W dobie rosnącej liczby urządzeń podłączonych do sieci firmowej (IoT, BYOD, kamery IP, telefony VoIP, drukarki), płaska struktura sieci – w której wszystko siedzi w jednej podsieci – staje się poważnym ryzykiem. Jedna zainfekowana stacja jest w stanie „zobaczyć” każde inne urządzenie w LAN. Segmentacja VLAN (Virtual Local Area Network) to nie tylko dobra praktyka – to konieczność audytowa i operacyjna.
Czym jest VLAN i jak działa?
VLAN pozwala logicznie podzielić jedną fizyczną sieć na mniejsze, odizolowane od siebie podsieci. Każdy VLAN ma własny identyfikator (VLAN ID, 1–4094) i własną domenę rozgłoszeniową. Komunikacja między VLAN-ami odbywa się wyłącznie przez router lub switch warstwy 3, gdzie można nałożyć polityki firewall.
W praktyce na switch'u konfiguruje się porty access (przypisane do jednego VLAN-u, do których podłącza się urządzenia końcowe) i porty trunk (przenoszące wiele VLAN-ów jednocześnie – np. między switchami albo na router). Standardem znakowania ramek jest IEEE 802.1Q.
Typowy podział VLAN w małej firmie
Sprawdzony układ, który stosujemy w większości projektów, to 5–7 stref zaufania:
- VLAN 10 – Management (192.168.10.0/24) – dostęp administracyjny do switchy, AP, firewalla. Bez dostępu do internetu.
- VLAN 20 – Staff (192.168.20.0/24) – komputery pracowników, drukarki sieciowe.
- VLAN 30 – VoIP (192.168.30.0/24) – telefony IP, centrala (np. FreePBX). Wymaga QoS i nielimitowanego MTU.
- VLAN 40 – Guest (192.168.40.0/24) – Wi-Fi dla klientów. Tylko wyjście do internetu, izolacja od wszystkiego innego.
- VLAN 50 – IoT / kamery (192.168.50.0/24) – kamery IP, czujniki, smart-urządzenia. Wyjście tylko na NVR i ewentualnie chmurę producenta.
- VLAN 99 – Servers (192.168.99.0/24) – NAS, serwery aplikacyjne, kontroler domeny.
Reguły firewall między VLAN-ami zapisuje się w stylu „Staff → Servers: tak, ale tylko porty 80/443/445”, „IoT → cokolwiek: NIE poza NTP/DNS”, „Guest → LAN: zakaz”. Po szczegóły, jak to skonfigurować w 2026 r., zobacz nasz poradnik firewall dla małej firmy.
Kluczowe korzyści segmentacji
- Bezpieczeństwo: ograniczenie rozprzestrzeniania się malware'u. Jeśli komputer gościa zostanie zainfekowany, zagrożenie pozostaje w VLAN-ie Guest. Ransomware nie ma jak skanować portów na NAS-ie czy serwerach.
- Wydajność: mniejsza domena rozgłoszeniowa = mniej szumu broadcast/multicast w sieci. ARP, DHCP, mDNS, SSDP – wszystko przestaje „hałasować” po całym LAN-ie.
- Zgodność i audyt: przy NIS2 i RODO konieczne jest udokumentowanie kto ma dostęp do jakich danych. VLAN + reguły firewall to twardy dowód kontroli dostępu.
- QoS i priorytetyzacja: łatwo nadać priorytet ruchowi VoIP albo backupom, gdy znamy źródłowy VLAN.
Najczęstsze błędy
- VLAN 1 jako produkcyjny. Domyślny VLAN 1 jest aktywny na każdym porcie z fabrycznej konfiguracji. Trzymanie tam czegokolwiek to luka audytowa – przesuń wszystko na nazwane VLAN-y.
- Brak izolacji portów w VLAN Guest. Bez private VLAN (port isolation) goście widzą się nawzajem – co umożliwia atak peer-to-peer w hotelu czy kawiarni.
- Inter-VLAN routing „na dziko”. Włączenie routingu między VLAN-ami bez polityk firewall = wróciliśmy do płaskiej sieci, tylko z dodatkową komplikacją.
- Trunk na porcie końcowym. Trunk z wszystkimi VLAN-ami wystawiony do biurka pracownika to potencjalna ścieżka eskalacji uprawnień.
Jak to wdrażamy w LM Networks
Projektujemy sieci z podziałem na strefy zaufania (Management, Staff, Guest, IoT, VoIP, Servers) i konfigurujemy reguły firewall między VLAN-ami w stylu deny-by-default. Komunikacja istnieje tylko tam, gdzie jest uzasadniona biznesowo – nigdzie więcej. Każda zmiana topologii idzie najpierw na środowisko R&D, dopiero potem na produkcję.
Jeśli budujesz nową sieć od zera albo porządkujesz zastany bałagan, zobacz przykład poprawnej infrastruktury sieciowej dla małej firmy z gotowym schematem VLAN-ów i zasadami segmentacji.