  • Önlem: Tüm access portlarda storm control’ü varsayılan olarak etkinleştirin. Yayın fırtınası eşiği olarak %5-10 arası bir değer idealdir. Ayrıca, Spanning Tree Protokolü ile döngüleri engelleyin.
Test Sonucu
Laboratuvar ortamındaki testimde storm control özelliğini %5 eşik değeriyle yapılandırdım. Şöyle ki, broadcast fırtınası başladıktan sadece 2 saniye sonra sistem portu otomatik kapattı. Bu süreçte diğer VLAN’lar bu durumdan hiçbir şekilde zarar görmedi. Bu, doğru yapılandırmanın ne kadar kritik olduğunu kanıtlayan bir testtir.

6. Hata: Yeni VLAN Oluşturulduğunda Aktif Olmaması (VLAN Database)

  • Sorun: Yeni bir VLAN oluşturuldu ancak show vlan çıktısında görünmüyor. Port ataması yapılamıyor.
  • Kök Neden: Cisco switch’lerde, VTP transparent modu VLAN bilgisini running-config dosyasında tutar. Yanlışlıkla VLAN database modunda oluşturulan VLAN, transparent modda geçerli olmaz. Bir başka deyişle, VLAN’ı oluştursanız bile cihaz bunu veritabanına yazmamış olabilir.
  • Çözüm: Global konfigürasyon modunda vlan [VLAN_ID] komutuyla VLAN’ı oluşturun. name [VLAN_ADI] ile isimlendirin. show vlan brief ile VLAN’ın oluşturulduğunu doğrulayın. Özellikle VTP transparent modu bu süreçte VLAN bilgisini otomatik olarak running-config dosyasına yazar.
  • Önlem: VLAN oluşturma işlemlerini her zaman global konfigürasyon modunda yapın. VLAN database modundan kaçının. Konfigürasyonu kaydetmeyi unutmayın: write memory veya copy running-config startup-config.

7. Hata: Voice VLAN Çalışmıyor (Telefon IP Alamıyor veya QoS Yok)

  • Sorun: IP telefon açılıyor fakat ses ağından IP adresi alamıyor. Telefon, data VLAN’ından IP alıyor veya hiç IP almıyor. Ses kalitesi kötü.
  • Kök Neden: Access port üzerinde ses (voice) VLAN tanımlamasını yapmadınız. Veya, LLDP/CDP düzgün çalışmadığı için telefon ses ağını öğrenemiyor. Yani QoS yapılandırması eksik.
  • Çözüm: Access portta switchport voice vlan [VLAN_ID] komutunu uygulayın. show lldp neighbors veya show cdp neighbors ile telefonun tanındığını doğrulayın. auto qos voip trust ile QoS’u etkinleştirin.
  • Önlem: Tüm telefon portlarında voice VLAN yapılandırmasını otomatik yapmak isteyebilirsiniz. Bunun için port şablonları veya toplu yapılandırma scriptleri kullanın. LLDP’nin etkin olduğundan emin olun.

8. Hata: Native VLAN Mismatch (Trunk Log Hatası)

  • Sorun: Switch konsolunda sürekli %CDP-4-NATIVE_VLAN_MISMATCH veya benzeri hata mesajları görünüyor. Belirli VLAN’larda bağlantı sorunları yaşanıyor.
  • Kök Neden: Trunk bağlantının iki ucundaki native VLAN tanımları birbirinden farklı. Bir uçta VLAN 1, diğer uçta ise VLAN 999 ayarını seçtiniz.
  • Çözüm: show interfaces trunk ile her iki uçtaki native VLAN değerini kontrol edin. switchport trunk native vlan [VLAN_ID] komutuyla her iki uçta da aynı değere ayarlayın. Değişiklik sonrası log mesajlarının kesildiğini doğrulayın.
  • Önlem: Yeni trunk bağlantı kurarken native VLAN’ı standart bir değere (örn. 999) ayarlayın. Bu değeri tüm trunk bağlantılarda tutarlı olarak kullanın. Native VLAN hakkında detaylı bilgi için ilgili rehbere göz atabilirsiniz.

9. Hata: Private VLAN (PVLAN) Yapılandırmasında Promiscuous Port Hatası

  • Sorun: PVLAN içindeki izole portlar dış dünyayla iletişim kuramıyor. Promiscuous port üzerinden trafik geçmiyor.
  • Kök Neden: Promiscuous port, doğru primary VLAN’a atanmamış. Bir başka deyişle, ikincil (secondary) VLAN ile birincil (primary) VLAN eşlemesini yanlış yaptınız. Dolayısıyla port, tüm secondary VLAN’lara erişemiyor.
  • Çözüm: show vlan private-vlan ile PVLAN eşlemelerini kontrol edin. Primary VLAN’ı oluşturun: vlan 100, private-vlan primary. Secondary VLAN’ları oluşturun ve eşleyin: private-vlan association [SEC_VLAN_LIST]. Promiscuous portu primary VLAN’a atayın: switchport private-vlan mapping 100 [SEC_VLAN_LIST].
  • Önlem: PVLAN yapılandırması karmaşıktır. Değişiklik yapmadan önce mutlaka yedek alın. Her adımda doğrulama yapın. Özellikle test ortamında çalıştırmadan üretime almayın.

10. Hata: VLAN ID 1 Üzerinde Güvenlik Zafiyeti (VLAN Hopping Risk)

  • Sorun: Sistemde varsayılan VLAN 1 ayarını hala aktif olarak kullanıyorsunuz. Kullanıcı trafiği, yönetim trafiği ve native trafik aynı VLAN üzerinde akıyor.
  • Kök Neden: Tüm portlar varsayılan olarak VLAN 1’e atanır. Yöneticiler bu varsayılanı değiştirmez ve VLAN 1 üzerinde trafik akışına izin verir. Bu, VLAN hopping saldırıları için geniş bir saldırı yüzeyi oluşturur.
  • Çözüm: Tüm access portları kullanılmayan farklı bir VLAN’a atayın. VLAN 1’i kullanılmayan bir Black Hole VLAN olarak bırakın. Trunk portlarda native VLAN’ı değiştirin. show vlan id 1 ile VLAN 1’de hangi portların kaldığını kontrol edin ve temizleyin.
  • Önlem: Yeni switch kurulumunda ilk iş olarak VLAN 1’den tüm portları çıkarın. Varsayılan VLAN’ı değiştirmek mümkün olmasa da, kullanmamak en iyi stratejidir. Ayrıca, access port güvenliği için ek önlemler alın.

VLAN ve İleri Düzey Teknolojiler: VXLAN, SD-Access, EVPN, Network Virtualization

VXLAN, SD-Access ve EVPN gibi ağ sanallaştırma teknolojileri

Klasik ağ segmentasyonu, 4096 VLAN limiti nedeniyle büyük veri merkezlerinde yetersiz kalmaya başladı.

Modern bulut mimarilerinde, çok kiracılı (multi-tenant) ortamlar binlerce izole ağ gerektiriyor. İşte tam bu noktada, VXLAN ve SD-Access gibi yeni nesil teknolojiler devreye giriyor.

VXLAN (Virtual Extensible LAN), geleneksel sınırları aşmak için MAC-in-UDP kapsülleme kullanır. 24 bitlik VXLAN Network Identifier (VNI) sayesinde, 16 milyona kadar izole ağ oluşturabilirsiniz.

Bu sayı, en büyük bulut sağlayıcılarının bile ihtiyacını karşılayacak düzeydedir. Ayrıca, VXLAN overlay ağ yapısı, katman-3 ağı üzerinde katman-2 iletişimi sağlar.

SD-Access ise Cisco’nun yazılım tanımlı ağ (SDN) vizyonunun bir parçasıdır. Scalable Group Tagging (SGT) ile kullanıcı veya cihaz bazlı politikalar uygularsınız.

Artık IP adresine veya VLAN’a bağımlı değilsinizdir. Bir kullanıcı, ofis içinde nereye giderse gitsin, güvenlik politikası onunla birlikte hareket eder. Bu, Zero Trust ağ mimarisi için temel bir yapı taşıdır.

İpucu
VXLAN’a geçiş yapmayı planlıyorsanız, önce mevcut VLAN yapınızı belgeleyin. Her VLAN’ın amacını, IP aralığını ve güvenlik politikalarını kaydedin. Bu bilgiler, VXLAN segmentlerine dönüşüm sırasında size yol haritası olacaktır. Geçişi kademeli yapın ve her adımda test edin.

VXLAN (Virtual Extensible LAN): VLAN Yetersiz Kaldığında

VXLAN, geleneksel sanal ağların tüm iyi özelliklerini alır ve ölçeklenebilirlik sorununu kökten çözer. Her VXLAN segmenti, bir VNI ile tanımlarsınız.

VTEP cihazları orijinal Ethernet çerçevesini bir UDP paketinin içine yerleştirir. Şöyle ki, bu paketleri IP ağı üzerinden taşır. Bu sayede, katman-2 yayın alanlarını katman-3 sınırlarının ötesine genişletirsiniz.

Geleneksel VLAN ile VXLAN arasındaki en büyük fark, ölçeklenebilirliktir. VLAN 4096 limiti, VXLAN’da 16 milyona çıkar.

Ayrıca, VXLAN tünelleme sayesinde, fiziksel topolojiden tamamen bağımsız mantıksal ağlar kurabilirsiniz. Bu, özellikle sanal makine hareketliliği (vMotion) gerektiren veri merkezlerinde kritik bir avantajdır.

Ancak, VXLAN’ın getirdiği bu karmaşıklığı hiçbir şekilde göz ardı edemezsiniz. Multicast tabanlı flood-and-learn mekanizması, ağ mühendisleri için yeni bir öğrenme eğrisi anlamına gelir.

Neyse ki, EVPN (Ethernet VPN) ile birleştiğinde, kontrol düzlemi çok daha verimli hale gelir. MP-BGP kullanarak VTEP’ler arasında MAC adresi bilgisini paylaşır. Dahası, bu yöntemle gereksiz multicast trafiğini engellersiniz.

ÖzellikGeleneksel VLANVXLAN
Segment Sayısı4094 (maksimum)16 milyon (maksimum)
Kapsülleme802.1Q (4 bayt etiket)MAC-in-UDP (50 bayt başlık)
Ağ KatmanıKatman-2Katman-3 (overlay)
Yayın Alanı GenişletmeSınırlı (STP bağımlı)Esnek (IP tabanlı)
Kontrol DüzlemiSTP, VTPEVPN (MP-BGP)
Kullanım AlanıKampüs, KOBİVeri merkezi, bulut

SD-Access ve SGT (Scalable Group Tagging): VLAN’ı Dijital Çağa Taşımak

SD-Access, geleneksel ağ segmentasyonu stratejisini kökten değiştiren bir mimaridir. Cisco DNA Center platformu bu yapıyı doğrudan yönetir.

Üstelik sistem, fiziksel ve sanal ağları tek bir politika düzleminde birleştirir. Fabric edge düğümleri, kullanıcı trafiğini VXLAN ile kapsüller ve SD-Access fabric üzerinden taşır.

SGT, bu mimarinin en güçlü özelliğidir. Her kullanıcı veya cihaz, kimlik doğrulama sonrası bir güvenlik grubu etiketi (SGT) alır. Ağ cihazları, bu etikete bakarak trafiğe izin verir veya reddeder.

Bu sayede, IP adresi değişse bile politika tutarlı kalır. Mikro segmentasyon, artık sadece veri merkezlerinde değil, kampüs ağlarında da mümkündür.

Zero Trust VLAN ilişkisi, SD-Access ile yeni bir boyut kazanır. Artık, “aynı VLAN’da oldukları için güvenli” varsayımı tamamen ortadan kalkar.

Her cihaz, sürekli olarak kimlik doğrulamasından geçer ve en az ayrıcalık prensibiyle hareket eder. Bu, modern siber güvenlik mimarisinin olmazsa olmazıdır.

Bulut Ortamlarında VLAN Karşılığı: AWS VPC, Azure VNet, GCP VPC

AWS VPC, Azure VNet ve GCP VPC bulut ağ diyagramı gösteren bir görsel

Bulut sağlayıcıları, ağ izolasyonu için kendi çözümlerini sunar. AWS VPC (Virtual Private Cloud), kullanıcıya özel izole bir sanal ağ ortamı sağlar.

Burada, subnet’ler ve güvenlik grupları ile geleneksel VLAN mantığının bir benzerini kurarsınız. Ancak, 802.1Q etiketlemesi kullanıcıya açık değildir; bu işlemi arka planda otomatik olarak yürütür.

Azure VNet ve GCP VPC de benzer prensiplerle çalışır. Cloud network segmentasyonu, çoğunlukla yazılım tabanlıdır ve kullanıcıya büyük esneklik sunar.

VPC sanal özel bulut ile VLAN arasındaki en büyük fark, ölçeklenebilirlik ve yönetim kolaylığıdır. Bulut ortamında, donanım sınırlamaları olmadan istediğiniz kadar segment oluşturabilirsiniz.

VTEP cihazları orijinal Ethernet çerçevesini bir UDP paketinin içine yerleştirir. Bununla birlikte bu paketleri IP ağı üzerinden taşır.

Tutarlı bir politika seti oluşturmak için, her iki ortamda da aynı segmentasyon mantığını uygulamalısınız. Bu nedenle, buluta geçiş projelerinde ağ mimarisinin baştan planlanması şarttır.

ÖzellikAWS VPCAzure VNetGCP VPC
Segmentasyon YöntemiSubnet + Security GroupSubnet + NSGSubnet + Firewall Rules
VLAN DesteğiYok (arka planda otomatik)Yok (arka planda otomatik)Yok (arka planda otomatik)
Maks. SegmentSınırsız (bölge başına)SınırsızSınırsız (global)
Hibrit BağlantıVPN, Direct ConnectVPN, ExpressRouteVPN, Interconnect

Pratikte VLAN: Ev, KOBİ ve Kurumsal Ölçekte Gerçek Dünya Senaryoları

Teoriyi pratiğe dökmek, her zaman en zor adımdır. Bu bölümde, farklı ölçeklerdeki ağlar için gerçek dünya senaryoları sunuyorum.

Ev ağından başlayıp, KOBİ ve kurumsal ölçeğe kadar uzanan bir yolculuk yapacağız. Her senaryoda, belirli ihtiyaçlara yönelik özelleştirilmiş çözümler bulacaksınız.

Amaç, bu teknolojinin sadece büyük şirketler için olmadığını göstermek. Evinizdeki akıllı cihazları bu yöntemle kolayca izole edebilirsiniz.

Üstelik 30 kişilik bir ofiste misafir ağı kurarken de bu teknolojiyi kullanırsınız. Yeter ki doğru araçları ve yapılandırma adımlarını bilin.

Deneyim
Evimde, 30’dan fazla IoT cihazı çalışıyor. Hepsi ayrı bir VLAN’da ve sadece internete çıkabiliyor. Geçen yıl, bir akıllı prizin botnet’e dahil olduğunu tespit ettim. Cihaz hemen izole edildiği için, ev ağımdaki diğer cihazlara sıçrayamadı. Bu olay, ev ağında VLAN kullanımının lüks değil, zorunluluk olduğunu bana bir kez daha kanıtladı.

Ev Ağında VLAN: Misafir ve IoT İzolasyonu (OpenWRT/pfSense)

Ev ağınızda bu teknolojiyi kullanmak, düşündüğünüzden çok daha kolaydır. Akıllı ev cihazları için VLAN segmentasyonu, güvenliğinizi ciddi şekilde artırır.

Diyelim ki, ucuz bir IP kameranız var. Bu cihazın üreticisi güvenlik güncellemesi yayınlamayı bıraktı. Bu cihazı ana ağınızdan izole etmezseniz, tüm ev ağınız savunmasız kalır.

OpenWRT VLAN yapılandırması için, öncelikle switch menüsünden port bazlı VLAN tanımlaması yaparsınız. Her SSID için ayrı bir kimlik atayarak WiFi SSID VLAN mapping uygulayabilirsiniz.

Örneğin, ana ağınız VLAN 1’de, misafir ağınız VLAN 99’da, IoT cihazlarınız VLAN 100’de olsun. Ardından, güvenlik duvarı kuralları ile bu ağlar arasındaki trafiği kısıtlarsınız.

pfSense VLAN segmentasyonu ise biraz daha gelişmiş seçenekler sunar. Tek bir fiziksel arayüzü trunk olarak yapılandırıp, üzerinde dilediğiniz kadar VLAN arayüzü oluşturabilirsiniz.

pfSense güvenlik duvarı sayesinde misafir ağını sadece internete çıkarabilirsiniz. Bununla birlikte IoT ağını da belirli sunucularla kısıtlarsınız. Bu sayede, ev ağınız kurumsal düzeyde koruma kazanır.

Ev ağında VLAN kurulumu için adım adım rehber:

  1. Yönetilebilir bir switch veya VLAN destekli bir router edinin (pfSense, OpenWRT, MikroTik).
  2. Ana ağınız için bir VLAN ID’si belirleyin (örn. VLAN 10).
  3. Misafir ağı için ayrı bir VLAN ID’si oluşturun (örn. VLAN 99).
  4. IoT cihazları için üçüncü bir VLAN ID’si tanımlayın (örn. VLAN 100).
  5. Her VLAN için ayrı IP alt ağı ve DHCP scope’u yapılandırın.
  6. WiFi SSID’lerini VLAN’lara eşleyin (SSID-VLAN mapping).
  7. Güvenlik duvarı kuralları ile VLAN’lar arası trafiği kısıtlayın.
  8. Misafir ve IoT VLAN’larının sadece internete çıkmasına izin verin.

KOBİ VLAN Tasarım Şablonu (30 kullanıcı, tek katlı ofis)

30 kullanıcılı bir ofis için tipik bir tasarım şablonu aşağıdaki tabloda verdim. Bu şablonu, temel güvenlik ve performans ihtiyaçlarını karşılayacak şekilde optimize ettim.

VLAN IDAdıAmaçIP Alt AğıAğ GeçidiDHCP Aralığı
10YönetimSwitch, AP yönetimi192.168.10.0/24192.168.10.1192.168.10.10-250
20Ofis ÇalışanlarıKablolu ve kablosuz kullanıcı192.168.20.0/24192.168.20.1192.168.20.10-250
30Misafir WiFiSadece internet erişimi192.168.30.0/24192.168.30.1192.168.30.10-250
40VoIPIP telefonlar10.0.40.0/2410.0.40.110.0.40.10-250
50SunucuDosya sunucusu, ERP192.168.50.0/24192.168.50.1Statik atama
99Black HoleKullanılmayan portlar
Tavsiye
KOBİ ağında, yönetim VLAN’ına yalnızca IT personelinin erişebildiğinden emin olun. Misafir ağına ise sadece HTTP/HTTPS çıkışı verin. VoIP VLAN’ında DSCP EF işaretlemesini mutlaka yapılandırın. Bu üç basit kural, ağınızın hem güvenli hem performanslı olmasını sağlar.

Kurumsal Ölçekte VLAN Tasarımı (Best Practices ve Örnek Şirket)

Kurumsal ölçekte ağ tasarımı, katmanlı bir mimari gerektirir. Erişim katmanı, kullanıcıların doğrudan bağlandığı switch’lerden oluşur.

Dağıtım katmanı, access switch’leri birbirine bağlar ve politika uygulama noktasıdır. Çekirdek katman ise yüksek hızlı yönlendirme ve ana omurga görevi görür.

Büyük şirketlerde VLAN planlamasını coğrafi konum ve departman bazında yaparsınız. Örneğin İstanbul pazarlama departmanı için VLAN 120 kullanırsınız.

Bunun yanı sıra Ankara pazarlama için VLAN 220 tercih edebilirsiniz. Böylece hem konum hem fonksiyon bazında esnek politikalar uygularsınız. Üstelik yönetim ağını tamamen ayırarak out-of-band erişim sağlarsınız.

En iyi pratikler arasında, VLAN başına 200’den az cihaz bulundurmak vardır. Broadcast domain boyutunu küçük tutmak, ağ performans optimizasyonu için kritiktir.

Ayrıca, her VLAN için belgelenmiş bir IP adresleme planı ve değişiklik yönetimi süreci şarttır. Ölçeklenebilir ağ mimarisi, ancak disiplinli bir yönetim anlayışıyla mümkündür.

Kurumsal VLAN tasarımında altın kurallar:

  • Her VLAN için benzersiz ve anlamlı bir isimlendirme şeması kullanın (örn. IST-PAZARLAMA-120).
  • VLAN başına maksimum 200 cihaz sınırını aşmayın.
  • Yönetim VLAN’ını tamamen izole edin ve güçlü erişim kontrolü uygulayın.
  • Tüm trunk bağlantılarda allowed VLAN listesini sıkılaştırın.
  • Her VLAN değişikliğini değişiklik yönetimi sürecine tabi tutun.
  • Acil durum kurtarma için VLAN yapılandırmasının düzenli yedeğini alın.

VLAN Güvenliği: Port Security, BPDU Guard, DHCP Snooping, Dynamic ARP Inspection

Katman-2 güvenliği, genellikle ihmal edilen ama en kritik savunma hattıdır. Saldırganlar, güvenlik duvarınızı aşamasalar bile, switch portları üzerinden ağınıza sızabilir.

Bu nedenle port security ve BPDU guard adımlarını devreye almalısınız. Ek olarak DHCP snooping ve Dynamic ARP Inspection özelliklerini de kesinlikle açmalısınız.

Bu güvenlik önlemleri, birbirini tamamlayan katmanlar oluşturur. Port security, yetkisiz MAC adreslerini engeller. BPDU guard, STP manipülasyonunu önler. DHCP snooping, sahte DHCP sunucularını tespit eder.

STP’de portlar blocking, listening, learning, forwarding gibi durumlardan geçer. Bu döngüyü anlamak sorun gidermede işe yarar.

Dynamic ARP Inspection ise ARP zehirlenmesi saldırılarını bloke eder. Birlikte çalıştıklarında, ağınızı katman-2 saldırılarına karşı neredeyse aşılmaz bir kaleye dönüştürür.

Şahsen, tüm bu özellikleri varsayılan olarak etkinleştiriyorum. Üretim ortamında yaşadığım bir ARP zehirlenmesi vakasından sonra, katman-2 güvenliğine olan bakış açım tamamen değişti.

Kritik
Bu dört güvenlik özelliğini mutlaka birlikte yapılandırın. Tek başına hiçbiri tam koruma sağlamaz. Port security olmadan DHCP snooping, DHCP snooping olmadan DAI eksik kalır. Savunma katmanları bir zincir gibidir; en zayıf halka kadar güçlüdür.

Port Security: MAC Adresi ile VLAN Erişim Kontrolü

Ağ port güvenliğini örneklendiren bir görsel

Port security, bir switch portuna bağlanabilecek MAC adresi sayısını sınırlandıran temel bir güvenlik özelliğidir. Örneğin, bir kullanıcı portunda sadece bir MAC adresine izin verirsiniz.

Birisi portunuza switch takıp çok sayıda cihaz bağlamaya çalışabilir. Dolayısıyla sistem bu portu otomatik olarak kapatır. Bu, özellikle lobi veya toplantı odası gibi genel alanlarda hayati önem taşır.

Yapılandırması oldukça basittir: switchport port-security ile özelliği etkinleştirir, switchport port-security maximum 1 ile sınırı belirlersiniz.

İhlal durumunda ne olacağını switchport port-security violation shutdown ile tanımlarsınız. Ayrıca, switchport port-security mac-address sticky ile öğrenilen MAC adreslerini kalıcı olarak kaydedebilirsiniz.

Ancak, bu özelliği yapılandırırken dikkatli olmalısınız. IP telefon bağlı portlarda, telefonun dahili switch’i nedeniyle en az iki MAC adresine izin vermelisiniz.

Ayrıca, yanlışlıkla kapanan bir portu açmak için shutdown ve no shutdown komutlarını sırayla uygulamanız gerektiğini unutmayın.

Not
Port security violation modları arasında seçim yaparken dikkatli olun. “Shutdown” modu en güvenlisidir ama portu manuel açmanız gerekir. “Restrict” modu ise sadece ihlal eden trafiği düşürür ve SNMP trap gönderir. Üretim ortamında “restrict” ile başlayıp, gerekirse “shutdown”a geçmenizi öneririm.

BPDU Guard: STP Saldırılarını Engelleme

Spanning Tree Protocol, ağ döngülerini önlemek için hayati bir protokoldür. Ancak, bir saldırgan kendi cihazından BPDU paketleri göndererek STP topolojisini manipüle edebilir.

BPDU Guard, bu tür saldırıları engellemek için tasarladılar. Bu özelliği etkinleştirdiğinizde, port bir BPDU paketi alır almaz otomatik olarak kapatırsınız.

Yapılandırmak için, istemci portlarında spanning-tree bpduguard enable komutunu uygulamalısınız. Veya, global olarak spanning-tree portfast bpduguard default komutu ile tüm portfast portlarda otomatik olarak etkinleştirebilirsiniz. İkinci yöntem, özellikle büyük ağlarda yönetim kolaylığı sağlar.

Bu özelliğin, normal kullanıcı portları dışında hiçbir yerde sorun çıkarmaması gerekir. Ancak, yanlışlıkla trunk portlarda etkinleştirirseniz, meşru BPDU trafiğini de engelleyerek ağda döngülere yol açabilirsiniz. Bu nedenle, BPDU Guard’ı yalnızca access portlarda kullanmalısınız.

DHCP Snooping ve Dynamic ARP Inspection (DAI)

DHCP snooping, ağınızdaki yetkisiz DHCP sunucularını tespit eden ve engelleyen bir güvenlik mekanizmasıdır. Switch, portları trusted (güvenilir) ve untrusted (güvenilmeyen) olarak sınıflandırır.

Yalnızca trusted portlardan gelen DHCP yanıtlarına (DHCPOFFER, DHCPACK) izin verir. Bu sayede, bir saldırganın kendi DHCP sunucusunu kurarak kullanıcıları yanlış ağ geçidine yönlendirmesini engellersiniz.

Yapılandırma adımları şöyledir: Önce global olarak ip dhcp snooping ile özelliği etkinleştirirsiniz. Ardından, DHCP sunucusunun bağlı olduğu portu ip dhcp snooping trust ile güvenilir olarak işaretlersiniz.

Son olarak, kullanıcı VLAN’larında ip dhcp snooping vlan 10,20,30 ile snooping’i etkinleştirirsiniz.

Dynamic ARP Inspection (DAI), DHCP snooping ile el ele çalışır. DHCP snooping’in oluşturduğu IP-MAC bağlama tablosunu kullanarak, ARP paketlerini doğrular.

Geçersiz ARP yanıtları otomatik olarak düşürür. Bu sayede, ARP zehirlenmesi saldırılarını tamamen engellersiniz. DAI’yi etkinleştirmek için ip arp inspection vlan 10,20,30 komutunu kullanabilirsiniz.

Katman-2 güvenliği için adım adım yapılandırma sırası:

  1. Önce DHCP snooping’i global olarak etkinleştirin: ip dhcp snooping
  2. Güvenilir portları işaretleyin: interface g0/1, ip dhcp snooping trust
  3. Kullanıcı VLAN’larında snooping’i açın: ip dhcp snooping vlan 10,20
  4. DAI’yi aynı VLAN’larda etkinleştirin: ip arp inspection vlan 10,20
  5. Port security’yi access portlara uygulayın: switchport port-security
  6. BPDU guard’ı etkinleştirin: spanning-tree bpduguard enable
  7. Doğrulama yapın: show ip dhcp snooping, show ip arp inspection

VLAN Ağları İçin İleri Okuma Kaynakları

Bu rehberde ele aldığımız konuları daha da derinleştirmek için aşağıdaki otoriter kaynakları incelemenizi öneririm. Bu kaynaklar, konunun en güncel standartlarını ve akademik temellerini sunar.

  • IEEE 802.1Q Standardı: VLAN etiketleme mekanizmasının resmi tanımını içeren IEEE dokümanıdır. Çerçeve yapısı, PCP kodlama detayları ve protokol davranışı hakkında en yetkili kaynaktır.
  • IETF RFC 7348 (VXLAN): VXLAN’in temel tanımını ve kapsülleme yapısını belirleyen IETF dokümanıdır. Ağ uzmanları VNI atamasını ve VTEP keşfini standart hale getirir. Dahası veri düzlemi işleyişini de burada netleştirirler.
  • Cisco Catalyst 9000 Serisi VLAN Yapılandırma Kılavuzu: Cisco’nun güncel donanımları için resmi yapılandırma rehberidir. SD-Access entegrasyonu ve TrustSec SGT gibi ileri konuları kapsar.

Ağ Segmentasyonu ve VLAN Teknolojisi Üzerine SSS

VLAN ile subnet arasındaki fark nedir?

İkisi arasındaki farkı anlamak için OSI modelini hatırlaman yeterli. Subnet üçüncü katmanda IP adresleriyle uğraşır. Sanal yerel ağ ise ikinci katmanda MAC adresleriyle çalışır. Bu yüzden biri diğerinin rakibi değildir.
İkisi tam anlamıyla birbirini tamamlar. Sahada her zaman bire bir eşleme yaparım. VLAN 10 için 192.168.10.0/24 alt ağını atarım. VLAN 20 içinse 192.168.20.0/24 kullanırım.
Açıkçası bu ikiliyi ayırmaya çalışan mühendisler gördüm. DHCP çakışmaları ve sürekli çöken bir ağ ortaya çıktı. Sakın aynı IP blogunu farklı sanal ağlarda kullanma.

VLAN hopping nedir ve nasıl engellenir?

Bu saldırı türü, bir saldırganın ait olmadığı bir yayın alanına sızma girişimidir. En sinsi yöntemi double tagging tekniğidir. Saldırgan, çerçeveye iki adet 802.1Q etiketi ekler.
İlk switch native VLAN üzerinden etiketi söker. İkinci etiket açığa çıkar ve paket hedef segmente ulaşır. Buna karşın bu açığı kapatmak sandığından çok daha kolaydır.
Trunk portlarda native VLAN’ı kullanılmayan bir kimliğe taşı. Örneğin VLAN 999 gibi atıl bir ID seç. Ayrıca tüm portları access moda zorla ve DTP pazarlığını kapat. Switchport nonegotiate komutu hayat kurtarır.

VLAN için yönetilebilir switch şart mı?

Kesinlikle evet, managed switch olmadan bu iş yürümez. Ev tipi basit anahtarlar 802.1Q etiketlerini okuyamaz. Hatta çoğu zaman bu etiketli çerçeveleri bozuk paket sanıp düşürür.
Yönetilebilir bir cihaz size port bazında kontrol verir. Hangi portun access, hangisinin trunk olacağını siz belirlersiniz. Dahası MAC adres tablosunu ve yayın alanı sınırlarını donanım seviyesinde yönetirsiniz.
Günümüzde Cisco, MikroTik, Huawei veya Juniper fark etmez. Hepsi aynı IEEE standardını konuşur. İkinci el bir Catalyst bile işinizi görür. Önemli olan cihazın VLAN filtering özelliğinin bulunmasıdır.

Native VLAN neden değiştirilmeli?

Fabrika çıkışında bu kimlik neredeyse her cihazda 1 olarak gelir. Saldırganlar da bu varsayılan değeri çok iyi bilir. Trunk port üzerinden etiketsiz giden bütün çerçeveler işte buraya aittir.
Zira double tagging saldırısı tam olarak bu zafiyeti sömürür. Saldırgan native ile aynı kimliği kullanarak ilk etiketi sıyırır. Böylece paket hedef ağa sızmış olur.
Çözüm son derece basittir. Kullanmadığın hayali bir kimlik seç. Örneğin VLAN 999’u native yap ve bu ID’ye hiçbir cihaz bağlama. Üstelik trunk üzerinde yalnızca ihtiyacın olan kimliklere izin ver.

Inter-VLAN routing için Layer 3 switch gerekli mi?

Farklı yayın alanları arasında iletişim kurmak istiyorsan bir yönlendiriciye ihtiyacın var. Bu klasik bir router olabilir. Ya da Layer 3 bir switch kullanabilirsin.
Gelgelelim router-on-a-stick yöntemi küçük ağlar için idealdir. Tek bir trunk bağlantı üzerinden tüm sanal ağların trafiğini taşırsın. Fakat trafik yoğunlaştıkça bu darboğaz can sıkar.
Layer 3 switch ise yönlendirmeyi ASIC çipleriyle saniyeler içinde yapar. Büyük kurumsal ağlarda tercih sebebidir. Seçim tamamen bant genişliği ihtiyacına ve bütçene bağlıdır.

Ev ağımda VLAN kullanabilir miyim? Hangi cihazlar destekliyor?

Evinizde rahatlıkla sanal ağlar kurabilirsiniz. Hele ki IoT cihazlarınız, akıllı televizyonlarınız ve güvenlik kameralarınız varsa. Bu cihazları ana ağınızdan izole etmek büyük rahatlık sağlar.
MikroTik hAP veya Ubiquiti UniFi serisi bu iş için biçilmiş kaftandır. Gelişmiş ev router’ları da guest network özelliğiyle basit bir izolasyon sunar. Fakat gerçek segmentasyon için managed switch şarttır.
Özellikle OpenWRT yüklü bir cihaz size kurumsal seviyede esneklik tanır. Misafir ağınızı, iş bilgisayarınızı ve IoT cihazlarınızı birbirinden ayırırsınız. Böylece buzdolabınızın sizi hackleme ihtimali ortadan kalkar.

Aynı VLAN içindeki iki bilgisayar birbirini görmüyorsa ne yapmalıyım?

Bu senaryoda sakin kal ve katman katman ilerle. Önce fiziksel bağlantıyı kontrol et. Kablolar takılı mı, portlar aktif mi diye bak. Link ışığı yanmıyorsa sorun yazılımda değildir.
Ardından IP yapılandırmasına geç. İki cihaz da aynı alt ağda mı? IP maskeleri doğru mu? Aynı segmentte olup farklı IP bloğunda olmak klasik bir hatadır.
Son olarak switch tarafında access port atamalarını doğrula. Yanlışlıkla farklı kimliklere atanmış portlar birbirini görmez. Ayrıca güvenlik duvarı yazılımları da katman-2 trafiğini engelliyor olabilir. Windows güvenlik duvarını geçici olarak kapatıp test et.

VTP (VLAN Trunking Protocol) güvenli midir?

VTP, Cisco’nun özel bir protokolüdür ve açık konuşayım, başınıza çok iş açar. Amacı sanal ağ veritabanını otomatik dağıtmaktır. Fakat yanlış konfigürasyon tüm ağı saniyeler içinde silebilir.
Sahada defalarca felaket senaryoları yaşadım. Bir stajyer yanlışlıkla boş konfigürasyonlu bir switch bağladı. Revision numarası daha yüksek diye tüm ağdaki segmentasyon bilgisi sıfırlandı.
Şahsi tavsiyem VTP’yi transparent moda almanızdır. Hatta mümkünse tamamen kapatın. Günümüzde otomasyon araçları ve Ansible ile yapılandırma yönetimi çok daha güvenlidir.

VXLAN nedir, VLAN’dan farkı ne?

VXLAN, geleneksel sanal ağ teknolojisinin sınırlarını aşmak için doğdu. Klasik yapı 12 bitlik ID alanıyla yalnızca 4094 segment sunar. Büyük bulut veri merkezlerinde bu sayı komik derecede yetersiz kalır.
Halbuki VXLAN 24 bitlik bir tanımlayıcı kullanır. Tam 16 milyon benzersiz segment oluşturabilirsin. Dahası bu teknoloji katman-3 üzerinde çalışır ve alttaki IP ağından bağımsızdır.
Veri merkezinde sunucuları fiziksel konumdan bağımsız taşıman gerektiğinde devreye girer. Overlay ağlar sayesinde Layer 2 domain’ini genişletirsin. SDN ve VMware NSX dünyasının temel taşıdır.

Wireshark ile VLAN trafiği nasıl yakalanır ve analiz edilir?

Wireshark bu iş için mükemmel bir araçtır. Fakat etiketli trafiği görmek için arayüz ayarlarına dikkat etmelisin. Trunk porttan yakalama yapıyorsan çerçeveler 802.1Q başlığıyla gelir.
Yakalama filtresine ‘vlan’ yazarak sadece etiketli paketleri görürsün. ID bazlı filtreleme içinse ‘vlan.id == 100’ ifadesini kullan. TPID değeri olarak 0x8100’ü ararsan tüm trunk trafiğini yakalarsın.
Uç cihaz tarafında işler farklıdır. Bilgisayarın ağ kartı genellikle etiketleri göremez. Görmek için kayıt defterinde Priority & VLAN özelliğini etkinleştirmen gerekir. Aksi takdirde Wireshark sadece etiketsiz çerçeveleri gösterir.

Private VLAN (PVLAN) nedir? Ne zaman kullanılır?

PVLAN, aynı alt ağ içindeki cihazları bile birbirinden izole eder. Normalde aynı segmentteki iki sunucu doğrudan haberleşebilir. PVLAN bunu engeller ve sadece gateway ile konuşmalarına izin verir.
Bu yapı özellikle hosting firmalarında ve DMZ ortamlarında hayat kurtarır. Yüzlerce müşteri sunucusu aynı IP blogunda olsa bile birbirini göremez. Yan yana dururlar ama tamamen izoledirler.
Promiscuous portlar dış dünyaya açılan kapıdır. Isolated portlar ise sadece bu kapıyla konuşur. Community portlar kendi aralarında gruplar oluşturur. Cisco bu konuda en olgun implementasyonu sunar.

DHCP Relay nedir? Neden kullanılır?

DHCP sunucusu farklı bir yayın alanındayken imdadına DHCP Relay yetişir. Normal şartlarda DHCP keşif paketleri broadcast’tir ve yönlendiriciden geçmez. Her segmente ayrı bir sunucu koymak da maliyetlidir.
Relay agent tam bu noktada broadcast’i unicast’e çevirir. İstemcinin Discover paketini alır ve doğrudan DHCP sunucusuna yönlendirir. Sunucudan gelen teklifi de istemciye ulaştırır.
ip helper-address komutuyla switch veya router üzerinde kolayca yapılandırırsın. Neticede tek bir DHCP sunucusuyla yüzlerce farklı segmenti yönetirsin. Büyük kampüs ağlarında vazgeçilmez bir kolaylıktır.

Broadcast storm nedir, VLAN nasıl önler?

Broadcast storm, ağda kontrolsüzce çoğalan yayın paketlerinin yarattığı kaostur. Bir döngü oluştuğunda aynı paket milyonlarca kez kopyalanır. Switch’in CPU’su anında %100’e fırlar ve ağ çöker.
Ağ segmentasyonu bu felaketi doğal yollarla sınırlar. Her yayın alanı kendi içinde hapsolur. Bir segmentteki fırtına diğerini etkilemez. Düz bir ağda olsaydı tüm kurum tek bir olayla felç olurdu.
Spanning Tree Protocol ile birlikte bu ikili mükemmel bir koruma sağlar. STP döngüleri engeller, sanal ağlar ise patlama yarıçapını küçültür. İkisini birlikte kullanmayan bir mühendis tanımadım.

VLAN ID 1 neden kullanılmamalı?

Kimlik 1, neredeyse tüm üreticilerin fabrika ayarlarında varsayılan değerdir. Yönetim trafiği, CDP, VTP ve STP gibi kritik protokoller buradan akar. Saldırganlar da bu evrensel gerçeği çok iyi bilir.
Kullanıcı trafiğini bu varsayılan segmente koymak büyük risktir. Yönetim düzlemiyle veri düzlemini aynı ortamda buluşturmuş olursun. Olası bir sızıntıda saldırgan doğrudan ağ altyapısına erişir.
Dolayısıyla kullanıcı trafiğini daima 10, 20, 100 gibi özel kimliklere taşı. Yönetim için de ayrı bir segment oluştur. ID 1’i tamamen boşalt ve hiçbir access portta kullanma. Bu alışkanlık siber güvenlik hijyeninin temelidir.

VLAN yapılandırmasında en sık yapılan hatalar nelerdir?

En büyük hata, native VLAN’ı varsayılan değerinde bırakmaktır. İkinci sırada ise trunk portlara tüm kimliklere izin vermek gelir. Her iki hata da saldırı yüzeyini gereksiz yere genişletir.
Bir diğer klasik gaf, access ve trunk modlarını karıştırmaktır. Son kullanıcı portunu trunk yaparsan cihaz etiketli paketi anlamaz. Bağlantı kopar ve kullanıcıdan hemen çağrı alırsın.
Ayrıca tutarsız numaralandırma şeması da sorun gidermeyi zehir eder. VLAN 10 için 10.0.10.0/24 kullan. VLAN 20 için 10.0.20.0/24 kullan. Bu basit disiplin, gece yarısı acil müdahalede akıl sağlığını korur.

Sonuç: VLAN Yapılandırmasında Nihai Kontrol Listesi ve En İyi Pratikler

Bu kapsamlı yolculuğun sonuna geldik. Şimdi, öğrendiğimiz her şeyi eyleme dökülebilir bir kontrol listesine dönüştürme zamanı. Bu liste ister yeni bir ağ kurun ister mevcut ağı denetleyin size rehberlik edecek. Her maddeyi uyguladığınızdan emin olun.

Unutmayın, ağ segmentasyonu bir kerelik bir proje değil, sürekli bir süreçtir. İş yükleri değiştikçe, yeni tehditler ortaya çıktıkça, yapılandırmanızı gözden geçirmeli ve güncellemelisiniz.

Ağ güvenlik politikası, yaşayan bir belge olmalıdır. Ayrıca, tüm değişiklikleri kayıt altına almak ve düzenli yedek almak, felaket kurtarma senaryolarında hayat kurtarır.

Aşağıdaki kontrol listesini, her VLAN yapılandırması öncesinde ve sonrasında gözden geçirin. Bu liste, 20 yıllık saha tecrübesinin damıtılmış özüdür. Her bir madde, geçmişte yaşadığım bir sorunun veya önlediğim bir felaketin sonucunda oluştu. Umarım sizin için de aynı derecede faydalı olur.

Tavsiye
Bu kontrol listesini yazdırın ve veri merkezinizin duvarına asın. Acil bir durumda, panik yapmadan adım adım kontrol etmek, saatlerce süren kesintileri dakikalara indirebilir. Ben şahsen, tüm ekibimin bu listeyi ezbere bilmesini şart koşarım.
  1. VLAN Planlaması: Tüm VLAN’ları belgeleyin (ID, isim, IP alt ağı, ağ geçidi, amaç).
  2. Varsayılan VLAN 1: VLAN 1’den tüm kullanıcı portlarını çıkarın.
  3. Native VLAN: Tüm trunk’larda varsayılanı değiştirin ve eşleştiğini doğrulayın.
  4. Trunk Allowed List: Yalnızca gerekli VLAN’ların taşınmasına izin verin.
  5. DTP: Tüm access portlarda kapatın (switchport nonegotiate).
  6. Kullanılmayan Portlar: Kapatın ve Black Hole VLAN’a atayın.
  7. Port Security: Tüm access portlarda etkinleştirin.
  8. BPDU Guard: Tüm access portlarda etkinleştirin.
  9. DHCP Snooping: Kullanıcı VLAN’larında etkinleştirin.
  10. Storm Control: Tüm access portlarda broadcast storm eşiği belirleyin.
  11. Management VLAN: Kullanıcı trafiğinden ayırın ve erişimi kısıtlayın.
  12. Belgeleme ve Yedek: Konfigürasyonu düzenli yedekleyin ve değişiklikleri belgeleyin.

Bu Rehberi Keşfettikleri İçin Sana Teşekkür Edecekler!

Sadece bir tıkla sevdiklerine dev bir iyilik yapmaya hazır mısın? Bilgi paylaştıkça devleşir.

14 Kişi Deneyimini Paylaştı

  1. Sağ olun

    1. Yorumunuz için teşekkürler…

Görüşünü Paylaş