Dankzij de gunstige prijzen voor managed switches hoef je niet veel aan een vlan uit te geven. Een zakelijke router om verkeer tussen vlan’s en internet in goede banen te leiden, is ook geen vereiste dankzij de gratis software pfSense. Bij grote netwerken ontkom je bijna niet aan vlan’s. Denk aan een bedrijf waar elke afdeling een afzonderlijk netwerk krijgt.

Maar ook in een klein netwerk kan het interessant zijn. Denk bijvoorbeeld aan een gastnetwerk met alleen internettoegang, een netwerk voor onveilige IoT-apparaten en een netwerk waar je ongestoord kunt werken zonder dat je last hebt van zware downloads in een ander subnet. Hier komt ook QoS (Quality of Service) om de hoek kijken: daarmee geef je verkeer op bepaalde vlan’s een hogere prioriteit.

Vlan tagging

Om scheiding aan te brengen met vlan’s krijgt verkeer op elk netwerk een uniek labeltje, ook wel vlan-tag of id genoemd. Dat is gedefinieerd in de 802.1Q-standaard. Het wordt allemaal geregeld op de routers, switches en accesspoints. Die moeten natuurlijk wel met vlan’s overweg kunnen. Zo heb je om te beginnen een managed switch nodig, soms ook smart switch genoemd. Die kan automatisch de juiste tag toekennen aan verkeer of dit juist op basis van de tag in het juiste netwerk indelen.

De aangesloten apparaten zoals pc’s en printers weten niets van de vlan’s, voor die poorten wordt het verkeer zelfs ontdaan van de tag, ook wel untagged genoemd. Het verkeer naar een router, switch of accesspoint die met vlan’s overweg kan bevat uiteraard wel de tags. Een andere managed switch kan zo zelf het verkeer weer correct verder verdelen. En een router kan verkeer voor de vlan’s onderling en met internet regelen. En ten slotte kan een geschikt accesspoint de tag aan een bepaalde ssid koppelen, zodat je ook op het wifi-netwerk dezelfde scheiding hebt.

© PXimport

In theorie kun je gezien de 12 bits grote tag tot 4096 getallen onderscheiden, maar de 0 en 4095 zijn gereserveerd en de 1 heeft de speciale functie van standaard vlan. Al het verkeer dat geen tag heeft wordt daarop ingedeeld. Het zijn meer vlan’s dan je óóit nodig zult hebben.

De meeste switches onderscheiden maar zo’n 256 vlan’s. In de praktijk heb je aan twee tot vijf vlan’s waarschijnlijk meer dan genoeg. Een praktisch voorbeeld is het scheiden van televisie (iptv), internet en telefonie, zoals ook internetproviders zoals KPN en XS4ALL zelf in hun netwerk doen.

Ongemerkt maak je dus thuis wellicht al gebruik van vlan’s. Zo hebben providers aan de internetkant vaak verschillende netwerksegmenten voor internet, televisie en telefonie. De precieze vlan-instellingen verschillen per provider. KPN en XS4ALL gebruiken bijvoorbeeld vlan 4 voor televisie (iptv), 6 voor internet en 7 voor telefonie. De router zal deze intern ook verwerken en uitsplitsen naar logisch gescheiden netwerken.

Dat doen ze bijvoorbeeld door televisie op één van de switchpoorten aan te bieden en internet op de andere poorten. Op de poort voor televisie sluit je dan een settopbox aan of eventueel meerdere via een switch. Dankzij interne regels in de router kunnen de settopboxen overigens ook gewoon met internet communiceren, zodat je via de settopbox bijvoorbeeld Netflix kunt bekijken.

Benodigdheden

pfSense is een op FreeBSD gebaseerde opensource router/firewall voor het opzetten van vlan's, die niet onder doet voor prijzige zakelijke producten. Je hebt er wat netwerkkennis voor nodig, maar geen speciale kennis van het Unix-achtige besturingssysteem zelf: de configuratie gaat vrijwel volledig via een webinterface. Aan de hardware worden geen speciale eisen gesteld. Het werkt op vrijwel elk systeem en ook in een virtuele omgeving. Een (zuinige) 1GHz-processor met 1 GB werkgeheugen is al genoeg, tenzij je erg actief van vpn’s gebruik gaat maken.

Een leuke budgettip zijn de tweedehands thin clients op eBay van merken als HP en Dell. Die kosten maar een paar tientjes. Koop er een mooie tweedehands netwerkkaart voor met meerdere poorten en je hebt een goede basis. Wie klaar wil zijn voor de toekomst kiest liefst een processor die met AES-NI-instructies overweg kan.

Wil je alleen experimenten met pfSense? Dat kan ook goed met bijvoorbeeld VirtualBox op je pc en enkele virtuele netwerkinterfaces. Ook in het echt draait pfSense trouwens prima in zo’n virtuele omgeving (bijvoorbeeld VMware ESXi of Proxmox VE), handig als je dat al op een server hebt draaien. Dan zijn een paar fysieke netwerkpoorten wel weer gewenst.