La VLAN è uno degli strumenti più potenti — e più fraintesi — della rete aziendale. Permette di suddividere una stessa rete fisica in più reti logiche isolate, per aumentare la sicurezza, le prestazioni e l’organizzazione. Questa guida spiega in modo semplice cos’è una VLAN, a cosa serve e quale materiale è necessario per implementarla.
Cos’è una VLAN?
Una VLAN (Virtual Local Area Network, rete locale virtuale) è una rete logica creata all’interno di una rete fisica. In pratica, su uno stesso switch di rete, è possibile definire diversi gruppi di porte che si comportano come reti indipendenti: i dispositivi di una VLAN non “vedono” quelli di un’altra, anche se collegati allo stesso apparato.
Perché segmentare la rete?
- Sicurezza: isolare i flussi sensibili (contabilità, videosorveglianza) dal resto e confinare un eventuale incidente a un solo segmento.
- Prestazioni: limitare i domini di broadcast per ridurre il traffico inutile.
- Organizzazione: separare logicamente i servizi, gli usi o i siti senza dover rifare i cablaggi.
- Qualità del servizio: dare priorità a una VLAN voce per una telefonia IP senza interruzioni.
Come funziona: 802.1Q, porte access e trunk
Lo standard 802.1Q aggiunge un’etichetta (“tag”) ai frame per indicarne la VLAN. Due tipi di porte:
- Porta access: collegata a una sola VLAN, per una postazione, un telefono o una telecamera.
- Porta trunk: trasporta più VLAN contemporaneamente (taggate), tipicamente tra due switch o verso un router/firewall.
Esempi concreti di VLAN
- VLAN dati: le postazioni di lavoro.
- VLAN voce: i telefoni IP, prioritizzati dalla QoS.
- VLAN ospiti: un accesso Wi-Fi pubblico isolato dalla rete interna.
- VLAN videosorveglianza: le telecamere IP, separate per sicurezza.
VLAN e routing inter-VLAN
Per impostazione predefinita, le VLAN non comunicano tra loro — è proprio questo lo scopo. Per farle dialogare in modo controllato (ad esempio dati verso una stampante di un’altra VLAN), serve un routing inter-VLAN, garantito da uno switch di livello 3 o da un firewall. È anche qui che si applicano le regole di filtraggio tra segmenti.
Consiglio: per dimensionare i vostri intervalli di indirizzi IP per segmento, usate il nostro calcolatore di subnet.
Cosa serve dal punto di vista hardware
Le VLAN richiedono uno switch gestibile (un modello non gestibile non supporta 802.1Q). Per scegliere, consultate la nostra guida switch gestibile o non gestibile. Per la sicurezza tra segmenti, un firewall completa il sistema. Scoprite i nostri switch gestibili usati testati e garantiti.
FAQ: VLAN
Serve uno switch speciale per le VLAN?
Sì, uno switch gestibile (o smart) compatibile 802.1Q. Uno switch non gestibile non supporta le VLAN.
Una VLAN migliora la sicurezza?
Isola i flussi e limita la propagazione di un incidente, ma non sostituisce un firewall: i due sono complementari.
Quante VLAN si possono creare?
Lo standard consente fino a 4094 VLAN. In pratica, una PMI ne usa alcune (dati, voce, ospiti, video), che sono più che sufficienti.
Le VLAN rallentano la rete?
Al contrario: riducendo i domini di broadcast, alleggeriscono il traffico. Il tag 802.1Q ha un costo trascurabile.
In sintesi
La VLAN segmenta una rete fisica in reti logiche isolate: più sicurezza, prestazioni e organizzazione, senza rifare i cablaggi. Richiede uno switch gestibile, porte access/trunk ben configurate e un dispositivo di livello 3 o un firewall per il routing inter-VLAN. Un investimento modesto, soprattutto con hardware usato testato, per un vantaggio duraturo.