De rol van VLAN’s in wifi-netwerken

door

VLAN’s (Virtual LANs) zijn onmisbaar voor het organiseren en beveiligen van moderne wifi-netwerken. Ze maken het mogelijk om draadloze gebruikers logisch te scheiden op hetzelfde fysieke netwerk, waardoor gastnetwerken, IoT, VoIP en bedrijfswerkplekken hun eigen regels, DHCP en firewallbeleid krijgen zonder extra kabels of fysieke switches.

Als wifiinstallateur.nl adviseren we praktische, direct toepasbare stappen: juiste VLAN-indeling, trunking op switches, mapping van SSID naar VLAN op access points/mesh en testprocedures die je meteen kunt uitvoeren. Hieronder concrete, overzichtelijke tips voor ondernemers en particulieren.

VLAN-indeling met voorbeelden

Maak een logisch schema dat past bij jouw omgeving. Voorbeeldindeling:

  • VLAN 10 — Management (AP/controller, switches) — strikt beperkt toegang
  • VLAN 20 — Bedrijfs-netwerk (werknemers, printers) — volledige interne toegang
  • VLAN 30 — Guest Wifi (internet only) — geen toegang naar interne servers
  • VLAN 40 — IoT (camera’s, thermostaten) — beperkt internet en specifieke cloud-ports
  • VLAN 50 — VoIP/Realtime (QoS, DSCP markering)

Kies VLAN-ID’s overzichtelijk en documenteer ze in één sheet of config-bestand.

Stap-voor-stap: VLAN opzetten voor bedrijven en thuis

  1. Plan: bepaal welke apparaten in welk VLAN horen en welke services (DHCP, DNS, NTP) per VLAN nodig zijn.
  2. Router/firewall: maak VLAN-interfaces aan (voorbeeld pfSense: Interfaces > Assign > VLANs; MikroTik: /interface vlan add name=vlan30 vlan-id=30 interface=ether1).
  3. DHCP: maak per VLAN een DHCP-scope aan met bijbehorend gateway IP (bijv. 192.168.30.1/24).
  4. Switchconfiguratie: zet uplink-ports naar de router op trunk mode en allow de VLANs (Cisco: switchport mode trunk; switchport trunk allowed vlan 10,20,30,40,50).
  5. Access ports: configureer eindpunt-poorten als access op het juiste VLAN (bijv. printers op VLAN 20).
  6. Access Points/SSID: maak per SSID de mapping naar het juiste VLAN in de AP-controller of op het standalone AP (SSID “Bedrijf” -> VLAN 20, SSID “Gast” -> VLAN 30).
  7. Firewallregels: standaard block inter-VLAN verkeer behalve expliciet toegestaan (bijv. allow VLAN20->VLAN40 voor printer-toegang). Voeg NAT/Internet rules toe voor gast en IoT waar nodig.
  8. QoS: markeer VoIP VLAN met DSCP en prioriteer op switch/centrale router.

Concrete configuratievoorbeelden (kort)

Voorbeeld Cisco switch trunk: interface Gig1/0/1 switchport trunk encapsulation dot1q switchport mode trunk switchport trunk allowed vlan 10,20,30,40,50

Voorbeeld MikroTik VLAN op ether1: /interface vlan add name=vlan30 vlan-id=30 interface=ether1

UniFi/Aruba/TP-Link: in de Wi‑Fi profile/SSID settings VLAN ID invullen bij de SSID—controleer dat dat ID ook op je switches en router toegestaan is.

Mesh-systemen en VLANs: waar op te letten

Veel consument-mesh systemen ondersteunen geen meerdere tagged VLANs over de draadloze backhaul of vereisen dat de hoofd-unit wired is naar de router en trunking ondersteunt. Tips:

  • Zorg voor een bedrade backbone tussen nodes als je meerdere VLANs wilt.
  • Controleer of het mesh-systeem SSID->VLAN tagging ondersteunt; bij beperkte ondersteuning kun je overwegen managed AP’s of enterprise mesh (UniFi, Ruckus) te gebruiken.
  • Als alleen één VLAN op mesh mogelijk is: gebruik het mesh voor guest of residentieel verkeer en zet kritieke VLANs op bedrade AP’s.

DHCP, routing en firewall — testbare stappen

  1. Controleer VLAN-interface: ping gateway van VLAN vanaf een lokaal device (bijv. ping 192.168.30.1).
  2. DHCP-check: verbind een client met het SSID en check ipconfig/ifconfig dat je IP, gateway en DNS uit de juiste scope komen.
  3. Isolatie-test guest: probeer vanuit guest VLAN een ping naar een bedrijfsserver; moet gefilterd worden tenzij expliciet toegestaan.
  4. Inter-VLAN toegangstest: test alleen specifieke regels met telnet naar poorten of curl naar services die expliciet open mogen.
  5. Throughput-test: gebruik iperf3 (server in VLAN20, client in VLAN20/30) om bandbreedte en latency te meten: iperf3 -s ; iperf3 -c 192.168.20.x

Probleemoplossing: snelle checks

  • Geen DHCP: controleer of trunk tussen switch en router de VLAN toelaat en of de DHCP-server bound is aan de VLAN-interface.
  • Clients krijgen IP maar geen internet: check default route op de VLAN-interface en NAT/firewall rules.
  • SSID werkt, maar client in wrong VLAN: verifieer SSID-to-VLAN mapping in controller en de switchpoortmodus naar AP (trunk met tagged VLANs).
  • Roamingproblemen: zorg dat alle APs dezelfde VLAN mapping en auth-instellingen hebben; bij controller-based APs: enable 802.11r/802.11k indien devices ondersteunen.
  • Native VLAN mismatch: zorg dat native VLAN op router en switch overeenkomt of stel native VLAN op trunk uit om ongedocumenteerde traffic te voorkomen.

Security en best practices

  • Gebruik management VLAN dat alleen via ACLs en jump-hosts toegankelijk is en schakel remote management op default VLAN uit.
  • Segmenteer IoT en Guest streng: blokkeer alle interne toegang behalve expliciet benodigde cloud-ports.
  • Implementeer logging en monitoring per VLAN (NetFlow/sFlow/port mirroring) om verkeer te analyseren bij incidenten.
  • Update firmware van router, switches en AP’s; malformed VLAN handling kan een beveiligingsrisico zijn.

Praktische checklist voor implementatie

  1. Documenteer VLAN-schema en IP-ranges.
  2. Configureer VLAN-interfaces op router/firewall en DHCP per VLAN.
  3. Zet trunk op uplinks en allow de juiste VLANs.
  4. Map SSID naar VLAN op AP/controller en test per SSID of client de juiste IP krijgt.
  5. Implementeer firewallregels: default deny tussen VLANs, allow where required.
  6. Voer iperf/ping/DHCP tests uit en controleer logs.

Praktische tip: voordat je live gaat, zet één test-SSID per VLAN op en laat een collega of gebruiker zonder adminrechten alle tests doorlopen volgens bovenstaande checklist — controleer IP, gateway, internettoegang en inter-VLAN restricties en pas policies aan waar nodig.