LAN Nedir? (Local Area Network)
LAN (Yerel Alan Ağı), sınırlı bir coğrafi alanda — bir bina, kat ya da ofis içinde — bilgisayarları ve cihazları birbirine bağlayan ağdır. Ethernet kablosu veya Wi-Fi üzerinden çalışır; yüksek hız (1 Gbps–10 Gbps) ve düşük gecikme sağlar.
Kurumsal ortamda LAN, switch'ler aracılığıyla oluşturulan ve genellikle 192.168.x.x veya 10.x.x.x IP aralıklarını kullanan iç ağdır. Firewall'ın LAN veya INTERNAL arayüzü bu ağa bağlıdır.
WAN Nedir? (Wide Area Network)
WAN (Geniş Alan Ağı), coğrafi olarak birbirinden uzak ağları birbirine bağlar. İnternet en büyük WAN örneğidir; şirket merkezi ile şubeler arasındaki MPLS veya VPN bağlantıları da WAN kapsamındadır.
Firewall'ın WAN arayüzü, İSS (İnternet Servis Sağlayıcısı) tarafından atanan genel (public) IP adresini taşır ve internete açılan kapıdır.
INTERNAL / LAN Arayüzü — Firewall'da Ne İfade Eder?
Kurumsal firewall'larda (FortiGate dahil) arayüzler mantıksal bölgelere (zone) atanır:
- WAN (port1/wan1): İnternet bağlantısı — güvenilmez, en kısıtlı bölge.
- LAN / INTERNAL (port2/internal): Kurumun iç ağı — güvenilir kullanıcılar ve sunucular. Genellikle internet çıkışına izin verilir, dışarıdan erişim kısıtlıdır.
- DMZ (Demilitarized Zone): İnternete açık sunucuların (web, mail, FTP) bulunduğu ara bölge. Ne iç ağ kadar güvenilir ne de internet kadar açık.
- GUEST: Misafir Wi-Fi ağı — internet erişimi var, iç ağa erişim yok.
VLAN Nedir? (Virtual Local Area Network)
VLAN, fiziksel ağ altyapısında mantıksal olarak ayrılmış sanal ağ segmentleridir. Aynı fiziksel switch'e bağlı cihazlar, farklı VLAN'lara atanarak birbirini göremez hale getirilir.
VLAN'ların Faydaları:
- Güvenlik: Muhasebe sunucularını, IP kameraları ve misafir ağını birbirinden ayırır. Bir VLAN'da yaşanan güvenlik olayı diğerlerine sıçramaz.
- Performans: Broadcast trafiği her VLAN içinde sınırlı kalır; tüm ağa yayılmaz. Broadcast fırtınası riski azalır.
- Yönetilebilirlik: Departman bazlı politika uygulamak kolaylaşır. IT, Muhasebe, Üretim, Misafir VLAN'ları bağımsız yönetilir.
- Ölçeklendirme: Yeni bir bölüm veya lokasyon eklemek fiziksel kablo çekmeden mantıksal VLAN oluşturmayla mümkündür.
VLAN Nasıl Çalışır?
VLAN'lar, IEEE 802.1Q standardını kullanır. Switch portları iki modda yapılandırılır:
- Access Port: Bilgisayar, yazıcı gibi son cihazlara bağlanır. Yalnızca tek bir VLAN'a aittir; cihaz VLAN varlığından habersizdir.
- Trunk Port: Switch-switch veya switch-firewall arasındaki bağlantı. Birden fazla VLAN trafiğini 802.1Q etiketi (tag) ile taşır.
Firewall üzerinde VLAN sub-interface'ler oluşturularak her VLAN için ayrı IP, DHCP ve politika tanımlanabilir. FortiGate'de bu yapılandırma config system interface → type: vlan altında yapılır.
Tipik Kurumsal VLAN Tasarımı
- VLAN 10 — Yönetim (172.16.10.0/24): Sunucular, ağ ekipmanları yönetim IP'leri
- VLAN 20 — Kullanıcılar (192.168.20.0/24): Masaüstü bilgisayarlar, dizüstü
- VLAN 30 — Sunucular (10.10.30.0/24): Domain controller, dosya sunucusu, ERP
- VLAN 40 — VoIP (10.10.40.0/24): IP telefonlar — QoS ve SIP ALG için ayrı segment
- VLAN 50 — Misafir (192.168.50.0/24): Yalnızca internet erişimi
- VLAN 60 — IoT/Kamera (10.10.60.0/24): IP kameralar, akıllı cihazlar — en kısıtlı
DMZ Nedir ve Ne Zaman Kullanılır?
DMZ (Demilitarized Zone), internete doğrudan hizmet veren sunucuların konumlandırıldığı ağ bölgesidir. Firewall, DMZ'ye gelen trafiği denetler:
- İnternetten DMZ'ye → Yalnızca yayımlanan servislere izin (HTTP/443, SMTP/25)
- DMZ'den iç ağa → En kısıtlı politika; yalnızca zorunlu veri tabanı bağlantısı
- İç ağdan DMZ'ye → Yönetim erişimi için kontrollü izin
Sonuç
LAN, WAN ve VLAN kavramlarını doğru anlamak, güvenli ve ölçeklenebilir ağ tasarımının temelidir. Lider Network, ağ segmentasyon tasarımı ve FortiGate VLAN yapılandırması konularında hizmetinizdedir.