Tenk deg et skolenettverk der elever, lærere, administrasjon og IoT-enheter (printere, smartskjermer, kameraer) alle deler det samme nettverket. Alle kan i teorien se hverandre. Det er verken sikkert eller effektivt. Løsningen er segmentering.
Hvorfor segmentere?
Segmentering betyr å dele opp et nettverk i flere mindre deler. Hver del er isolert fra de andre, slik at trafikk ikke flyter fritt mellom dem.
| Fordel | Forklaring |
|---|---|
| Sikkerhet | Et kompromittert IoT-kamera kan ikke nå serverne |
| Ytelse | Mindre broadcast-trafikk per segment |
| Kontroll | Ulike regler for ulike brukergrupper |
| Feilsøking | Lettere å isolere problemer til et bestemt segment |
Et praktisk eksempel
På en skole kan nettverket se slik ut:
- VLAN 10: Administrasjon - Lønn, HR, ledelse. Strengt begrenset tilgang.
- VLAN 20: Ansatte - Lærere og andre ansatte. Tilgang til fellesmapper og printere.
- VLAN 30: Elever - Kun internettilgang og læringsplattformer.
- VLAN 40: IoT - Printere, smartskjermer, kameraer. Ingen internettilgang (eller svært begrenset).
- VLAN 50: Servere - Interne servere, utilgjengelig direkte fra andre VLAN.
Hva er et VLAN?
VLAN står for Virtual Local Area Network. Det er en måte å lage flere logiske nettverk på samme fysiske switch. I stedet for å kjøpe en egen switch for hvert nettverk, konfigurerer du switchen til å behandle ulike porter (eller trafikk) som separate nettverk.
Hvert VLAN har sitt eget adresseområde (subnet):
| VLAN | Navn | Subnet | Gateway |
|---|---|---|---|
| 10 | Administrasjon | 10.0.10.0/24 | 10.0.10.1 |
| 20 | Ansatte | 10.0.20.0/24 | 10.0.20.1 |
| 30 | Elever | 10.0.30.0/24 | 10.0.30.1 |
| 40 | IoT | 10.0.40.0/24 | 10.0.40.1 |
| 50 | Servere | 10.0.50.0/24 | 10.0.50.1 |
Subnetting kort forklart
/24 betyr at de første 24 bitene er nettverksdelen av adressen. I praksis betyr det at du har 254 tilgjengelige adresser (.1 til .254) i hvert VLAN.
10.0.10.0/24gir adresser fra10.0.10.1til10.0.10.254- Gatewayen er som regel den første adressen (
.1)
Tagget vs. utagget trafikk
For at VLANer skal fungere over flere switcher (eller mellom switch og ruter), brukes tagging:
| Type | Forklaring | Bruk |
|---|---|---|
| Utagget (access) | Porten tilhører ett VLAN. Enheten vet ikke om VLAN. | PCer, printere, telefoner |
| Tagget (trunk) | Porten bærer trafikk fra flere VLAN, merket med VLAN-ID. | Mellom switcher, mot ruter |
Enheter som PCer og printere trenger ikke vite at de er på et VLAN. De kobles til en “access”-port som er tildelt riktig VLAN. Forbindelsen mellom to switcher eller mellom switch og ruter bruker en “trunk”-port som bærer alle VLANene.
Oppgave 1 - Se VLAN i praksis
Hvis du har tilgang til Unifi eller en annen nettverksadministrasjonsplattform på skolen:
- Se på hvilke VLAN som er konfigurert
- Hvilke porter er satt som access, og hvilke som trunk?
- Prøv å finne ut hvilket VLAN PCen din er tilkoblet (hint: sjekk IP-adressen din og sammenlign med subnet-tabellen)
Brannmurregler mellom VLAN
Å opprette VLANer er bare halve jobben. Uten brannmurregler kan trafikk fortsatt flyte mellom dem via ruteren/gatewayen. Du må eksplisitt bestemme hva som er lov:
| Fra (kilde) | Til (mål) | Tillatt? | Begrunnelse |
|---|---|---|---|
| Elever | Internett | ✅ Ja | Nødvendig for undervisning |
| Elever | Servere | ❌ Nei | Elever trenger ikke tilgang til servere |
| Ansatte | Servere | ✅ Ja | Fillagring og interne systemer |
| IoT | Internett | ❌ Nei (eller begrenset) | IoT-enheter trenger sjelden internett |
| IoT | Elever/Ansatte | ❌ Nei | IoT skal være isolert |
| Servere | Alle | ✅ Ja (utgående) | Servere kan svare på forespørsler |
Standard: blokker alt, tillat det du trenger
En god brannmurpolicy starter med å blokkere all trafikk mellom VLANene, og så åpner du kun det som trengs. Det er mye tryggere enn å starte med alt åpent og prøve å blokkere det du ikke vil ha.
Subnetting
Hvert VLAN trenger sitt eget subnet. Et subnet definerer adresseområdet for nettverket:
| Subnet | Nettverksmaske | Antall adresser | Typisk bruk |
|---|---|---|---|
/24 | 255.255.255.0 | 254 | De fleste VLAN |
/25 | 255.255.255.128 | 126 | Mindre segment |
/16 | 255.255.0.0 | 65 534 | Store nettverk |
Oppgave 2 - Regn ut et subnet
Bruk en online subnet-kalkulator, f.eks. subnet-calculator.com:
- Skriv inn
192.168.1.0med maske/24. Hvor mange adresser får du? - Hva skjer om du endrer til
/25? Eller/23? - Hva ville du valgt for et klasserom med 30 elever?
DHCP per VLAN
Hvert VLAN trenger sin egen DHCP-konfigurasjon slik at enheter får riktig IP-adresse for sitt segment. Dette kan konfigureres på ruteren eller en dedikert DHCP-server.
Eksempel for Elev-VLANet:
| Innstilling | Verdi |
|---|---|
| Subnet | 10.0.30.0/24 |
| Gateway | 10.0.30.1 |
| DHCP-range | 10.0.30.100 - 10.0.30.250 |
| DNS | 1.1.1.1 / 8.8.8.8 |
Oppsummering
- Segmentering deler nettverket i isolerte deler for sikkerhet og kontroll
- VLAN er virtuelle nettverk på samme fysiske switch
- Access-porter kobler enheter til ett VLAN, trunk-porter bærer flere VLAN
- Brannmurregler bestemmer hva som er tillatt mellom VLANene
- Hvert VLAN trenger eget subnet og DHCP-konfigurasjon
- Startpunkt: blokker alt, tillat kun det som trengs