Network & Altyapı · 1 Haziran 2026 · 25 dk okuma · İleri

ISP Ağ Yönetimi Temel Rehberi — Altyapıdan İzlemeye

ISP altyapı bileşenleri, BGP peering, bandwidth management (HTB/PCQ), CGNAT, müşteri yönetimi (PPPoE/RADIUS) ve Türkiye'deki BTK yükümlülükleri. WISP özel konuları.

#isp #bgp #pppoe #radius #cgnat #bandwidth-management #htb #pcq #wisp

TL;DR

ISP altyapı bileşenleri, BGP peering, bandwidth management (HTB/PCQ), CGNAT, müşteri yönetimi (PPPoE/RADIUS) ve Türkiye'deki BTK yükümlülükleri. WISP özel konuları.

2 yıl

Log saklama süresi (BTK)

(5651 Sayılı Kanun)

%30

BGP hijack artışı

(Cloudflare 2024)

RIPE bölgesi tükendi

IPv4 tükenme

(RIPE NCC 2019)

İçindekiler ▾

ISP Altyapı Bileşenleri
BGP Peering ve IP Transit
AS Numarası ve IP Blokları
Prefix Filtreleme (Zorunlu)
Bandwidth Management
HTB (Hierarchical Token Bucket) — Paket Türleri Arası Öncelik
PCQ (Per Connection Queue) — Adil Paylaşım
PPPoE ve RADIUS Kurulumu
MikroTik PPPoE Server
FreeRADIUS Entegrasyonu
CGNAT — IPv4 Adres Kıtlığı Çözümü
CGNAT Nedir?
CGNAT Loglama (BTK Zorunluluğu)
IPv6 — CGNAT’tan Çıkış Yolu
Monitoring Stack
Kritik Alarmlar
BTK Yasal Yükümlülükler
5651 Sayılı Kanun — Log Saklama
USOM Bildirimleri
WISP — Kablosuz ISP Özel Konuları
Backbone Tasarımı
RF Link Hesabı
MikroTik Wireless Tools
Pratik İpucu

⟳ Son güncelleme: 12 Mart 2026

Bir ISP’yi çalıştırmak, internet bağlantısı sağlamaktan çok daha fazlası. Onlarca veya yüzlerce aboneni sorunsuz taşıyan backbone altyapısı, her abonenin tüketimini gerçek zamanlı dengeleyen bandwidth yönetimi, yasal yükümlülükleri karşılayan log altyapısı ve 7/24 izleme sistemi — bunların hepsi bir arada çalışmalı. Bu yazı küçük-orta ölçekli ISP ve WISP operatörleri için temel referans noktalarını topluyor.

ISP Altyapı Bileşenleri

[Upstream ISP / IX]
        |
   [Edge Router]         ← BGP, transit, peering
        |
 [Core Network]          ← L3, routing, redundancy
    /       \
[POP A]   [POP B]        ← Point of Presence
   |          |
[BRAS/NAS]  [BRAS/NAS]   ← PPPoE sunucusu, RADIUS client
   |          |
[Erişim Ağı]  [Erişim Ağı] ← FTTH, VDSL, Wireless
                |
          [Aboneler]

Bileşen	Görev	Örnek Donanım
Edge Router	Upstream bağlantı, BGP	MikroTik CCR2216, Cisco ASR
Core Switch	L3 switching, VLAN	CRS312, CRS518
BRAS/NAS	PPPoE, RADIUS client	MikroTik CCR veya yazılım BRAS
RADIUS Server	Kimlik doğrulama, accounting	FreeRADIUS
CGNAT	Adres çevirisi	MikroTik, özel donanım
Monitoring	İzleme	Zabbix + Grafana
Logging	Yasal loglama	Graylog, Elasticsearch

BGP Peering ve IP Transit

AS Numarası ve IP Blokları

Türkiye’de IP adresi ve AS numarası almak için RIPE NCC üyesi olunmalı. Küçük operatörler genellikle upstream ISP’leri üzerinden IP alır (müşteri blok).

# MikroTik'te BGP konfigürasyonu
/routing bgp instance
add name=default as=65001 comment="ISP BGP Instance"

/routing bgp peer
add name=upstream-isp \
    remote-address=83.45.0.1 \
    remote-as=34984 \
    hold-time=90s \
    keepalive-time=30s \
    in-filter=bgp-in \
    out-filter=bgp-out \
    comment="Upstream ISP Peering"

Prefix Filtreleme (Zorunlu)

Tüm interneti kabul etme. Sadece default route veya belirli prefix’leri kabul et:

/routing filter
add chain=bgp-in action=accept prefix=0.0.0.0/0 comment="Sadece default route"
add chain=bgp-in action=discard comment="Diğer her şeyi reddet"

# Kendi bloğunu dışarıya duyur
add chain=bgp-out action=accept prefix=5.44.160.0/21 comment="Kendi IP bloğu"
add chain=bgp-out action=discard

Bandwidth Management

Sınırsız hat ilan etmek, sınırsız tüketim garantisi değil. Birkaç kullanıcı tüm bant genişliğini işgal etmemelidir. HTB (Hierarchical Token Bucket) ve PCQ (Per Connection Queue) bunu yönetir.

HTB (Hierarchical Token Bucket) — Paket Türleri Arası Öncelik

/queue type
add name=htb-parent kind=pcq pcq-rate=0 pcq-limit=50 \
    comment="Ana HTB kuyruğu"

/queue tree
# Ana kuyruk — WAN bant genişliğini tanımla
add name=wan-download parent=global packet-mark=all-traffic \
    max-limit=100M comment="İndirme — 100 Mbps toplam"

# Abonelik paketleri
add name=plan-100m parent=wan-download limit-at=80M max-limit=100M \
    priority=2 comment="100 Mbps paket"

add name=plan-50m parent=wan-download limit-at=40M max-limit=50M \
    priority=3 comment="50 Mbps paket"

add name=plan-25m parent=wan-download limit-at=20M max-limit=25M \
    priority=4 comment="25 Mbps paket"

PCQ (Per Connection Queue) — Adil Paylaşım

PCQ her abone için eşit bant genişliği garantisi sağlar. Bir kullanıcı torrent indiriyor, diğeri etkilenmesin:

/queue type
add name=pcq-download kind=pcq pcq-rate=10M pcq-limit=50 \
    pcq-classifier=dst-address \
    comment="İndirme PCQ — kullanıcı başı 10 Mbps"

add name=pcq-upload kind=pcq pcq-rate=5M pcq-limit=50 \
    pcq-classifier=src-address \
    comment="Yükleme PCQ — kullanıcı başı 5 Mbps"

/queue simple
add name=isp-traffic target=0.0.0.0/0 \
    max-limit=100M/50M \
    queue=pcq-download/pcq-upload \
    comment="ISP genel PCQ"

PPPoE ve RADIUS Kurulumu

MikroTik PPPoE Server

# PPPoE server pool
/ip pool
add name=pppoe-pool ranges=100.64.0.2-100.64.255.254 \
    comment="CGNAT adresi veya gerçek IP bloğu"

# PPPoE profil
/ppp profile
add name=default-isp \
    local-address=100.64.0.1 \
    remote-address=pppoe-pool \
    rate-limit="25M/10M" \
    dns-server=8.8.8.8,1.1.1.1 \
    comment="Varsayılan ISP profili"

# PPPoE server (BRAS interface)
/interface pppoe-server server
add service-name=isp-pppoe interface=ether2-access \
    authentication=chap,mschap2 \
    default-profile=default-isp \
    enabled=yes \
    comment="PPPoE Server — erişim ağı"

FreeRADIUS Entegrasyonu

PPPoE kullanıcılarını yerel tabloda değil RADIUS’ta tut — ölçeklenebilir ve merkezi yönetim:

/radius
add service=ppp address=192.168.88.200 secret=RadiusSecret2026 \
    authentication-port=1812 accounting-port=1813 \
    comment="FreeRADIUS sunucusu"

/ppp aaa
set use-radius=yes accounting=yes

FreeRADIUS tarafında müşteri kaydı:

-- MySQL/MariaDB
INSERT INTO radcheck (username, attribute, op, value)
VALUES ('abone001', 'User-Password', ':=', 'sifre123');

-- Hız sınırı attribute
INSERT INTO radreply (username, attribute, op, value)
VALUES ('abone001', 'Mikrotik-Rate-Limit', ':=', '100M/20M');

CGNAT — IPv4 Adres Kıtlığı Çözümü

CGNAT Nedir?

ISP’nin tek bir genel IP’yi yüzlerce abone arasında paylaştırmasını sağlar. RFC 6598 bloğu: 100.64.0.0/10.

/ip firewall nat
add chain=srcnat action=src-nat \
    src-address=100.64.0.0/10 \
    out-interface=ether1-wan \
    to-addresses=83.45.12.0-83.45.12.31 \
    comment="CGNAT — 32 genel IP, yüzlerce abone"

CGNAT Loglama (BTK Zorunluluğu)

CGNAT’ta hangi aboneye hangi port aralığı atandığı loglanmalı:

/ip firewall nat
add chain=srcnat action=src-nat \
    src-address=100.64.0.0/10 \
    out-interface=ether1-wan \
    to-addresses=83.45.12.0-83.45.12.31 \
    to-ports=1024-65535 \
    log=yes log-prefix="CGNAT: "

CGNAT logları Graylog’a gönder:

/system logging action
add name=graylog target=remote remote=192.168.88.250 remote-port=5140
/system logging
add action=graylog topics=firewall

IPv6 — CGNAT’tan Çıkış Yolu

Dual-stack (IPv4 + IPv6) ile abonelere gerçek IPv6 adresi ver:

/ipv6 dhcp-server
add interface=ether2-access address-pool=ipv6-pool lease-time=1d name=ipv6-dhcp

/ipv6 pool
add name=ipv6-pool prefix=2001:db8:1000::/48 prefix-length=64

Monitoring Stack

ISP için minimum monitoring stack:

Araç	Görev
Zabbix	SNMP ile cihaz izleme, uptime, trafik
Grafana	Görselleştirme, dashboard
Graylog	Log toplama ve analizi
LibreNMS	Ağ topolojisi, otomatik discovery

Kritik Alarmlar

- Backbone interface down → Disaster (anlık SMS/Telegram)
- BGP session down → Disaster
- CPU > %80 → High
- Disk > %80 → High
- Toplam trafik > kapasite %90 → Warning
- Abone PPPoE oturumu anormal kesilme → Warning

BTK Yasal Yükümlülükler

5651 Sayılı Kanun — Log Saklama

ISP olarak zorunlu tutulanlar:

Her abonenin bağlantı başlangıç/bitiş zamanı
Atanan IP adresi (CGNAT varsa port aralığı)
MAC adresi (kablolu ağda mümkünse)
Saklama süresi: minimum 2 yıl

Log formatı için BTK’nın teknik kılavuzunu takip et. Arama motoru filtreleme yükümlülüğü (5651 Ek Madde 3) ISP bant genişliğine göre değişiyor.

USOM Bildirimleri

Kritik altyapıya yönelik saldırı, fidye yazılımı gibi olaylarda USOM’a bildirme zorunluluğu. Büyük ISP’ler için SOC sertifikasyon gereksinimleri de gündemdeki düzenlemeler arasında.

WISP — Kablosuz ISP Özel Konuları

Backbone Tasarımı

[İnternet Çıkışı]
       |
  [Core Tower]          ← Şehir merkezi veya yüksek nokta
  /    |    \
[Sektör A] [Sektör B] [Sektör C]
    |            |
[Dağıtım]   [Dağıtım]
  / \           / \
[CPE] [CPE]  [CPE] [CPE]   ← Müşteri noktası

RF Link Hesabı

Link budget = EIRP - FSPL - Fade margin
FSPL (dB) = 20*log10(d_km) + 20*log10(f_MHz) + 32.4

Örnek: 10 km mesafe, 5.8 GHz
FSPL = 20*log10(10) + 20*log10(5800) + 32.4
     = 20 + 75.3 + 32.4 = 127.7 dB

Minimum 15 dB fade margin bırak — yağmur, sis, Fresnel zone gibi kayıplar için.

MikroTik Wireless Tools

# Spectrum analyzer — kanal meşguliyeti
/interface wireless spectral-scan [find]

# Sinyal kalitesi izleme
/interface wireless registration-table print

# Bağlantı kalitesi
/tool wireless snooper interface=wlan1

Pratik İpucu

ISP yönetiminde en kritik kural: dokümantasyon. Her konfigürasyon değişikliği not alınmalı, her backbone segment diyagramlı olmalı. Gece 02:00’deki arızada ağı bilen tek kişi o an ulaşılamıyorsa dokümantasyon hayat kurtarır.

Minimum dokümantasyon standardı:

Ağ topoloji diyagramı (güncellenen)
Her cihaz için: IP, model, lokasyon, erişim bilgisi
Değişiklik logu (ne, ne zaman, kim)
Acil durum prosedürü (sıra kim aranır, nasıl geri alınır)

Backbone altyapısı kurulduğunda çekici görünür. Bakımında asıl mesai başlar. Otomatik yedekleme, izleme ve dokümantasyon olmadan büyüyen ağ, büyüyen bir sorun haline gelir.

Kaynaklar

5651 sayılı kanun internet erişim sağlayıcılarına trafik logu saklama zorunluluğu getirir — BTK — 5651 Sayılı Kanun (2022)
CGNAT RFC 6888 — Carrier-Grade NAT gereksinimleri — RFC 6888 — Common Requirements for Carrier-Grade NATs (2013)
IPv6 geçişi CGNAT ihtiyacını ortadan kaldırır ve end-to-end bağlantıyı yeniden sağlar — RIPE NCC — IPv6 Deployment Guide (2023)
BGP hijack olayları son 5 yılda %30 arttı — Cloudflare Radar — BGP Hijack Report (2024)

Sıkça Sorulan Sorular

Küçük WISP ne zaman kendi BGP AS numarası almalı? +

Birden fazla upstream ISP'ye bağlanıyorsanız veya IP bloğunuz birden fazla noktadan duyurulacaksa. Tek ISP'den transit alıyorsanız BGP'ye genellikle gerek yok — ISP'niz routing'i halleder.

PPPoE mi DHCP mi tercih edilmeli? +

PPPoE: her abone için oturum, kimlik doğrulama, RADIUS entegrasyonu, kolay izolasyon. DHCP: daha basit, PPPoE overhead yok, ama aboneyi takip etmek zor. ISP'ler genellikle PPPoE tercih eder — abonelik yönetimi çok daha kolay.

CGNAT hangi servisleri etkiler? +

Port yönlendirme (güvenlik kameraları, NAS), P2P uygulamaları, VPN sunucu kurma, bazı oyun servisleri. IPv6 ile CGNAT'tan kaçınılabilir — çift yığın (dual stack) ideal çözüm.

BTK'ya hangi loglar kaydedilmeli? +

5651 sayılı kanun kapsamında: aboneye atanan IP, bağlantı başlama/bitiş zamanı, NAT kayıtları (CGNAT varsa). CGNAT loglama kritik — bir suç soruşturmasında yanlış IP'ye yol açabilir. 2 yıl saklanması zorunlu.

⚡