Twarde fakty:
- Płaska sieć bez VLAN = laptop gościa w tej samej sieci co serwer ERP
- Kamera IP podczas zapisu zdarzenia może wysycić switch i wywrócić Insert lub Comarch Optima
- Ransomware który wchodzi przez telefon pracownika w sieci bez VLAN szyfruje serwer zarządu w ciągu minut
- Audytorzy NIS2 i ubezpieczyciele cyber odrzucają firmy z płaską siecią
- Koszt wdrożenia VLAN dla firmy 30–50 osób: 0 zł dodatkowych nakładów przy wymianie switcha
Wyobraź sobie biurowiec.
Ale bez ścian wewnętrznych.
Kurier który przynosi paczkę, gość z recepcji, księgowa z danymi finansowymi i zarząd z umowami — wszyscy siedzą w jednej, wielkiej, otwartej przestrzeni. Bez drzwi. Bez kluczy. Bez barier.
Jeśli ktoś wniesie błoto — ubrudzi całe piętro.
Tak właśnie wygląda sieć komputerowa bez segmentacji VLAN. I tak wygląda infrastruktura 8 na 10 firm MŚP które odwiedzamy podczas audytów.
Co to jest VLAN — wyjaśnienie dla prezesa, nie dla IT
VLAN (Virtual Local Area Network) to logiczne podzielenie jednej fizycznej sieci na kilka izolowanych stref. Bez dodatkowego okablowania. Bez osobnych routerów. Czysto programowo — na poziomie zarządzalnego switcha.
W tym samym biurowcu — ale teraz z osobnymi pokojami na klucz:
- Pokój 1 — Serwery i ERP: tylko pracownicy z uprawnieniami mają klucz
- Pokój 2 — Biuro i komputery pracownicze: standardowy dostęp do pracy
- Pokój 3 — Monitoring CCTV: kamery widzą tylko swój rejestrator, nic więcej
- Pokój 4 — WiFi dla gości: internet tak, zasoby firmy nie
- Pokój 5 — Kasy i terminale płatnicze: izolacja wymagana przez PCI-DSS
Każdy pokój ma własne reguły. Kto może wyjść, kto może wejść — decydujesz Ty, nie przypadek.
Dlaczego płaska sieć niszczy wydajność i bezpieczeństwo jednocześnie
Problem 1: Kamera IP która wywraca Insert
To nie jest teoria. Widzieliśmy to wielokrotnie.
Kamera przemysłowa CCTV podczas zapisu zdarzenia — alarm, ruch, incydent — wysyła przez sieć duży pakiet danych wideo. W sieci bez segmentacji ten ruch trafia do tej samej domeny co ruch SQL Server obsługującego Insert GT lub Comarch Optima.
Przez ułamek sekundy switch jest zajęty obsługą kamery. SQL Server traci stabilność połączenia. Użytkownik Insert widzi błąd. W skrajnych przypadkach — Named Pipes Provider error 40 i zawieszony ERP.
Firma diagnozuje problem przez tygodnie. Wymieniają Insert. Reinstalują serwer. Problem wraca.
Przyczyna? Kamera i ERP w tym samym „pokoju” bez ściany.
Rozwiązanie? VLAN 40 dla kamer — izolacja ruchu wideo od ruchu SQL. Kamera nie „widzi” serwera ERP. Ruch SQL ma gwarantowany priorytet.
Problem 2: Ransomware z telefonu pracownika
Handlowiec przychodzi do biura z prywatnym laptopem. Podpina się do WiFi firmowego. Laptop ma wirusa — pobranego poprzedniego wieczoru, jeszcze niezidentyfikowanego przez antywirusa.
W sieci bez VLAN laptop ten jest w tej samej domenie co:
- Serwer z bazą danych ERP
- Komputery księgowości
- NAS z kopiami zapasowymi
Ransomware skanuje sieć lokalną. Znajduje serwer. Szyfruje. Firma stoi.
W sieci z VLAN laptop gościa lub prywatny telefon pracownika trafia do VLAN 50 — gości i IoT. Ma dostęp do internetu. Zero dostępu do zasobów firmowych. Ransomware skanuje sieć — widzi tylko inne urządzenia gości. Nie ma czego szyfrować po stronie firmy.
Problem 3: Broadcast storm od starej drukarki
Każde urządzenie sieciowe regularnie rozgłasza pakiety do wszystkich innych w tej samej sieci. W płaskiej sieci 40 urządzeń — ten ruch broadcast może stanowić 20–30% całkowitego ruchu.
Stara drukarka sieciowa lub kamera z błędnym firmware potrafi wywołać broadcast storm który zatkuje całą sieć na kilka minut. Bez ostrzeżenia. W dowolnym momencie.
VLAN ogranicza broadcast do własnej strefy. Storm w strefie kamer nie dotyka strefy ERP.
Jak wygląda poprawna segmentacja dla firmy 30–80 osób
Schemat który wdrażamy jako standard DC House:
VLAN 10 — Serwery
SQL Server, serwer plików, NAS, kontroler domeny.
Dostęp wyłącznie przez jawne reguły firewalla.
VLAN 20 — Stacje robocze
Komputery pracowników, drukarki biurowe.
Dostęp do VLAN 10 przez ograniczone porty.
VLAN 30 — WiFi pracownicy
Laptopy i telefony służbowe w ruchu.
Dostęp do zasobów przez VPN lub ograniczone reguły.
VLAN 40 — Monitoring CCTV
Kamery, NVR, rejestratory.
Pełna izolacja — zero komunikacji z innymi strefami.
VLAN 50 — Goście i IoT
WiFi dla gości, smart TV, urządzenia IoT.
Tylko internet. Zero dostępu do zasobów firmowych.
VLAN 60 — Terminale płatnicze
Kasy fiskalne, terminale kart.
Izolacja wymagana przez PCI-DSS.
Kiedy VLAN jest obowiązkowy — nie opcjonalny
Masz kamery CCTV w tej samej sieci co ERP. To jest podstawowe naruszenie zasad bezpieczeństwa sieci. Przy kontroli NIS2 — punkt do odliczenia.
Obsługujesz płatności kartą. Standard PCI-DSS wymaga izolacji terminali płatniczych. Brak VLAN dla terminali = non-compliance. Przy kontroli — mandat lub utrata możliwości obsługi kart.
Oferujesz WiFi dla gości (hotel, klinika, biurowiec komercyjny, cowork). Sieć gości w tej samej domenie co sieć pracowników to naruszenie RODO przy danych klientów widocznych lokalnie.
Starasz się o ubezpieczenie cyber lub przechodzisz audyt NIS2. Ubezpieczyciel pyta o segmentację sieci jako jeden z pierwszych punktów. Płaska sieć = wyższa składka lub odmowa ubezpieczenia.
Ile to kosztuje i jak długo trwa
Koszt sprzętowy przy wymianie przestarzałego switcha na zarządzalny:
| Sprzęt | Koszt |
|---|---|
| Ubiquiti UniFi USW-24 (zarządzalny, VLAN) | 1 800–2 500 zł |
| Ubiquiti UniFi USW-48-PoE (kamery + WiFi) | 3 200–4 500 zł |
| MikroTik CRS326 (oddział, mniejsza skala) | 900–1 400 zł |
Jeśli wymiana switcha była planowana — segmentacja VLAN nie dodaje żadnego kosztu. To jest konfiguracja programowa na nowym sprzęcie.
Czas wdrożenia dla firmy 30–50 osób z jedną lokalizacją:
- Audyt i projekt architektury: 1 dzień
- Konfiguracja i testy: 1 dzień
- Dokumentacja: 0,5 dnia
Łącznie 2–3 dni robocze. Wdrożenie etapami — bez przestojów produkcyjnych.
Jak sprawdzić czy Twoja sieć ma segmentację — test w 60 sekund
Podłącz prywatny telefon do WiFi firmowego. Otwórz przeglądarkę plików i wpisz adres IP serwera (lub \\nazwa-serwera na Windows).
Jeśli serwer jest widoczny — sieci nie są izolowane.
Jeśli pojawia się błąd dostępu — możliwe że segmentacja działa, ale wymaga weryfikacji przez audyt.
SYMULATOR Sprawdź koszt ryzyka w Entropy Engine™ — Symulatorze Długu Technologicznego
KONSULTACJE Audyt infrastruktury IT Deep Discovery™
FAQ
Czy segmentacja VLAN spowalnia sieć? Nie — przy nowoczesnym sprzęcie routing między VLAN-ami odbywa się sprzętowo z prędkością wirespeed. Użytkownicy nie odczują żadnej różnicy w prędkości.
Czy muszę wymieniać okablowanie strukturalne? Nie. VLAN działa na istniejącym okablowaniu. Zmiana jest wyłącznie programowa — na poziomie konfiguracji switcha i routera.
Czy niemanagowany switch obsługuje VLAN? Nie. To jest jedyna bariera techniczna. Tani switch bez zarządzania z marketu budowlanego nie obsługuje VLAN. Wymiana na zarządzalny Ubiquiti lub MikroTik jest warunkiem koniecznym.
Czy VLAN zastępuje firewall? Nie — uzupełnia go. Firewall kontroluje ruch między siecią a internetem. VLAN kontroluje ruch wewnątrz sieci lokalnej. Oba są potrzebne. Firewall bez VLAN to ochrona zewnętrzna bez ochrony wewnętrznej.
Jak VLAN wpływa na zgodność z NIS2? NIS2 wymaga m.in. segmentacji sieci i zarządzania dostępem. Brak VLAN przy płaskiej sieci to jedna z pierwszych niezgodności identyfikowanych przez audytorów. Wpływa na ocenę poziomu dojrzałości cyberbezpieczeństwa organizacji.
DC Tech Intel · Kwiecień 2026 · 7 min czytania DC House / Dimensione Creativa — Infrastruktura IT dla firm MŚP, Dolny Śląsk i cała Polska
Tagi: segmentacja VLAN firma MŚP, VLAN dla małej firmy, izolacja sieci kamera ERP, NIS2 segmentacja sieci, Ubiquiti UniFi VLAN, bezpieczeństwo sieci produkcja, infrastruktura IT Wrocław