SİSTEM NETWORK

OSI modeli yedi katman dikey şema ve yanında IP paketinin router üzerinden geçişini gösteren akış kolajı

Tarayıcıya veriakademi.com yazıp Enter'a bastığınız anda, sayfa karşınıza gelene kadar arka planda en az altı farklı protokol konuşuyor: DNS adı IP'ye çeviriyor, ARP yerel ağda MAC adresini buluyor, IP paketi router'lardan atlıyor, TCP üç aşamalı el sıkışmayla bağlantı kuruyor, TLS sertifika doğruluyor, HTTP isteği nihayet sunucuya ulaşıyor. Bu satır sistem network'ün özüdür: birbirinden bağımsız tasarlanmış katmanların belirli arayüzler üzerinden konuşması.

Bu yazı, sistem ve network mimarisinin temel teknik kavramlarını — OSI modeli, TCP/IP, IP adresleme, subnet, routing, switching, DNS, DHCP, VLAN ve firewall — birbirine bağlayarak açıklıyor. Amaç ezberlenmiş katman listesi değil; bir paketin yola çıktığında hangi katmanda neyin değiştiğini anlamak.

OSI Modeli Nedir?

OSI (Open Systems Interconnection) modeli 1980'lerin başında ISO tarafından, farklı üreticilerin cihazlarının ortak bir referans üzerinden konuşabilmesi için tanımlandı. Bugün üretim ortamında çalışan protokollerin çoğu TCP/IP ailesine ait olsa da OSI hâlâ ortak dil olarak iş görüyor; bir sorun raporu "L2'de loop var" dediğinde herkes aynı şeyi anlıyor. OSI modeli yedi katmandan oluşur ve her katman kendi altındakine hizmet eder, üstündekine arayüz sunar.

  • Katman 1 — Fiziksel: Bit'lerin kablo, fiber veya radyo dalgası üzerinde elektriksel/optiksel sinyale dönüşmesi. Ethernet kablosu, RJ-45 konnektörü, fiber transceiver bu katmandadır.
  • Katman 2 — Veri Bağlantısı: MAC adresleri ile aynı yerel ağdaki iki cihaz arasında çerçeve (frame) iletimi. Switch'ler, Wi-Fi access point'leri ve Ethernet protokolü burada çalışır.
  • Katman 3 — Ağ: Mantıksal adresleme ve farklı ağlar arası yönlendirme. IP (IPv4/IPv6), ICMP ve router'lar bu katmana aittir.
  • Katman 4 — Taşıma: Uçtan uca güvenilir iletim ve port mantığı. TCP sıralı, güvenilir akış; UDP sırasız, hızlı datagram.
  • Katman 5 — Oturum: Uygulamalar arası diyalog kontrolü, oturum açma/kapatma ve checkpoint mekanizması.
  • Katman 6 — Sunum: Veri formatı, karakter kodlama (UTF-8), sıkıştırma (gzip) ve şifreleme (TLS) dönüşümleri.
  • Katman 7 — Uygulama: Son kullanıcının doğrudan kullandığı protokoller: HTTP, HTTPS, FTP, SMTP, DNS.

Pratikte iki katman birlikte düşünülür: arıza katmanı belirleyip izolasyon yapılır. Tarayıcı sayfa açmıyorsa L7 (HTTP), DNS dönmüyorsa L7'de DNS, ping atılamıyorsa L3, kablo ışığı yoksa L1.

TCP/IP Nasıl Çalışır?

TCP/IP, OSI'nin teorik karşılığı sayılan ve internetin gerçekten üzerinde çalıştığı protokol ailesidir. Dört katmana indirilmiştir: Ağ Erişim (OSI L1+L2), İnternet (L3), Taşıma (L4) ve Uygulama (L5+L6+L7). Bu sadeleştirme rastgele değil; OSI yayımlandığında TCP/IP zaten ARPANET üzerinde çalışıyordu ve mühendisler sahada bu dörtlü ayrımı kullanışlı buldu.

İnternet katmanında IP protokolü iki temel işi yapar: her cihaza mantıksal bir adres atar ve paketleri parça parça (best-effort, unreliable) hedefe iletir. IP'nin "garantili teslim" kaygısı yoktur — bu sorumluluk üstteki katmana, TCP'ye aittir.

TCP, üç aşamalı el sıkışmayla (three-way handshake) bağlantı kurar:

  1. İstemci sunucuya SYN gönderir, bir initial sequence number ilan eder.
  2. Sunucu SYN-ACK ile cevap verir, kendi sequence number'ını ekler.
  3. İstemci ACK ile döner ve bağlantı kurulmuş olur.

Sonrasında TCP, segment'leri numaralandırır; kaybolan segment'i yeniden gönderir; akış kontrolü (sliding window) ve tıkanıklık kontrolü (congestion control) ile gönderim hızını ağ kapasitesine uydurur. UDP ise bu kontrolleri yapmaz: paketi gönderir, gerisini umursamaz. Bu yüzden VoIP, video stream, DNS sorgusu gibi gecikme-duyarlı işler UDP üzerinden gider; dosya transferi, web isteği, mail teslimatı TCP üzerinden.

TCP üç aşamalı el sıkışma SYN SYN-ACK ACK akışını gösteren zaman dizini diyagramı ve yanında IP paketi başlık şeması

IP Adresleme ve Subnet Mantığı

IPv4 adres 32 bittir, dört oktet halinde yazılır: 192.168.10.42. Bu adres tek başına bir anlam taşımaz; her zaman bir subnet mask ile birlikte düşünülür. Mask, adresin hangi kısmının "ağ" hangi kısmının "host" olduğunu söyler.

CIDR (Classless Inter-Domain Routing) gösteriminde 192.168.10.42/24 şu demek: ilk 24 bit ağ kısmı, son 8 bit host kısmı. 8 bit host alanı 2^8 = 256 adres üretir; bunlardan ikisi rezerve (network adresi ve broadcast adresi), kalan 254 cihaz adreslenebilir.

CIDRSubnet MaskKullanılabilir HostTipik Senaryo
/24255.255.255.0254Tek katlı ofis LAN'ı
/25255.255.255.128126Bölünmüş kat ağı
/26255.255.255.19262Misafir Wi-Fi segmenti
/27255.255.255.22430Sunucu rack'i
/30255.255.255.2522Router-to-router link

Özel (private) IP blokları RFC 1918 ile rezerve edilmiştir: 10.0.0.0/8, 172.16.0.0/12 ve 192.168.0.0/16. Bu adresler internete doğrudan çıkamaz; sınırda NAT (Network Address Translation) yapan bir cihaz onları public bir adresle değiştirir. Bu nedenle evdeki cihazlarınızın hepsi aynı public IP üzerinden internete çıkar.

IPv6, IPv4'ün 32 bit yerine 128 bit kullanır ve adres havuzunu pratikte sonsuz hâle getirir. Adres altı segmente ayrılmış hexadecimal yazımdadır: 2001:0db8:85a3::8a2e:0370:7334. Geçiş süreci uzun olduğu için kurumsal ağlarda hâlâ "dual-stack" yapılandırma yaygındır.

Routing ve Switching Farkı Nedir?

İki kavram sık karıştırılır çünkü ikisi de "paket iletir". Aradaki fark hangi katmanda çalıştıklarıdır — ve bu fark mimari kararları doğrudan etkiler.

Switch (L2): Aynı broadcast domain içindeki cihazları MAC adreslerine göre birbirine bağlar. MAC adres tablosu tutar; bir çerçeve geldiğinde hedef MAC'e bakar ve sadece o porta iletir. Switch broadcast paketleri tüm portlardan flood eder; bu yüzden aynı VLAN'daki tüm cihazlar broadcast domain'i paylaşır.

Router (L3): Farklı IP ağları arasında paket yönlendirir. Routing table tutar; gelen paketin hedef IP'sine bakıp en uygun next-hop'u seçer. Broadcast'ler router'da durur — bu yüzden router'lar broadcast domain'leri ayırır ve büyük ağları yönetilebilir parçalara böler.

Routing kararları statik veya dinamik olabilir. Statik routing'de yönetici her rotayı elle girer; küçük ve değişmeyen topolojilerde idealdir. Dinamik routing'de OSPF, BGP, EIGRP gibi protokoller komşu router'larla konuşup topolojiyi öğrenir. İnternetin omurgası BGP üzerinde döner — AS (Autonomous System) numaraları arası rotalar BGP ile ilan edilir.

  • Layer 2 Switch: Sadece MAC tablosu tutar, VLAN destekler, ucuz ve hızlıdır.
  • Layer 3 Switch: Hem switching hem routing yapar; veri merkezi içi trafik için klasik router'dan çok daha düşük gecikme sağlar.
  • Router: WAN linkleri, internet çıkışı, farklı şubeler arası bağlantı için kullanılır; geniş routing protokol desteği vardır.

DNS ve DHCP Hizmetleri

DNS (Domain Name System) ve DHCP (Dynamic Host Configuration Protocol) bir ağın görünmeyen bel kemiğidir. İkisi de çalışmıyorsa ağ "çalışıyor" gibi görünür ama hiçbir şey iş yapmaz.

DNS, insan-dostu isimleri (veriakademi.com) makine-dostu IP adreslerine çevirir. Hiyerarşik bir sistemdir: root → TLD (.com, .org) → authoritative server. Bir istemci sorgu yaptığında, recursive resolver önce kendi cache'ine bakar, yoksa root'tan başlayarak yetkili sunucuyu bulur. Yaygın kayıt tipleri:

  • A: Domain adını IPv4 adresine çevirir.
  • AAAA: Domain adını IPv6 adresine çevirir.
  • CNAME: Bir adı başka bir ada bağlar (alias).
  • MX: Domain'in mail sunucusunu belirtir.
  • TXT: Serbest metin; SPF, DKIM, domain doğrulama için kullanılır.
  • NS: Domain'in authoritative name server'larını listeler.

DHCP ise istemcilere IP adresi, subnet mask, default gateway ve DNS sunucu bilgisini otomatik dağıtır. Süreç DORA olarak hatırlanır: Discover (istemci broadcast'le sunucu arar), Offer (sunucu adres teklif eder), Request (istemci teklifi kabul eder), Acknowledge (sunucu kira süresini onaylar). Kira süresi (lease time) tipik olarak 8-24 saattir; cihaz ağdan ayrılsa bile adres kira boyunca rezerve kalır.

DHCP yapılandırmasında dikkat edilen üç ayar: scope (dağıtılacak adres aralığı), reservation (yazıcı, sunucu gibi cihazlara MAC bazlı sabit IP) ve exclusion (statik atanmış adreslerin DHCP havuzundan dışlanması). Aynı subnet'te iki DHCP sunucusu çalışırsa "rogue DHCP" çakışması yaşanır ve bağlantı kararsızlaşır.

DHCP DORA süreci Discover Offer Request Acknowledge dört adımını gösteren akış şeması ve yanında DNS sorgu hiyerarşisi kolajı

VLAN ile Ağ Segmentasyonu

VLAN (Virtual LAN), tek fiziksel switch üzerinde mantıksal olarak ayrı ağlar oluşturmanın yoludur. Aynı switch'in dört portu satış departmanı VLAN'ında, dört portu muhasebe VLAN'ında olabilir; iki grup birbirini doğrudan göremez. Bu segmentasyon hem güvenlik hem performans için kritiktir — broadcast trafiği VLAN sınırında durur.

IEEE 802.1Q standardı, çerçeveye 4 byte'lık bir "tag" ekleyerek VLAN bilgisini taşır. Tag içinde 12 bit VLAN ID alanı vardır; teorik olarak 4094 farklı VLAN tanımlanabilir (0 ve 4095 rezerve).

VLAN port tipleri pratikte üç başlık altında düşünülür:

  • Access port: Tek VLAN'a aittir; bir bilgisayar veya yazıcı bağlanır. Çerçeve tag'siz girer, switch içinde tag'lenir.
  • Trunk port: Birden çok VLAN'ı taşır; iki switch arası veya switch-router arası bağlantıda kullanılır. Çerçeveler tag'li geçer.
  • Native VLAN: Trunk üzerinde tag'siz geçecek VLAN. Yanlış yapılandırma "VLAN hopping" güvenlik açığı yaratır.

Farklı VLAN'lar birbirleriyle haberleşmek istediğinde araya bir Layer 3 cihaz girmek zorundadır — klasik "router-on-a-stick" ya da L3 switch'te SVI (Switched Virtual Interface). Bu zorunluluk istenir bir özelliktir: VLAN'lar arası trafik tek noktadan geçtiği için orada güvenlik politikası uygulanabilir.

Firewall Mimarisi Nasıl Kurulur?

Firewall, ağ trafiğini önceden tanımlı kurallara göre kabul veya reddeden bir politika motorudur. Kuşaklara göre üç ana mimari konuşulur:

  1. Stateless paket filtreleme: Her paketi bağımsız değerlendirir; kaynak/hedef IP, port ve protokole bakar. Hızlıdır ama bağlamsızdır.
  2. Stateful inspection: Bağlantı durumunu (state table) takip eder. Bir TCP bağlantısı açıldıktan sonra dönüş paketleri otomatik kabul edilir. Modern firewall'ların temel davranışıdır.
  3. Next-Generation Firewall (NGFW): L4'ün üstüne çıkar; application-layer kontrolü (deep packet inspection), IDS/IPS entegrasyonu, kullanıcı kimliği bazlı politika, TLS açma-yeniden şifreleme yetenekleri içerir. Cisco eğitim kataloğunda bu konular ASA ve Firepower başlıkları altında işlenir.

Klasik yerleşim "DMZ (DeMilitarized Zone)" mimarisidir. Dışarıdan erişilebilen sunucular (web, mail, DNS) ne dış ağa ne iç ağa konur; arada üçüncü bir bacağa yerleştirilir. İnternet → DMZ ve DMZ → İç ağ trafiğine ayrı kurallar uygulanır; bir DMZ sunucu ele geçirilirse saldırgan iç ağa otomatik geçemez.

Firewall kuralı yazarken dört temel parametre vardır: kaynak (IP veya zone), hedef (IP veya zone), servis (port + protokol) ve aksiyon (allow / deny / log). Default policy "implicit deny" olmalıdır — sondaki kural eşleşmeyen her şeyi reddeder. "Allow any any" kuralı, firewall'u bir kabloya dönüştürür.

Sistem yöneticisi açısından firewall, router ve sunucu birlikte düşünülür; çoğu modern Linux dağıtımı iptables ya da nftables ile aynı paket filtreleme yetkinliğini sunar. Sunucu tarafında bu yetkinliği kavramak isteyenler Linux eğitimi içeriğinden temel ağ ve güvenlik komutlarını öğrenerek başlayabilir.

Sık Sorulan Sorular

OSI modeli ile TCP/IP modeli arasındaki fark nedir?

OSI yedi katmanlı teorik bir referans modelidir; TCP/IP dört katmanlı, sahada gerçekten çalışan protokol ailesidir. OSI'nin oturum, sunum ve uygulama katmanları TCP/IP'de tek bir uygulama katmanına; fiziksel ve veri bağlantısı katmanları tek bir ağ erişim katmanına indirilmiştir. Operasyonda iletişim OSI dilinde, implementasyon TCP/IP dilinde konuşulur.

Subnet mask neden gereklidir?

IP adresi tek başına "bu adres hangi ağa ait" sorusunu cevaplayamaz. Subnet mask, adresin ağ ve host kısmını ayırır; gönderen cihaz hedefin aynı ağda mı yoksa farklı ağda mı olduğuna mask'e bakarak karar verir. Aynı ağdaysa doğrudan ARP ile iletişim kurar, farklı ağdaysa paketi default gateway'e gönderir.

Switch ve hub arasındaki fark nedir?

Hub gelen sinyali tüm portlarına aynen iletir; tüm cihazlar her trafiği duyar, bu da collision'a ve gizlilik sorununa yol açar. Switch ise MAC tablosu tutar; çerçeveyi sadece hedef portuna iletir. Modern ağlarda hub kullanılmaz; hub deyimi geçtiyse büyük ihtimalle "unmanaged switch" kastediliyordur.

NAT nedir ve neden gereklidir?

NAT, özel (RFC 1918) IP adreslerini public bir IP adresine eşleyen mekanizmadır. IPv4 adres havuzu sınırlı olduğu için ev ve kurum ağlarındaki yüzlerce cihaz tek bir public IP üzerinden internete çıkar. Sınırdaki router/firewall, dışarı giden paketin kaynak IP'sini kendi public adresiyle değiştirir; gelen cevabı tabloya bakarak doğru iç cihaza yönlendirir.

TCP ve UDP hangi durumda tercih edilir?

TCP güvenilir, sıralı, akış kontrollü iletim sağlar; web (HTTP/HTTPS), mail (SMTP), dosya transferi (SSH/SFTP) gibi her byte'ın varması gereken işlerde kullanılır. UDP düşük gecikmeli ama garantisiz iletimdir; VoIP, video konferans, online oyun, DNS sorgusu gibi tek paketin kaybı tolere edilebilen veya hızın güvenilirlikten önemli olduğu durumlarda tercih edilir.

VLAN olmadan ağ segmentasyonu yapılabilir mi?

Yapılabilir ama her segment için ayrı fiziksel switch ve kablolama gerekir; ölçek büyüdükçe maliyet ve karmaşıklık katlanır. VLAN tek fiziksel altyapı üzerinde mantıksal segmentasyon sağlar; satış, muhasebe, misafir Wi-Fi gibi grupları aynı switch'te ayırabilirsiniz. VLAN'lar arası trafik bir Layer 3 cihazdan geçtiği için orada merkezi güvenlik politikası uygulanabilir.

Stateless ve stateful firewall arasındaki fark nedir?

Stateless firewall her paketi bağımsız değerlendirir; bağlantı bilgisi tutmadığı için dönüş trafiği için ayrı kural yazmak gerekir. Stateful firewall ise açık bağlantıları bir state table'da tutar; bir TCP oturumu kurulduğunda dönüş paketleri otomatik kabul edilir. Modern üretim ortamlarında stateful temel davranıştır; stateless yalnızca çok yüksek hızlı ve basit filtreleme senaryolarında tercih edilir.

Sistem network'ün katmanları ayrı tasarlanmıştır ama operasyonda hep birlikte çalışır: subnet kararı routing'i, routing kararı firewall politikasını, firewall politikası DNS yayınını etkiler. Bir mimariyi sağlam kurmak için her katmanın diğerine ne sunduğunu ve neyi bekleyebileceğini bilmek gerekir. Network temellerini kalıcı hâle getirmek isteyenler, sunucu ve sistem yönetimi pratiklerini Linux eğitim programı üzerinden derinleştirerek konfigürasyon ve sorun giderme refleksini birlikte kazanabilir.

Eğitim Takvimi

İletişim

0 212 951 06 08
bilgi@veriakademi.com

Duyuru Listesi

Katılımcı Görüşleri

Öğrencilerimizden Barış Pütün ile Röportajımız

FOTO: Öğrencilerimizden Barış Pütün ile Röportajımız

Eğitimler

C Eğitimi FOTO: C Eğitimi Linux Eğitimi FOTO: Linux Eğitimi Agile Eğitimi FOTO: Agile Eğitimi Angular Eğitimi FOTO: Angular Eğitimi ASP.NET Core Eğitimi FOTO: ASP.NET Core Eğitimi

Yazılarımız

SİSTEM YAZILIMLARI NELERDİR? FOTO: SİSTEM YAZILIMLARI NELERDİR? CISCO NEDİR? FOTO: CISCO NEDİR? C# KODLARININ ANLAMLARI FOTO: C# KODLARININ ANLAMLARI ANGULAR LAZY LOADING NEDİR? FOTO: ANGULAR LAZY LOADING NEDİR? BOOST ASIO ASYNC IO NEDİR? FOTO: BOOST ASIO ASYNC IO NEDİR?