Kurumsal IP Altyapı ve İyileştirme

01

Giriş ve Kapsam

Kurumsal IP altyapısı, modern işletmelerin dijital bağlantısının omurgasını oluşturur. Yüzlerce ila onbinlerce uç noktayı barındıran büyük ölçekli ağlarda IP adres yönetiminin sistematik yapılandırılmaması, operasyonel kesintilere, güvenlik açıklarına ve ölçeklenme kısıtlamalarına doğrudan yol açar.

Bu belge; IP adres bloklarının tasarlanmasından IPAM araçlarının seçimine, IPv6 geçişinden bulut hibrit mimarilerine kadar uzanan geniş bir teknik yelpazede kurumsal ağ mühendisleri, sistem yöneticileri ve CTO/CIO düzeyindeki karar vericiler için derinlemesine bir referans kaynağı sunmaktadır.

4.3B Toplam IPv4 Adresi

340T IPv6 Adres Uzayı (ün. adet)

%43 Atıl IP Oranı (kurumsal ort.)

~6dk Ortalama IP Çakışma Süresi

Kapsam Notu: Bu belge RFC 791, RFC 1918, RFC 4193 ve RFC 2460 standartları çerçevesinde kurumsal ağ bağlamında ele alınmaktadır. Servis sağlayıcı (ISP) düzeyindeki BGP politikaları ve ASN yönetimi yalnızca bağlantı bağlamında kısaca işlenmektedir.

02

IP Adres Mimarisi Temelleri

Kurumsal bir IP mimarisini planlamadan önce RFC 1918 kapsamında tanımlanan özel adres uzayının doğru sınıflandırılması kritiktir. Yanlış sınıf seçimi, ileride gerçekleşecek birleşme/satın alma senaryolarında ya da bulut entegrasyonlarında ciddi çakışma problemleri yaratır.

RFC 1918 Özel Adres Blokları

Blok	CIDR Notasyonu	Adres Sayısı	Tipik Kullanım	Risk Notu
Sınıf A	`10.0.0.0/8`	16,777,216	Büyük kurumsal ağlar, veri merkezleri	VPN tünellerinde çakışma riski yüksek
Sınıf B	`172.16.0.0/12`	1,048,576	Orta ölçekli kurumlar, Docker/K8s overlay	Container platformları bu aralığı varsayılan kullanır
Sınıf C	`192.168.0.0/16`	65,536	SOHO, ofis segmentleri, test ağları	Geniş kurumsal deploymentlar için yetersiz
Loopback	`127.0.0.0/8`	16,777,216	Yalnızca yerel servis testi	Hiçbir zaman yönlendirilmez
Link-Local	`169.254.0.0/16`	65,536	DHCP başarısızlığı fallback (APIPA)	Yönlendirici geçişi yoktur

Özel Amaçlı Adres Blokları

RFC 5737 kapsamındaki TEST blokları (192.0.2.0/24, 198.51.100.0/24, 203.0.113.0/24) üretim altyapısında kullanılmamalıdır; yalnızca dokümantasyon ve laboratuvar ortamları için ayrılmıştır. Bu blokların yanlışlıkla üretim ortamına taşınması, ISP seviyesinde yönlendirme reddiyle sonuçlanır.

Kritik Uyarı: 100.64.0.0/10 bloğu (RFC 6598) CGN — Carrier-Grade NAT — için rezerve edilmiştir. Bu bloğu iç ağ adreslemesinde kullanan kurumlar, ISP’lerinin CGN altyapısıyla adres çakışması yaşar ve bu durum VPN, SD-WAN ve uzak erişim senaryolarında ciddi bağlantı sorunlarına yol açar.

03

Subnetting ve CIDR Tasarımı

Kurumsal ağ segmentasyonu, yalnızca teknik bir gereklilik değil; aynı zamanda güvenlik politikalarının, trafik mühendisliğinin ve uyum gerekliliklerinin hayata geçirildiği temel mekanizmadır. VLSM (Variable Length Subnet Mask) kullanımı, adres israfını minimuma indirirken ölçeklenebilir bir hiyerarşi oluşturur.

Hiyerarşik Subnetting Modeli

Kurumsal IP tasarımında üç katmanlı bir hiyerarşi benimsenmesi önerilir: süper-blok (supernet) kurumun tamamını kapsayan ana adres havuzunu, bölge blokları lokasyon veya iş birimlerini, segment blokları ise son kullanıcı ve servis ağlarını temsil eder.

Kurumsal Subnetting Hiyerarşisi — Örnek: 10.0.0.0/8

10.0.0.0/8
Kurumsal Süper-blok

▶

10.10.0.0/16
İstanbul DC

▶

10.10.10.0/24
Üretim Sunucuları

▶

10.10.10.0/27
Web Katmanı /27

Önerilen Segment Tipleri ve Boyutları

🖥️ Sunucu Ağı

10.x.10.0/24

Fiziksel ve sanal sunucular. Güvenlik duvarı politikasıyla izole edilmeli.

👤 Kullanıcı Ağı

10.x.20.0/22

Son kullanıcı iş istasyonları ve BYOD segmenti. DHCP ile dağıtılır.

📡 Yönetim (OOB)

10.x.100.0/26

IPMI, iDRAC, ILO. Yalnızca jump server üzerinden erişilebilir.

🔒 DMZ

10.x.200.0/27

Dışa açık servisler. Çift taraflı güvenlik duvarı arkasında konumlanır.

🌐 VoIP / UC

10.x.50.0/23

QoS politikası ile ayrı VLAN. Jitter hassasiyeti yüksek.

🏭 OT / IoT

10.x.150.0/24

Endüstriyel kontrol ve IoT cihazları. IT ağından tam izolasyon gerektirir.

CIDR Hesaplama — Referans

# /24 → 254 kullanılabilir host # /25 → 126 kullanılabilir host (blok yarıya bölündü) # /26 → 62 kullanılabilir host # /27 → 30 kullanılabilir host (küçük sunucu cluster’ları) # /28 → 14 kullanılabilir host (güvenlik duvarı ara yüzleri) # /30 → 2 kullanılabilir host (P2P WAN bağlantıları) # /31 → 2 (RFC 3021 — yönlendirici-yönlendirici bağlantısı) # /32 → 1 host (loopback, servis IP, anycast) Formül: Kullanılabilir Host = 2^(32 – prefix) – 2 # İstisna: /31 ve /32 için -2 uygulanmaz (RFC 3021, RFC 3011)

Tasarım İpucu: Her segment için gerçek büyüme projeksiyonu yapın. Bir kullanıcı ağına /24 yerine /22 tahsis etmek, aynı yönetim karmaşıklığıyla 4 kat daha fazla kapasiteye yol açar. “Büyüyünce genişletiriz” yaklaşımı, üretim ortamında ciddi yeniden numaralandırma (renumbering) maliyeti doğurur.

04

IPAM Sistemleri ve Merkezi Adres Yönetimi

IPAM (IP Address Management), IP adres havuzlarının planlanması, atanması, izlenmesi ve yönetilmesini sistematik biçimde gerçekleştiren yazılım altyapısıdır. Kurumsal ölçekte IPAM olmadan yürütülen IP yönetimi; excel tabanlı çakışma hataları, belgelenmemiş atamalar ve güvenlik açıkları içeren “shadow IP” varlıkları gibi operasyonel krizlere zemin hazırlar.

DDI Entegrasyonu: DNS + DHCP + IPAM

Modern kurumsal ağlarda IPAM, DNS ve DHCP servisleriyle birlikte DDI (DNS-DHCP-IPAM) çözümü olarak sunulur. Bu entegrasyon, bir IP tahsisi gerçekleştiğinde DNS kaydının ve DHCP rezervasyonunun otomatik güncellenmesini sağlar; böylece manuel veri girişi kaynaklı hatalar ortadan kalkar.

🏗️

Bluecat Address Manager

Kurumsal düzeyde DDI platformu. SOX/HIPAA uyum raporlaması, role-based access ve API entegrasyonu sunar. Büyük ölçekli finansal ve sağlık sektörü tercihidir.

⚡

Infoblox NIOS

Piyasanın en yaygın kurumsal DDI çözümü. Grid mimarisi ile yüksek kullanılabilirlik, NetMRI ile ağ uyum otomasyonu sağlar. Özellikle multi-site deploymentlarda güçlüdür.

🔓

NetBox (Açık Kaynak)

Django tabanlı DCIM + IPAM platformu. REST API ve GraphQL desteğiyle otomasyon iş akışlarına entegre edilir. On-prem veya Kubernetes üzerinde çalıştırılabilir.

🌐

phpIPAM (Açık Kaynak)

Küçük ve orta ölçekli kurumlar için hafif ve esnek bir seçenek. SNMP tarama, VLAN yönetimi ve kullanıcı izin sistemi içerir.

☁️

AWS IPAM

Çok hesaplı ve çok bölgeli AWS ortamları için yerleşik IP havuzu yönetimi. VPC CIDR atamalarını otomatize eder; AWS Organizations ile entegre çalışır.

🔵

Azure Virtual Network Manager

Azure abonelikleri genelinde VNet ve IP politikası yönetimi. Merkezi güvenlik yönetimi ve ağ gruplaması özelliklerine sahiptir.

IPAM Kurulum ve Veri Modeli

Başarılı bir IPAM implementasyonu için önce mevcut IP envanterinin keşfedilmesi (discovery), ardından hiyerarşik bir adres alanı modelinin tanımlanması gerekir. Tipik bir veri modeli şu hiyerarşiyi izler: RIR Blok → Kurum Süper-bloğu → Bölge Bloğu → Segment / Subnet → Bireysel IP.

NetBox API — Subnet Oluşturma

# NetBox REST API ile subnet kaydı oluşturma curl -s -X POST \ -H “Authorization: Token <API_TOKEN>” \ -H “Content-Type: application/json” \ “https://netbox.kurum.local/api/ipam/prefixes/” \ -d ‘{ “prefix”: “10.20.10.0/24”, “site”: {“name”: “Istanbul-DC”}, “vlan”: {“id”: 110}, “role”: {“name”: “Sunucu-Uretim”}, “description”: “Uretim web sunuculari”, “is_pool”: false, “status”: “active” }’

Otomasyon Notu: IPAM’ı yalnızca pasif bir kayıt sistemi olarak kullanmaktan kaçının. Terraform/Ansible ile IPAM API entegrasyonu kurulduğunda, yeni bir sanal makine veya bulut kaynağı oluşturulduğunda IP ataması, DNS kaydı ve güvenlik duvarı kuralı otomatik olarak hayata geçer. Bu, “Infrastructure as Code” olgunluğunun temel göstergelerinden biridir.

05

IPv6 Geçiş Stratejisi

IANA, son IPv4 blokları olan /8 havuzunu Şubat 2011’de tüketiyle birlikte IPv6 geçişi kurumsal bir tercihten zorunluluk haline geliştir. Ancak yalnızca IPv6’nın aktif edilmesi yeterli değildir; çift yığın (dual-stack) geçiş süreci dikkatli bir planlama gerektirmektedir.

Geçiş Mekanizmaları

Mekanizma	Açıklama	Kullanım Senaryosu	Karmaşıklık
Dual-Stack	Her ağ cihazı hem IPv4 hem IPv6 çalıştırır	Uzun dönem geçiş aşaması; önerilen yaklaşım	Orta
6to4 Tünelleme	IPv6 paketleri IPv4 içine kapsüllenir	IPv4 altyapısından IPv6 adacıklarına erişim	Yüksek (performans kaybı)
ISATAP	Intra-Site Automatic Tunnel Addressing	Kurumsal intranet içi geçiş	Orta-Yüksek
NAT64 + DNS64	IPv6 istemcilerden IPv4 sunuculara çeviri	IPv6-only ağlarda IPv4 arka uyumluluk	Yüksek (statefull NAT)
IPv6-only + CLAT	464XLAT ile tek yığın operasyonu	Mobil ve modern bulut altyapıları	Yüksek (operasyonel olgunluk gerektirir)

Kurumsal IPv6 Adres Planlaması

IPv6 adres planı oluşturulurken GUA (Global Unicast Address, 2000::/3) ya da ULA (Unique Local Address, fc00::/7) tercihine dikkat edilmelidir. Harici erişim gerektirmeyen iç sistemler için ULA tercih edilir; bu, RFC 1918’in IPv6 karşılığı olarak düşünülebilir. Tipik bir kurumsal IPv6 tahsisi ISP’den /48 blok şeklinde gelir; bu blok lokasyon bazında /56 bloklara bölünür ve her subnet için /64 kullanılır.

IPv6 Adres Yapısı

# Örnek: 2001:db8:1234::/48 kurumsal blok 2001:0db8:1234:00xx:yyyy:yyyy:yyyy:yyyy # Bölüm açıklaması: # 2001:0db8:1234 → /48 Global Routing Prefix (ISP’den tahsis) # :00xx → /56 Site Identifier (lokasyon ID’si) # (yukarıdaki iki alan birlikte /64 subnet ID oluşturur) # yyyy:yyyy:… → Interface Identifier (EUI-64 veya rastgele) # Kurumsal Lokasyon Planı Örneği: IST-DC1: 2001:db8:1234:0001::/64 → Sunucu ağı IST-DC1: 2001:db8:1234:0002::/64 → Yönetim ağı ANK-OF1: 2001:db8:1234:0100::/64 → Ankara ofis kullanıcı

Güvenlik Notu: IPv6 etkinleştirildiğinde, mevcut güvenlik duvarı kurallarının büyük çoğunluğu yalnızca IPv4 trafiğini kapsar. “IPv6 tünelinden kaçış” saldırıları, IPv4 güvenlik katmanlarını atlayarak iç ağa erişim sağlar. ICMPv6 trafiğini (Neighbor Discovery, Router Advertisement) kontrol altında tutmak zorunludur.

06

Yönlendirme Politikaları ve Tasarımı

Kurumsal yönlendirme mimarisi, IP altyapısının işletimsel katmanıdır. Statik yönlendirme küçük ve sabit topolojiler için yeterli olsa da kurumsal ölçekte dinamik yönlendirme protokolleri zorunlu hale gelir. Protokol seçimi; ağ büyüklüğü, yakınsama gereksinimi ve ekipin teknik yetkinliğine göre belirlenir.

🔄

OSPF (OSPFv2 / OSPFv3)

Link-state protokolü. Kurumsal intra-domain yönlendirmede standart tercih. Area tasarımı ile ölçeklenir. OSPFv3 ile IPv6 desteği sunulur. Hızlı yakınsama süresi (sub-second BFD ile).

🌿

BGP (eBGP / iBGP)

İnternette ve büyük enterprise ağlarda kullanılan path-vector protokolü. Multi-homing, traffic engineering ve policy routing için vazgeçilmez. iBGP ile DC içi yönlendirme de yapılır.

⚙️

EIGRP

Cisco tescilli, hibrit distance-vector protokolü. Cisco-only ortamlarda hızlı yakınsama ve kolay konfigürasyon avantajı sunar. Multi-vendor ortamlardan kaçınılmalıdır.

🗺️

IS-IS

ISP ve büyük telco ağlarında OSPF’ye tercih edilen link-state protokolü. Düz topoloji üzerinde çalışır, IP bağımsız olduğundan MPLS ve segment routing için uygundur.

Çok Katmanlı Yönlendirme Mimarisi

Kurumsal veri merkezlerinde Spine-Leaf mimarisi tercih edilmektedir. Bu yapıda Spine katmanı iBGP veya OSPF ile yönlendirme sağlarken, Leaf katmanı sunucu ve servis segmentlerine ağ geçidi işlevi görür. ECMP (Equal-Cost Multi-Path) ile yatay bant genişliği ölçeklendirmesi sağlanır.

Route Summarization: Her lokasyon veya iş birimi için ayrılmış adres bloğu, sınır yönlendiricisinde özetlenmelidir (route aggregation). Örneğin, İstanbul DC’ye ait tüm 10.10.0.0/16 bloğu WAN çıkışında tek bir rotaya indirgenerek çekirdek yönlendirme tablolarının şişmesinin önüne geçilir.

Cisco IOS — OSPF Route Summarization

! Area sınırında özet rota tanımlama (ABR) router ospf 1 area 10 range 10.10.0.0 255.255.0.0 area 20 range 10.20.0.0 255.255.0.0 ! BGP özet rota — null0 rotası ile birlikte kullanılır ip route 10.0.0.0 255.0.0.0 Null0 254 router bgp 65000 network 10.0.0.0 mask 255.0.0.0

07

NAT / PAT Mimarisi ve Sınırlamaları

NAT (Network Address Translation), özel IP adreslerini genel İnternet adreslerine dönüştüren temel mekanizmadır. PAT (Port Address Translation), birden fazla iç cihazın tek bir genel IP ile İnternete çıkmasını sağlar; bu, modern kurumlarda yaygın kullanılan masquerade yöntemidir.

NAT Türü	Çalışma Prensibi	Kullanım	Sınırlama
Static NAT (1:1)	Tek özel IP ↔ Tek genel IP kalıcı eşleme	DMZ sunucuları, mail/web sunucu	Her sunucu için ayrı genel IP gerektirir
Dynamic NAT	Özel IP havuzundan genel IP havuzuna dinamik eşleme	Büyük çıkış havuzları, geçiş dönemleri	Genel IP havuzu tükenebilir
PAT / Masquerade	Çok sayıda özel IP → Tek genel IP (port bazlı)	Kurumsal İnternet çıkışı, SOHO	Bazı protokollerle uyumsuzluk (SIP, FTP aktif mod)
NAT64	IPv6 istemci → IPv4 sunucu yönlü çeviri	IPv6-only ağdan IPv4 erişim	Statefull; yüksek kaynak tüketimi

Tasarım Uyarısı: Çift taraflı NAT (Twice NAT) ve katmanlı NAT konfigürasyonları, SD-WAN, SIP trunking ve bazı bulut VPN senaryolarında ciddi sorun giderme güçlüğü yaratır. Mümkün olduğunda NAT-free tasarım tercih edilmeli; kaçınılmaz durumlarda kapsamlı NAT tablosu izlemesi yapılmalıdır.

08

IP Güvenlik Katmanları

IP altyapısı güvenliği, reaktif bir yaklaşımdan ziyade derinlemesine savunma (Defense in Depth) mimarisiyle ele alınmalıdır. Her ağ segmenti için tehdit modeli oluşturmak ve kontrolleri katmanlı biçimde uygulamak, tek bir savunma katmanının aşılması durumunda çökmeyi önler.

IP Düzeyinde Tehditler

🎭

IP Spoofing

Kaynak IP adresinin sahte olarak değiştirilmesi. Çözüm: uRPF (Unicast Reverse Path Forwarding), BCP38/BCP84 ingress/egress filtreleme politikası.

🌊

ICMP / UDP Flood

Bant genişliği tüketimi amaçlı amplifikasyon saldırıları. Çözüm: Rate limiting, RTBH (Remotely Triggered Black Hole) ve scrubbing center yönlendirmesi.

🕵️

ARP Poisoning

Katman 2’de MAC-IP eşlemesinin kirletilmesi. Çözüm: Dynamic ARP Inspection (DAI), statik ARP girişleri ve 802.1X port tabanlı kimlik doğrulama.

📡

Rogue DHCP

Sahte DHCP sunucusu ile istemcilere yanlış ağ geçidi atanması. Çözüm: DHCP Snooping ile yalnızca yetkili portlardan DHCP cevabına izin verilmesi.

🔍

Network Scanning

İç ağın keşfi amacıyla gerçekleştirilen port taramaları. Çözüm: IDS/IPS, RFC 1918 yayın trafiği engelleme ve anomali tabanlı trafik analizi.

🚪

BGP Hijacking

İnternette yanlış BGP duyurusu ile trafik yönlendirme. Çözüm: RPKI (Resource Public Key Infrastructure), BGP prefix filtresi ve AS-PATH doğrulaması.

Zero Trust Ağ Erişimi (ZTNA)

Geleneksel “güvenilir iç ağ” modelinin çöküşüyle birlikte kurumsal IP mimarileri artık Zero Trust ilkesi üzerine yeniden yapılandırılmaktadır. Bu yaklaşımda ağ konumu (iç/dış), güven kriteri olmaktan çıkar; her erişim talebi kimlik, cihaz durumu ve bağlam bazında değerlendirilir. Micro-segmentation ile east-west trafik kısıtlanır ve segment içi yanal hareket (lateral movement) önlenir.

Pratik Adım: Firewall politikalarında “any-any” kurallarını kaldırarak sıfır güven yolculuğunu başlatın. Her segment için en kısıtlayıcı allow-list politikası oluşturun, ardından log izlemeyle gerekli istisnalar ekleyin. Bu süreç zaman alır ancak güvenlik postürünü dramatik biçimde iyileştirir.

09

Bulut ve Hibrit IP Entegrasyonu

Hibrit ve çoklu bulut mimarilerinde on-premises IP adres alanı ile bulut sanal ağlarının (VPC/VNet) çakışmaması kritiktir. AWS, Azure ve GCP’nin varsayılan VPC CIDR aralıklarını değiştirmeden kullanan kurumlar, VPN tüneli veya Direct Connect bağlantısı kurulduğunda kaçınılmaz olarak adres çakışmasıyla karşılaşır.

Bulut Sağlayıcı IP Planlama Notları

Sağlayıcı	Varsayılan CIDR	Önerilen Kurumsal CIDR	Not
AWS VPC	172.31.0.0/16	10.200–250.0.0/16 aralığı	Default VPC silinip özel VPC ile başlanmalı
Azure VNet	Zorunlu seçim yok	10.240–254.0.0/16 aralığı	Hub-Spoke VNet topolojisi için /22 hub ayrılması önerilir
GCP VPC	10.128.0.0/9 (auto)	Custom mode, 10.x.0.0/16	Auto mode VPC çakışmaya açıktır; custom tercih edilmeli
On-Premises	Kuruma özgü	10.0–100.0.0/16 aralıkları	Bulut aralıklarıyla örtüşmeyecek şekilde planlanmalı

Transit Ağ Tasarımı

Çok bulutlu ortamlarda merkezi bir transit VPC/Hub VNet oluşturmak, spoke ağlar arasındaki iletişimi kontrol altında tutar. AWS’de Transit Gateway, Azure’da Virtual WAN, GCP’de Network Connectivity Center bu işlevi yerine getirir. IP adres planı, transit ağa ayrılan özel bir blok (/24 veya /22) ile başlamalıdır.

Terraform — AWS VPC + Özel CIDR

resource “aws_vpc” “production” { cidr_block = “10.210.0.0/16” enable_dns_hostnames = true enable_dns_support = true tags = { Name = “prod-vpc-ist” Environment = “production” Region = “eu-west-1” IPAM-Blok = “10.210.0.0/16” } } resource “aws_subnet” “servers” { vpc_id = aws_vpc.production.id cidr_block = “10.210.10.0/24” availability_zone = “eu-west-1a” }

10

İzleme, Görünürlük ve Hata Yönetimi

IP altyapısında proaktif izleme, sorun tespit süresini (MTTD) dramatik biçimde kısaltır. NetFlow / sFlow ile trafik akışı analizi, SNMP polling ile cihaz durum bilgisi ve Syslog aggregation ile olay korelasyonu bir arada kullanıldığında ağda tam görünürlük sağlanır.

📊

NetFlow / IPFIX Analizi

Her akışı (5-tuple: src/dst IP, src/dst port, protokol) kayıt altına alır. Anormal trafik tespiti, kapasite planlaması ve güvenlik olayı soruşturması için birincil veri kaynağıdır. ntopng, Elastiflow, SolarWinds NTA araçları kullanılabilir.

🔔

SNMP + ICMP İzleme

Cihaz erişilebilirliği, arayüz hataları, trafik sayaçları ve CPU/bellek kullanımı izlenir. Zabbix, Prometheus + SNMP Exporter, LibreNMS gibi açık kaynaklı araçlar kurumsal ölçekte yaygın kullanılmaktadır.

🕸️

Ağ Topoloji Keşfi

CDP/LLDP protokolleri ile otomatik komşu keşfi yapılır. Netdisco, SolarWinds NNMi ve Auvik gibi araçlar topoloji haritasını sürekli güncel tutar; plansız değişiklikler anında tespit edilir.

⚡

IP SLA ve Bağlantı Kalitesi

Cisco IP SLA veya Two-Way Active Measurement Protocol (TWAMP) ile latency, jitter ve paket kaybı ölçülür. SD-WAN çözümlerinde çizgi üstü kalite izlemesi için zorunludur.

Olay Müdahale Süreci

1

Tespit ve Sınıflandırma

Otomatik alarm tetiklendiğinde etkilenen segment, bağlantı noktası ve zaman aralığı hızla belirlenir. P1/P2/P3 olarak önceliklendirme yapılır.

2

İzolasyon ve Koruma

Etkilenen segment trafik kısıtlamasına alınır. BGP’de prefix’in çekilmesi veya VLAN devre dışı bırakması bu aşamada uygulanır.

3

Kök Neden Analizi

NetFlow kayıtları, syslog verileri ve yönlendirici log analizi ile problemin kaynağı belirlenir. Değişiklik yönetim kaydıyla ilişkilendirilir.

4

Çözüm ve Doğrulama

Değişiklik uygulanır, test trafiği üretilerek bağlantı doğrulanır. Hizmet geri yükleme zamanı ve etki analizi belgelenir.

5

Olay Sonrası Rapor

Post-mortem dokümanı oluşturulur. Önleyici tedbirler (kalıcı düzeltme, izleme kuralı güncelleme, IPAM kaydı revizyonu) planlanır ve takip edilir.

11

İyileştirme Metodolojisi

Kurumsal IP altyapısını iyileştirmek, salt teknik bir faaliyet değil; organizasyonel planlama, proje yönetimi ve değişiklik denetimini kapsayan bir süreçtir. Başarısız IP iyileştirme projelerinin temel nedenleri arasında yetersiz keşif aşaması, paydaşların süreçten dışlanması ve aşamalı geçiş planı yokluğu öne çıkmaktadır.

Mevcut Durum Değerlendirmesi

İyileştirme çalışmasına başlamadan önce mevcut IP envanterinin eksiksiz çıkarılması gerekir. Bu, yalnızca aktif cihazları değil; planlı ama henüz kullanılmayan blokları, kullanım dışı rezervasyonları ve belgelenmemiş “shadow” IP atamalarını da kapsar. Nmap, Masscan veya Angry IP Scanner ile aktif host taraması; DHCP lease kayıtlarının IPAM’a aktarılması ve yönlendirici ARP tablolarının analizi bu aşamanın temel araçlarıdır.

Yeniden Numaralandırma (Renumbering) Planı

Mevcut adres alanı yetersiz veya hatalı planlanmış olduğunda yeniden numaralandırma kaçınılmaz olur. Bu süreç şu aşamalarla yönetilmelidir: (1) yeni adres planını paralel olarak devreye alın, (2) DNS TTL değerlerini düşürün, (3) uygulama sunucularını yeni adreslere taşıyın, (4) DHCP scope’ları geçiş pencerelerinde kaydırın, (5) eski adresleri yeterli süre monitörde tutarak çakışma olmadığını doğrulayın.

Kritik Risk: Yeniden numaralandırma sırasında hard-coded IP adresleri içeren uygulamalar (eski ERP sistemleri, endüstriyel SCADA, gömülü cihaz firmware’i) önceden tespit edilmelidir. Bu sistemler renumbering sonrası sessizce bağlantı kaybeder; erken tespitsiz üretim kesintisi kaçınılmazdır.

Otomasyon ile İyileştirme

Modern IP altyapısı iyileştirme süreçlerinde otomasyon merkezi rol üstlenir. Ansible playbook’larıyla VLAN ve IP konfigürasyonu, Terraform ile bulut ağ altyapısı ve Python-NetBox entegrasyonu ile IP tahsis otomasyonu; hem hataları azaltır hem de iyileştirme hızını artırır.

Ansible — IP Adresi Tanımlama

# NetBox’tan IP tahsis edip Cisco switch’e uygulama — – name: Sunucu ağ arayüzü yapılandırma hosts: datacenter_switches tasks: – name: NetBox’tan IP al uri: url: “https://netbox.local/api/ipam/ip-addresses/?device={{ inventory_hostname }}” headers: Authorization: “Token {{ netbox_token }}” register: netbox_ip – name: VLAN arayüzüne IP ata cisco.ios.ios_l3_interfaces: config: – name: Vlan10 ipv4: – address: “{{ netbox_ip.json.results[0].address }}”

12

En İyi Pratikler ve Kontrol Listesi

Aşağıdaki kontrol listesi, kurumsal IP altyapısının güncel standartlara uygunluğunu değerlendirmek için kullanılabilir. Her madde bağımsız bir iyileştirme aksiyonunu temsil eder.

✓

Adres Planı Belgelenmiş: Tüm subnet tahsisleri, lokasyon bilgisi, kullanım amacı ve sorumlu ekip IPAM sisteminde kayıtlı.

✓

RFC 1918 Uyumu: On-premises, bulut ve VPN adres aralıkları birbiriyle çakışmıyor; CGN bloğu iç ağda kullanılmıyor.

✓

IPAM Güncelliği: IP envanteri manuel değil; DHCP/DNS entegrasyonu veya keşif taramasıyla otomatik güncelleniyor.

✓

Segment İzolasyonu: Sunucu, kullanıcı, yönetim, DMZ ve IoT ağları ayrı VLAN ve subnet’lerde; aralarında güvenlik duvarı politikası mevcut.

✓

IPv6 Değerlendirmesi: IPv6 devre dışıysa güvenlik duvarında tünel tabanlı geçiş vektörleri kapatılmış; etkinse dual-stack izleme mevcut.

✓

Route Summarization: WAN sınırlarında lokasyon bazlı özet rotalar uygulanıyor; çekirdek yönlendirme tablolarında spesifik host rotası bulunmuyor.

✓

DHCP Snooping Aktif: Yetkisiz DHCP sunucusu kaynaklı gateway spoofing saldırılarına karşı tüm erişim katmanında DHCP snooping etkin.

✓

uRPF / BCP38: Kaynak IP sahteciliğine karşı ingress filtreleme tüm dış bağlantı noktalarında uygulanmış.

✓

RPKI Doğrulaması: BGP prefix’leri için ROA (Route Origin Authorization) kaydı mevcut; doğrulanamayan prefix’ler için drop politikası uygulanıyor.

✓

NetFlow İzleme: Tüm çekirdek ve sınır cihazlarında NetFlow/IPFIX aktif; trafik analiz platformuna yönlendiriliyor.

✓

Kapasite Planlaması: Her subnet için kullanım oranı (%80 eşik uyarısı) izleniyor; 12 aylık büyüme projeksiyonu periyodik olarak güncelleniyor.

✓

Değişiklik Yönetimi: IP konfigürasyon değişiklikleri CAB onayına tabi; her değişiklik IPAM’da geri izlenebilir kayıt tutuluyor.

Son Not — Sürekli İyileştirme: Kurumsal IP altyapısı statik değil, yaşayan bir sistemdir. Her yeni lokasyon, bulut geçişi, şirket satın alımı veya teknoloji değişikliği IP altyapısını doğrudan etkiler. Yılda en az bir kez kapsamlı IP altyapı denetimi (IP Audit) planlamak ve IPAM verisini gerçek topolojiyle karşılaştırmak, teknik borcu kontrol altında tutmanın en etkili yöntemidir.