IPv6’ya geçince NAT’tan tamamen kurtulacak mıyım?

Çoğu senaryoda evet, çünkü IPv6’ta adres kıtlığı olmadığı için “her şeyi tek IP’ye sıkıştırma” ihtiyacı azalır. Ama bu, güvenliğin otomatik geldiği anlamına gelmez; NAT yerine düzgün bir stateful firewall kural setiyle erişimi kontrollü açıp kapatman gerekir. Ayrıca IPv6 istemcilerin IPv4 servislere erişmesi gerekiyorsa NAT64 gibi çeviri çözümleri yine devreye girebilir.

IPv6 adresleri neden bu kadar uzun ve :: kısaltması tam olarak ne yapıyor?

IPv6 128 bit olduğu için yazımı doğal olarak uzuyor; bunun karşılığında adres alanı “pratikte tükenmez” hale geliyor. :: kısaltması, ardışık sıfır gruplarını tek seferde kısaltmaya yarar; yani adresin anlamını değiştirmez, sadece daha okunur hale getirir. Bir de baştaki gereksiz sıfırlar çoğu zaman yazımda atlanır.

/64 neden bu kadar “standart” ve her yerde /64 vermek zorunda mıyım?

/64 özellikle istemci ağlarında çok yaygındır çünkü birçok istemci 64 bit arayüz kimliği varsayımıyla daha sorunsuz otomatik adres üretir. “Her yerde /64 şart” diye düşünme; örneğin router arası nokta-nokta linklerde sıkça /127 kullanılır. Önemli olan, IPv6’ta host sayısı hesabından çok düzenli ve sürdürülebilir prefix planlama mantığıyla ilerlemek.

IPv6 başlığında checksum olmaması sorun çıkarmaz mı?

İlk bakışta “eksik güvenlik” gibi duruyor ama pratikte tasarım başka katmanlara dayanıyor. Link katmanı hatayı yakalayabilir, TCP/UDP gibi üst katmanlar da kendi kontrol mekanizmalarını zaten işletir. IPv6’ta amaç, temel başlığı sade ve sabit tutup ihtiyaç olursa extension header ile genişletmektir.

IPv6’ta MTU sorunu yaşayınca neden bazı siteler açılıyor da bazıları takılı kalıyor?

IPv6’ta router yolda parçalama yapmadığı için paket büyükse düşürür ve “Packet Too Big” gibi ICMPv6 mesajlarıyla kaynağı bilgilendirir. Eğer ICMPv6’ı tamamen engellediysen, kaynak cihaz doğru MTU’ya inemez ve bağlantı garip şekilde “yarım çalışır” hale gelir. Özellikle VPN/tünel gibi MTU’yu düşüren yerlerde bu durum çok daha görünür olur.

ICMPv6’yı kapatmak gerçekten kötü fikir mi, güvenlik için kapatsam olmaz mı?

ICMPv6 IPv6’ta “gereksiz gürültü” değil, kontrol trafiğinin kritik parçasıdır. Tamamen kapatırsan Path MTU Discovery gibi mekanizmalar kırılabilir ve teşhis zorlaşır. Daha iyi yaklaşım, ICMPv6’yı körlemesine engellemek yerine gerekli türleri bilinçli kurallarla izinli tutmaktır.

IPv6’ta broadcast yoksa cihazlar birbirini nasıl buluyor?

IPv4’te ARP çoğu zaman broadcast ile çalışırken, IPv6’ta broadcast yerine multicast yaklaşımı var ve komşu keşfi Neighbor Discovery (ND) ile yapılıyor. ND, ICMPv6 mesajları üzerinden adres çözümleme ve router keşfi gibi işleri yürütür. Bu verimli bir tasarım ama sahte Router Advertisement (RA) gibi suistimallere karşı RA Guard gibi önlemler de düşünülmelidir.

SLAAC mı DHCPv6 mı seçmeliyim, ikisini birlikte kullanmak mantıklı mı?

SLAAC hızlı ve dağıtık bir yöntemdir; istemci RA ile prefix’i görür ve kendi adresini üretir. DHCPv6 ise daha merkezi ve politika/enzanter tarafında daha yönetilebilir hissettirebilir. Sahada sık görülen hibrit model de var: adres SLAAC ile gelir, DNS gibi ek bilgiler DHCPv6 üzerinden verilir; böylece hem hız hem yönetim dengesi yakalanır.

IPv6 otomatik olarak daha güvenli mi, yoksa “açınca rahatlarız” mı?

IPv6 tek başına otomatik olarak daha güvenli değildir; güvenlik doğru kural setiyle gelir. Dual stack çalışıyorsan iki protokol de üretimdedir ve iki ayrı kural seti gerekir; IPv4 sıkı, IPv6 gevşek kalırsa risk büyür. Bir de istemciler fark etmeden IPv6 alıyor mu, firewall ve izleme tarafı buna hazır mı gibi kontrolleri baştan yapmak çok işe yarar.

Geçişte dual stack mi daha iyi, yoksa NAT64/DNS64 ve 464XLAT gibi çözümler mi?

Dual stack en uyumlu modeldir; IPv4 ve IPv6 aynı anda çalışır ama operasyon yükü artar çünkü iki dünyayı da yönetirsin. IPv6 ağı üzerinde IPv4 servislere erişmek için NAT64 ve DNS64 ikilisi sık kullanılır; özellikle “IPv6 öncelikli” tasarımlarda pratik olur. 464XLAT ise daha çok mobil tarafta, bazı uygulamalar hâlâ IPv4 beklediğinde uyumluluk için devreye giren bir yaklaşımdır.

IPv4 ve IPv6 Arasındaki Farklar

IPv4 ve IPv6 arasındaki farklar, ağın nasıl tasarlandığını ve nasıl işletildiğini doğrudan etkiler. IPv4 tarafında adres kıtlığı planlamayı belirler. IPv6’ta ise daha düzenli bir yapı ve ölçeklenebilirlik öne çıkar.

IPv4, 32 bitlik adres alanıyla ortaya çıktı ve bu alan bugünün cihaz sayısı için artık oldukça dar. IPv6 ise 128 bit adres alanı sunar ve bu da adres baskısını ciddi şekilde azaltır.

Asıl fark, günlük operasyon detaylarında kendini gösterir. NAT ihtiyacı, paket başlığının davranışı, MTU kaynaklı sorunlar ve otomatik yapılandırma yaklaşımları işleri değiştirir. Üstüne bir de geçiş yöntemleri eklenince tablo tamamlanır.

Adres Uzayı ve Yazım Biçimi

IPv4, 32 bit adres kullanır. Bu da teorik olarak yaklaşık 4,29 milyar adres demektir. IPv6 ise 128 bit adres kullanır ve adres havuzu pratikte tükenmeyecek kadar büyüktür.

IPv4 adresleri noktalı biçimde yazılır, örneğin 203.0.113.25. IPv6 adresleri ise onaltılık gruplarla yazılır, örneğin 2001:db8:12ab:34cd::1. IPv6’ta :: ifadesi, ardışık sıfır gruplarını kısaltmak için kullanılır.

IPv4 örnek: 192.168.1.10
IPv6 örnek: 2001:db8:12ab:34cd::1
IPv6’ta gereksiz sıfırlar yazımda atlanabilir.

Özel ve Genel Adresler, NAT Neden Yaygın

NAT, Network Address Translation yani adres çevirisi demektir. IPv4’te özel adresler internet üzerinde yönlendirilmez. Bu yüzden ev ve ofis ağlarında NAT neredeyse standart hale gelmiştir.

Şöyle düşün: içeride 192.168.1.0/24 ağı var, dışarıda ise tek bir genel IPv4 adresi bulunuyor. Modem ya da router, içerideki oturumları portlara göre eşleştirerek dışarıya çıkarır.

Bu yöntem iş görür ama bazı yan etkileri de vardır. Port yönlendirme ihtiyacı ortaya çıkar. Bazı gerçek zamanlı uygulamalar daha hassas hale gelir. Loglarda “tek IP” görmek de teşhisi zorlaştırabilir.

IPv6’ta NAT zorunlu değildir çünkü adres bol olur. Uçtan uca erişim teknik olarak daha mümkün hale gelir. Buradaki güvenlik, adres kıtlığından değil, doğru firewall politikalarından gelir.

IPv4’te yaygın düzen: özel IP, dışarıda tek genel IP
IPv6’ta yaygın hedef: cihaza global adres, erişime kontrollü izin
Pratik fark: daha az çeviri, daha şeffaf bağlantı teşhisi

Prefix Planlama ve /64 Mantığı

Prefix, IPv6 adresinin ağ kısmını ifade eder. IPv4’te maske çoğu zaman host sayısına göre seçilir. IPv6’ta ise düzenli ve sürdürülebilir bölümlendirme çok daha değerli hale gelir.

İstemci ağlarında /64 çok yaygındır. Çünkü birçok istemci 64 bit arayüz kimliği varsayımıyla çalışır. Bu da otomatik adres üretimini daha sorunsuz hale getirir.

Router arası nokta nokta bağlantılarda ise /127 sıkça kullanılır. Buradaki amaç adres tasarrufu değil, linki daha net hale getirmek ve gereksiz komşu trafiğini azaltmaktır.

İstemci VLAN’ı: çoğu zaman /64
Router arası link: sıkça /127
Kurumsal plan: lokasyon ve katmanlara göre prefix bölmek

Paket Başlığı Neyi Değiştirir?

IPv4 başlığı değişken uzunlukta olabilir ve opsiyon alanlarıyla genişleyebilir. IPv6’nın temel başlığı ise sabit uzunluktadır.

IPv4 başlığında checksum alanı bulunur ve paket her atlamada yeniden hesaplanır. IPv6 temel başlığında ise checksum yoktur.

Bunun nedeni, hata kontrolünün zaten başka katmanlarda yapılmasıdır. Link katmanı hatayı yakalayabilir. TCP ve UDP gibi üst katmanlar da ayrıca kontrol sağlar.

IPv6’ta ek özellikler extension header ile taşınır. Yani ihtiyaç varsa ek başlıklar eklenir, ama temel başlık sade kalır.

IPv4: değişken başlık, checksum, daha fazla tarihsel yük
IPv6: sabit başlık, extension header ile genişleme
Sahadaki etki: donanım ve yönlendirme kalitesi belirleyicidir

MTU ve Parçalama Nasıl Çalışır?

MTU, Maximum Transmission Unit yani tek parça taşınabilen en büyük paket boyutudur. IPv4’te router bazı durumlarda parçalama yapabilir.

IPv6’ta ise router yolda parçalama yapmaz. Paket büyükse paketi düşürür ve ICMPv6 ile bilgi verir. ICMPv6, IPv6’ın kontrol mesajlarıdır ve kritik bir rol oynar.

Bu durumda kaynak cihaz paketi küçültür ve yeniden gönderir. Süreç Path MTU Discovery ile ilerler. Burada en sık yapılan hata, ICMPv6 trafiğini tamamen engellemektir.

Küçük bir senaryo: VPN tüneli MTU’yu düşürdü, ICMPv6 da engellendi. Bazı siteler açılırken bazıları sürekli yüklenir. Sorun çoğu zaman “Packet Too Big” mesajının karşı tarafa ulaşamamasıdır.

IPv4: bazı yollarda router parçalama görülebilir
IPv6: parçalama kaynağın işidir, router parçalamaz
Sağlam yaklaşım: ICMPv6’yı bilinçli kurallarla yönetmek

Broadcast Neden Yok, Neighbor Discovery Ne Yapar?

IPv4’te ARP ile IP adresi MAC adresine çevrilir. ARP çoğu zaman broadcast kullanır. Broadcast, aynı ağdaki herkese seslenmek gibi düşünülebilir.

IPv6’ta broadcast yoktur. Bunun yerine multicast kullanılır. Komşu keşfi ise Neighbor Discovery, yani ND ile yapılır.

ND, ICMPv6 mesajları üzerinden çalışır. Komşu adres çözümleme yapar, router keşfi de bu mekanizmanın bir parçasıdır.

Bu tasarım daha verimli olsa da güvenlik tarafında dikkat ister. Sahte Router Advertisement yani RA mesajları sorun çıkarabilir. Switch tarafında RA Guard gibi önlemler bu yüzden önemlidir.

IPv4: ARP ve broadcast daha görünür
IPv6: multicast ve ND daha merkezi rol üstlenir
Mini risk: sahte RA, trafiği yanlış ağ geçidine taşıyabilir

SLAAC ve DHCPv6 Birlikte Nasıl Kullanılır?

SLAAC, Stateless Address Autoconfiguration yani durum tutmadan otomatik adres yapılandırma demektir. Cihazın kendi adresini üretmesini sağlar. Router ise RA mesajıyla prefix’i duyurur.

İstemci bu prefix ile adresini oluşturur. Bu yaklaşım hızlı ve dağıtıktır. DHCPv6 ise daha merkezi bir yapı sunar.

Kurumsal ağlarda envanter ve politika yönetimi öne çıkar. Bu noktada DHCPv6 daha rahat bir yönetim sağlayabilir. Bazı tasarımlarda ise ikisi birlikte kullanılır.

Örnek bir düzen: adres SLAAC ile gelir, DNS sunucusu gibi ek bilgiler DHCPv6 üzerinden verilir. Böylece istemci hızlıca adres alır, yönetim tarafı da kontrolü kaybetmez.

Gizlilik uzantıları da unutulmamalıdır. Bazı istemciler geçici IPv6 adresleri üretebilir. Bu da log takibini ve kimlik eşlemesini etkileyebilir.

SLAAC: hızlı, dağıtık, istemci odaklı
DHCPv6: yönetilebilir, politika odaklı
Pratik detay: geçici adresler izlemeyi zorlaştırabilir

IPv6 Daha Güvenli mi?

IPv6, tek başına otomatik olarak daha güvenli değildir. Güvenlik, doğru kural setiyle gelir. Yanlış kurulum ise IPv6’ı görünmeyen bir açık kapıya çevirebilir.

IPsec konusu da sık karıştırılır. IPsec hem IPv4 hem IPv6 üzerinde çalışabilir. Günlük şifreleme ihtiyacını ise çoğu zaman TLS karşılar.

Dual stack açıksa iki protokol de üretimdedir. Bu da iki ayrı kural seti anlamına gelir. IPv4 sıkı, IPv6 gevşek kalırsa risk büyür.

Temel kural: IPv6 açıldıysa firewall ve izleme de hazır olmalı
Yerel ağ: RA ve ND suistimallerine karşı önlem alınmalı
Mini kontrol: cihazlar fark etmeden IPv6 alıyor mu, izlenmeli

Dual Stack, NAT64, DNS64 ve 464XLAT

Geçişte en yaygın model dual stack’tir. Aynı ağda IPv4 ve IPv6 birlikte çalışır. Uyumluluk artar, ama operasyon yükü de büyür.

NAT64, IPv6 istemcinin IPv4 sunucuya ulaşmasını sağlayan bir çeviri mekanizmasıdır. DNS64 ise DNS tarafında AAAA üretimini kolaylaştırır. Bu ikili, IPv6 ağı üzerinde IPv4 erişimi sağlar.

464XLAT daha çok mobil ağlarda karşına çıkar. Çünkü bazı uygulamalar hâlâ IPv4 bekler. Bu senaryoda istemci tarafı ve ağ tarafı birlikte çeviri yapar.

Dual stack: en uyumlu yöntem, ama operasyon yükü yüksek
NAT64 ve DNS64: IPv6 üzerinden IPv4 erişimi sağlar
464XLAT: IPv6 odaklı şebekede IPv4 uyumluluğunu destekler

IPv6 Her Zaman Daha Hızlı mı?

IPv6 her zaman daha hızlı değildir. Bazı ağlarda IPv6 yolu daha temiz olabilir ve CGNAT, yani taşıyıcı sınıf NAT yükü azaldığı için performans hissedilir biçimde iyileşebilir.

Ancak bazı ağlarda IPv6 rotası zayıf kalabilir. Peering tercihleri belirleyici olur. DNS davranışı ve MTU ayarları da sonucu etkiler.

Net cevap için ölçüm yapmak gerekir. Aynı serviste IPv4 ve IPv6 gecikmesini kıyaslamak faydalıdır. Paket kaybı ve bağlantı kurma süresi de mutlaka izlenmelidir.

Avantaj senaryosu: CGNAT yok, rota kısa, bağlantı daha stabil
Sorun senaryosu: ICMPv6 kısıtlı, MTU uyumsuz, akış takılır
Pratik adım: önce ölç, sonra ayar değiştir

Neden IPv4 Hâlâ Kullanılıyor?

IPv4 ekosistemi çok büyük. Eski cihazlar ve eski yazılımlar IPv4’e bağımlı kalabiliyor. Bazı kurumlarda ise IPv6 operasyonu henüz tam olgunlaşmış değil.

Öte yandan IPv6 birçok servis sağlayıcıda aktif. Büyük platformlar da IPv6 trafiği taşıyor. Yine de iki protokolün bir süre daha birlikte yaşaması gayet normal.

En rahat yaklaşım, IPv6’ı stabil hale getirip IPv4 bağımlılığını kademeli olarak azaltmaktır. Böylece NAT zincirleri azalır ve adres planı daha düzenli ilerler.

Kurumsal gerçek: bazı kritik sistemler IPv4’e kilitli kalabilir
Operasyon gerçeği: ekipler IPv6 izleme ve güvenliği oturtmak ister
Hedef: IPv6’ı ana yol yapmak, IPv4’ü kontrollü taşımak

IPv6 Geçişinde En Yaygın Hatalar

IPv6 açıldıktan sonra problemler çoğu zaman doğrudan kesinti gibi görünmez. Bazı uygulamalar yavaşlar, bazıları ara ara takılır. Bu yüzden ilk teşhis de kolayca şaşabilir.

En sık hata, ICMPv6’yı gereksiz şekilde engellemektir. ICMPv6, IPv6’ın kontrol trafiğidir. “Packet Too Big” mesajı gelmezse MTU sorunları gizli kalır.

DNS de beklenmedik sürprizler çıkarabilir. AAAA kaydı yayınlanınca istemci IPv6’ı seçer. Eğer IPv6 rotası zayıfsa gecikme bir anda artabilir.

ICMPv6: tamamen kapatma, gerekli türleri izinli tut
MTU: tünel ve VPN hatlarında efektif MTU’yu ölç
DNS: AAAA kayıtlarını ve split DNS varsa iki tarafı doğrula
Firewall: IPv4’teki niyeti IPv6’a da taşı, simetriyi koru
ND ve RA: istemci ağlarında sahte RA riskini azalt
Uygulamalar: literal IPv4 kullanan noktaları tespit et

IPv6 Geçişi Nasıl Daha Rahat Yönetilir?

En temiz geçiş, her şeyi tek günde açmakla olmaz. Temeli sağlam kurup trafiği adım adım taşımak genelde daha güvenlidir. Böylece bir arıza çıkarsa sebebini bulmak da daha kolaylaşır.

Dual stack kullanıyorsan iki protokol de üretimdedir. Bu da iki ayrı görünürlük ihtiyacı demektir. İzleme ve loglama tarafı en baştan hazır olmalıdır.

Adres planı: istemci ağlarında /64 ile düzeni koru
Yönlendirme: IPv6 gidiş ve dönüş yolunu birlikte doğrula
Güvenlik: IPv4 politikalarını IPv6 için de eşle
DNS: AAAA kayıtlarını önce pilot servislerde aç
Test: IPv6, IPv4 ve çeviri senaryolarını ayrı doğrula
Yayılım: pilot ağdan büyüt, her adımda ölçümle ilerle

Ağ Tasarımında Net Bir Bakış

IPv4 ve IPv6 farkını net bilmek, karar almayı hızlandırır. NAT ihtiyacı, adres planı ve güvenlik kurgusu daha belirgin hale gelir. Arıza anında da hangi katmana bakacağını daha rahat bilirsin.

IPv6 adres bolluğu sunar ama disiplini ortadan kaldırmaz. Firewall, izleme, DNS ve MTU yönetimi hâlâ kritik konulardır. Sağlam bir kurgu, iki protokolde de aynı özeni ister.

Doğru tasarımda IPv6, ek bir yük gibi durmaz. Daha temiz bir adresleme ve daha açık bir teşhis akışı sağlar. Günlük işletimde en çok bu rahatlık hissedilir.

Güncelleme Tarihi: 25.12.2025 00:42