•   QNAP TVS-1282T3-i7-32G  

    Urządzenie wielofunkcyjne, pracuje jako serwer, rejestrator (dla kamer IP), wirtualizator, archiwum oraz posiada wiele dodatkowych funkcji. Polecany dla małego biznesu.

  •   Switch Cisco Small Business   

    Seria switchy Cisco SmallBusiness jest stosunkowo niedroga i oferuje bardzo dobre parametry przesyłu i bezpieczeństwa. Polecana do małych i średnich firm, które cenią sobie niezawodność..

  •   Serwery RACK  

    Rozwiązania o dużej mocy obliczeniowej i przestrzeni dyskowej głównie pod wirtualizację, podobnie jak w Centrach Danych. .

  •   Serwery Tower i Microserwery  

    Tam, gdzie nie ma miejsca na klimatyzowane pomieszczenie dla serwerów stosuje się rozwiązania ergonomiczne, małe i ciche..

  •   Roaming WiFi to już standard  

    Jeden SSID dla wielu lokalizacji i autoryzacja z pojedynczego kontrolera to wygoda i prostota w użyciu

PROGrak sp. z o.o.

Main Menu

Podział sieci na VLan'y - dobre praktyki

Segmentacja sieci za pomocą VLAN-ów to jedna z podstawowych metod porządkowania infrastruktury oraz ograniczania ryzyka nieautoryzowanej komunikacji pomiędzy różnymi grupami urządzeń. Dobrze zaprojektowany podział na VLAN-y poprawia bezpieczeństwo, ułatwia zarządzanie, porządkuje adresację i upraszcza późniejszą rozbudowę środowiska.

W tym artykule nie opisuję konfiguracji VLAN-ów na konkretnym przełączniku czy routerze. Celem jest pokazanie, jak planować podział sieci, jak nazywać segmenty i w jaki sposób budować numerację VLAN-ów, aby sieć była czytelna, skalowalna i bezpieczna.

1. Po co dzielić sieć na VLAN-y

Podział sieci na VLAN-y warto traktować jako narzędzie do realizacji kilku celów jednocześnie:

  • separacja bezpieczeństwa – oddzielenie użytkowników, serwerów, gości, urządzeń IoT, kamer, telefonii IP czy stref zarządzania,
  • ograniczenie domen rozgłoszeniowych – mniejszy ruch broadcast i łatwiejsza diagnostyka,
  • porządek administracyjny – czytelny podział na role, lokalizacje, środowiska lub typy usług,
  • łatwiejsze wdrażanie reguł bezpieczeństwa – ruch między VLAN-ami można filtrować przy pomocy routera, przełącznika L3 lub firewalla,
  • skalowalność – przemyślana numeracja i nazewnictwo ułatwiają rozbudowę środowiska bez późniejszego chaosu.

Najważniejsza zasada jest prosta: VLAN sam w sobie nie jest polityką bezpieczeństwa. VLAN porządkuje warstwę 2 i logicznie wydziela segment sieci, ale o realnym dostępie pomiędzy segmentami decydują dopiero routing między VLAN-ami, ACL oraz reguły firewalla.

2. VLAN a podsieć – to nie jest to samo

W praktyce bardzo często stosuje się zasadę 1 VLAN = 1 podsieć IP, bo upraszcza to routing, adresację i kontrolę ruchu. Warto jednak pamiętać, że nie są to pojęcia tożsame:

  • VLAN – logiczny segment sieci w warstwie 2,
  • podsieć IP – segment adresacji w warstwie 3.

Najwygodniejszy i najczęściej spotykany model to właśnie przypisanie jednej podsieci do jednego VLAN-u. Dzięki temu łatwiej budować reguły routingu, DHCP, DNS, ACL i polityki bezpieczeństwa.

3. Od czego zacząć projektowanie podziału na VLAN-y

Najpierw warto rozdzielić trzy różne typy segmentacji, które w praktyce często się mieszają:

3.1. Segmentacja bezpieczeństwa / ryzyka

  • Management / administracja urządzeniami,
  • stacje robocze użytkowników,
  • serwery i usługi,
  • goście,
  • IoT / automatyka / drukarki / kamery,
  • VoIP,
  • DMZ,
  • VPN.

3.2. Segmentacja organizacyjna

  • np. HR, księgowość, BOK, dział IT, produkcja, call center.

3.3. Segmentacja środowiskowa / techniczna

  • DEV, TEST, UAT, PROD, laboratoria, strefy wdrożeniowe.

W większości środowisk najpierw należy zaprojektować segmentację bezpieczeństwa, a dopiero później – jeśli jest to uzasadnione – dokładać podział organizacyjny lub środowiskowy.

4. Minimalny sensowny podział VLAN-ów w małej i średniej firmie

W wielu sieciach firmowych dobrym punktem startowym będzie wydzielenie następujących stref:

Strefa Przeznaczenie Uwagi praktyczne
MGMT Zarządzanie przełącznikami, routerami, firewallami, AP, kontrolerami, UPS-ami, iLO / iDRAC itp. Dostęp tylko dla administratorów i tylko z wybranych hostów / podsieci.
USERS / LAN Komputery użytkowników i urządzenia pracownicze. Zwykle podstawowy VLAN roboczy dla stacji końcowych.
SERVERS / SERVICES Serwery aplikacyjne, usługi infrastrukturalne, systemy wewnętrzne. Ruch do tej strefy powinien być kontrolowany przez ACL / firewall.
GUEST Wi-Fi Sieć dla gości. Najczęściej dostęp wyłącznie do internetu, bez dostępu do zasobów firmowych.
IoT / CCTV / PRN Kamery, rejestratory, drukarki, skanery, urządzenia automatyki, urządzenia techniczne. To urządzenia o innym profilu ryzyka niż komputery użytkowników – warto je wydzielać.
VOIP Telefony IP, bramki VoIP, centrale telefoniczne. Ułatwia stosowanie QoS i oddzielanie ruchu głosowego od zwykłego LAN-u.
DMZ Usługi publikowane na zewnątrz lub dostępne z internetu. Nie należy mieszać ich ze zwykłą siecią użytkowników lub serwerów wewnętrznych.
VPN Adresacja lub strefa dla użytkowników i urządzeń łączących się zdalnie. Warto określić, do których VLAN-ów użytkownik VPN może mieć dostęp.

5. Kiedy wydzielać kolejne VLAN-y

Nie każda nazwa w dokumentacji musi oznaczać osobny VLAN. Dodatkowy segment warto tworzyć wtedy, gdy przynosi realną korzyść:

  • urządzenia mają inny poziom zaufania lub inny profil ryzyka,
  • potrzebujesz innych reguł bezpieczeństwa dla danego typu ruchu,
  • chcesz odseparować ruch o innym charakterze, np. głos, monitoring, backup, storage,
  • oddzielasz środowiska DEV / TEST / UAT / PROD,
  • wydzielasz konkretne działy lub lokalizacje, bo wynika to z organizacji pracy lub wymagań bezpieczeństwa,
  • masz osobną strefę dla urządzeń gościnnych, zewnętrznych lub niezarządzanych.

Nie warto natomiast tworzyć VLAN-ów wyłącznie „na zapas”, jeśli później nie będą miały własnych reguł routingu, ACL, DHCP, monitoringu lub wyraźnego sensu administracyjnego. Zbyt duża liczba segmentów potrafi utrudnić zarządzanie siecią tak samo jak ich brak.

6. Dobre praktyki bezpieczeństwa przy projektowaniu VLAN-ów

  • Nie traktuj VLAN-u jako kompletnego mechanizmu bezpieczeństwa. Ruch pomiędzy VLAN-ami powinien być kontrolowany przez router, przełącznik L3 lub firewall.
  • Nie używaj VLAN 1 jako głównej strefy użytkowników, zarządzania lub systemów krytycznych. Lepiej przeznaczyć dla nich osobne, jawnie zdefiniowane VLAN-y.
  • Management VLAN trzymaj osobno. Dostęp do urządzeń sieciowych powinien mieć wyłącznie zespół administracyjny i tylko z wybranych adresów.
  • Goście, IoT, monitoring i urządzenia techniczne traktuj ostrożnie. Zwykle nie powinny mieć swobodnego dostępu do komputerów użytkowników ani serwerów.
  • Na portach trunk dopuszczaj tylko potrzebne VLAN-y. Nie zostawiaj domyślnego „allow all”, jeśli nie jest to konieczne.
  • Stosuj zasadę minimalnych uprawnień. Jeśli np. drukarki mają komunikować się tylko z serwerem wydruku i stacjami użytkowników, nie dawaj im dostępu do całej infrastruktury.
  • Rozdzielaj środowiska o różnym poziomie ryzyka. Produkcja, laboratorium, urządzenia testowe i systemy dostępne z internetu nie powinny znajdować się w jednym segmencie.

7. Access, trunk i native VLAN – podstawy praktyczne

Nawet najlepiej zaplanowana tabela VLAN-ów nie wystarczy, jeśli później zostanie źle wdrożona na portach przełączników.

  • Port access – zwykle służy do podłączenia pojedynczego urządzenia końcowego i przypisany jest do jednego VLAN-u.
  • Port trunk – przenosi ruch wielu VLAN-ów pomiędzy urządzeniami sieciowymi, punktami dostępowymi, hypervisorami lub innymi elementami infrastruktury.
  • Native VLAN – warto traktować ostrożnie i świadomie planować jego użycie; w praktyce często lepiej minimalizować ruch nieotagowany.

Port trunk nie jest „specjalnym VLAN-em”. To po prostu port lub łącze przenoszące wiele VLAN-ów oznaczonych tagami 802.1Q. W standardzie 802.1Q do dyspozycji są identyfikatory VLAN z zakresu 1–4094, przy czym część wartości ma znaczenie specjalne, a niektóre VLAN-y – np. domyślny VLAN 1 – nie powinny być używane jako podstawowe strefy bezpieczeństwa.

8. Przykładowy podział nazw VLAN-ów na grupy

Poniżej znajduje się przykładowy słownik nazw, który można potraktować jako punkt wyjścia do budowy własnej konwencji. Nie oznacza to, że każda z poniższych nazw musi wystąpić w jednej sieci. Celem tabeli jest pokazanie sposobu grupowania i planowania numeracji.

Nazwa Przykładowy VLAN ID Grupa Opis Zastosowanie
mgmt 100 Admin Management Sieć zarządzania urządzeniami
lan 200 Users Local Area Network Podstawowa sieć użytkowników
wifi 210 Users Corporate Wi-Fi Sieć bezprzewodowa dla pracowników
wifi-guest 220 Users Guest Wi-Fi Sieć dla gości, zwykle z dostępem wyłącznie do internetu
vpn 300 Services Virtual Private Network Strefa dla użytkowników lub urządzeń łączących się zdalnie
dmz 400 Services Demilitarized Zone Usługi publikowane na zewnątrz lub dostępne z internetu
srv 500 Services Servers / Services Serwery aplikacyjne i usługi wewnętrzne
iot 1100 Hardware Internet of Things Urządzenia automatyki, sensory, urządzenia techniczne i inne elementy o ograniczonym zaufaniu
pon 1200 Hardware Passive Optical Network Sieć optyczna
prn 1300 Hardware Scaners & Printers Sieć dla skanerów i drukarek
san 1400 Hardware Storage Area Network Sieć SAN
voip 1500 Hardware Voice over IP Telefonia IP
cctv 1600 Hardware Closed-Circuit Television Monitoring, kamery IP, rejestratory i urządzenia powiązane
dev 2000 Devel Development Środowisko deweloperskie
test 2100 Devel Test Środowisko testowe
uat 2200 Devel User Acceptance Tests Środowisko akceptacyjne
prod 3000 Prod Production Środowisko produkcyjne
app 3100 Prod Applications Strefa dla wybranych aplikacji biznesowych lub usług produkcyjnych
bok 3200 Prod Customer Service Przykładowa segmentacja organizacyjna dla wybranego działu
cc 3300 Prod Call Center Przykładowa strefa dla systemów i stanowisk call center

9. Jak podchodzić do numeracji VLAN-ów

Najwygodniej jest trzymać się kilku prostych zasad:

  • rezerwuj zakresy numerów dla całych grup, np. 100–199 dla administracji, 200–299 dla użytkowników, 1000–1999 dla urządzeń technicznych, 2000–2999 dla środowisk testowych, 3000–3999 dla produkcji,
  • zostawiaj wolne miejsca na przyszłe segmenty,
  • nie wiąż numeracji z jednym konkretnym budynkiem, jeśli wiesz, że środowisko będzie się rozrastać,
  • dbaj o spójność – jeśli VLAN 220 to goście Wi-Fi, nie wykorzystuj podobnych numerów do zupełnie innych celów.

W wielu przypadkach lepiej sprawdza się prosty i przewidywalny schemat numeracji niż bardzo złożony system kodowania oparty o nazwy. Jeśli jednak w większym środowisku chcesz budować własny system mapowania nazw na końcówki numerów VLAN, potraktuj to jako wewnętrzną konwencję administracyjną, a nie wymóg technologiczny.

10. Kiedy rozdzielać VLAN-y organizacyjnie, a kiedy nie

Nie każda firma potrzebuje osobnych VLAN-ów dla każdego działu. Czasem wystarczy podział na kilka stref bezpieczeństwa, np. użytkownicy, serwery, goście, IoT i administracja. Osobne VLAN-y dla działów – np. HR, księgowości, produkcji lub BOK – mają sens wtedy, gdy:

  • chcesz odseparować ruch i dane określonych zespołów,
  • musisz wdrożyć osobne reguły bezpieczeństwa lub filtrowania,
  • wymaga tego compliance, polityka bezpieczeństwa lub organizacja pracy,
  • masz rozbudowane środowisko i taki podział ułatwia zarządzanie.

Jeśli jednak wszystkie działy i tak mają mieć identyczny dostęp do tych samych zasobów, osobne VLAN-y tylko zwiększą liczbę obiektów do utrzymania bez realnej korzyści.

11. Przykładowe zasady ruchu pomiędzy strefami

Dobry projekt VLAN-ów powinien iść w parze z zasadami ruchu pomiędzy strefami. Poniżej kilka prostych przykładów:

  • MGMT – dostęp tylko z wybranych stacji administracyjnych lub z VPN administratorów,
  • GUEST Wi-Fi – wyłącznie internet, bez dostępu do sieci wewnętrznej,
  • IoT / CCTV / PRN – dostęp tylko do usług, które są niezbędne, np. serwera monitoringu, serwera wydruku lub aktualizacji,
  • USERS → SERVERS – tylko do konkretnych usług i portów, np. DNS, AD, pliki, aplikacje biznesowe,
  • VPN – dostęp zgodny z rolą użytkownika, a nie automatycznie do wszystkich VLAN-ów,
  • DMZ – ruch do sieci wewnętrznej ograniczony do absolutnego minimum.

12. Podsumowanie

Dobrze zaprojektowany podział sieci na VLAN-y nie polega na tworzeniu jak największej liczby segmentów, lecz na takim rozdzieleniu ruchu, które realnie poprawia bezpieczeństwo, porządek i możliwość dalszej rozbudowy. W praktyce warto zacząć od podstawowych stref bezpieczeństwa – użytkownicy, serwery, goście, IoT, monitoring, VoIP, zarządzanie – a dopiero później rozbudowywać model o środowiska DEV / TEST / PROD lub podział organizacyjny.

Najważniejsze jest zachowanie spójności: jedna czytelna konwencja nazewnicza, przewidywalna numeracja, sensowne reguły routingu między VLAN-ami i ograniczenie komunikacji tylko do tego, co faktycznie jest potrzebne.

© 2026. PROGrak sp. z o.o.  Rights Reserved.



Korzystamy z plików cookies i umożliwiamy osobom trzecim, by je zamieszczały. Pliki cookies pozwalają nam poznać Twoje preferencje na podstawie zachowań na tej stronie www. Kontynuując korzystanie z niej, wyrażasz zgodę na powyższe.

Polityka prywatności