VLAN je technologie, která umožňuje logicky rozdělit jednu fyzickou síťovou infrastrukturu (přepínače a kabely) na několik nezávislých virtuálních sítí. Zařízení v různých VLAN spolu nemohou přímo komunikovat, i když jsou zapojena do stejného fyzického přepínače, což zvyšuje bezpečnost a snižuje nežádoucí síťový provoz.
V rámci naší digitální infrastruktury plní VLAN několik zásadních funkcí:
Pro přehlednost a snadnou správu ze strany IT oddělení používáme následující rozdělení:
| ID | Název | Účel |
|---|---|---|
| 10 | Management | Správa síťových prvků a serverů. |
| 20 | Data-Corp | Standardní pracovní stanice a přístup k Jira. |
| 30 | Voice-VoIP | Vyhrazeno pro VoIP telefony (vysoká priorita). |
| 40 | IoT-Net | Izolovaná síť pro senzory a IoT zařízení. |
| 50 | Guest-Wifi | Časově omezený přístup k internetu pro návštěvy. |
Většina našich VLAN funguje na standardu IEEE 802.1Q, který využívá tzv. Tagging:
Protože jsou VLAN od sebe izolované, pro komunikaci mezi nimi (např. tisk z pracovní sítě do sítě tiskáren) je nutný směrovač (router) nebo Layer 3 přepínač.
V rámci kybernetické bezpečnosti dodržujeme:
1. **VLAN 1:** Nikdy nepoužíváme výchozí VLAN 1 pro uživatelský provoz (riziko útoku VLAN Hopping). 2. **Nepoužité porty:** Všechny nepoužívané porty na switchích jsou standardně vypnuty a přiřazeny do "mrtvé" VLAN bez přístupu kamkoliv. 3. **Dynamické přiřazení:** Pomocí standardu 802.1X automaticky zařadíme uživatele do správné VLAN podle jeho přihlašovacích údajů.
Tip pro správce: Při potížích s konektivitou u IoT zařízení nejprve prověřte, zda je port na switchi správně nakonfigurován pro příslušné ID VLAN.
— Související stránky: ZIF, VoIP, IoT zařízení, WAN, SD-WAN, Kybernetická bezpečnost, VXLAN