MikroTik · 1 Nisan 2026 · 17 dk okuma · Orta

MikroTik VLAN Yapılandırma — Bridge VLAN Filtering ile Segmentasyon

RouterOS 7 bridge VLAN filtering yöntemiyle VLAN kurulumu. 802.1Q, trunk/access port, inter-VLAN routing ve switch chip performansı. Fabrika senaryosu: yönetim, üretim, misafir VLAN.

#mikrotik #vlan #routeros #network-segmentasyon #802.1q #bridge

TL;DR

RouterOS 7 bridge VLAN filtering yöntemiyle VLAN kurulumu. 802.1Q, trunk/access port, inter-VLAN routing ve switch chip performansı. Fabrika senaryosu: yönetim, üretim, misafir VLAN.

%70

Yanal hareket azalması

(Forrester 2023)

Line rate

Switch chip throughput

(MikroTik Docs)

%57

Savunmasız IoT cihazı

(Palo Alto 2024)

İçindekiler ▾

VLAN Nedir, Neden Lazım?
802.1Q Trunk/Access Port
Senaryo: Fabrika Ağı
RouterOS 7 — Bridge VLAN Filtering
Adım 1: Bridge Oluştur
Adım 2: Portları Bridge’e Ekle
Adım 3: VLAN Tablosunu Yapılandır
Adım 4: VLAN Arayüzleri ve IP Adresleri
Adım 5: DHCP Server (Her VLAN İçin)
Inter-VLAN Routing ve Güvenlik
CRS326 Switch Konfigürasyonu
Switch Chip vs CPU Bridge
Yaygın Hatalar
”VLAN’lar birbirini görmüyor ama görmesi lazım”
“Access port cihazı IP alamıyor”
“Trunk port çalışmıyor”
“VLAN filtering sonrası yönetim erişimi kesildi”
Test ve Doğrulama

⟳ Son güncelleme: 12 Mart 2026

VLAN segmentasyonu ağdaki riskleri sınırlandırır. Misafir WiFi ile üretim sistemleri aynı broadcast domain’de olmamalı. Fabrika makine ağı ile personel bilgisayarları ayrı tutulmalı. Bu yazı RouterOS 7’nin bridge VLAN filtering yöntemini kullanarak doğru ve performanslı segmentasyon yapmayı gösteriyor.

VLAN Nedir, Neden Lazım?

VLAN (Virtual Local Area Network), fiziksel bir ağı birden fazla mantıksal ağa böler. Farklı portlar veya cihazlar aynı fiziksel anahtara bağlı olsa bile farklı VLAN’lardakilerin birbirini görmesi engellenir.

Segmentasyon olmadan senaryo: Bir fabrikada tüm cihazlar (PLC’ler, ERP sunucusu, çalışan bilgisayarları, misafir WiFi) aynı ağda. Bir çalışanın bilgisayarına giren zararlı yazılım üretim PLC’lerine ulaşabiliyor. Tek bir güvenlik ihlali tüm ağı etkiliyor.

Segmentasyon ile: Her grup kendi VLAN’ında, aralarındaki trafik firewall üzerinden denetleniyor.

802.1Q Trunk/Access Port

Kavram	Açıklama
Access port	Tek VLAN’a bağlı. Cihaz VLAN farkında değil (PC, yazıcı). Tag kaldırılarak iletilir.
Trunk port	Birden fazla VLAN taşır. Etiket (tag) korunur. Switch-to-switch veya switch-to-router bağlantıları.
VLAN tag	802.1Q header’ı — 12 bit VLAN ID (1-4094).
Native VLAN	Trunk port’ta tagsiz geçen VLAN. Genellikle yönetim trafiği için ayrı tutulur.

Senaryo: Fabrika Ağı

Küçük fabrika. 3 VLAN:

VLAN 10 — Yönetim: Network ekipmanları, router erişimi
VLAN 20 — Üretim: PLC’ler, endüstriyel cihazlar (internete çıkış yok)
VLAN 30 — Personel: Çalışan bilgisayarları, yazıcılar
VLAN 40 — Misafir: Ziyaretçi WiFi (sadece internet, LAN’a erişim yok)

Donanım: MikroTik RB4011 (router) + CRS326 (switch)

RouterOS 7 — Bridge VLAN Filtering

Adım 1: Bridge Oluştur

/interface bridge
add name=bridge-main vlan-filtering=yes comment="Ana bridge — VLAN filtering aktif"

Dikkat: vlan-filtering=yes bridge’e portları eklemeden önce ayarla. Sonradan etkinleştirmek bağlantıyı kesebilir (önce safe mode aç).

Adım 2: Portları Bridge’e Ekle

/interface bridge port
# Trunk portlar (switch bağlantısı)
add bridge=bridge-main interface=ether2 comment="Trunk → CRS326"

# Access portlar (yerel bağlı cihazlar için)
add bridge=bridge-main interface=ether3 pvid=10 comment="Access — VLAN 10 (Yönetim PC)"
add bridge=bridge-main interface=ether4 pvid=20 comment="Access — VLAN 20 (Üretim)"
add bridge=bridge-main interface=ether5 pvid=30 comment="Access — VLAN 30 (Personel)"

pvid = Port VLAN ID. Access porttan gelen tagsiz trafik bu VLAN’a atanır.

Adım 3: VLAN Tablosunu Yapılandır

/interface bridge vlan

# VLAN 10 — Yönetim
# Tagged: bridge (router) ve trunk port
# Untagged: ether3 (access port)
add bridge=bridge-main vlan-ids=10 tagged=bridge-main,ether2 untagged=ether3

# VLAN 20 — Üretim
add bridge=bridge-main vlan-ids=20 tagged=bridge-main,ether2 untagged=ether4

# VLAN 30 — Personel
add bridge=bridge-main vlan-ids=30 tagged=bridge-main,ether2 untagged=ether5

# VLAN 40 — Misafir (sadece WiFi AP'den geliyor)
add bridge=bridge-main vlan-ids=40 tagged=bridge-main,ether2

Adım 4: VLAN Arayüzleri ve IP Adresleri

/interface vlan
add name=vlan10-mgmt interface=bridge-main vlan-id=10
add name=vlan20-prod interface=bridge-main vlan-id=20
add name=vlan30-staff interface=bridge-main vlan-id=30
add name=vlan40-guest interface=bridge-main vlan-id=40

/ip address
add address=10.10.10.1/24 interface=vlan10-mgmt comment="Yönetim GW"
add address=10.20.20.1/24 interface=vlan20-prod comment="Üretim GW"
add address=10.30.30.1/24 interface=vlan30-staff comment="Personel GW"
add address=10.40.40.1/24 interface=vlan40-guest comment="Misafir GW"

Adım 5: DHCP Server (Her VLAN İçin)

/ip pool
add name=pool-vlan10 ranges=10.10.10.10-10.10.10.50
add name=pool-vlan20 ranges=10.20.20.10-10.20.20.100
add name=pool-vlan30 ranges=10.30.30.10-10.30.30.200
add name=pool-vlan40 ranges=10.40.40.10-10.40.40.100

/ip dhcp-server
add name=dhcp-vlan10 interface=vlan10-mgmt address-pool=pool-vlan10 lease-time=8h
add name=dhcp-vlan20 interface=vlan20-prod address-pool=pool-vlan20 lease-time=12h
add name=dhcp-vlan30 interface=vlan30-staff address-pool=pool-vlan30 lease-time=8h
add name=dhcp-vlan40 interface=vlan40-guest address-pool=pool-vlan40 lease-time=1h

/ip dhcp-server network
add address=10.10.10.0/24 gateway=10.10.10.1 dns-server=1.1.1.1
add address=10.20.20.0/24 gateway=10.20.20.1 dns-server=10.20.20.1
add address=10.30.30.0/24 gateway=10.30.30.1 dns-server=1.1.1.1
add address=10.40.40.0/24 gateway=10.40.40.1 dns-server=1.1.1.1

Inter-VLAN Routing ve Güvenlik

VLAN’lar oluşturuldu, artık aralarındaki trafiği firewall ile kontrol et:

/ip firewall filter

# Misafir VLAN'ı tamamen izole et
add chain=forward action=drop in-interface=vlan40-guest \
    out-interface!=WAN comment="Misafir: Sadece internet, LAN yasak"

# Üretim VLAN'ı izole et — dışarıdan giriş yok
add chain=forward action=drop out-interface=vlan20-prod \
    in-interface!=vlan10-mgmt \
    comment="Üretim: Sadece yönetim VLAN'dan erişim"

# Personel → Üretim erişimi yasak
add chain=forward action=drop in-interface=vlan30-staff \
    out-interface=vlan20-prod \
    comment="Personel → Üretim: Yasak"

# Yönetim → tüm VLAN'lara erişim
add chain=forward action=accept in-interface=vlan10-mgmt \
    comment="Yönetim: Tüm VLAN'lara erişim"

# Normal internet erişimi
add chain=forward action=accept out-interface-list=WAN \
    comment="İnternet çıkışı"

CRS326 Switch Konfigürasyonu

Switch tarafında trunk ve access portlar yapılandırılmalı:

# CRS326'da (SwOS veya RouterOS)
/interface bridge port
# Uplink (router'a bağlı trunk)
add bridge=bridge interface=ether1 comment="Trunk → RB4011"

# Access portlar
add bridge=bridge interface=ether2 pvid=10 comment="Yönetim PC"
add bridge=bridge interface=ether3 pvid=20 comment="PLC 1"
add bridge=bridge interface=ether4 pvid=20 comment="PLC 2"
add bridge=bridge interface=ether5 pvid=30 comment="Personel 1"
# ... devamı

# WiFi AP (trunk — misafir ve personel VLAN'ı taşıyor)
add bridge=bridge interface=ether24 comment="Trunk → WiFi AP"

/interface bridge vlan
add bridge=bridge vlan-ids=10 tagged=ether1 untagged=ether2
add bridge=bridge vlan-ids=20 tagged=ether1 untagged=ether3,ether4
add bridge=bridge vlan-ids=30 tagged=ether1,ether24 untagged=ether5
add bridge=bridge vlan-ids=40 tagged=ether1,ether24

Switch Chip vs CPU Bridge

Yöntem	Nasıl Çalışır	Performans	Kısıt
Bridge VLAN filtering (yeni)	Switch chip’i kullanır	Hat hızında (line rate)	Sadece destekli cihazlar
Ayrı VLAN arayüzleri (eski)	CPU üzerinden	Sınırlı (~100-200 Mbps)	Her cihazda çalışır
SwOS (CRS switch’ler)	Donanım switching	Hat hızında	Sadece L2 — routing yok

Switch chip desteğini kontrol etmek için:

/interface ethernet print
# "Switch: switch1" yazıyorsa switch chip destekleniyor

RB4011, CCR serisi ve CRS switch’lerin büyük çoğunluğu switch chip içeriyor.

Yaygın Hatalar

”VLAN’lar birbirini görmüyor ama görmesi lazım”

Inter-VLAN routing için bridge üzerinde VLAN interface’leri oluşturulmuş olmalı. Bridge’in kendisi tagged listesinde olmalı:

/interface bridge vlan print
# bridge sütununda bridge-main görünüyor mu?
# tagged listesinde bridge-main var mı?

“Access port cihazı IP alamıyor”

PVID ayarı ile VLAN tablosundaki untagged port tutarlı olmalı:

/interface bridge port print
# pvid=10 mu?

/interface bridge vlan print
# VLAN 10'da bu port untagged mı?

“Trunk port çalışmıyor”

Trunk port’un bridge port listesinde pvid ayarı olmamalı (veya 1 olmalı). Trunk portlar tagged listesinde yer alır:

/interface bridge port print where interface=ether2
# pvid=1 (veya ayarlanmamış) olmalı

“VLAN filtering sonrası yönetim erişimi kesildi”

vlan-filtering=yes devreye girince yönetim arayüzüne erişmek için kullandığın portun VLAN’ı da tanımlanmış olmalı. Console portu veya fiziksel erişim gerekebbilir:

# Önce yönetim VLAN'ını ekle, sonra filtering'i aç
/interface bridge vlan add bridge=bridge-main vlan-ids=10 tagged=bridge-main,ether2 untagged=ether3
# Sonra:
/interface bridge set bridge-main vlan-filtering=yes

Test ve Doğrulama

# VLAN tablosunu kontrol et
/interface bridge vlan print

# MAC tablosunu gör — hangi MAC hangi VLAN'da
/interface bridge host print

# Ping ile bağlantı testi (router üzerinden)
/ping 10.30.30.5 interface=vlan30-staff

# Firewall'ı atlatmadan VLAN izolasyonunu test et
# Personel PC'sinden (VLAN 30) üretim IP'sine ping at → timeout olmalı
# Personel PC'sinden internete ping at → çalışmalı

Pratik ipucu: VLAN konfigürasyonu karmaşık hale geldikçe bir diagram çiz. Hangi port hangi VLAN’da, hangi tagla geçiyor — kağıtta netleşince konfigürasyona başla. Karmaşık ağlarda görsel olmadan takip etmek zor.

Kaynaklar

Bridge VLAN filtering switch chip'i kullanarak hat hızında VLAN işlemi yapar — MikroTik RouterOS Documentation — Bridge VLAN Table (2025)
802.1Q VLAN standardı — frame tagging ve trunk protokolü — IEEE 802.1Q — Virtual Bridged Local Area Networks (2022)
Ağ segmentasyonu saldırı yüzeyini daraltır ve yanal hareketi sınırlandırır — NIST SP 800-125B — Secure Virtual Network Configuration (2019)

Sıkça Sorulan Sorular

MikroTik'te VLAN kurmanın iki farklı yöntemi neden var? +

Eski yöntem: bridge üzerinde ayrı VLAN arayüzleri oluşturmak. Yeni yöntem (RouterOS 6.41+): bridge VLAN filtering. Yeni yöntem switch chip'i kullanarak çok daha yüksek performans sağlar — CPU'ya yük bindirmez.

Bridge VLAN filtering ile eski yöntem arasındaki performans farkı ne? +

Switch chip destekli cihazlarda VLAN trafiği hardware seviyesinde işlenir. CPU yükü minimum. Eski yazılımsal yöntemde VLAN trafiği CPU üzerinden geçer — yüksek bant genişliğinde darboğaz oluşur.

VLAN ID 1 neden kullanılmamalı? +

VLAN 1 çoğu switch'in default VLAN'ı ve yönetim VLAN'ı. Yapılandırılmamış portlar genellikle VLAN 1'de kalır. Güvenlik açısından yönetim trafiğini VLAN 1'den ayırmak iyi pratik.

Inter-VLAN routing nasıl güvenli hale getirilir? +

VLAN'lar arası trafiği varsayılan olarak engelle, sadece gerekli servislere izin ver. Firewall forward chain'de VLAN interface'leri arasında kural yaz. Misafir VLAN'ı diğer VLAN'lardan tamamen izole et.

⚡

Profesyonel Destek mi Lazım?

Bu konuda yardıma ihtiyacın varsa yanındayız. Kurulum, konfigürasyon ve sorun giderme için ulaş.

İletişime Geç → Hizmet Detayı

Yazar

Erdem Özyurt

Network & Security Engineer

LinkedIn ↗ GitHub ↗

Paylaş X/Twitter LinkedIn

İlgili Yazılar

MikroTik