Se nella tua azienda tutti i dispositivi — PC dei dipendenti, server, NAS, stampanti, telecamere, telefoni IP e il Wi-Fi degli ospiti — sono tutti sulla stessa rete, hai un problema. E un problema grosso. Perche significa che un virus sul PC di un dipendente puo raggiungere direttamente il server con i dati critici, e un ospite collegato al Wi-Fi puo potenzialmente vedere le cartelle condivise. La soluzione si chiama segmentazione di rete con VLAN. Noi di BullTech Informatica, da Vimercate (MB), implementiamo VLAN per le PMI da oltre 15 anni e ti spieghiamo come funziona, perche serve e come configurarla senza impazzire.
Definizione
Una VLAN (Virtual Local Area Network) e una tecnologia di rete che permette di dividere una singola rete fisica in piu reti logiche separate e isolate tra loro. Ogni VLAN funziona come una rete indipendente: i dispositivi all'interno di una VLAN possono comunicare tra loro, ma non possono comunicare con dispositivi di altre VLAN a meno che il traffico non passi attraverso un router o firewall con regole esplicite. La segmentazione con VLAN e una delle best practice fondamentali raccomandate dal NIST (SP 800-41) e dal CIS Controls v8 per la sicurezza delle reti aziendali.
Fatti chiave — VLAN e Segmentazione 2026
- IEEE 802.1Q — lo standard industriale per il tagging VLAN
- 4-6 VLAN — il numero consigliato per una PMI con 20-50 dipendenti
- 85% degli attacchi ransomware si propaga tramite movimento laterale nella rete
- Zero Trust — la segmentazione VLAN e il primo passo verso il modello Zero Trust
- NIS2 — la direttiva europea richiede segmentazione di rete per le aziende in scope
- 150+ reti aziendali segmentate da BullTech per PMI lombarde
In sintesi — VLAN per PMI
- Le VLAN dividono la rete in segmenti isolati — un attacco in un segmento non si propaga
- 4-6 VLAN bastano: management, server, dipendenti, VoIP, ospiti, IoT
- Servono switch managed (Cisco, Meraki, HPE) — gli switch economici non supportano VLAN
- Il firewall controlla il traffico tra VLAN con regole granulari
- La micro-segmentazione va oltre le VLAN isolando singoli workload
Perche segmentare la rete aziendale e vitale nel 2026
L'85% degli attacchi ransomware sfrutta il movimento laterale: il malware entra da un PC (email di phishing, allegato infetto) e poi si sposta nella rete raggiungendo server, NAS e altri dispositivi. In una rete “piatta” (senza segmentazione), il ransomware dal PC del contabile puo raggiungere il server del gestionale in millisecondi — perche sono tutti sulla stessa rete.
Con le VLAN, il PC del contabile e nella VLAN “Dipendenti” e il server del gestionale e nella VLAN “Server”. Il traffico tra le due VLAN passa obbligatoriamente dal firewall, che controlla cosa puo passare e cosa no. Il firewall permette al PC di accedere al gestionale sulla porta 443 ma blocca tutto il resto. Il ransomware non puo propagarsi via SMB (porta 445) perche il firewall lo blocca.
Ma la sicurezza non e l'unico vantaggio. Le VLAN migliorano anche: le prestazioni (meno traffico broadcast su ogni segmento), la gestione (puoi applicare policy diverse per ogni VLAN), la conformita (NIS2, PCI-DSS richiedono segmentazione), e la qualita del servizio (il VoIP in una VLAN dedicata non compete con il download dei file).
Schema VLAN consigliato per una PMI
Ecco lo schema che implementiamo nella maggior parte delle PMI con 20-50 dipendenti:
| VLAN ID | Nome | Subnet | Dispositivi |
|---|---|---|---|
| 1 | Management | 10.0.1.0/24 | Switch, access point, firewall, controller |
| 10 | Server | 10.0.10.0/24 | Server, NAS, stampanti di rete |
| 20 | Dipendenti | 10.0.20.0/24 | PC, laptop, tablet aziendali |
| 30 | VoIP | 10.0.30.0/24 | Telefoni IP, centralino |
| 40 | Wi-Fi Ospiti | 10.0.40.0/24 | Dispositivi di clienti e fornitori |
| 50 | IoT / Videosicurezza | 10.0.50.0/24 | Telecamere, sensori, domotica |
La VLAN Management (ID 1) e accessibile solo dagli amministratori IT per gestire switch e access point. La VLAN Server (ID 10) e protetta dal firewall con regole restrittive. La VLAN Ospiti (ID 40) ha solo accesso a Internet — zero accesso alla rete interna. Semplice, efficace, gestibile.
Come funziona una VLAN: tagging 802.1Q spiegato facile
La magia delle VLAN si basa sullo standard IEEE 802.1Q. In pratica, ogni pacchetto di rete viene “etichettato” con un numero (il VLAN ID) che dice allo switch a quale VLAN appartiene. E come mettere un'etichetta colorata su ogni busta in un ufficio postale: le buste rosse vanno in un cassetto, le blu in un altro.
Porte Access vs Trunk
Lo switch ha due tipi di porte: Access e Trunk. Le porte Access collegano i dispositivi finali (PC, stampanti, telefoni): ogni porta appartiene a una sola VLAN e il dispositivo collegato non sa nemmeno di essere in una VLAN. Le porte Trunk collegano switch tra loro o switch e firewall: trasportano il traffico di TUTTE le VLAN sullo stesso cavo, usando le etichette 802.1Q per distinguerle.
Esempio pratico: il PC dell'ufficio commerciale e collegato alla porta 5 dello switch, configurata come Access sulla VLAN 20 (Dipendenti). La porta 48 dello switch e Trunk verso il firewall e trasporta il traffico di tutte le VLAN. Quando il PC vuole accedere al file server (VLAN 10), il pacchetto esce dalla porta Trunk con etichetta VLAN 20, arriva al firewall, il firewall applica le regole e (se permesso) lo instrada verso la VLAN 10.
Hardware necessario per le VLAN aziendali
| Componente | Modello consigliato | Prezzo indicativo |
|---|---|---|
| Switch managed 24 porte PoE | Cisco CBS350-24P o Meraki MS130-24P | 400-800 € |
| Switch managed 48 porte PoE | Cisco CBS350-48P o Meraki MS130-48P | 700-1.500 € |
| Firewall con routing inter-VLAN | Fortinet FortiGate 40F/60F | 800-2.000 € |
| Access Point con SSID multipli | Cisco Meraki MR36 o Ubiquiti U6-Pro | 200-400 € cad. |
Per una PMI con 30 dipendenti, l'investimento per l'infrastruttura VLAN completa (1 switch 48 porte + firewall + 2-3 AP) e circa 2.500-5.000 euro. Se hai gia un firewall Fortinet o Meraki e switch managed, la configurazione VLAN richiede solo il tempo dell'IT — nessun hardware aggiuntivo.
Regole firewall tra VLAN: cosa permettere e cosa bloccare
Le VLAN da sole non bastano — servono le regole firewall che controllano il traffico tra una VLAN e l'altra. Il principio e semplice: blocca tutto, permetti solo il necessario (default deny).
Permetti: porta 443 (gestionale web), 445 (file sharing SMB), 1433 (database). Blocca: tutto il resto
Permetti: HTTP/HTTPS, DNS, VPN. Blocca: torrent, P2P, categorie web a rischio
BLOCCA TUTTO. Gli ospiti accedono solo a Internet
Permetti: solo le destinazioni necessarie (cloud telecamere, aggiornamenti). Blocca: tutto il resto
Permetti: SIP/RTP verso il provider VoIP. QoS prioritario. Blocca: tutto il resto
La regola d'oro: la VLAN Ospiti non deve MAI poter raggiungere la rete interna. La VLAN IoT deve avere accesso Internet limitato (molti dispositivi IoT chiamano server in Cina — meglio bloccare e permettere solo il necessario). La VLAN Management deve essere accessibile solo agli amministratori IT.
Micro-segmentazione: il livello avanzato di protezione
La micro-segmentazione porta la segmentazione a un livello piu granulare: invece di separare solo i reparti o i tipi di dispositivo, separa i singoli workload o applicazioni. In pratica, anche all'interno della VLAN Server, il database SQL puo comunicare solo con il server applicativo sulla porta 1433 e con nient'altro.
Per le PMI, la micro-segmentazione completa (con soluzioni dedicate come VMware NSX o Illumio) e spesso eccessiva. Ma puoi ottenere un risultato simile con un firewall next-gen (Fortinet, Palo Alto): crei regole granulari basate su applicazione e identita, non solo su IP e porta. Il FortiGate, ad esempio, puo ispezionare il traffico tra VLAN a livello applicativo e bloccare protocolli specifici anche se usano porte standard.
La VPN con split tunneling si integra naturalmente con le VLAN: i dipendenti remoti vengono assegnati alla VLAN Dipendenti via VPN e hanno le stesse regole di chi e in ufficio. Niente accesso diretto ai server, niente movimento laterale, tutto controllato dal firewall.
I 7 errori piu comuni con le VLAN aziendali
Rete piatta senza nessuna VLAN — tutti i dispositivi sulla stessa subnet, il ransomware ringrazia
VLAN configurate ma nessuna regola firewall tra di esse — le VLAN senza firewall rules sono inutili
Wi-Fi ospiti sulla stessa rete dei dipendenti — chiunque si collega al Wi-Fi vede i server aziendali
Switch unmanaged nella rete — 'basta uno' per rompere l'isolamento VLAN e creare una falla
VLAN Management accessibile da tutti — gli switch e il firewall devono essere gestibili solo dagli admin
Tropppe VLAN (15-20+) senza un motivo — creano complessita inutile e rendono il troubleshooting impossibile
Non documentare lo schema VLAN — quando qualcosa si rompe, nessuno sa quale porta va in quale VLAN
Checklist: la tua rete e segmentata correttamente?
Hai almeno 4 VLAN separate (management, server, dipendenti, ospiti)
Il Wi-Fi ospiti e su una VLAN dedicata SENZA accesso alla rete interna
I server e il NAS sono in una VLAN separata dai PC dei dipendenti
Le telecamere e i dispositivi IoT sono in una VLAN dedicata
Tutti gli switch sono managed e supportano 802.1Q
Il firewall ha regole inter-VLAN con default deny
La VLAN Management e accessibile solo agli amministratori
Lo schema VLAN e documentato e aggiornato
I telefoni VoIP (se presenti) sono su una VLAN dedicata con QoS
I test di isolamento VLAN sono stati eseguiti e documentati
Se hai spuntato meno di 6 voci su 10, la tua rete ha problemi di segmentazione che la rendono vulnerabile. La buona notizia: se hai gia switch managed e un firewall decente, la configurazione delle VLAN richiede poche ore di lavoro.