Il 74% delle violazioni di rete nelle PMI si propaga lateralmente perche la rete e piatta — un unico segmento dove tutto parla con tutto (fonte: Verizon DBIR 2025). Bastano 4-6 VLAN ben configurate per ridurre la superficie di attacco del 60-80% e migliorare le performance di rete. Noi di BullTech Informatica, da Vimercate (MB), segmentiamo reti aziendali dal 2009 e in questa guida ti spieghiamo come funziona, quanto costa, e perche dovresti farlo anche tu.
Cos'e una VLAN (e Perche Ti Interessa)
VLAN sta per Virtual Local Area Network. In parole semplici: e un modo per dividere una rete fisica in piu reti logiche separate. Immagina di avere un ufficio open space con 50 dispositivi collegati allo stesso switch: PC, telefoni IP, stampanti, telecamere, il Wi-Fi degli ospiti. Senza VLAN, tutti questi dispositivi si vedono tra loro. Il PC della reception puo raggiungere il server della contabilita. La telecamera cinese da 40 euro puo parlare con il gestionale.
Con le VLAN, crei dei "muri virtuali" all'interno della stessa rete fisica. I dispositivi nella VLAN 20 (produzione) non vedono quelli nella VLAN 30 (guest). Le telecamere nella VLAN 50 (IoT) non possono raggiungere i server nella VLAN 20. E il bello e che non devi tirare cavi nuovi o comprare switch separati: tutto avviene a livello software, configurando gli switch che hai gia.
La differenza in numeri
- • Rete piatta: 1 segmento, 80 dispositivi nello stesso broadcast domain, 1 breach = tutto compromesso
- • Rete segmentata: 5-6 VLAN, 10-20 dispositivi per segmento, 1 breach = solo quel segmento a rischio
- • Tempo medio di implementazione: 1-2 giorni per una PMI con 20-80 postazioni
- • Costo: se hai gia switch managed, quasi zero (solo configurazione). Altrimenti, switch managed da 200-600 EUR l'uno
Perche Segmentare la Rete: 3 Motivi Concreti
1. Sicurezza: il Ransomware Non Passa
Il motivo numero uno. Un ransomware che entra da un PC della reception, in una rete piatta, puo cifrare tutto: server, NAS, backup, gestionali. In una rete segmentata, resta confinato nella sua VLAN. Non puo raggiungere il server della contabilita perche e su un'altra VLAN, e il firewall tra le VLAN blocca il traffico non autorizzato.
Lo stesso vale per le minacce IoT. Le telecamere, stampanti e sensori sono notoriamente vulnerabili (firmware non aggiornati, credenziali di default). Se stanno sulla stessa rete dei PC, sono un punto di ingresso perfetto. Su una VLAN separata, anche se compromessi, non possono fare danni al resto della rete.
2. Performance: Meno Broadcast, Piu Velocita
Ogni dispositivo in rete genera traffico broadcast: richieste ARP, pacchetti NetBIOS, mDNS, DHCP discover. In una rete piatta con 80 dispositivi, questo traffico "di fondo" consuma banda e rallenta tutto. Con le VLAN, ogni segmento ha il suo dominio di broadcast ridotto. Il risultato: meno rumore, piu banda utile per il traffico reale.
Per il traffico VoIP e ancora piu critico. I telefoni IP sono sensibili alla latenza e al jitter. Una VLAN dedicata al VoIP con QoS (Quality of Service) garantisce che le chiamate non vengano disturbate dal download di un aggiornamento Windows o dal backup in corso.
3. Compliance: GDPR, NIS2, ISO 27001
La segmentazione di rete non e solo una buona pratica — e sempre piu un requisito normativo. La NIS2 (in vigore da ottobre 2024) richiede "misure tecniche adeguate" per la sicurezza di rete. Il GDPR richiede di limitare l'accesso ai dati personali. La ISO 27001 ha un controllo specifico sulla segmentazione (A.13.1.3).
In pratica, se hai una rete piatta e subisci un data breach, l'autorita garante puo contestarti di non aver adottato misure adeguate. Le VLAN sono la dimostrazione concreta che hai separato i flussi e limitato gli accessi.
Le 6 VLAN Tipiche per una PMI
Non serve reinventare la ruota. Dopo aver configurato VLAN in oltre 120 aziende, questo e lo schema che funziona per la maggior parte delle PMI con 20-80 postazioni:
| VLAN ID | Nome | Cosa ci va | Subnet esempio |
|---|---|---|---|
| 1 o 99 | Management | Switch, access point, firewall, interfacce di gestione | 10.0.99.0/24 |
| 10 | Server | Server fisici e virtuali, NAS, storage | 10.0.10.0/24 |
| 20 | Produzione | PC dipendenti, notebook aziendali | 10.0.20.0/24 |
| 30 | Guest | Ospiti, dispositivi personali, BYOD | 10.0.30.0/24 |
| 40 | VoIP | Telefoni IP, centralino, SBC | 10.0.40.0/24 |
| 50 | IoT | Stampanti, telecamere, sensori, building automation | 10.0.50.0/24 |
Perche numeri come 10, 20, 30? Convenzione pratica: lasci spazio per eventuali sotto-VLAN future (es. VLAN 21 per un reparto specifico) e il numero ti ricorda subito di cosa si tratta. Non c'e una regola fissa — l'importante e documentare la convenzione e mantenerla consistente.
Trunk e Access Port: Come Funziona il Cablaggio
Qui entra in gioco il protocollo 802.1Q (detto anche "dot1q"), lo standard per il VLAN tagging. Funziona cosi:
Access Port (Porta di Accesso)
La porta appartiene a una sola VLAN. Il dispositivo collegato non sa nemmeno di essere in una VLAN, manda e riceve traffico normale. Lo switch aggiunge il tag VLAN internamente. Esempio: la porta dove colleghi un PC va in access mode sulla VLAN 20 (Produzione). Il PC prende IP dal DHCP della VLAN 20 e vede solo i dispositivi di quella VLAN.
Trunk Port (Porta Trunk)
La porta trasporta traffico di piu VLAN contemporaneamente. Ogni frame ethernet ha un tag 802.1Q che dice 'appartengo alla VLAN X'. Si usa per i collegamenti tra switch, tra switch e firewall, e tra switch e access point. Esempio: il cavo che collega lo switch al firewall e un trunk che porta tutte le 6 VLAN. Il firewall le riceve, le instrada, e applica le regole di firewall tra una VLAN e l'altra.
Trunk per Wi-Fi
Ogni access point riceve un trunk con le VLAN dei vari SSID. Il Wi-Fi 'Azienda' va sulla VLAN 20, il Wi-Fi 'Guest' sulla VLAN 30, il Wi-Fi 'VoIP' sulla VLAN 40. Un solo cavo fisico, tre reti logiche separate. Per questo servono AP managed (UniFi, Aruba, FortiAP) e non quelli consumer da 30 euro.
Inter-VLAN Routing: Far Parlare le VLAN (in Modo Controllato)
Ok, hai creato le VLAN. I PC della produzione non vedono le telecamere. Perfetto. Ma i PC devono comunque raggiungere i server, che stanno su un'altra VLAN. Come si fa?
Serve un dispositivo che faccia routing tra le VLAN. Ci sono due approcci:
Opzione 1: Routing sul Firewall (Consigliato per PMI)
Il firewall (FortiGate, pfSense, OPNsense, Sophos) ha un'interfaccia su ogni VLAN e fa da gateway. Tutto il traffico tra VLAN passa dal firewall, che applica le regole. Vantaggi: hai il controllo totale su chi puo parlare con chi, logging completo, gestione centralizzata del firewall. Svantaggi: se hai traffico pesante tra VLAN (es. server di file), il firewall deve gestire tutto il throughput.
Opzione 2: Switch Layer 3
Uno switch L3 (come HP Aruba 2930F o Cisco Catalyst) fa il routing tra VLAN direttamente in hardware, a velocita wire-speed. Si usa quando hai molto traffico tra VLAN e non vuoi sovraccaricare il firewall. In questo caso, il firewall gestisce solo il traffico verso internet e le regole di sicurezza piu complesse.
Cosa consigliamo? Per la maggior parte delle PMI con firewall moderni (da 1 Gbps di throughput in su), il routing sul firewall va benissimo. Lo switch L3 ha senso da 100+ postazioni in su, o se hai server con traffico pesante (es. file server con decine di utenti simultanei).
VLAN e Firewall: Le Regole che Servono
Avere le VLAN senza regole di firewall tra loro e come avere le porte dell'ufficio senza serrature: la separazione c'e, ma chiunque puo passare. Ecco le regole base che configuriamo per ogni PMI:
Permetti: TCP 445 (file), TCP 1433 (SQL), TCP 443 (web app), ICMP. Blocca tutto il resto.
Permetti: HTTP/HTTPS, DNS. Blocca: tutto il resto (no P2P, no torrent).
BLOCCA TUTTO. La VLAN guest va solo a internet, punto.
Permetti: SIP (5060/5061), RTP (10000-20000), STUN. Applica QoS: priorita alta.
BLOCCA TUTTO. Le telecamere parlano solo con il NVR (nella stessa VLAN) e con il cloud del vendor.
Solo da IP autorizzati (workstation IT). Accesso SSH, HTTPS, SNMP per gestione.
Queste sono le regole base. Poi si personalizzano in base al contesto: se hai un ERP specifico, aggiungi le porte necessarie. Se hai una VPN site-to-site, crei regole per il traffico VPN. L'importante e partire con il principio del "deny all, permit by exception": blocca tutto, e apri solo quello che serve.
7 Errori Comuni nella Configurazione VLAN
In 15 anni di reti aziendali, abbiamo visto di tutto. Questi sono gli errori che troviamo piu spesso quando arriviamo in un'azienda che ha "gia le VLAN":
VLAN senza regole firewall
Le VLAN ci sono, ma il routing tra loro e aperto. E come avere muri di cartone: la separazione esiste solo sulla carta. Abbiamo trovato aziende con 8 VLAN e zero regole firewall tra di loro.
VLAN Management sulla VLAN 1 di default
La VLAN 1 e la VLAN nativa di tutti gli switch. Lasciarci sopra il traffico di management e un rischio: qualsiasi porta non configurata finisce sulla VLAN 1. Sposta il management su una VLAN dedicata (es. 99).
Trunk con 'allow all' verso gli access point
Se il trunk verso l'AP porta tutte le VLAN, un AP compromesso espone tutta la rete. Configura i trunk per passare solo le VLAN necessarie per quel punto (tipicamente: produzione + guest).
Nessuna VLAN per IoT e stampanti
Le stampanti e le telecamere IP sono i dispositivi piu vulnerabili della rete (firmware vecchi, password di default, nessun aggiornamento). Metterli sulla stessa VLAN dei PC e un invito a pranzo per gli attaccanti.
DHCP scope troppo grandi
Se una VLAN ha 15 dispositivi, non serve un /24 con 254 indirizzi. Un /25 (126 host) o /26 (62 host) basta e riduce la superficie di attacco. Meno IP disponibili = meno spazio per dispositivi non autorizzati.
Nessuna documentazione
Chi ha configurato le VLAN 3 anni fa se ne e andato, e nessuno sa quale VLAN corrisponde a cosa. Documenta: mappa VLAN, schema IP, regole firewall, porte trunk. Un foglio Excel aggiornato vale oro.
VLAN nativa non cambiata sui trunk
La VLAN nativa (untagged) sui trunk dovrebbe essere una VLAN inutilizzata, non la VLAN 1. Altrimenti rischi attacchi di VLAN hopping (double tagging). Configura la native VLAN su un ID dedicato che non usi per nulla.
VLAN Tagging 802.1Q: Come Funziona (Senza Ingegnerese)
Lo standard IEEE 802.1Q e il protocollo che permette il VLAN tagging. In pratica, aggiunge 4 byte a ogni frame Ethernet con dentro il VLAN ID (un numero da 1 a 4094). Lo switch legge questo tag e sa su quale VLAN instradare il frame.
Funziona cosi: quando un frame arriva su una porta access (es. dal PC sulla VLAN 20), lo switch aggiunge il tag "VLAN 20" internamente. Quando deve mandare il frame su un trunk (es. verso il firewall), il tag resta nel frame. Il firewall lo riceve, legge il tag, e sa che viene dalla VLAN 20. Quando il firewall risponde, aggiunge il tag della VLAN di destinazione, e lo switch lo consegna alla porta giusta.
Tutto questo avviene in hardware, a velocita di rete. Non c'e overhead percepibile. L'unica cosa da sapere: i 4 byte aggiunti portano la dimensione massima del frame da 1518 a 1522 byte. Se hai vecchi dispositivi che non supportano frame da 1522 byte (raro, ma succede), potresti avere problemi con i jumbo frame. Nel 99% dei casi, non e un problema.
Quanto Costa Implementare le VLAN in una PMI
La buona notizia: se hai gia switch managed, il costo e praticamente solo la configurazione. La cattiva notizia: se hai switch unmanaged da 50 euro comprati su Amazon, devi sostituirli.
| Voce | Costo | Note |
|---|---|---|
| Switch managed 24 porte | 200-600 EUR | HP Aruba 1930/1960, UniFi Pro, Cisco CBS250 |
| Switch managed 48 porte PoE | 600-1.500 EUR | PoE per alimentare telefoni IP e access point |
| Access point managed | 150-400 EUR/pezzo | UniFi U6+, Aruba Instant On, FortiAP |
| Configurazione professionale | 800-2.500 EUR | Progettazione, configurazione VLAN + firewall, test, documentazione |
| Gestione mensile (MSP) | 100-300 EUR/mese | Monitoraggio, modifiche, troubleshooting, aggiornamenti firmware |
Per una PMI tipica con 30-50 postazioni, 2-3 switch managed, 3-4 access point e un firewall gia in essere, il costo totale dell'implementazione VLAN e tra 2.000 e 5.000 EUR una tantum + eventuale gestione mensile. Confrontalo con il costo medio di un incidente ransomware per una PMI italiana: 140.000 EUR (fonte: Rapporto Clusit 2025). L'investimento si ripaga da solo alla prima minaccia bloccata.
Come BullTech Implementa la Segmentazione di Rete
Noi di BullTech Informatica, da Vimercate (MB), segmentiamo reti aziendali dal 2009. Il nostro approccio:
Assessment della rete attuale
Mappiamo tutti i dispositivi, i flussi di traffico, gli switch in uso. Identifichiamo cosa puo essere riutilizzato e cosa va sostituito. Tempo: mezza giornata.
Progettazione VLAN
Definiamo lo schema VLAN, il piano IP, le regole firewall, la configurazione trunk/access. Tutto documentato prima di toccare un cavo.
Implementazione senza downtime
Configuriamo gli switch e il firewall fuori orario o nel weekend. Migrazione graduale: una VLAN alla volta, con test ad ogni step. Tempo: 1-2 giorni.
Monitoraggio e gestione
Dopo l'implementazione, monitoriamo la rete H24. Se un trunk va giu o un dispositivo finisce sulla VLAN sbagliata, lo vediamo subito e interveniamo.
Domande Frequenti sulle VLAN Aziendali
Quante VLAN servono in una PMI?
Per una PMI con 20-80 postazioni, il numero ideale e tra 4 e 8 VLAN. Le piu comuni: VLAN Management (per switch, AP, firewall), VLAN Produzione (PC e server aziendali), VLAN Guest (ospiti e dispositivi personali), VLAN VoIP (telefoni IP), VLAN IoT (stampanti, telecamere, sensori). Se hai anche un reparto produzione industriale, aggiungi una VLAN OT separata. Non esagerare: troppe VLAN creano complessita inutile. Se hai 15 dipendenti, 4-5 VLAN bastano e avanzano. La regola pratica: una VLAN per ogni gruppo di dispositivi con esigenze di sicurezza diverse.
La VLAN rallenta la rete?
No. La VLAN lavora a livello 2 (data link) e non aggiunge overhead misurabile. Lo switch gestisce il tagging 802.1Q in hardware, quindi il tempo aggiunto e dell'ordine dei microsecondi, impercettibile. Anzi, la segmentazione migliora le performance perche riduce il dominio di broadcast: invece di avere 80 dispositivi che si parlano tutti sullo stesso segmento (con broadcast ARP, NetBIOS, mDNS che intasano la rete), hai gruppi piu piccoli. L'unico punto dove puoi avere un collo di bottiglia e l'inter-VLAN routing, cioe quando il traffico deve passare da una VLAN all'altra attraverso il firewall o un router L3. Ma con firewall moderni da 1-10 Gbps di throughput, anche questo non e un problema per la maggior parte delle PMI.
Come configurare VLAN su switch managed?
Servono 3 cose: switch managed (non unmanaged), un firewall o router L3 per il routing tra VLAN, e un piano di indirizzamento IP. Passi base: 1) Accedi all'interfaccia web dello switch (HP Aruba, Cisco, UniFi). 2) Crea le VLAN con un ID numerico (es. VLAN 10 Management, VLAN 20 Produzione, VLAN 30 Guest, VLAN 40 VoIP). 3) Assegna ogni porta a una VLAN in modalita Access (una sola VLAN per porta) o Trunk (piu VLAN sulla stessa porta, usata per i collegamenti tra switch e verso il firewall). 4) Configura le interfacce VLAN sul firewall con IP gateway e regole di firewall tra VLAN. 5) Configura il DHCP per ogni VLAN con scope IP diverso. Il consiglio: se non l'hai mai fatto, fatti aiutare. Un errore nella configurazione trunk puo isolare interi segmenti di rete. Noi di BullTech configuriamo VLAN per PMI lombarde ogni settimana: tempo medio di implementazione 1-2 giorni.
VLAN e Wi-Fi come funzionano?
Ogni SSID (nome della rete Wi-Fi) viene mappato su una VLAN diversa. Esempio: il Wi-Fi 'BullTech-Ufficio' va sulla VLAN 20 Produzione, il Wi-Fi 'BullTech-Guest' va sulla VLAN 30 Guest. L'access point (AP) tagga il traffico con il VLAN ID corretto e lo invia allo switch via trunk. Servono access point managed che supportino VLAN (UniFi, Aruba Instant, Cisco Meraki, FortiAP). Gli AP consumer tipo TP-Link base o Netgear non supportano il VLAN tagging. Con questa configurazione, un ospite connesso al Wi-Fi guest puo navigare su internet ma non vede nulla della rete interna: server, stampanti, NAS, telefoni. La stessa cosa vale per i dispositivi IoT: telecamere su VLAN separata, cosi anche se vengono compromesse non possono raggiungere i dati aziendali.
La VLAN e obbligatoria per la NIS2?
La direttiva NIS2 non dice esplicitamente 'devi avere le VLAN'. Pero richiede misure di sicurezza adeguate al rischio, tra cui la segmentazione di rete (Art. 21, comma 2, lettera d: 'sicurezza della catena di approvvigionamento' e 'gestione delle vulnerabilita'). In pratica, se hai una rete piatta (un solo segmento dove tutto e collegato insieme) e subisci un attacco, l'autorita competente (ACN in Italia) puo contestarti di non aver adottato misure tecniche adeguate. La segmentazione con VLAN e lo standard de facto per dimostrare che hai separato i flussi di rete. Non e l'unica opzione (puoi usare anche segmentazione fisica o micro-segmentazione software), ma e la piu pratica e diffusa per le PMI. Il nostro consiglio: implementa le VLAN, documentale, e tienile nel tuo registro delle misure di sicurezza per la compliance NIS2.