VLan für mehr Sicherheit

Vlans dienen zur Abgrenzung unterschiedlicher Organisationsbereiche der EDV. Auf der folgenden Graphik wird dies beispielhaft ersichtlich:

In der Handhabung sind VLans etwas flexibler als das klassische Routing. In Verbindung mit einer Firewall wie die pfSense lässt sich zudem die Sicherheit massiv erhöhen. Die Firewallregeln lassen so einen asymmetrischen Zugriff auf die Netzwerkressourcen zu. Einem veralteten XP-Rechen verwehrt man so den Zugriff aufs Internet, ja sogar ins ganze Netzwerk.
In diesem Beispiel im VLan 10 hat der Rechner keinen Zugriff aufs Internet und zudem keinen Zugriff ins gesamte lokale Netzwerk:

Einer speziellen Arbeitsgruppe wie z.B. der Avor im VLan 30 kann man allerdings den Zugriff auf den XP-Recher im VLan 10 umgekehrt erlauben:

Voraussetzung für ein Funktionieren sind nebst einer VLan fähigen Firewall auch Switches, die das Port tagging beherrschen. In Anlehnung an Ciscos VLan Aufbau empfiehlt sich ein strukturiertes Vorgehen beim Anlegen der VLan Gruppen. Je tiefer die Sicherheitsstufe, desto tiefer die VLan-ID. Umgekehrt je höher die VLan-ID, desto mehr Freiheitsgrade: