De VLAN is een van de krachtigste — en meest verkeerd begrepen — tools in bedrijfsnetwerken. Het maakt het mogelijk om één fysiek netwerk op te splitsen in meerdere gescheiden logische netwerken, wat zorgt voor meer veiligheid, betere prestaties en een betere organisatie. Deze gids legt eenvoudig uit wat een VLAN is, waar het voor dient en welke hardware je nodig hebt om het in te stellen.
Wat is een VLAN?
Een VLAN (Virtual Local Area Network, virtueel lokaal netwerk) is een logisch netwerk dat binnen een fysiek netwerk wordt gecreëerd. Concreet kun je op eenzelfde netwerkswitch meerdere groepen poorten definiëren die zich gedragen als onafhankelijke netwerken: apparaten in een VLAN «zien» die van een ander VLAN niet, zelfs niet als ze op hetzelfde apparaat zijn aangesloten.
Waarom je netwerk segmenteren?
- Veiligheid: gevoelige datastromen (boekhouding, videobewaking) isoleren van de rest en een eventueel incident beperken tot één segment.
- Prestaties: de broadcastdomeinen beperken om onnodig verkeer te verminderen.
- Organisatie: diensten, toepassingen of locaties logisch scheiden zonder nieuwe bekabeling.
- Kwaliteit van dienstverlening: een spraak-VLAN prioriteren voor een storingsvrije IP-telefonie.
Hoe werkt het: 802.1Q, access- en trunkpoorten
De standaard 802.1Q voegt een label (“tag”) toe aan frames om hun VLAN aan te geven. Er zijn twee soorten poorten:
- Accesspoort: gekoppeld aan één VLAN, voor een werkstation, telefoon of camera.
- Trunkpoort: vervoert meerdere VLAN’s tegelijk (getagd), typisch tussen twee switches of naar een router/firewall.
Concrete voorbeelden van VLAN’s
- Data VLAN: de werkstations.
- Spraak VLAN: de IP-telefoons, met QoS-prioriteit.
- Gast VLAN: een publiek Wi-Fi-toegangspunt dat gescheiden is van het interne netwerk.
- Videobewaking VLAN: IP-camera’s, apart voor de veiligheid.
VLAN en inter-VLAN routing
Standaard communiceren VLAN’s niet met elkaar — dat is de bedoeling. Om gecontroleerd verkeer tussen VLAN’s toe te staan (bijvoorbeeld data naar een printer in een ander VLAN), is inter-VLAN routing nodig, uitgevoerd door een Layer 3-switch of firewall. Hier worden ook filterregels tussen segmenten toegepast.
Tip: gebruik onze subnetcalculator om je IP-adresbereiken per segment te bepalen.
Welke hardware is nodig?
VLAN’s vereisen een beheerbare switch (een niet-beheerbare switch ondersteunt 802.1Q niet). Voor de keuze, bekijk onze gids beheerbare switch of niet. Voor segmentbeveiliging is een firewall een goede aanvulling. Bekijk onze geteste en gegarandeerde tweedehands beheerswitches.
FAQ: VLAN
Heb ik een speciale switch nodig voor VLAN’s?
Ja, een beheerbare (of smart) switch die 802.1Q ondersteunt. Een niet-beheerbare switch kan geen VLAN’s beheren.
Verbetert een VLAN de veiligheid?
Het scheidt datastromen en beperkt de verspreiding van incidenten, maar vervangt geen firewall: beide vullen elkaar aan.
Hoeveel VLAN’s kan je aanmaken?
De standaard staat tot 4094 VLAN’s toe. In de praktijk gebruikt een MKB er een paar (data, spraak, gast, video), wat ruim voldoende is.
Vertragen VLAN’s het netwerk?
Integendeel: door broadcastdomeinen te beperken, verminderen ze het verkeer. De 802.1Q-tag heeft een verwaarloosbare impact.
Samenvatting
Een VLAN segmenteert een fysiek netwerk in gescheiden logische netwerken: meer veiligheid, betere prestaties en organisatie zonder nieuwe bekabeling. Het vereist een beheerbare switch, goed geconfigureerde access- en trunkpoorten, en een Layer 3-apparaat of firewall voor inter-VLAN routing. Een bescheiden investering, vooral met geteste tweedehands hardware, voor duurzaam voordeel.