Bir ağ altyapısını insan vücuduna benzetecek olursak, Omurga (Core) Switch omuriliğimiz, Firewall ise bağışıklık sistemimizdir. Biri veri trafiğinin en hızlı ve kesintisiz şekilde iletilmesini sağlarken, diğeri bu trafiğin güvenli olup olmadığına karar verir. Eğer bir kurumun dijital süreçleri aksamadan yürüyecekse, bu iki bileşenin birbiriyle "evli" gibi uyumlu çalışması şarttır.

Bu yazıda, teorik tanımlardan ziyade sahada işlerin nasıl yürüdüğüne, performansın nasıl maksimize edileceğine ve güvenliğin nasıl sıkılaştırılacağına odaklanacağız.

1. Omurga Switch: Hızın ve Dayanıklılığın Merkezi

Omurga Switch, ağdaki tüm trafiğin toplandığı ve dağıtıldığı en üst katmandır. Buradaki temel kuralımız şudur: Omurga switch üzerinde paket analizi gibi ağır işlemler yapılmaz; sadece paket iletilir.

Katmanlı Tasarım (Three-Tier vs. Collapsed Core)

Geleneksel mimaride Core, Distribution ve Access katmanları bulunur. Ancak orta ölçekli işletmelerde maliyeti düşürmek ve gecikmeyi (latency) azaltmak için Collapsed Core (Core ve Distribution katmanlarının birleştiği) yapısı tercih edilir.

Yapılandırma Esasları:

• LACP (Link Aggregation): Firewall veya kenar switchler ile olan bağlantılarda mutlaka LACP kullanılmalıdır. Bu, hem bant genişliğini artırır hem de hat yedekliliği sağlar.
• VLAN Yönetimi: Tüm VLAN'ların "Default Gateway" adresi omurga switch üzerinde sonlanmalıdır (L3 Routing). Bu, yerel ağ trafiğinin Firewall üzerine gidip orada darboğaz yaratmasını engeller.
• Jumbo Frames: Eğer ağınızda yoğun veri yedekleme veya video akışı varsa, MTU değerlerini optimize etmek performansı ciddi oranda artırır.

2. Firewall: İlk Savunma Hattı ve Ötesi

Eskiden Firewall sadece "içerisi" ve "dışarısı" arasındaki kapıyı tutardı. Günümüzde ise Next-Generation Firewall (NGFW) sistemleri, uygulama kontrolünden tutun da SSL incelemesine (SSL Inspection) kadar her şeyi yapıyor.

Topoloji Seçimi: Routed Mode mu, Transparent Mode mu?

Çoğu senaryoda Firewall, ağın en dışındaki yönlendirici (router) görevini de üstlenerek Routed Mode'da çalışır. Ancak mevcut bir yapıyı bozmadan araya girmek gerekiyorsa Transparent Mode hayat kurtarıcı olabilir.

Güvenlik Yapılandırmasında Atlanmaması Gerekenler:

• Segmentasyon (Zone Yapısı): Ağınızı sadece "İç" ve "Dış" olarak ayırmayın. DMZ (Dışa Açık Sunucular), IoT cihazları, Misafir Wi-Fi ve Yönetim (Management) katmanı için ayrı bölgeler oluşturun.
• IPS ve Uygulama Kontrolü: Sadece port bazlı kısıtlama yetmez. Örneğin 80 numaralı portun içinden geçen trafiğin gerçekten bir web trafiği mi yoksa tünellenmiş bir zararlı mı olduğunu anlamak için IPS imzaları aktif edilmelidir.
• SSL Inspection: Günümüz trafiğinin %90'ından fazlası şifreli (HTTPS). Firewall bu şifreyi çözüp içine bakmazsa, içindeki virüsü de göremez. Bu işlem işlemci yükünü artırsa da güvenlik için artık bir opsiyon değil, zorunluluktur.

3. Omurga ve Firewall Arasındaki Kritik Entegrasyon

Bu iki dev arasındaki bağlantı, tüm ağın performansını belirleyen noktadır.

Yüksek Erişilebilirlik (High Availability - HA)

Profesyonel bir yapıda ne Omurga ne de Firewall tek başına çalışmalıdır. Her ikisi de Active-Passive veya Active-Active modda yedekli olmalıdır.

• Firewall'lar kendi aralarında "Heartbeat" hattı ile senkronize olmalı.
• Omurga Switch'ler ise VPC (Virtual Port Channel) veya Stacking teknolojileri ile tek bir mantıksal ünite gibi hareket etmelidir.

Yönlendirme (Routing) Stratejisi

İç ağdaki VLAN'lar arası trafik omurga üzerinde dönerken, internete veya diğer şubelere gidecek trafik için Firewall'a doğru bir Static Route veya OSPF gibi dinamik bir protokol yapılandırılmalıdır.

Önemli Not: Eğer iç ağdaki bazı kritik VLAN'ların (örneğin muhasebe veya İK) diğer bölümlerle olan trafiğini denetlemek istiyorsanız, bu VLAN'ların gateway adresini doğrudan Firewall üzerinde sonlandırabilirsiniz. Buna "Micro-segmentation" diyoruz.

4. İzleme ve Bakım: "Kur ve Unut" Hatası

Yapılandırma bittiğinde iş bitmiş sayılmaz. Ağın sağlığını takip etmek, olası bir kriz anında sorunun nerede olduğunu anlamanızı sağlar.

• SNMP ve Log Yönetimi: Cihazların işlemci yükü, port durumları ve trafik yoğunluğu merkezi bir yazılımla izlenmelidir.
• Yedekleme: Her yapılandırma değişikliğinden sonra mutlaka "Configuration Backup" alınmalıdır. (Bakınız: Otomatik Yedekleme Çözümleri).
• Firmware Güncellemeleri: Hem Firewall hem de Omurga Switch'ler için üretici tarafından yayınlanan güvenlik yamaları takip edilmelidir. Ancak bu güncellemeler "Production" saatleri dışında ve mutlaka yedek alındıktan sonra yapılmalıdır.

Sonuç

Kusursuz bir ağ altyapısı, hız ve güvenliğin dengede olduğu yapıdır. Omurga switch'i trafiği yıldırım hızında yönlendirecek şekilde serbest bırakırken, Firewall'u en ince detayı görecek şekilde keskinleştirmek gerekir. Doğru tasarlanmış bir mimari, sadece bugünkü ihtiyaçlarınızı karşılamakla kalmaz, aynı zamanda gelecekteki büyüme senaryolarına da esneklik sağlar.

Profesyonel bir yapılandırma, sadece donanımları birbirine kabloyla bağlamak değil, her paketin nereye ve neden gittiğini bilmektir.

Farklı donanım markaları arasındaki uyumluluk sorunları hakkında daha fazla bilgi için: Bakınız: Multi-Vendor Ağ Yönetimi.