Hoe werkt een VLAN?
Een goed ingericht kantoornetwerk is opgebouwd met firewalls, switches, access points en bekabelde aansluitingen. In firewalls of routers op jullie netwerk kunnen jullie een netwerkscheiding inbouwen. Denk bijvoorbeeld aan het gastennetwerk. Deze kan niet bij de andere lokale apparaten zoals servers of computers komen door netwerkscheiding op basis van VLAN’s. Dit is fijn omdat kwaadwillende anders dingen stuk kunnen maken of toegang hebben tot vertrouwelijke informatie.
Zie een netwerk als een groot gebouw met verschillende kamers en in elke kamer zit een eigen afdeling (sales, marketing, financieel, etc.). De VLAN’s zorgen ervoor dat de kamers los van elkaar blijven, eigenlijk alsof er virtuele, onzichtbare muren (firewall rules) worden gebouwd. Hiermee kunnen afdelingen apart van elkaar werken, ook al zitten ze in hetzelfde gebouw. Dit zorgt voor overzicht en zorgt er ook voor dat afdelingen bij irrelevante andere afdelingen kunnen komen (waarom zou team sales immers bij productieapparatuur moeten komen en iets per ongeluk stuk kunnen maken).
Elke afdeling krijgt een eigen sticker met eigen naam (een VLAN-tag). Daarmee kun je duidelijk onderscheiden welk apparaat bij welk VLAN hoort. Nu zijn er twee soorten deuren beschikbaar voor de afdelingen, toegangsdeuren (access ports) en trunk deuren (trunk ports).
Via toegangsdeuren mogen alleen medewerkers met een bepaalde kleur (VLAN tag) naar binnen. Via trunk deuren kunnen daarentegen meerdere kleuren naar binnen. De verschillende type deuren controleren of het specifieke VLAN tag ook daadwerkelijk naar binnen mag.
Het kan natuurlijk voorkomen dat een van de kamers met een andere kamer moet praten. De routers en switches op een netwerk zorgen er dan weer voor dat de data en informatie op de juiste plek komt en ook toegang hebben tot die kamer.
Toepassingen van VLAN’s
Het gebruiken van VLAN’s heeft verschillende voordelen, namelijk:
- Netwerkscheiding tussen afdelingen
- Gastnetwerken waarin gebruikers niet zomaar toegang hebben tot apparaten waar ze geen toegang zouden moeten hebben (bijvoorbeeld de afdelingsprinter of de Sonos).
- Bepaalde toepassingen op netwerklaag scheiden telefonie via VoIP bijvoorbeeld om zo betere kwaliteit van telefoongesprekken te hebben
- Beveiligingsapparatuur en IoT afscheiden om zo een hogere beveiligingsgraad te bewaren
- Testomgevingen creëren die niet conflicteren met hoofdnetwerken
Wanneer moet ik VLAN’s gebruiken?
Natuurlijk zijn VLAN’s niet voor elk type bedrijf even belangrijk, maar wanneer zeggen wij dat het verstandig is om als bedrijf VLAN’s te gebruiken? Dat is wanneer jullie:
- Met gevoelige gegevens werkt (door de scheiding kunnen ongeautoriseerde mensen veel moeilijker bij het VLAN met gevoelige gegevens komen)
- Wanneer er veel en grote afdelingen binnen een bedrijf zijn (netwerkbeheer wordt hier veel eenvoudiger van en de scheiding gaat overbelasting van bijvoorbeeld het algemene netwerk tegen)
- Wanneer er vaak gasten over de vloer zijn die internet nodig hebben.
- Gebruik van VoIP toestellen
- Scheiding van IoT apparaten voor een hogere veiligheid op het netwerk
- In een industriële setting zodat productie apparatuur gescheiden blijft
- Wanneer er testomgevingen nodig zijn om bijvoorbeeld software of andere applicaties te testen. Op deze manier blijft het gescheiden van een algemeen netwerk.
- Om het netwerk toekomstbestendig te maken, VLAN’s zijn daarom standaard bij onze klanten.
Integratie met 802.11x radius
Het is ook mogelijk om VLAN’s verder te beveiligen met 802.11x (ook wel bekend als RADIUS). Hiermee worden bekabelde poorten pas actief wanneer een gebruikersnaam en wachtwoord of certificaat aanwezig is. Daarmee worden netwerk scheidingen nog veiliger en kunnen verschillende VLAN’s dynamisch aangewezen worden en beveiligd. Handig in publieke kantoren bijvoorbeeld. Lees er meer over in ons artikel over radius.
Conclusie
Een VLAN is een toepassing op netwerklaag om een virtuele netwerk op te bouwen waardoor er netwerkscheiding ontstaat. Dit kan handig zijn om de beveiliging op een netwerk omhoog te schroeven (via een gastennetwerk bijvoorbeeld) of om ervoor te zorgen dat bepaalde afdelingen niet bij elkaar kunnen komen (denk aan dat team sales dat niet bij productieapparatuur kan komen). Ons advies is daarom om het standaard in te richten, zo is je netwerk gereed voor de toekomst en heb je vanaf het begin al een veilig gastnetwerk.