VLANs voor MKB: drie netwerken die je écht apart wilt
VLANs scheiden je gasten-, beheer- en bedrijfsnetwerk en verkleinen het risico op datalekken. Ontdek waarom netwerksegmentatie onmisbaar is voor het MKB.
Waarom dit ertoe doet
Stel je voor: een klant komt langs en vraagt naar de wifi. Je geeft het wachtwoord. Diezelfde wifi verbindt met dezelfde switch als je boekhouding, je klantendossiers en de printer waar de loonstroken uit rollen. Technisch gezien heeft die bezoeker - of zijn geïnfecteerde laptop - nu dezelfde toegang als je medewerkers.
Dat is geen theoretisch risico. Bij een groot deel van de MKB-bedrijven die we onderzoeken staat alles op één plat netwerk. En “alles” betekent: gasten, medewerkers, IoT-apparaten, beveiligingscamera’s, koffieautomaten met internet, én het beheersnetwerk waar wij of je netwerkbeheerder vanaf werkt. Eén zwakke schakel, en het hele bedrijf ligt open.
De oplossing heet VLAN. Een term waar je eigenlijk niets van hoeft te weten - behalve dat het bestaat, wat het doet, en waarom drie aparte VLANs het minimum zijn voor een serieus bedrijf.
Wat is een VLAN?
Een VLAN (Virtual Local Area Network) is een logisch apart netwerk binnen je bestaande bekabeling. Je bedrijfsswitch en access points doen alsof er meerdere aparte netwerken zijn, terwijl ze fysiek dezelfde hardware delen. Voor een gebruiker op VLAN A is VLAN B net zo onbereikbaar als het internet van de buren.
Het grote voordeel: je hoeft geen tweede netwerkinstallatie aan te leggen. Dezelfde kabels, dezelfde switch, dezelfde access points - maar logisch opgedeeld in meerdere netwerken die van elkaar gescheiden zijn. Verkeer van het ene VLAN komt niet bij het andere VLAN, tenzij je dat expliciet toestaat via een firewall-regel.
De drie netwerken die je apart wilt
Voor een MKB-bedrijf zijn drie VLANs het absolute minimum. Minder is te weinig, meer mag, maar pas weg als je de drie basale niveaus op orde hebt.
1. Gastennetwerk
Bezoekers, klanten, leveranciers - iedereen die jouw wifi tijdelijk gebruikt hoort hier. Het gastennetwerk geeft alleen internettoegang. Geen zicht op printers, geen toegang tot gedeelde mappen, geen contact met andere apparaten op het netwerk.
Waarom apart? Je hebt geen idee wat er op de telefoon of laptop van een bezoeker staat. Als die geïnfecteerd is met malware en die malware probeert andere apparaten in het netwerk te vinden, dan mag die zoektocht bij een muur stoppen. De muur is het VLAN.
Zakelijk gevolg als je dit niet doet: één besmette bezoeker-laptop kan zich door je hele kantoornetwerk verspreiden. Ransomware op je klantendossiers begint soms zo.
2. Beheersnetwerk
Hierop zitten de apparaten waarmee het netwerk zélf wordt bestuurd: de switches, de firewall, de access points, de server-management-interfaces. Bij Barion werken wij als netwerkbeheerder vanaf dit VLAN - net als jouw eigen IT-beheerder, als je die hebt.
Waarom apart? Als je beheersinterfaces op hetzelfde netwerk staan als je gewone werkplekken, dan zijn ze voor elke medewerker én voor elke insluiper bereikbaar. Het administratieve wachtwoord van je hoofdswitch wil je net zo ver weg hebben van een willekeurige kantoor-laptop als van een bezoeker.
Zakelijk gevolg als je dit niet doet: een insluiper die via een werkplek binnenkomt, kan direct proberen in te loggen op je netwerkapparatuur. Eenmaal binnen in de switch of firewall is het spel voorbij - die heeft dan de sleutels van het hele pand.
3. Bedrijfsnetwerk
Hierop werken je medewerkers. Computers, bedrijfstelefoons, bedrijfsprinters, toegang tot je bestandsserver, werkplek-applicaties. Dit is het netwerk dat je productief houdt.
Waarom apart? Niet omdat je medewerkers niet te vertrouwen zijn - wél omdat je wilt dat een probleem op het gastennetwerk of beheersnetwerk nooit hun werk raakt. Andersom: een stagiair die per ongeluk een gekke setting in de wifi aanpast, moet nooit bij de firewall-beheerpagina kunnen.
Zakelijk gevolg als je dit niet doet: problemen in één hoek van het netwerk raken direct je medewerkers. Downtime, productiviteitsverlies, en vaak ook een datalek dat gemeld moet worden bij de Autoriteit Persoonsgegevens.
Zo migreer je naar een VLAN-opzet
De overstap is minder ingrijpend dan hij klinkt. Vier stappen, meestal zonder downtime:
Inventariseren wat er nu op het netwerk zit
Welke apparaten, welke gebruikers, welke beheer-interfaces - zonder dit overzicht is segmenteren gissen.
Drie VLANs configureren op switch en firewall
Gasten, beheer, bedrijf - elk met een eigen IP-bereik en firewall-regels die verkeer tussen VLANs blokkeren tenzij expliciet toegestaan.
Access points uitrollen met meerdere SSIDs
Eén wifi-netwerk voor gasten, één voor bedrijf. Beheerverkeer loopt via vaste bekabeling. Per SSID koppel je het juiste VLAN.
Apparaten stap voor stap overhevelen
Begin met gasten (minst risicovol), dan beheer, dan bedrijf. Na elke stap testen of alles nog werkt - vooral printers en VoIP verdienen aandacht.
Zonder VLANs vs met VLANs
| Risico | Eén plat netwerk |
|---|---|
| Besmette bezoeker-laptop | Kan het hele netwerk verkennen en besmetten |
| Gestolen medewerker-wachtwoord | Geeft meteen toegang tot beheerinterfaces |
| Gehackte netwerkprinter | Kan als springplank dienen naar bestandsservers |
| NIS2-compliance | Geen aantoonbare segmentatie - formele tekortkoming |
| AVG-datalek | Hele netwerk is potentieel getroffen |
| Downtime bij netwerkprobleem | Hele kantoor ligt plat |
VLANs en NIS2
Veelgestelde vragen
Nee. Een gast-wifi is meestal één SSID die intern gewoon op hetzelfde netwerk zit als de rest. Een VLAN is de échte scheiding op netwerkniveau: verkeer van het ene VLAN kan het andere VLAN niet bereiken zonder een bewust toegestane firewall-regel. Een goede gast-wifi ís een VLAN - maar niet elke gast-wifi is dat.
Bijna altijd niet. De meeste zakelijke switches en access points ondersteunen VLANs standaard. Hele oude consumentenapparatuur niet, maar als je al met zakelijke hardware werkt (UniFi, Aruba, Cisco, MikroTik, Zyxel) heb je alles wat je nodig hebt. Wij checken dat in de netwerkscan voordat we wijzigingen voorstellen.
In verreweg de meeste gevallen niet. De configuratie wordt voorbereid, en de overstap per apparaat of groep apparaten doen we stapsgewijs - vaak ook in de avond of het weekend. Korte onderbrekingen van enkele minuten kunnen voorkomen bij herstart van access points, maar hele dagen downtime zijn niet normaal.
Technisch kan iemand met netwerkkennis dit zelf. In de praktijk lopen MKB-bedrijven meestal vast op drie punten: firewall-regels tussen VLANs correct krijgen, printers en VoIP goed laten werken over VLANs heen, en het netwerk documenteren zodat het beheersbaar blijft. Als je niet zeker weet of je die drie onder controle hebt, laat het dan doen. Een slecht geconfigureerd VLAN geeft vaak meer problemen dan geen VLAN.
Ronald Evers
IT-specialist bij Barion met meer dan 20 jaar ervaring in het MKB. Ronald schrijft over IT-trends, cybersecurity en digitale transformatie.
Meer blogs
Stroomstoring op Kantoor? Zo Voorkom je Dataverlies
Een stroomstoring kan leiden tot dataverlies en corrupte bestanden. Ontdek waarom een Online Werkplek je bedrijf beschermt tegen stroomuitval.
AI Phishing: Zo Herken Je de Nieuwe Aanvallen
Phishing e-mails worden steeds overtuigender door AI. Leer hoe je AI-gestuurde phishing herkent en je bedrijf beschermt met praktische tips.
5 Voordelen van een Online Werkplek voor MKB
Waarom stappen steeds meer MKB-bedrijven over naar een online werkplek? Ontdek de 5 belangrijkste voordelen en of het iets voor jouw bedrijf is.
Hulp nodig bij uw IT?
Onze IT-specialisten helpen u graag verder. Neem vrijblijvend contact op.
