format_list_bulletedBu İçerikte Bahsedilen Konular
- arrow_rightMikroTik ile VLAN Yapılandırması: Sunucu Ağlarını İzole Edin
- arrow_rightVLAN Nedir ve Neden Kullanılır?
- arrow_rightVLAN'ın Temel Avantajları
- arrow_rightVLAN vs Geleneksel Ağ Segmentasyonu
- arrow_rightSunucu Ağlarında VLAN Kullanımının Önemi
- arrow_rightSunucu Ağlarında VLAN Senaryoları
- arrow_rightMikroTik ile VLAN Yapılandırması Adımları
- arrow_right1. Yöntem: Bridge VLAN Filtering
- arrow_rightAdım 1: Bridge Oluşturma
- arrow_rightAdım 2: VLAN ID Tanımlama
- arrow_rightAdım 3: Bridge VLAN Filtering Etkinleştirme
- arrow_right2. Yöntem: Switch Chip ile VLAN
- arrow_rightSwitch Chip VLAN Yapılandırması
- arrow_rightVLAN Trunk ve Access Port Yapılandırması
- arrow_rightTrunk Port Nedir?
- arrow_rightAccess Port Nedir?
- arrow_rightTrunk Yapılandırma Örneği
- arrow_rightMikroTik VLAN Güvenlik Ayarları
- arrow_right1. VLAN间 Routing Kontrolü
- arrow_right2. DHCP Snooping
- arrow_right3. Port Security
- arrow_rightSunucu Ağları için VLAN Best Practice'leri
- arrow_rightVLAN Yapılandırma Kontrol Listesi
- arrow_rightYaygın VLAN Yapılandırma Hataları
- arrow_right1. Tagged ve UnTagged Karıştırma
- arrow_right2. Native VLAN Eksikliği
MikroTik ile VLAN Yapılandırması: Sunucu Ağlarını İzole Edin
Ağ güvenliği ve performansı, modern veri merkezlerinin en kritik bileşenlerinden biridir. MikroTik router'ları kullanarak VLAN (Virtual Local Area Network) yapılandırması, sunucu ağlarını izole etmenin en etkili yollarından birini sunar. Bu rehberde, MikroTik cihazlarınızda VLAN kurulumunu adım adım öğreneceksiniz.
Sunucu altyapınızı segmentlere ayırmak, hem güvenlik hem de performans açısından kritik öneme sahiptir. Araştırmalara göre, düzgün yapılandırılmış ağ segmentasyonu saldırı yüzeyini %67 oranında azaltabilir.
VLAN Nedir ve Neden Kullanılır?
VLAN (Sanal Yerel Ağ), fiziksel ağ altyapısını mantıksal olarak bölümlere ayıran bir teknolojidir. Tek bir fiziksel switch veya router üzerinde birden fazla bağımsız ağ oluşturmanızı sağlar.
VLAN'ın Temel Avantajları
- Güvenlik İzolasyonu: Farklı VLAN'lardaki cihazlar varsayılan olarak birbirleriyle iletişim kuramaz
- Performans: Broadcast trafiğini sınırlandırarak ağ performansını artırır
- Esneklik: Fiziksel konumdan bağımsız olarak ağ segmentasyonu sağlar
- Maliyet Etkinliği: Ek donanım gerektirmeden ağ yönetimini kolaylaştırır
VLAN vs Geleneksel Ağ Segmentasyonu
| Özellik | VLAN | Geleneksel Fiziksel Segmentasyon |
|---|---|---|
| Kurulum Maliyeti | Düşük | Yüksek |
| Esneklik | Çok Yüksek | Düşük |
| Yönetim Karmaşıklığı | Orta | Yüksek |
| Ölçeklenebilirlik | Kolay | Güç |
| Güvenlik Seviyesi | Yüksek (doğru yapılandırıldığında) | Orta |
Sunucu Ağlarında VLAN Kullanımının Önemi
Veri merkezlerinde farklı sunucu türleri (web sunucuları, veritabanı sunucuları, uygulama sunucuları) aynı ağda bulunduğunda, bir güvenlik açığı tüm sistemin tehlikeye girmesine neden olabilir. Sunucu log analizi yaparak bu tür tehditleri tespit edebilirsiniz, ancak VLAN ile izolasyon saldırıları önleyebilir.
Sunucu Ağlarında VLAN Senaryoları
Tipik bir sunucu altyapısında şu VLAN'lar oluşturulmalıdır:
- Management VLAN: Sunucu yönetimi için (ssh, ipmi)
- Web VLAN: HTTP/HTTPS trafiği
- Database VLAN: Veritabanı sunucuları (MySQL, PostgreSQL)
- Application VLAN: Uygulama sunucuları
- Backup VLAN: Yedekleme trafiği
MikroTik ile VLAN Yapılandırması Adımları
MikroTik router'larda VLAN yapılandırması için iki ana yöntem bulunur: Switch Chip kullanarak veya Bridge VLAN Filtering ile.
1. Yöntem: Bridge VLAN Filtering
Bu yöntem, daha esnek ve modern bir yaklaşımdır. Özellikle CCR veya Cloud Core Router serisi cihazlarda önerilir.
Adım 1: Bridge Oluşturma
/interface bridge
add name=bridge1 protocol-mode=rstpAdım 2: VLAN ID Tanımlama
/interface vlan
add interface=bridge1 name=vlan10-management vlan-id=10
add interface=bridge1 name=vlan20-web vlan-id=20
add interface=bridge1 name=vlan30-database vlan-id=30Adım 3: Bridge VLAN Filtering Etkinleştirme
/interface bridge port
add bridge=bridge1 interface=ether1
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
/interface bridge vlan
add bridge=bridge1 tagged=bridge1 vlan-ids=10
add bridge=bridge1 tagged=bridge1,ether2 vlan-ids=20
add bridge=bridge1 tagged=bridge1,ether3 vlan-ids=302. Yöntem: Switch Chip ile VLAN
Esnser veya düşük model MikroTik cihazlarda, switch chip özelliklerini kullanarak daha performanslı bir yapılandırma yapabilirsiniz.
Switch Chip VLAN Yapılandırması
/interface ethernet switch vlan
add ports=ether2-master,ether3,ether4,ether5 switch=switch1 vlan-id=10
add ports=ether2-master,ether6,ether7 switch=switch1 vlan-id=20
/interface ethernet switch port
set ether2-master vlan-header=add-if-missing vlan-mode=secure
set ether3 vlan-mode=secure
set ether4 vlan-mode=secureVLAN Trunk ve Access Port Yapılandırması
VLAN yapılandırmasında iki temi port tipi vardır: Trunk ve Access.
Trunk Port Nedir?
Trunk port, birden fazla VLAN trafiğini tek bir fiziksel bağlantı üzerinden taşır. Sunucular arası iletişim veya switchler arası bağlantılar için kullanılır.
Access Port Nedir?
Access port, yalnızca tek bir VLAN'a ait trafiği taşır. Sunucu bağlantıları için idealdir.
Trunk Yapılandırma Örneği
# Trunk Port (Taşıyıcı)
/interface bridge port
add bridge=bridge1 interface=ether1 trunk=yes
# Access Port (Sunucu Bağlantısı)
/interface bridge port
add bridge=bridge1 interface=ether2MikroTik VLAN Güvenlik Ayarları
VLAN izolasyonunun etkili olması için bazı güvenlik önlemlerini yapılandırmanız gerekir.
1. VLAN间 Routing Kontrolü
Farklı VLAN'lar arasında iletişim gerekiyorsa, MikroTik firewall kuralları ile kontrollü erişim sağlayın.
/ip firewall filter
add action=accept chain=forward src-address=192.168.10.0/24 dst-address=192.168.20.0/24
add action=drop chain=forward src-address=192.168.10.0/24 dst-address=192.168.30.0/242. DHCP Snooping
Yetkisiz DHCP sunucularını önlemek için DHCP snooping etkinleştirin.
/interface bridge
set bridge1 dhcp-snooping=yes3. Port Security
MAC adresi sınırlama ve yetkisiz erişim önleme için port security kullanın.
Sunucu Ağları için VLAN Best Practice'leri
Etkili bir VLAN yapılandırması için aşağıdaki en iyi uygulamaları izleyin:
- IP Adresleme Planı: Her VLAN için ayrı IP subnet'i kullanın (ör: /24)
- VLAN ID Planlaması: Tutarlı bir VLAN ID numaralandırma sistemi oluşturun
- Documentation: Tüm VLAN yapılandırmasını dokümante edin
- Testing: Yapılandırma sonrası tüm bağlantıları test edin
- Monitoring: Sunucu log izleme sistemleri kurun
VLAN Yapılandırma Kontrol Listesi
| Aşama | Yapılacak İşlem | Durum |
|---|---|---|
| 1 | Network-topoloji planlaması | |
| 2 | VLAN ID atama | |
| 3 | Bridge oluşturma | |
| 4 | Port yapılandırması | |
| 5 | IP adresleme | |
| 6 | Firewall kuralları | |
| 7 | Test ve doğrulama |
Yaygın VLAN Yapılandırma Hataları
MikroTik VLAN yapılandırmasında sık yapılan hatalar ve çözümleri:
1. Tagged ve UnTagged Karıştırma
Hata: Trunk port'ta hem tagged hem untagged VLAN aynı anda kullanılması
Çözüm: Her port için VLAN modunu doğru belirleyin
2. Native VLAN Eksikliği
Ha
