====== VLAN (Virtual Local Area Network) ====== **VLAN** je technologie, která umožňuje logicky rozdělit jednu fyzickou síťovou infrastrukturu (přepínače a kabely) na několik nezávislých virtuálních sítí. Zařízení v různých VLAN spolu nemohou přímo komunikovat, i když jsou zapojena do stejného fyzického přepínače, což zvyšuje bezpečnost a snižuje nežádoucí síťový provoz. ===== Proč používáme VLAN? ===== V rámci naší **[[ZIF|digitální infrastruktury]]** plní VLAN několik zásadních funkcí: * **Bezpečnost:** Oddělení citlivých dat (např. účetnictví) od veřejně přístupných sítí (např. Wi-Fi pro hosty). * **Výkon:** Omezení tzv. broadcastových bouří. Síťový provoz je držen pouze v rámci dané skupiny, což šetří kapacitu pro aplikace jako **[[VTC]]**. * **Organizace:** Zaměstnanci mohou být v jedné síti na základě oddělení (**[[Marketingové oddělení|Marketing]]**, **[[Vývojový tým|Vývoj]]**), i když sedí v různých patrech budovy. ===== Naše standardní VLAN schéma ===== Pro přehlednost a snadnou správu ze strany **[[IT Podpora|IT oddělení]]** používáme následující rozdělení: ^ ID ^ Název ^ Účel ^ | **10** | Management | Správa síťových prvků a serverů. | | **20** | Data-Corp | Standardní pracovní stanice a přístup k **[[Jira]]**. | | **30** | Voice-VoIP | Vyhrazeno pro **[[VoIP]]** telefony (vysoká priorita). | | **40** | IoT-Net | Izolovaná síť pro senzory a **[[IoT zařízení]]**. | | **50** | Guest-Wifi | Časově omezený přístup k internetu pro návštěvy. | ===== Technické principy ===== Většina našich VLAN funguje na standardu **IEEE 802.1Q**, který využívá tzv. **Tagging**: * **Tagging:** Do hlavičky každého ethernetového rámce je přidána značka (ID), která říká, do které VLAN rámec patří. * **Trunk Port:** Speciální port na přepínači, který dokáže přenášet provoz více VLAN najednou (typicky propojení mezi přepínači nebo k routeru s **[[VRRP]]**). * **Access Port:** Port určený pro koncové zařízení (PC, tiskárna), které o existenci VLAN neví. ===== Propojení a směrování ===== Protože jsou VLAN od sebe izolované, pro komunikaci mezi nimi (např. tisk z pracovní sítě do sítě tiskáren) je nutný směrovač (router) nebo Layer 3 přepínač. * V našich pobočkách toto zajišťuje **[[SD-WAN]]** brána, která aplikuje bezpečnostní pravidla mezi jednotlivými segmenty. * Pro rozsáhlé sítě s mnoha VLAN používáme technologii **[[VXLAN]]**, která umožňuje přenášet VLAN tagy skrze celou naši **[[WAN]]**. ===== Bezpečnostní doporučení ===== V rámci **[[Kybernetická bezpečnost|kybernetické bezpečnosti]]** dodržujeme: 1. **VLAN 1:** Nikdy nepoužíváme výchozí VLAN 1 pro uživatelský provoz (riziko útoku VLAN Hopping). 2. **Nepoužité porty:** Všechny nepoužívané porty na switchích jsou standardně vypnuty a přiřazeny do "mrtvé" VLAN bez přístupu kamkoliv. 3. **Dynamické přiřazení:** Pomocí standardu 802.1X automaticky zařadíme uživatele do správné VLAN podle jeho přihlašovacích údajů. > **Tip pro správce:** Při potížích s konektivitou u **[[IoT zařízení]]** nejprve prověřte, zda je port na switchi správně nakonfigurován pro příslušné ID VLAN. --- **Související stránky:** [[ZIF]], [[VoIP]], [[IoT zařízení]], [[WAN]], [[SD-WAN]], [[Kybernetická bezpečnost]], [[VXLAN]]