Türkiye’de KOBİ ölçeğindeki bir işletmenin ağ altyapısını tasarlamak; “router al, sürüye kat, çalışıyor” diye özetlenecek bir iş değildir. Bir muhasebe ofisinin 12 bilgisayarı ile bir üretim tesisinin 240 kullanıcılı kampüs ağı arasındaki fark, sadece cihaz sayısı değil; risk profili, yasal yükümlülük, hizmet sürekliliği beklentisi ve bütçe esnekliği açısından da köklüdür. Bu rehber, Türkiye sahasında karşılaştığımız KOBİ profillerinin tamamına yakınını kapsayacak bir çerçeve sunmak için hazırlandı: 5651 yükümlülüğü, danışmanlık satın alma, sektör bazlı farklılıklar, beş yıllık toplam sahip olma maliyeti hesabı ve büyüme adımları.

KOBİ sahibinin yaşadığı temel zorluk, “bir uzmana ne soracağını bile bilmemek” durumudur. Tedarikçi ile masaya oturduğunda fiyat teklifleri arasında üç kat farkla karşılaşır; her teklif kendine göre haklıdır ama hiçbiri karşılaştırılabilir değildir. Bu rehber tam da bu boşluğu doldurmak için, sahada deneyimlenmiş bir MikroTik tabanlı yaklaşımı somut karar matrisleriyle sunuyor.

Bu Rehber Kim İçin?

Bu rehber dört farklı okuyucu profili için yazıldı. İşletme sahipleri ve yöneticiler; ağ harcamasını “gider” yerine “yatırım” olarak değerlendirmek isteyen ve teklifleri objektif karşılaştırmak isteyen okuyucular. KOBİ IT sorumluları; tek başına 30-150 kullanıcılı bir ortamı yönetmek zorunda olan, sıklıkla “şapka takıp çalıştırıyor” durumundaki sistem yöneticileri. Bilişim danışmanları; KOBİ pazarında MikroTik tabanlı çözüm sunan bağımsız mühendisler ve sistem evleri. Hukuk ve yönetim sorumluları; 5651 yükümlülüğünü ciddiye alması gerektiğinin farkında olan ama teknik gerekçelerin neden önemli olduğunu öğrenmek isteyen yöneticiler.

Eğer evinizde MikroTik kurulu bir hAP cihazınız var ve “şu PPPoE’yi nasıl ayarlasam” diye soruyorsanız, bu rehber size hitap etmiyor. Kurumsal/Yarı kurumsal ölçekte 15 ila 250 kullanıcı arasında, mevcut altyapısını dönüştürmek isteyen ya da sıfırdan kurulum planlayan okuyucu için yazıldı.

KOBİ Ölçeğinde Temel Ağ İhtiyaçları

KOBİ ölçeğinde ağ tasarımının üç temel ayağı vardır: erişim katmanı (kullanıcının cihazını ağa bağladığı son nokta), çekirdek katmanı (yönlendirme, güvenlik duvarı ve internet çıkışı) ve servis katmanı (dosya sunucusu, yedekleme, izleme, telefon santrali, kamera kayıt). Çoğu KOBİ tasarımı bu üç katmanı tek bir cihaza yüklemeye çalışır; sonuç, kapasitesi yetmediğinde tüm işletmeyi durduran bir tek noktadan arıza riskidir.

Bir başka kritik konu, misafir ağı ile iç ağın ayrımıdır. Eğer aynı bridge üzerinde misafir Wi-Fi ve şirket bilgisayarları konuşuyorsa, bir misafir ziyaretçinin telefonundaki bir kötücül yazılım, dakikalar içinde muhasebe sunucunuza erişebilir. VLAN segmentasyonu artık “iyi olur” değil, “şart” kategorisinde değerlendirilmelidir. KOBİ’lerde tipik VLAN dağılımı şöyle önerilir: yönetim, ofis, misafir, VoIP, kamera, üretim cihazları. Her segmentin firewall politikası farklı olur ve yatay hareket sınırlandırılır.

5651 Sayılı Kanun ve Yasal Uyum

Türkiye’deki her toplu kullanım sağlayıcı (kafe, restoran, otel, AVM, kreş, hastane, alışveriş kompleksi, hatta tek bir mağaza bile misafir Wi-Fi sunuyorsa) 5651 sayılı kanun kapsamında log saklama yükümlülüğüne tabidir. Bu yükümlülüğün gerektirdiği teknik altyapı; hotspot ile kimliklendirme, syslog ile dış sunucuya log gönderimi, NAT/DNS log toplanması ve değişmezliğin hash imzasıyla kanıtlanması olarak özetlenir. Bu konunun MikroTik ekosisteminde uçtan uca kurulumunu ele alan detaylı saha çözümü için 5651 sayılı kanun uyumlu loglama: KOBİ için MikroTik tabanlı tam çözüm başlıklı rehberimizi inceleyebilirsiniz.

5651 yükümlülüğüne en sık yapılan üç hata vardır: birinci hata, “kimsenin başına bir şey gelmiyor” kanısıyla hiçbir log altyapısı kurmamak. İkinci hata, MikroTik’in dahili belleğine log basıp 200MB log dolduğunda otomatik silinmesine izin vermek. Üçüncü hata, log var ama “hangi kullanıcı, hangi saatte, hangi siteye gitti” sorusunu yanıtlayamayan bir log formatı tutmak. Doğru mimari, hotspot doğrulamasını SMS veya TC kimlik no ile yapar, syslog’u dış bir Linux sunucusuna gönderir ve günlük arşivi SHA-256 hash ile imzalar.

Bir KOBİ ofisinde kurulu rack içerisinde anahtar ve router ekipmanları

Ağ Mimarisi Prensipleri: 47 Kullanıcılı Örnek Üzerinden

KOBİ ölçeğinde “doğru mimari” diye tek bir şablon yoktur; ama 30-50 kullanıcılı bir şirket için kanıtlanmış bir referans mimari, çoğu okuyucu için başlangıç noktası olabilir. Bu mimari; çekirdekte bir RB4011 veya CCR2004, erişimde PoE destekli CRS328 anahtar, kapsama için 3-4 adet cAP ax veya hAP ax3, dışarıda bir CHR ile şube VPN sonlandırması ve izlemede bir self-hosted Zabbix veya The Dude kombinasyonunu içerir. Sahada böyle bir tasarımın kurulum sürecini, malzeme listesini, VLAN tablosunu ve firewall kurallarını adım adım gösteren bütünleşik bir senaryoyu KOBİ’lerde MikroTik tabanlı ağ mimarisi: 47 kullanıcılı bir şirket için tam plan başlıklı yazımızda paylaştık.

Bu örnek mimarinin kritik kararı, Wi-Fi katmanının ayrı bir CAPsMAN kontrolcüsünde merkezi yönetilmesidir. 3-4 erişim noktasını teker teker yapılandırmak yerine, çekirdek router üzerindeki CAPsMAN sayesinde tek bir profil ile tüm ofise tutarlı Wi-Fi politikası uygulanır. SSID, kanal planı, kimlik doğrulama, VLAN bağlama; hepsi merkezden değişir. 10 yıl önce büyük kampüslerin lüksüydü; bugün küçük ofislerin bile vazgeçemeyeceği bir disiplindir.

Bütçe Planlaması ve TCO Hesabı

KOBİ sahibinin teklif değerlendirmesinde yaptığı en büyük hata, sadece donanım fiyatına bakmasıdır. Beş yıllık bir perspektifte bir ağ altyapısının toplam sahip olma maliyeti (TCO) şunları içermelidir: donanım amortismanı, lisans yenileme, destek sözleşmesi, enerji tüketimi, eğitim ve sertifikasyon, kurulum işçiliği, yıllık bakım, beklenmedik arıza çözüm süresi, ve yedek parça/sigorta. Cisco gibi büyük markaların lisans modellerine kıyasla MikroTik’in “tek seferlik satın al, lisans yenileme yok” felsefesi 5 yıllık periyotta dramatik fark yaratır.

Bu farkın somut sayısal karşılaştırması için detaylı bir vaka çalışmasını MikroTik vs Cisco: KOBİ için 5 yıllık TCO karar rehberi başlıklı yazımızda paylaştık. Spoiler vermek gerekirse, 50 kullanıcılı bir senaryoda 5 yıllık fark genellikle 250.000 ila 450.000 TL aralığındadır; ama bu farkın bir kısmı uzman maliyetiyle dengelenir. Yani “ucuz” donanım, “ucuz” bir toplam çözüm anlamına gelmez. Uzman maliyetini de hesaba katan akıllı bir TCO modeli kurmak şarttır.

Danışmanlık Seçimi: Doğru Çözüm Ortağını Bulmak

KOBİ sahibinin karşılaştığı bir başka zorluk, bilgili danışmanı tanıyamamasıdır. Bir teklif “ucuz” diye seçildi mi, ileride kurulumda eksiklik, dökümantasyon yokluğu, sahipsiz cihazlar gibi problemler ortaya çıkar. Doğru danışmanı seçerken sormanız gereken sekiz soru vardır.

  • MikroTik sertifikası var mı? MTCNA en az başlangıç düzeyidir; MTCRE veya MTCINE üst düzey gösterge sayılır.
  • Sahada kaç KOBİ kurulumu yapmış? Referans isteyin; bir önceki müşterisini arayıp deneyimini sorun.
  • Kurulum sonrası dökümantasyon teslim ediyor mu? VLAN tablosu, IP planı, firewall politikası, SOP belgeleri olmalı.
  • Backup ve recovery prosedürü var mı? Günlük otomatik yedek, üçüncü bir lokasyonda tutuluyor mu?
  • İzleme aracı kullanıyor mu? Zabbix, LibreNMS, The Dude veya benzeri ile sistemi izliyor mu?
  • SLA tanımlı mı? Yanıt süresi, müdahale süresi, çözüm süresi taahhüdü var mı?
  • Çıkış prosedürü nedir? Sözleşme bittiğinde tüm yetkileri, parolaları, dökümantasyonu eksiksiz devredebilir mi?
  • 5651 sorumluluğunu paylaşır mı? Log altyapısının uyumluluğunu denetler ve belgeler mi?

Bu sekiz sorunun yarısına bile “evet, gösterebilirim” demeyen bir danışman, ileride başınıza iş açacak demektir. KOBİ sahibinin parası danışmanın elinden çıktıktan sonra döner mi? Genellikle hayır. Bu nedenle danışman seçimi, donanım seçiminden daha kritik bir karardır.

Sektör Bazlı Farklılıklar

Kafe ve Restoran

Kafelerin önceliği misafir Wi-Fi’sinin sürekli ve düzgün çalışması, yasal uyumun sağlanması ve POS sisteminin asla kesintiye uğramamasıdır. Bu nedenle misafir VLAN ile POS VLAN’ı kesin ayrılmalı, POS terminallerinin DHCP’den IP almak yerine sabit IP rezervasyonuna alınması, internet kesintisinde POS’un yerel olarak çalışabilmesi (offline mode) sağlanmalıdır. Hotspot kimlik doğrulaması SMS ile yapılır; günlük log boyutu küçük olduğu için tek bir hAP ax3 + harici syslog sunucusu yeterli olur.

Otel

Otelin önceliği oda başı kapasite, RADIUS doğrulama (oda numarası + soyad), Bandwidth kontrolü ve VIP misafir önceliklendirmesidir. Mimari karmaşık olur: lobide ve restoranda yüksek kapasiteli erişim noktaları, koridorlarda ve odalarda yoğun cAP ax dağılımı, asansörlerde mesh, RADIUS sunucusu olarak FreeRADIUS, PMS (Property Management System) entegrasyonu. 100 odalık bir otel için tipik altyapı; çekirdekte CCR2004, dağıtımda CRS328 anahtarlar, kapsama için 40-60 cAP ax, izleme için Zabbix kombinasyonudur.

Üretim Tesisi

Üretim tesislerinde önemli olan endüstriyel ağ ayrımı (OT/IT segregation), SCADA sistemleri için garantili gecikme ve sürekliliktir. Endüstriyel cihazlar (PLC, HMI) ayrı bir VLAN’da, sıkı firewall politikası ile izole edilir. Wi-Fi kapsaması üretim hattındaki tarayıcılar (RF gun) ve mobil terminaller için kritik; bu nedenle endüstriyel ortamlara dayanıklı dış cihazlar (mANTBox, LHG, NetMetal serisi) tercih edilir. Yedeklilik şarttır: çekirdek router’da CARP/VRRP yapılandırması ve ikinci bir hat ile internet fail-over.

Sağlık

Hastane, klinik, diş polikliniği gibi sağlık tesisleri için kritik kavram KVKK ve kişisel veri korumadır. Hasta verileri trafiğinin tamamen izole edilmesi, misafir Wi-Fi’sinin asla iç ağa erişememesi, tıbbi cihazların kendi VLAN’larında çalışması esastır. Sağlık sektöründe 5651 yükümlülüğüne ek olarak HBYS (Hastane Bilgi Yönetim Sistemi) entegrasyonu için ekstra güvenlik katmanları gerekir. Tipik bir 200 yataklı hastane mimarisinde 6-8 ayrı VLAN kullanılır.

Kademeli Büyüme ve Ölçeklenebilirlik

KOBİ’nin en büyük avantajı, ağ altyapısını kademeli kurabilmesidir. Sıfırdan 150 kullanıcılı bir mimari kurmak yerine, 30 kullanıcıdan başlayıp adım adım büyütebilirsiniz. MikroTik ekosisteminin gücü tam burada ortaya çıkar: aynı RouterOS, hAP ax2’den CCR2216’ya kadar her cihazda çalışır. Cihaz değiştirseniz bile yapılandırmanız büyük ölçüde taşınabilir. Bu, “yarın büyürsem ne yapacağım” endişesini ortadan kaldırır.

Tipik büyüme planı şöyle olur: ilk 30 kullanıcı için hAP ax3 + 1 anahtar + 2 cAP ax. 50 kullanıcıda RB4011’e geçiş, CRS328 anahtar ekleme. 100 kullanıcıda CCR2004’e geçiş, CAPsMAN merkezi yönetimine geçiş. 200+ kullanıcıda CCR2216 veya yedekli iki CCR2004 (CARP) ile yüksek erişilebilirlik. Her adımda öncekine yatırılan bütçenin yarısından fazlasını koruyabilirsiniz; çünkü anahtar ve erişim noktaları aynı kalır, sadece çekirdek yükseltilir.

İzleme, Uyarı ve Olay Yönetimi

Bir KOBİ ağında en sık atlanan konu, gerçek zamanlı izlemedir. “Çalışıyor, sorun yok” yaklaşımı, ilk büyük arızada IT sorumlusunun maaşından düşülen bedele dönüşür. Asgari izleme paketi şunları içermelidir: cihaz erişilebilirliği (ping/SNMP), CPU/RAM/disk kullanımı, arayüz trafik istatistikleri, WAN bağlantı durumu, kritik servislerin (DHCP, DNS, hotspot) çalışıyor olması, Wi-Fi istemci sayısı. Bu metriklerin tümü Zabbix veya LibreNMS gibi açık kaynak araçlarla MikroTik’ten toplanabilir.

İzleme sadece görselleştirme değildir; uyarı mekanizması da kritiktir. WAN hattı düştüğünde, CPU %90’a çıktığında, disk %85 doluyken bir Telegram/E-posta uyarısı almanız gerekir. Bu sayede mesai dışı saatlerde bile altyapı sorunlarını anında öğrenir, müşteri şikayeti gelmeden çözebilirsiniz.

Sıkça Sorulan Sorular

15 kullanıcılı bir muhasebe ofisi için MikroTik mi yoksa kablosuz mesh kit mi alayım?

15 kullanıcılı bir ofiste tek bir hAP ax3 + tek bir 5-portlu PoE anahtar yeterlidir ve yıllar boyunca büyüseniz bile yatırımınız geri döner. Mesh kit, ev kullanıcıları için tasarlandı; VLAN, hotspot, 5651 uyumu, syslog gibi temel KOBİ özelliklerini desteklemez. MikroTik tarafında ilk başta öğrenme eğrisi olabilir; ama uzun vadede tartışmasız doğru karar MikroTik tarafıdır.

Mevcut Cisco/Fortinet kurulumum var, MikroTik’e geçiş riskli mi?

Geçiş riskli değil; ama plansız geçiş risklidir. Doğru yaklaşım hibrit dönüşümdür: önce kenar/erişim katmanı (anahtar ve erişim noktası) değiştirilir, çekirdek bir süre paralel çalışır. Yeni mimari kanıtlandıktan sonra çekirdek de değiştirilir. Bu süreç tipik olarak 3-6 ay sürer ve hiçbir kesinti yaşatmadan tamamlanabilir.

5651 için sadece syslog yeterli mi, ayrıca bir log yönetim yazılımı şart mı?

Syslog, sadece logu dış sunucuya gönderir; ama logun değişmezliği (integrity) kanıtlanmadığı sürece denetimde geçerli sayılmaz. Bu nedenle günlük olarak SHA-256 hash hesabı, hash’in ayrı bir lokasyonda saklanması ve mümkünse zaman damgalı (timestamping) imza eklenmesi şarttır. Sadece syslog yeterli değil; ama hash + rotation prosedürü eklendiğinde tam uyum sağlanır.

Wi-Fi 6 (ax) cihazlara yatırım yapmaya değer mi yoksa Wi-Fi 5 yeterli mi?

2026 perspektifinde tartışmasız Wi-Fi 6’ya yatırım yapın. Hem cihaz başına maliyet eşitlendi, hem de kalabalık ortamda (kafe, ofis open space) ax cihazlarının OFDMA özelliği gerçek dünyada hissedilir fark yaratır. MikroTik tarafında hAP ax2, hAP ax3, cAP ax, wAP ax cihazları olgun ürünler olarak satışta.

Tek bir CCR mi alayım yoksa iki adet RB4011 ile yedekli mi gideyim?

Bu karar, kesinti toleransınıza bağlıdır. Kesintinin işletmeye saatlik maliyeti yüksekse (örneğin bir restoranın POS sisteminin durması), yedekli yapı şarttır. Maliyet az ise tek CCR + saatlik yedekli yapı yeterli olabilir. RB4011 ikilisi, CARP/VRRP ile birlikte tek CCR2004’ten daha yüksek erişilebilirlik sağlar ve maliyet açısından da rekabetçidir.

Sonuç ve İlgili Rehberler

KOBİ ölçeğinde ağ altyapısı tasarımı; bir defaya mahsus alınan bir karar değil, sürekli geliştirilen bir disiplindir. Bu rehberde paylaştığımız çerçeve; sıfırdan kurulum yapan da, mevcut altyapısını yenileyen de, tedarikçi seçimi yapan da kullanabilir. MikroTik ekosisteminin gücü; tek bir cihaz ailesinde küçük kafeden orta ölçekli otele kadar tutarlı bir teknoloji yığınını sürdürebilmenizdir. Bu, hem kazandığınız tecrübenin değerini korur, hem de büyürken altyapı parçalanmaz.

Üç temel pratik öneriyle bitirelim: 5651 uyumunu birinci günden ciddiye alın, VLAN segmentasyonunu mimarinin temeli yapın, izleme ve yedeği “olursa iyi olur” değil “kurulumun parçası” olarak ele alın. Bu üç ilke, sahada gördüğüm en başarılı KOBİ ağlarının ortak DNA’sıdır.

İleriye doğru öğrenmeye devam etmek isterseniz, blogumuzdaki diğer pillar rehberlerimizi inceleyebilirsiniz: yapılandırma ve operasyonel pratikler için MikroTik DevOps ve Otomasyon Rehberi, scripting, CHR, VPN mesh ve sıfır güven mimarisi gibi orta-ileri düzey teknik konuları derinlemesine ele alıyor.