Netwerksegmentatie (VLANs) voor betere prestaties en veiligheid

Netwerksegmentatie met VLANs verdeelt één fysiek netwerk in meerdere logische netwerken. Zo verklein je de broadcastdomeinen, verlaag je onnodig verkeer en voorkom je dat elk apparaat alles “hoort”. Dat geeft vaak direct stabielere wifi, minder latency en betere VoIP-kwaliteit. De IEEE 802.1Q-standaard beschrijft VLANs als logische scheiding op laag 2 (IEEE 802.1Q).

Voor security is segmentatie net zo belangrijk. Door apparaten te groeperen op functie en risico (bijv. gast, IoT, kassa, servers) beperk je laterale beweging van aanvallers. Zoals NIST aangeeft, kan segmentatie “de impact van compromitteringen beperken” (NIST SP 800-41r1). Ook voor compliance (bijv. scheiding van kaartgegevens of persoonsgegevens) helpt een duidelijke scheiding van datastromen en toegangsrechten (PCI DSS).

Koppel wifi-SSIDs aan VLANs (bijv. “Bedrijf” → VLAN 10, “Gast” → VLAN 20) en houd het aantal SSIDs beperkt (idealiter ≤ 4) om airtime te sparen. Kies herkenbare namen (USER, GUEST, VOICE, IOT, MGMT) en documenteer het doel, VLAN-ID, subnet en toegestane flows per zone.

Begin met een eenvoudige, schaalbare adressering: één subnet per VLAN (meestal /24) en per locatie een logisch nummerbereik (bijv. Locatie A = 10.10.x.0/24, Locatie B = 10.20.x.0/24). Reserveer blokken per zone (10.x.10.0/24 voor gebruikers, .20 voor gast, .30 voor voice, enz.) zodat je later makkelijk kunt uitbreiden of samenvatten.

Hanteer consistente VLAN-ID-ranges (10–19 gebruikers, 20–29 gast, 30–39 voice, 40–69 IoT/printers, 50–59 servers, 90–99 beheer). Voorzie elk VLAN van een eigen DHCP-scope, de juiste DNS en, waar nodig, statische adressen voor infrastructuur. Leg namen, beschrijvingen en toegangsregels vast in één bron (CMDB of netwerkschema).

Op switches gebruik je 802.1Q-tagging: access-poorten voor eindapparatuur (één VLAN), trunk-poorten tussen switches/AP’s/firewalls (meerdere VLANs). Beperk op trunks de allowed VLANs tot wat echt nodig is en vermijd gebruik van VLAN 1 als native VLAN. Controleer consistentie (tagged/untagged) om ‘VLAN-lekken’ te voorkomen.

Inter-VLAN-verkeer regel je op een L3-switch of firewall. Hanteer “deny by default” en sta vervolgens expliciet noodzakelijke flows toe (bijv. werkplekken → applicaties, VoIP → callmanager, IoT → cloud-endpoints). Op wifi-map je SSIDs naar de juiste VLANs, zet clientisolatie aan op gast, en activeer QoS-profielen voor voice. Test per zone: DHCP, bereikbaarheid, policies en failover.

Versterk toegang op poorten met 802.1X (NAC) en gebruik MAC-authenticatie (MAB) voor apparaten zonder supplicant (printers, camera’s). Op switches: activeer DHCP snooping, Dynamic ARP Inspection en IP Source Guard om spoofing en ARP-poisoning te beperken. Overweeg Private VLANs of port-isolation voor gevoelige segmenten.

Voor wifi: zet WPA2-Enterprise of WPA3 in voor interne SSIDs, en captive portal + clientisolatie voor gast. Pas QoS toe: markeer voice met DSCP EF en gebruik WMM op access points zodat spraakverkeer voorrang krijgt. Gebruik firewall- of router-ACLs per VLAN, log blokkades en maak uitzonderingen zo smal mogelijk (bron, doel, poort, richting).

Te veel of te weinig segmentatie. Richt op zinvolle zones; vermijd een doolhof aan kleine VLANs zonder duidelijk doel. Gebruik nooit “any-any allow” tussen segmenten; werk met minimumtoegang. Laat VLAN 1 ongebruikt en zet een niet-gebruikte native VLAN in op trunks.

Andere valkuilen: mismatch in trunk-config (native/tagged), geen documentatie, te veel SSIDs (wifi-overhead), alles via één firewall-interface (bottleneck), en geen monitoring. Oplossing: standaardconfig templates, change-procedures, testscripts per VLAN en basisbeveiliging (DHCP snooping/DAI) overal gelijk toepassen.

Meet vóór en na de segmentatie: broadcast- en multicastsnelheid, latency/jitter (vooral bij VoIP), wifi-airtimegebruik en throughput per SSID. Monitor ook security-indicatoren: geblokkeerde laterale scans, ingeperkte incidenten en minder ‘noisy’ logdata.

Zakelijk levert segmentatie voorspelbare prestaties, snellere probleemdiagnose en een kleinere attack surface op. Dat verkleint de kans en impact van incidenten (NIST SP 800-41r1) en helpt bij compliance-eisen zoals het isoleren van kaartgegevens (PCI DSS). Minder storingen en gerichte policies verlagen beheerlast en kosten.