Kurumsal Network Düzeni: Verimli ve Güvenli Ağ Topolojisi Tasarımı

12 Aralık 2025 17 dk okuma Fiziksel Altyapı

Kurumsal bir ağ altyapısının başarısı, rastgele bağlanan cihazlarla değil, bilinçli ve planlı bir network tasarımıyla sağlanır. Ağ topolojisi, IP adresleme şeması, VLAN yapılandırması, DNS/DHCP planlaması ve güvenlik katmanları bir bütün olarak ele alınmalıdır. Smyrna Bilgi Teknolojileri olarak İzmir'de yüzlerce kurumsal ağ projesi gerçekleştirmiş bir ekip olarak, bu rehberde saha deneyimlerimizden beslenen pratik bilgilerle doğru network düzeninin nasıl oluşturulacağını adım adım anlatacağız.

Ağ Topolojisi Türleri

Ağ topolojisi, cihazların birbirine nasıl bağlandığını ve verinin ağ içinde nasıl aktığını tanımlar. Modern kurumsal ağlarda yaygın olarak kullanılan topolojiler şunlardır:

Yıldız (Star) Topolojisi

Tüm uç cihazların merkezi bir switch'e bağlandığı topolojidir. Günümüzde erişim katmanında standart uygulamadır. Bir cihazın arızası diğerlerini etkilemez, yönetimi kolaydır ve arıza tespiti hızlıdır. Ancak merkezi switch'in arızası o segmentteki tüm cihazların bağlantısını keser; bu nedenle yedeklilik planlaması önemlidir.

Mesh (Ağ Örgüsü) Topolojisi

Her cihazın birden fazla cihaza doğrudan bağlı olduğu topolojidir. Tam mesh'te her cihaz diğer tüm cihazlara bağlıdır; kısmi mesh'te ise kritik cihazlar arasında yedek bağlantılar oluşturulur. Yüksek yedeklilik ve hata toleransı sağlar. Kurumsal ağlarda genellikle core ve distribution katmanlarında kısmi mesh uygulanır.

Hibrit Topoloji

Gerçek dünya kurumsal ağları, farklı topolojilerin bir arada kullanıldığı hibrit yapılardır. Erişim katmanında yıldız, core ve distribution katmanlarında kısmi mesh, kampüsler arası bağlantılarda ise noktadan noktaya (point-to-point) bağlantılar kullanılır. Smyrna Bilgi Teknolojileri olarak İzmir'deki projelerde de genellikle hibrit topolojiler tasarlıyoruz.

Üç Katmanlı Hiyerarşik Ağ Mimarisi

Cisco tarafından popülerleştirilen üç katmanlı hiyerarşik model, orta ve büyük ölçekli kurumsal ağlar için standart mimari olarak kabul edilir. Bu model, ağı üç fonksiyonel katmana ayırarak yönetilebilirlik, ölçeklenebilirlik ve performansı optimize eder.

Core (Çekirdek) Katmanı

Ağın omurgasıdır. Trafiği hızlı ve verimli biçimde dağıtmaktan sorumludur. Core katmanında amaç, mümkün olan en düşük gecikmeyle yüksek hacimli trafiği iletmektir. Core switch'ler yüksek performanslı, yedekli (HA — High Availability) ve modüler olmalıdır. Genellikle Layer 3 switch'ler kullanılır. Core katmanında filtreleme, ACL veya karmaşık politikalar uygulanmaz — buradaki tek görev hızdır. Smyrna BT olarak tasarladığımız ağlarda core katmanını mutlaka dual (çift) switch ile yedekli kuruyoruz.

Distribution (Dağıtım) Katmanı

Core ile access katmanları arasında köprü görevi görür. Güvenlik politikaları, erişim kontrol listeleri (ACL), VLAN arası yönlendirme (inter-VLAN routing), QoS politikaları ve route özetleme (summarization) bu katmanda uygulanır. Distribution switch'ler, ağ politikalarının merkezi olarak yönetildiği akıllı katmandır. Küçük ve orta ölçekli ağlarda core ve distribution katmanları tek bir katmana daraltılabilir (collapsed core/distribution).

Access (Erişim) Katmanı

Son kullanıcı cihazlarının (bilgisayar, IP telefon, yazıcı, erişim noktası) ağa bağlandığı katmandır. Port güvenliği (802.1X, MAC adresi filtreleme), VLAN atamaları, PoE (Power over Ethernet) ve spanning tree korumaları bu katmanda yapılandırılır. Erişim switch'lerinde port sayısı, PoE bütçesi ve yönetim özellikleri seçim kriterlerinin başında gelir.

Spine-Leaf Mimarisi

Geleneksel üç katmanlı modelin alternatifi olan spine-leaf mimarisi, özellikle veri merkezlerinde ve yüksek performans gerektiren ortamlarda tercih edilmektedir. Bu mimaride her leaf switch, tüm spine switch'lere bağlanır ve her cihaz arasında eşit gecikme (equal-cost path) sağlanır. East-west (yatay) trafiğin yoğun olduğu ortamlarda üstün performans sunar. Ancak küçük ve orta ölçekli ofis ağları için genellikle üç katmanlı model yeterlidir.

IP Adresleme Şemasi ve Subnetting

Düzenli bir IP adresleme planı, ağ yönetiminin temelini oluşturur. İzmir'deki projelerimizde uyguladığımız IP adresleme yaklaşımını paylaşalım:

Özel IP Adres Blokları

Kurumsal ağlarda RFC 1918 kapsamındaki özel IP adresleri kullanılır:

  • 10.0.0.0/8: Büyük ölçekli ağlar için, 16 milyon adres kapasitesi. Genellikle büyük kurumsal yapılarda ve çok şubeli ağlarda tercih edilir.
  • 172.16.0.0/12: Orta ölçekli ağlar için, 1 milyon adres kapasitesi.
  • 192.168.0.0/16: Küçük ağlar için, 65 bin adres kapasitesi. KOBİ'lerde yaygın kullanılır.

Subnetting En İyi Pratikleri

Subnetting, IP adres alanının ihtiyaca göre alt ağlara bölünmesidir. Smyrna BT olarak uyguladığımız subnetting prensipleri:

  • Fonksiyona göre subnet ayırma: Her VLAN için ayrı bir subnet tahsis edin. Örneğin 10.10.10.0/24 kullanıcı ağı, 10.10.20.0/24 sunucu ağı, 10.10.30.0/24 yönetim ağı, 10.10.40.0/24 IP telefon ağı, 10.10.50.0/24 misafir ağı.
  • Tutarlı numaralama: İkinci oktetin şube/bina numarasını, üçüncü oktetin VLAN/fonksiyon numarasını temsil ettiği bir şema oluşturun. Bu yaklaşım, IP adresine bakarak cihazın konumunu ve ağ segmentini anlamayı kolaylaştırır.
  • Uygun subnet boyutu: Gerçek ihtiyaçtan yüzde 50-100 fazla adres kapasitesiyle subnet planlayın. 25 cihazlık bir VLAN için /24 (254 adres) aşırı olabilir, /27 (30 adres) ise büyüme payı bırakmaz — /26 (62 adres) ideal olabilir.
  • Gateway adresi standardı: Her subnetin gateway adresini tutarlı biçimde belirleyin (örneğin her zaman .1 veya .254).

DHCP Planlama

DHCP (Dynamic Host Configuration Protocol), cihazlara otomatik olarak IP adresi, subnet mask, gateway ve DNS sunucu bilgileri atar. Düzgün planlanmış bir DHCP yapılandırması, ağ yönetimini büyük ölçüde kolaylaştırır:

  • Scope tasarımı: Her VLAN için ayrı bir DHCP scope oluşturun. Scope aralığını subnet içindeki belirli bir bölümle sınırlayın — örneğin sunucular ve ağ ekipmanları için statik IP'leri ayırın (örn. .1-.50 statik, .51-.250 DHCP).
  • Lease süresi: Ofis ortamlarında 8-24 saat, misafir ağlarında 1-4 saat lease süresi uygulayın.
  • DHCP yedekliliği: Tek bir DHCP sunucu arızasının tüm ağı etkilememesi için DHCP failover veya split-scope yapılandırması kullanın.
  • DHCP Relay (ip helper-address): Merkezi DHCP sunucusu kullanıyorsanız, her VLAN'ın gateway arayüzünde DHCP relay agent yapılandırın.
  • Rezervasyonlar: Yazıcılar, IP kameralar ve diğer sabit cihazlar için MAC adresine bağlı DHCP rezervasyonu kullanın.

DNS Mimarisi

DNS (Domain Name System), ağın adres defteri niteliğindedir ve doğru yapılandırılması kritik öneme sahiptir:

  • İç DNS sunucusu: Active Directory entegre DNS, Windows ağlarında standart çözümdür. İç alan adı çözümlemesi, SRV kayıtları ve dinamik DNS güncellemeleri bu sunucu üzerinden yönetilir.
  • DNS yedekliliği: En az iki DNS sunucusu çalıştırın. Birincil ve ikincil DNS sunucuları farklı fiziksel sunucularda veya farklı sitelerde barınmalıdır.
  • DNS güvenliği: DNS sorguları üzerinden veri sızdırma (DNS exfiltration) ve DNS spoofing saldırılarına karşı DNSSEC ve DNS güvenlik politikaları uygulayın.
  • Conditional forwarder: Özel alan adları için koşullu yönlendirme yapılandırarak DNS çözümleme performansını artırın.
  • DNS loglama: DNS sorgularının loglanması, güvenlik analizi ve sorun giderme için değerli bilgi sağlar.

Ağ Dokümantasyonu

Ağ dokümantasyonu, çoğu işletmenin ihmal ettiği ancak kritik öneme sahip bir konudur. Smyrna Bilgi Teknolojileri olarak her projede kapsamlı dokumentasyon oluşturuyoruz. İyi bir ağ dokümantasyonu şunları içermelidir:

Fiziksel Ağ Diyagramı

Cihazların fiziksel konumlarını, kablo bağlantılarını, rack yerleşimlerini ve port eşleştirmelerini gösteren diyagramdır. Hangi cihazın hangi odada, hangi rack'te ve hangi portta olduğu açıkça belirtilmelidir. Microsoft Visio, draw.io veya Lucidchart gibi araçlarla oluşturulabilir.

Mantıksal Ağ Diyagramı

Ağın mantıksal yapısını — VLAN'ları, subnet'leri, yönlendirme ilişkilerini, firewall kurallarını, trunk bağlantılarını ve WAN bağlantılarını gösteren diyagramdır. Fiziksel konumlardan bağımsız olarak verinin ağda nasıl aktığını görselleştirir.

IP Adres Tablosu

Tüm IP adreslerinin, subnet bilgilerinin, VLAN atamalarının, cihaz adlarının ve konumlarının kayıt altında tutulduğu tablodur. Excel, IPAM (IP Address Management) araçları veya CMDB (Configuration Management Database) yazılımları kullanılabilir. IP tablosu sürekli güncel tutulmalıdır — her değişiklik anında kaydedilmelidir.

Konfigürasyon Yedekleri

Tüm ağ cihazlarının (switch, router, firewall, access point) güncel konfigürasyonlarının düzenli olarak yedeklenmesi gerekir. Otomatik yedekleme araçları (Oxidized, RANCID, SolarWinds NCM) kullanılması önerilir. Konfigürasyon değişikliklerinin sürüm kontrolü altında tutulması, sorunlu bir değişikliğin hızla geri alınmasını sağlar.

Fiziksel ve Mantıksal Ağ Tasarımı

Fiziksel Tasarım

Fiziksel ağ tasarımı, gerçek donanımın yerleşimi ve bağlantılarını kapsar:

  • Switch yerleşimi: Her katta veya belirli alan büyüklüklerinde erişim switch'leri konuşlandırın. Yatay kablo mesafesinin 90 metreyi aşmaması için IDF (ara dağıtım) noktaları planlayın.
  • Uplink kapasitesi: Erişim switch'lerinden distribution/core katmanına yüksek hızlı uplink bağlantıları planlayın. 1 Gbps erişim portu olan bir switch için 10 Gbps uplink, 10 Gbps erişim için 40/100 Gbps uplink önerilir.
  • Kablolama: Yatay kablolama için Cat6a bakır, backbone için fiber optik kullanın. Yapılandırılmış kablolama rehberimize göz atabilirsiniz.
  • Wireless yerleşimi: Wi-Fi erişim noktalarının yerleşimini RF site survey ile belirleyin. Kanal planlaması ve güç ayarlaması yaparak kapsama alanını optimize edin.

Mantıksal Tasarım

Mantıksal tasarım, VLAN'lar, IP subnet'ler, yönlendirme protokolleri ve güvenlik politikalarını kapsar:

  • VLAN segmentasyonu: İşlev bazlı VLAN'lar oluşturun — kullanıcı VLAN'ı, sunucu VLAN'ı, yönetim VLAN'ı, VoIP VLAN'ı, misafir VLAN'ı, IoT VLAN'ı. Bu segmentasyon hem güvenliği hem de performansı artırır.
  • Inter-VLAN routing: VLAN'lar arası iletişim, distribution/core katmanındaki Layer 3 switch veya firewall üzerinden kontrollü biçimde sağlanmalıdır.
  • Spanning Tree: RSTP (Rapid Spanning Tree Protocol) yapılandırarak Layer 2 döngülerini önleyin. Root bridge seçimini bilinçli yapın; core switch'i root bridge olarak atayın.

Rack Yerleşim Planlaması

Ağ ekipmanlarının rack içindeki düzeni, yönetilebilirlik ve bakım kolaylığı açısından önemlidir:

  • Patch panelleri rack'in üst kısmına, switch'leri hemen altına yerleştirin.
  • Her switch ile ilgili patch panel arasında yatay kablo düzenleyici kullanın.
  • UPS'i rack'in en altına koyun (ağırlık merkezi sebebiyle).
  • Dikey kablo düzenleyiciler ile rack kenarlarında düzenli kablo seyri sağlayın.
  • Boş U alanlarına blanking panel takarak hava akışını optimize edin.

Daha detaylı bilgi için sistem dolabı düzenleme rehberimize göz atabilirsiniz.

Ağ İzleme Sistemleri

Kurumsal ağın sağlığını ve performansını sürekli izlemek için monitoring araçları kullanılmalıdır:

SNMP (Simple Network Management Protocol)

Ağ cihazlarından performans verileri toplamak için kullanılan standart protokoldür. CPU/RAM kullanımı, port trafiği, hata sayaçları ve uptime bilgileri SNMP ile izlenir. SNMPv3 kullanarak güvenli iletişim sağlayın; SNMPv1/v2c community string'leri şifrelenmemiş olduğundan güvenlik riski taşır.

Popüler İzleme Araçları

  • Zabbix: Açık kaynaklı, güçlü ve esnek izleme platformu. SNMP, agent-based ve agentless izleme destekler. Otomatik keşif, şablon sistemi ve grafik raporlama sunar. Smyrna BT olarak projelerimizde sıklıkla Zabbix tercih ediyoruz.
  • PRTG Network Monitor: Paessler firmasının kullanımı kolay izleme çözümü. Sensör bazlı lisanslama ile çalışır. 100 sensöre kadar ücretsiz sürümü mevcuttur. Drag-and-drop dashboard oluşturma ve harita görünümü özellikleri öne çıkar.
  • Nagios: Açık kaynaklı izleme çözümlerinin öncüsü. Plugin tabanlı esnek mimari, binlerce community eklentisi. Nagios XI ticari sürümü daha kolay kurulum ve yönetim imkânı sunar.
  • LibreNMS: Açık kaynaklı, otomatik keşif özellikli network izleme aracı. SNMP tabanlı çalışır ve modern web arayüzü sunar.

Firewall Yerleşimi ve DMZ Tasarımı

Firewall, kurumsal ağın güvenlik duvarıdır ve doğru yerleşimi kritik öneme sahiptir:

Firewall Yerleşim Modelleri

  • Edge firewall: İnternet çıkışında, WAN bağlantısı ile iç ağ arasında konuşlandırılır. Tüm giren ve çıkan trafiği kontrol eder.
  • Internal firewall: İç ağ segmentleri arasında (örneğin kullanıcı ağı ile sunucu ağı arasında) ek güvenlik katmanı olarak kullanılır.
  • Yedekli yapı: Aktif-pasif veya aktif-aktif yedekli firewall çiftleri, iş sürekliliği için önerilir.

DMZ (Demilitarized Zone) Tasarımı

DMZ, internetten erişilmesi gereken sunucuların (web sunucu, mail sunucu, VPN gateway) barındırıldığı, iç ağdan izole edilmiş güvenlik bölgesidir. DMZ tasarımında dikkat edilmesi gerekenler:

  • DMZ, iç ağdan tamamen ayrı bir firewall arayüzünde (interface) barınmalıdır.
  • DMZ'den iç ağa doğru başlatılan bağlantılar kısıtlanmalıdır — yalnızca belirli ve zorunlu portlar açılmalıdır.
  • DMZ sunucular, iç ağdaki hassas verilere doğrudan erişememeli; reverse proxy veya application gateway üzerinden kontrollü erişim sağlanmalıdır.
  • DMZ segmenti ayrı bir VLAN ve subnet'te tanımlanmalıdır.

Ağ Değişiklik Yönetimi

Canlı ağ ortamında yapılan değişiklikler, planlanmadan uygulandığında kesinti ve güvenlik sorunlarına yol açabilir. Ağ değişiklik yönetimi süreci şunları kapsamalıdır:

  1. Değişiklik talebi: Her değişiklik yazılı olarak talep edilir ve kapsamı, gerekçesi ve risk değerlendirmesi belgelenir.
  2. Etki analizi: Değişikliğin hangi sistemleri ve kullanıcıları etkileyeceği belirlenir.
  3. Onay süreci: Yetkili kişilerin onayı alınır.
  4. Geri dönüş planı: Değişiklik başarısız olursa eski duruma nasıl dönüleceği planlanır.
  5. Bakım penceresi: Değişiklikler, mümkün olduğunca mesai saatleri dışında uygulanır.
  6. Uygulama ve doğrulama: Değişiklik uygulanır ve çalıştığı doğrulanır.
  7. Dokümantasyon güncelleme: Ağ diyagramları, IP tabloları ve konfigürasyon yedekleri güncellenir.

İzmir Kurumsal Network Projeleri: Deneyimlerimiz

Smyrna Bilgi Teknolojileri olarak İzmir'de farklı sektörlerden birçok işletmenin ağ altyapısını tasarladık ve kurduk. Bu deneyimlerden öğrendiğimiz temel dersleri paylaşmak istiyoruz:

  • Geleceği planlayın: Bugünkü ihtiyaçlar için tasarlamak kolaydır; zor olan 5 yıl sonrasını planlamaktır. Her zaman mevcut ihtiyacın en az yüzde 50 fazlası kapasiteyle tasarlıyoruz.
  • Basitlik gücünüzdür: Gereksiz karmaşıklık, arıza noktalarını artırır. "Çalışan en basit çözüm, en iyi çözümdür" prensibini uyguluyoruz.
  • Dokümantasyon vazgeçilmezdir: Her projeyi fiziksel diyagram, mantıksal diyagram, IP tablosu ve konfigürasyon yedekleriyle teslim ediyoruz. Bu dokümanlar, sonraki bakım ve genişleme çalışmalarında altın değerindedir.
  • Yedeklilik zorunludur: Core switch, firewall, internet bağlantısı ve güç kaynağı gibi kritik bileşenler yedekli olmalıdır. Tek nokta arıza (single point of failure) kabul edilemez.
  • İzleme olmadan yönetim olmaz: İzlenmeyen ağ, yönetilemeyen ağdır. Her projede monitoring sistemi kurulumunu standart hizmet kapsamına alıyoruz.

İzmir'de kurumsal ağ altyapınızı profesyonel standartlarda tasarlamak ve kurmak için Smyrna Bilgi Teknolojileri ile iletişime geçin.

İlgili Yazılar

Yapılandırılmış Kablolama Sistemleri

Profesyonel ağ altyapısının fiziksel temelini oluşturan kablolama standartları.

Devamını Oku

Sistem Dolabı (Rack) Düzenleme

Profesyonel sunucu odası organizasyonu ve rack düzenleme rehberi.

Devamını Oku

Sunucu Odası Tasarımı

İzmir'de profesyonel veri merkezi ve sunucu odası tasarım rehberi.

Devamını Oku

Profesyonel BT Desteği mi Arıyorsunuz?

İzmir'de 22+ yıllık deneyimimizle yanınızdayız.

İletişime Geçin Hemen Arayın