VLAN
VLAN lar deg dele ett fysisk nettverk i flere logiske soner – uten ekstra kabler eller utstyr. Alt du trenger er en managed switch og en brannmur med VLAN-støtte. Tre VLAN-er (servere, klienter, gjest) gir de fleste SMB-er et vesentlig bedre sikkerhetsnivå.
De fleste SMB-er kjører alt på ett flatt nettverk: servere, PC-er, skrivere, IP-kameraer og gjestetrådløst – alt i samme subnett. Det betyr at en kompromittert gjeste-PC teoretisk kan nå filserveren. VLAN løser dette uten å trekke nye kabler.
Hva er et VLAN
VLAN (Virtual LAN) er definert i IEEE 802.1Q-standarden. Hver nettverkspakke får en VLAN-tag (4 byte) som forteller switchen hvilken sone pakken tilhører. Enheter i ulike VLAN-er kan ikke kommunisere direkte – trafikken må gå via en ruter eller brannmur som bestemmer hva som er lov. Det finnes to måter å rute mellom VLAN-er: en brannmur med VLAN-subinterfaces (kalt «router-on-a-stick», typisk 1–5 ms latens), eller en Layer 3-switch som ruter i maskinvare (under 1 ms). For de fleste SMB-er er brannmur-løsningen enklest og gir både ruting og sikkerhet i én boks.
VLAN-ID-er går fra 1 til 4 094. VLAN 1 er standard (default) på de fleste switcher – og bør unngås for data fordi den også brukes til administrasjonstrafikk internt i switchen.
To begreper er viktige:
- Tagged (trunk): Pakken bærer VLAN-ID-en i headeren. Brukes mellom switcher og mellom switch og brannmur/ruter.
- Untagged (access): Pakken har ingen VLAN-tag. Brukes mot sluttenheter (PC, skriver, kamera) som ikke vet om VLAN.
Hvorfor segmentere
Sikkerhet: En kompromittert IoT-enhet (kamera, skriver) kan ikke nå filserveren hvis de er på ulike VLAN-er med brannmurregler mellom. Riktig segmentering reduserer spredning av ransomware og lateral bevegelse i nettverket.
Ytelse: Hvert VLAN er et eget broadcast-domene. Det betyr at broadcast-pakker (ARP, DHCP) bare når enhetene i samme VLAN – ikke hele nettverket. For nettverk med 50+ enheter gjør dette merkbar forskjell.
Orden: VLAN tvinger deg til å tenke gjennom nettverksstrukturen. Hvilke enheter henger sammen? Hvem trenger tilgang til hva? Resultatet er et ryddigere og enklere nettverk å feilsøke.
Hva trenger du
To ting er påkrevd:
- Managed switch med 802.1Q VLAN-støtte. En web-managed switch er nok for de fleste SMB-er. Uadministrerte switcher støtter ikke VLAN.
- Ruter eller brannmur som kan opprette VLAN-grensesnitt (subinterfaces). pfSense, OPNsense, Ubiquiti USG eller en Layer 3-switch dekker behovet.
Eksisterende kabler og porter gjenbrukes. Du trenger ikke kjøpe nye kabler – VLAN er en logisk oppdeling som skjer i programvaren.
Planlegg VLAN-strukturen
Start enkelt. Tre til fem VLAN-er dekker de fleste SMB-er:
| VLAN ID | Navn | Subnett | Innhold |
|---|---|---|---|
| 10 | Administrasjon | 192.168.10.0/24 | Switch, AP, brannmur |
| 20 | Servere | 192.168.20.0/24 | Filserver, database, backup |
| 30 | Klienter | 192.168.30.0/24 | PC-er, skrivere |
| 40 | IoT | 192.168.40.0/24 | Kameraer, sensorer |
| 50 | Gjest | 192.168.50.0/24 | Gjestetrådløst |
Bruk tredje oktett som VLAN-ID: VLAN 10 = 192.168.10.0/24, VLAN 20 = 192.168.20.0/24. Da er det alltid tydelig hvilket VLAN en IP-adresse tilhører.
Konfigurasjon steg for steg
Eksempel med pfSense og en managed switch:
1. På switchen:
- Opprett VLAN 10, 20 og 30 i switch-grensesnittet.
- Sett porten mot pfSense som trunk: alle VLAN-er tagged.
- Sett portene mot sluttenheter som access: ett VLAN per port, untagged.
2. På pfSense:
- Interfaces > Assignments > VLANs – opprett VLAN 10, 20, 30 på LAN-interfacet.
- Interfaces > Assignments – tilordne hvert VLAN til et grensesnitt.
- Aktiver hvert grensesnitt og sett gateway-IP (f.eks. 192.168.10.1 for VLAN 10).
- Services > DHCP Server – aktiver DHCP per VLAN med riktig adresseområde.
- Firewall > Rules – legg til regler per VLAN. Start med å blokkere alt mellom VLAN-er, og åpne bare det som trengs.
3. Test: Koble en PC til en access-port i VLAN 30. Sjekk at den får IP fra riktig DHCP-område og kan nå internett, men ikke serverne i VLAN 20 (med mindre du har tillatt det i brannmurreglene).
Vanlige feil
VLAN mangler på trunk: Hvis du oppretter et nytt VLAN men glemmer å legge det til som tagged på trunk-porten, når trafikken aldri brannmuren. Alltid sjekk trunk-konfigurasjonen når du legger til et VLAN.
VLAN 1 til data: VLAN 1 er standard på alle switcher og brukes internt til administrasjon (CDP, STP). Bruk den aldri for vanlig datatrafikk. Flytt alle porter til egne VLAN-er og la VLAN 1 være tom.
Feil native VLAN: Trunk-porter har et «native VLAN» – det er VLAN-et som brukes for untagged trafikk. Sørg for at native VLAN stemmer overens i begge ender av trunken. Mismatch gir mystiske tilkoblingsproblemer.
Manglende IP-planlegging: Hvert VLAN trenger et eget subnett. Overlappende subnett gjør at ruting feiler. Planlegg subnettene før du begynner å konfigurere.
DHCP fungerer ikke i nytt VLAN: DHCP-broadcast stopper ved VLAN-grensen. Hvis DHCP-serveren din er sentralisert (f.eks. på en Windows Server), trenger du DHCP relay (også kalt IP helper) på ruteren/brannmuren for å videresende DHCP-forespørsler. I pfSense konfigurerer du enten DHCP-server per VLAN-grensesnitt, eller setter opp DHCP relay under Services > DHCP Relay.
Tror VLAN er brannmur: VLAN segmenterer på Layer 2 – det hindrer direkte kommunikasjon. Men uten brannmurregler på ruteren/brannmuren kan trafikk fortsatt rutes mellom VLAN-er. VLAN + brannmurregler = sikkerhet. VLAN alene = orden, men ikke sikkerhet.
Trunk-porter mot sluttenheter: Sett aldri en trunk-port mot en PC eller annen sluttenhet. Trunk-porter bør kun gå mot switcher, brannmurer og servere som faktisk trenger tilgang til flere VLAN-er. En feilkonfigurert trunk kan utsette nettverket for VLAN hopping-angrep (switch spoofing og double tagging) – der en angriper sender trafikk inn i VLAN-er den ikke hører til.
Ofte stilte spørsmål
Trenger jeg en dyr switch for VLAN?
Nei. Selv rimelige web-managed switcher (TP-Link, Netgear, Zyxel) støtter 802.1Q VLAN. Du trenger ikke fullt administrerte switcher med CLI – et webgrensesnitt er nok for de fleste SMB-er.
Hvor mange VLAN-er bør jeg ha?
Start med 3–5. Administrasjon, servere, klienter og gjest er et godt utgangspunkt. Du kan alltid legge til flere senere. For mange VLAN-er fra starten gjør det bare vanskeligere å holde oversikt.
Kan jeg bruke VLAN over trådløst?
Ja. De fleste enterprise-aksesspunkter (Ubiquiti, Aruba, Ruckus) kan knytte ulike SSID-er til ulike VLAN-er. Ett SSID for ansatte (VLAN 30) og ett for gjester (VLAN 50) er vanlig.
Påvirker VLAN ytelsen?
Minimalt. VLAN-tagging legger til 4 byte per pakke – umerkelig. Inter-VLAN-ruting via brannmur kan gi 1–5 ms ekstra latens. Med en Layer 3-switch går rutingen i maskinvare og gir under 1 ms.
Hva skjer med trafikk mellom VLAN-er?
Den må gå via ruteren/brannmuren. pfSense ruter mellom VLAN-er som standard – men brannmurregler bestemmer hva som slipper gjennom. Uten regler er alt blokkert på nye VLAN-grensesnitt i pfSense.
Kan jeg ha uadministrerte switcher bak en VLAN-trunk?
Ja, men bare på access-porter. En uadministrert switch koblet til en access-port arver det VLAN-et porten er satt til. Alle enheter bak den uadministrerte switchen havner i samme VLAN.
Hva er forskjellen på trunk og access?
En trunk-port bærer trafikk for flere VLAN-er (tagged). En access-port bærer trafikk for ett VLAN (untagged). Trunk brukes mellom switcher og mot brannmur/ruter. Access brukes mot sluttenheter.
Neste steg
Begynn med tre VLAN-er: servere, klienter og gjest. Sett opp trunk-porten mot brannmuren og access-porter for hver sone. Test at klienter får internett men ikke når serverne uten godkjente brannmurregler. Når det fungerer, legg til IoT-VLAN og administrasjons-VLAN etter behov.