8 
0 
La VLAN (Virtual LAN) ti permette di creare reti logiche separate all’interno della stessa infrastruttura fisica. È un modo semplice per introdurre segmentazione di rete, migliorare la sicurezza e ridurre il “rumore” del traffico tra dispositivi come smartphone, tablet, TV e sensori IoT. Con un router o uno switch compatibile puoi isolare gruppi di dispositivi senza cambiare cavi o hardware.
Vuoi separare dispositivi di lavoro, ospiti e IoT senza comprare un secondo router? Con le VLAN crei “micro-reti” nella stessa rete di casa. Bastano un router/switch compatibile, poche regole firewall e test mirati per evitare sorprese.
Che cos’è una VLAN e a cosa serve?
Una VLAN (Virtual Local Area Network) è una rete “virtuale” che raggruppa dispositivi come se fossero sulla stessa rete locale, anche se collegati a porte e punti diversi. Così smartphone personali, tablet dei bambini e sensori IoT non “si vedono” a vicenda, riducendo rischi e traffico indesiderato.
Lo standard 802.1Q definisce come si aggiunge un’etichetta ai frame Ethernet per distinguere le reti logiche: è il cosiddetto VLAN tagging. In Wi‑Fi, il concetto si applica creando SSID multipli, ciascuno associato a una VLAN diversa; sul cablato, si usano porte configurate come “access” o “trunk”.
Lo standard stabilisce procedure e protocolli per creare e identificare VLAN tramite un tag inserito nei frame Ethernet, consentendo la separazione logica del traffico su un’unica infrastruttura.
Mostra il testo originale
This standard specifies protocols and procedures to create and identify VLANs via a tag inserted in Ethernet frames, enabling logical traffic separation over a single infrastructure.
Dal punto di vista pratico, la VLAN limita il dominio di broadcast e isola servizi e dispositivi sensibili (per esempio le telecamere) dalla rete principale. Lo standard 802.1Q usa un campo ID a 12 bit per identificare le reti: ci sono 4094 VLAN utilizzabili; gli ID 0 e 4095 sono riservati e la VLAN 1 è spesso predefinita sugli switch.
Cosa succede senza VLAN
Senza VLAN tutto “parla con tutto”: i messaggi di ricerca (broadcast) raggiungono ogni dispositivo, aumentando il rumore di fondo e i rischi. Un malware su un device IoT poco aggiornato potrebbe raggiungere NAS o PC personali con più facilità. Con la segmentazione, invece, le comunicazioni sono intenzionali e filtrate da regole precise.
Trunk vs access
Le porte “access” assegnano i dispositivi a una sola VLAN. Le porte “trunk” trasportano più VLAN tra apparati (per esempio tra router e switch), usando l’etichetta definita in 802.1Q. Questa distinzione è cruciale per far arrivare le reti logiche dove servono senza mescolarle.
SSID multipli e VLAN
Molti router/Access Point consentono di creare più SSID (per esempio “Casa”, “Ospiti”, “IoT”) e collegarli a VLAN diverse. Così un ospite naviga su Internet ma non vede i tuoi dispositivi domestici. È la base della rete ospiti davvero isolata.
Come si configura una VLAN sul router di casa?
La procedura varia da marca a marca, ma la logica è sempre la stessa: definisci le reti, assegni gli ID, colleghi SSID o porte alle VLAN e imposti le regole firewall. Ecco un percorso pratico.
Verifica compatibilità. Controlla se il router supporta VLAN e profili multipli SSID. In alcune installazioni casalinghe serve anche uno switch gestito per estendere la segmentazione alle porte cablate.
Pianifica le reti. Decidi i gruppi: principale (PC, NAS), IoT (sensori, TV), ospiti (smartphone temporanei), lavoro (notebook aziendali). Meno segmenti, meno complessità.
Assegna gli ID (VID). Definisci, ad esempio, VLAN 10 “Principale”, 20 “IoT”, 30 “Ospiti”, 40 “Lavoro”. Usa una convenzione chiara per ricordare cosa fa ogni rete.
Crea le sottoreti. Per ogni VLAN imposta un indirizzo IP e DHCP dedicati (per esempio 192.168.10.0/24, 192.168.20.0/24). Tieni i piani di indirizzamento separati e documentati.
Collega SSID e porte. Mappa SSID “Ospiti” alla VLAN 30, “IoT” alla 20. Sui cavi, assegna porte access alle VLAN corrette e usa trunk solo tra apparati.
Configura il firewall. Consenti alla VLAN principale di raggiungere stampanti o NAS, ma blocca l’accesso inverso dalle reti IoT/ospiti. Permetti a tutte le VLAN l’uscita verso Internet, se desiderato.
Testa e monitora. Verifica con uno smartphone in ogni rete cosa si raggiunge e cosa no. Se serve, affina le regole senza aprire più del necessario.
Se nel pannello trovi opzioni come “VLAN tagging”, non spaventarti: indica proprio l’etichettatura dei frame secondo 802.1Q. Configura con calma, una rete alla volta, e annota le modifiche: la tracciabilità aiuta a risolvere eventuali problemi.
Passaggi chiave per VLAN
- Verifica che il router supporti VLAN (802.1Q).
- Decidi le reti: IoT, ospiti, lavoro, principale.
- Crea le VLAN e assegna gli ID (VID).
- Mappa le porte o gli SSID alle VLAN.
- Aggiorna DHCP, firewall e regole di routing.
- Prova con un dispositivo per VLAN e verifica.
Quali dispositivi separare con le VLAN?
L’obiettivo non è creare compartimenti stagni inutili, ma isolare ciò che è più esposto o rumoroso. In genere conviene separare IoT e ospiti dalla rete principale, tenendo PC personali e NAS in un segmento più protetto.
Se lavori da casa, una VLAN “Lavoro” aiuta a rispettare policy aziendali e a ridurre interferenze da servizi multimediali e giochi. Per console e TV, separare lo streaming evita che download pesanti impattino videochiamate e backup.
Errori comuni e come evitarli
Con la segmentazione la semplicità paga. Evita di creare reti superflue e cura le regole di intercomunicazione tra segmenti solo quando servono davvero.
Troppe VLAN. Aumentano complessità e rischio di configurazioni incoerenti. Parti con 2–3 reti e cresci solo se necessario.
Firewall permissivo. Regole troppo aperte annullano i benefici. Consenti solo i servizi indispensabili tra segmenti (per esempio stampa o backup).
SSID non isolati. La rete “Ospiti” senza isolamento è solo un nome diverso. Verifica che non possa raggiungere la LAN principale.
Documentazione assente. Senza note su VID, sottoreti e porte è facile perdersi. Mantieni un foglio con mappa e scelte tecniche.
Casi d’uso: esempi pratici
Ecco alcune situazioni tipiche in cui una VLAN rende la rete più ordinata, efficiente e sicura. Ogni esempio include il perché e cosa ottenere dall’isolamento.
Rete ospiti. Gli amici usano Internet senza accedere a file o dispositivi personali. Con limiti di banda separati, le loro attività non saturano lo streaming della famiglia.
Domotica e IoT. Sensori, lampadine e smart speaker ricevono aggiornamenti e raggiungono il cloud, ma non vedono PC e NAS. Riduci superficie d’attacco di dispositivi spesso poco aggiornati.
Lavoro da casa. Notebook aziendale con policy dedicate, separato da gaming e streaming. Migliori latenza e rispetti i requisiti di sicurezza del datore di lavoro.
Media e streaming. TV e set‑top box in rete dedicata limitano il rumore di discovery in LAN. Prioritizzare il traffico multimediale diventa più facile.
Giochi online. Console isolate per limitare UPnP e porte aperte nella rete principale. Puoi applicare regole ad hoc senza toccare i PC di lavoro.
Telecamere di sorveglianza. Le cam inviano solo flussi al registratore o al cloud, non esplorano la LAN. Le registrazioni restano raggiungibili da utenti autorizzati.
Stampanti e scanner. In VLAN condivisa ma regolata: la rete principale può stamparvi, le reti ospiti no. Meno broadcast, meno problemi di driver.
Laboratorio test. Un segmento “sandbox” dove provare nuove app o dispositivi. Se qualcosa si rompe, non coinvolge la rete produttiva.
Domande frequenti
Serve per forza uno switch gestito?
No, se usi solo Wi‑Fi con SSID multipli e il router supporta VLAN, puoi segmentare senza switch. Serve uno switch gestito quando vuoi estendere le VLAN su porte cablate multiple.
Le VLAN rallentano la rete di casa?
In genere no: l’overhead del tag è minimo e impercettibile su apparati moderni. Anzi, riducendo il broadcast, la rete può risultare più reattiva in molti scenari.
Posso usare VLAN con qualunque router?
Dipende dal modello. Cerca esplicitamente supporto 802.1Q, SSID multipli e regole firewall per VLAN. In caso contrario valuta un aggiornamento o un access point aggiuntivo compatibile.
Che differenza c’è tra VLAN e sottoreti?
Le sottoreti IP organizzano gli indirizzi, la VLAN separa il traffico a livello Ethernet/Layer 2. In pratica si usano insieme: una sottorete per ogni VLAN, più regole di routing.
Come testare che l’isolamento funzioni?
Collega un dispositivo a ogni VLAN e prova a “pingare” o raggiungere servizi comuni (NAS, stampante). Verifica anche l’accesso a Internet e l’impossibilità di vedere risorse non autorizzate.
È complicato tornare indietro?
No, se annoti le modifiche. Puoi disattivare temporaneamente una VLAN o rimappare un’SSID alla rete principale finché non trovi l’equilibrio giusto.
In sintesi operativa
- Segmenta poche reti utili e assegnale nomi chiari.
- Collega SSID e porte alle VLAN corrette.
- Imposta firewall “minimo necessario” tra segmenti.
- Documenta VID, sottoreti e regole per manutenzione.
- Testa con dispositivi reali e affina gradualmente.
Impostare una VLAN non richiede essere ingegneri di rete: con un router adeguato e un minimo di pianificazione ottieni subito benefici concreti. L’isolamento di IoT e ospiti protegge i tuoi dati e mantiene le prestazioni della LAN stabili, anche quando la casa è piena di dispositivi connessi.
Procedi per passi, misura i risultati e mantieni la configurazione semplice. Quando avrai preso confidenza, potrai aggiungere eccezioni mirate (per esempio la stampa dalla VLAN principale) senza compromettere la sicurezza complessiva. È una scelta scalabile che cresce con le tue esigenze.