VLAN a síťová segmentace – kompletní průvodce

Máš jednu plochou síť, kde tiskárna vidí na server, IoT žárovka na NAS a hosté na WiFi na interní systémy? Přesně tenhle problém řeší VLANy. Průvodce tě provede od 802.1Q přes trunk porty až po konkrétní konfiguraci na MikroTiku a nejčastější bezpečnostní chyby.

Když se v síti nakazí jeden počítač ransomwarem, jak daleko se útočník dostane? V ploché síti — tam, kde všechna zařízení sdílejí jednu broadcast doménu — je odpověď jednoduchá: všude. Tiskárna, NAS, pokladní systém, servery, IoT zařízení. Vše je dosažitelné bez jediné překážky.

VLAN (Virtual Local Area Network) je nástroj, který síť logicky rozdělí na izolované segmenty — a to bez nutnosti instalovat fyzicky oddělené kabely a switche pro každý segment. Je to jedna z nejdůležitějších technik síťové bezpečnosti i správy, přitom překvapivě málo firem ji skutečně používá. Tento článek vysvětlí, jak VLANy fungují od základů, jak je správně navrhnout a nakonfigurovat na MikroTiku, a kde se dělají nejčastější chyby.

Jednoduchá analogie: představte si kancelářskou budovu, kde každé patro má vlastní vrátnici a výtah jezdí jen s oprávněním. I když jsou všichni ve stejné budově, zaměstnanec z 3. patra se nedostane do serverovny v 1. patře jen proto, že tam fyzicky přišel. VLANy fungují stejně — sdílí stejné kabely a switche, ale logicky jsou to zcela oddělené sítě.

1. Proč segmentovat síť?

Plochá síť a její rizika

Výchozí stav většiny sítí malých a středních firem je prostý: jeden router, jeden switch, jedno Wi-Fi a vše dostává IP adresy ze stejného rozsahu — například 192.168.1.0/24. Tato architektura se nazývá plochá síť (flat network) a má dvě zásadní nevýhody.

Za prvé, broadcast domény. Broadcast je zpráva odeslaná všem zařízením v síti najednou — například „kdo má tuto IP adresu?" Každé zařízení v síti vidí broadcast provoz všech ostatních. Ve velkých sítích to degraduje výkon — switche musí posílat ARP dotazy, DHCP požadavky (automatické přidělování IP adres) a jiný broadcast provoz na každý port. Se stovkami zařízení se z toho stává reálný problém.

Za druhé, a to je závažnější, bezpečnostní hranice neexistuje. Jakmile se útočník dostane do sítě — ať už infikovaným notebookem, kompromitovanou tiskárnou nebo nabouranou IoT žárovkou — má přímou síťovou cestu ke všem ostatním zařízením. Tento pohyb po síti po prvním průniku se nazývá laterální pohyb a je klíčovou fází naprosté většiny ransomware útoků.

Reálný příklad útoku přes plochou síť: Útočník naboural IoT termostát (slabé heslo, starý firmware). Z termostátu naskenoval síť, našel NAS (Network Attached Storage — síťové diskové úložiště) s firemními daty. NAS měl otevřené SMB (protokol pro sdílení souborů ve Windows sítích) bez autentizace v lokální síti — „přece nikdo cizí se k nám nedostane". Za 20 minut měl útočník zašifrována všechna data. Firewall na hranici sítě celou dobu nenahlásil nic podezřelého, protože veškerá komunikace byla interní.

Co segmentace řeší

Správně navržená síťová segmentace přináší tři věci:

Bezpečnostní izolaci — průnik do jednoho segmentu neznamená přístup do ostatních. IoT zařízení nikdy „nevidí" na servery.
Výkonnostní oddělení — VoIP provoz nedegraduje sdílením broadcast domény s datovými přenosy, guest WiFi nezpomaluje produkční síť.
Přehlednost a správu — každý segment má svůj adresní prostor, svá pravidla, svůj DHCP rozsah. Jasná struktura usnadňuje diagnostiku i auditování.

Kdy segmentace smysl nedává: Dvoučlenná kancelář se třemi počítači a tiskárnou nepotřebuje VLANy — přidaná složitost převáží benefit. Segmentace má smysl od okamžiku, kdy v síti máte různé kategorie zařízení s různou mírou důvěryhodnosti (zaměstnanecké počítače + IoT + guest WiFi + servery), nebo když síť přesáhne cca 20–30 zařízení.

2. Jak VLAN funguje – 802.1Q od základů

Co je VLAN logicky i fyzicky

VLAN je virtuální LAN — logicky oddělená broadcast doména vytvořená na sdílené fyzické infrastruktuře. Místo abys pro každý segment táhl samostatné kabely do samostatného switche, označíš ethernetové rámce „visačkou" s číslem VLANu. Switch pak ví, ke které logické síti rámec patří, a zachází s ním odpovídajícím způsobem.

Fyzická topologie se nemění. Kabel z počítače jde stále do stejného switche. Ale na linkové vrstvě (L2 — druhá vrstva síťového modelu, zodpovědná za přenos dat mezi zařízeními ve stejné síti) jsou tyto rámce zcela odděleny — zařízení v různých VLANech se navzájem „nevidí", stejně jako by byla zapojená do fyzicky oddělených switchů.

802.1Q tag – co je uvnitř rámce (volitelné čtení)

Tuto sekci můžete přeskočit — pro praktické nasazení VLANů ji nepotřebujete. Hodí se, pokud chcete pochopit, co se děje „uvnitř" síťového provozu.

Standard IEEE 802.1Q (vyslovuje se „dot one Q") definuje, jak se do ethernetového rámce vloží VLAN informace. Přidá se 4bajtové pole VLAN tag za zdrojovou MAC adresu:

Pole	Velikost	Hodnota / Popis
TPID	16 bitů	`0x8100` — identifikuje, že rámec je 802.1Q tagovaný
PCP	3 bity	Priority Code Point — prioritizace provozu (0–7), využívá QoS pro VoIP
DEI	1 bit	Drop Eligible Indicator — může být rámec zahozen při přetížení
VID	12 bitů	VLAN Identifier — číslo VLANu, rozsah 1–4 094

Díky 12bitovému VID máme k dispozici čísla VLAN od 1 do 4 094 (0 a 4 095 jsou rezervovány). To je dostatek pro drtivou většinu nasazení — i velké enterprise sítě obvykle nepotřebují více než desítky VLANů.

Tagged vs. untagged provoz

Ethernetové rámce mohou být v síti ve dvou podobách:

Tagovaný rámec (tagged) — obsahuje 802.1Q tag s číslem VLANu. Switch ví, do které VLANy rámec patří, a přeposílá ho pouze portům v téže VLANě. Tagované rámce se typicky přenášejí po trunk portech — speciálních portech, které přenášejí provoz více VLANů naráz — mezi síťovými zařízeními.
Netagovaný rámec (untagged) — standardní ethernetový rámec bez 802.1Q tagu. Koncová zařízení (počítače, tiskárny, telefony) zpravidla VLAN tagy nerozumějí a odesílají netagované rámce. Switch je přiřadí do nakonfigurované VLANy daného portu.

Native VLAN a její záludnosti

Na trunk portech existuje koncept native VLAN. Netagované rámce přicházející na trunk port jsou přiřazeny právě do native VLANy. Na Cisco zařízeních je výchozí native VLAN 1 — a to je problém, protože VLAN 1 je zároveň výchozí správcovská VLAN. Správnou praxí je native VLAN explicitně změnit na dedikovanou prázdnou VLAN (např. VLAN 999) nebo veškerý provoz tagovat.

VLAN ≠ bezpečnostní hranice sama o sobě: Samotné VLANy jsou logickým oddělením na L2 vrstvě. Bez firewallu nebo ACL (Access Control List — seznam pravidel určující, kdo smí komunikovat s kým) mezi VLANy může komunikace mezi segmenty volně procházet přes router. VLAN bez mezisíťových pravidel je organizační nástroj, nikoli bezpečnostní záštita.

3. Trunk a access porty

Access port – pro koncová zařízení

Access port (přístupový port) patří do jedné VLANy a přenáší netagovaný provoz. Připojené zařízení o VLANách neví vůbec nic — přijímá a odesílá běžné ethernetové rámce. Switch taguje přicházející provoz do přiřazené VLANy interně a odtagovává ho před odesláním zařízení.

Na access port se připojují: počítače, tiskárny, IP telefony (pokud nemají vlastní trunk), kamery, IoT zařízení — zkrátka vše, co patří do jednoho konkrétního segmentu.

Trunk port – propoj switchů a routeru

Trunk port přenáší tagovaný provoz více VLANů naráz. Používá se pro propojení:

Switchů navzájem (uplink/downlink kaskáda)
Switche s routerem (router-on-a-stick topologie)
Switche s access pointem (AP pak mapuje SSIDy na VLANy)

Na trunk portu je klíčové nastavit explicitní allow list — tedy seznam VLANů, které smí procházet. Defaultní nastavení „povol vše" je bezpečnostní riziko: přidáš novou VLAN a automaticky se propaguje na všechny trunk porty v síti, i tam, kde nechceš.

Router-on-a-stick topologie

Klasické nasazení pro menší sítě: router má jeden fyzický port připojený na trunk switch. Na tomto portu jsou vytvořeny logické subinterface (virtuální pod-rozhraní na jednom fyzickém portu) — jeden pro každou VLAN. Router routuje provoz mezi VLANy přes tyto subinterface a zároveň aplikuje firewall pravidla.

MikroTik a router-on-a-stick: MikroTik RouterOS tento model plně podporuje. Trunk port jde z RouterBoardu/hEXu do L2 switche, router obsluhuje inter-VLAN routing a firewall centrálně. Pro menší sítě (do cca 50 zařízení) je to nejjednodušší a nejlevnější architektura.

4. Inter-VLAN routing – jak VLANy spolu komunikují

VLANy jsou oddělené broadcast domény — zařízení z různých VLANů spolu nemohou komunikovat přímo na L2. Aby komunikace mezi segmenty fungovala, musí projít přes L3 vrstvu (třetí vrstva — zajišťuje směrování mezi různými sítěmi; vykonává ji router nebo L3 switch). To je zároveň místo, kde aplikujeme bezpečnostní pravidla.

Možnosti inter-VLAN routingu

Metoda	Hardware	Výhody	Nevýhody	Vhodné pro
Router-on-a-stick	Router + L2 switch	Jednoduchá konfigurace, vše na jednom místě, snadný firewall	Bottleneck na trunk uplinku při velké zátěži	Malé a střední sítě
L3 switch (SVI)	L3 switch	Výkon – routing přímo v ASIC čipu switche	Dražší hardware, firewall zpravidla na hraničním routeru (routeru na hranici sítě, který odděluje interní síť od internetu)	Větší sítě, campus prostředí
Žádný routing (izolace)	Cokoliv	Maximální izolace – zařízení mohou pouze na internet	Žádná komunikace mezi segmenty	IoT, guest WiFi

Kdy komunikaci mezi VLANy zakázat úplně

Ne každý segment potřebuje komunikovat s ostatními. Pravidlem by mělo být: vše zakázáno, pokud není explicitně povoleno. IoT zařízení nepotřebují vidět na nic interního — stačí jim přístup na internet. Guest WiFi síť nesmí mít přístup do firemní LAN vůbec.

Povolená komunikace mezi segmenty by měla být vždy zdůvodněná konkrétní potřebou (tiskárna v VLAN 30 je přístupná z VLAN 10 na konkrétní IP a port) — ne otevřená „aby to fungovalo".

5. Návrh VLAN schématu – praxe

Před samotnou konfigurací je nezbytné navrhnout segmentaci na papíře. Dobrý návrh se nezmění každé tři měsíce — věnuj mu čas předem.

Typické segmenty pro firemní síť

VLAN ID	Název	Subnet	Patří sem	Komunikace ven
`10`	LAN	10.0.10.0/24	Pracovní stanice zaměstnanců, firemní notebooky	Internet, Servery (vybrané porty), Tiskárny
`20`	Servery	10.0.20.0/24	Aplikační servery, NAS, databáze	Internet (omezený), LAN (vybrané porty)
`30`	Tiskárny	10.0.30.0/24	Síťové tiskárny, multifunkční zařízení	Pouze přijímá tisk z LAN – žádný odchozí přístup
`40`	VoIP	10.0.40.0/24	IP telefony, ústředna	Internet (SIP/RTP), LAN (ústředna)
`50`	IoT	10.0.50.0/24	Kamery, termostaty, chytré zásuvky, čtečky	Pouze internet – žádná komunikace do jiných VLANů
`60`	Guest WiFi	10.0.60.0/24	Mobilní telefony hostů, soukromá zařízení	Pouze internet, client isolation
`99`	Management	10.0.99.0/24	Správa switchů, AP, routeru, OOB přístup	Přístup pouze ze stanic správců

Pravidla dobrého návrhu: Nechej mezery v číslování — VLAN 10, 20, 30 místo 1, 2, 3. Přidáš nový segment bez přečíslování. Dokumentuj hned — tabulka výše by měla existovat jako živý dokument, ne v hlavě správce sítě. Management VLAN drž přísně oddělenu — k routeru a switchům by mělo mít přístup minimum lidí z konkrétních strojů.

6. Konfigurace na MikroTiku (RouterOS)

MikroTik RouterOS podporuje VLANy na bridge portech od verze 6.41 pomocí tzv. bridge VLAN filtering. Je to správný a doporučený způsob — starší metody (VLAN interface přímo na ethernetovém portu) jsou stále funkční, ale méně přehledné a výkonné.

Příklady níže předpokládají MikroTik s porty ether1 (WAN/internet) a ether2–ether5 (LAN porty), přičemž ether5 je trunk uplink do L2 switche. Konfigurujeme VLANy 10 (LAN), 50 (IoT) a 60 (Guest).

Krok 1 – Vytvoření bridge a přidání portů

Co děláme: Bridge je jako centrální propojovací panel, do kterého zapojíme všechny fyzické LAN porty routeru. Bez bridge by každý port fungoval samostatně. Přepínač vlan-filtering=yes říká tomuto panelu: „hlídej, kdo smí mluvit s kým".

RouterOS – /interface bridge

# Vytvoříme bridge s VLAN filteringem
/interface bridge
add name=bridge1 vlan-filtering=yes

# Přidáme LAN porty jako bridge members
/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5  # trunk do switche

Krok 2 – Nastavení VLAN na bridge portech

Co děláme: Říkáme bridge panelu, kam patří každý port. Port ether5 je jako hlavní koridor budovy — prochází jím tagovaný provoz všech VLANů naráz (trunk). Porty ether2 a ether3 jsou přístupové porty — každý patří výhradně do jedné VLANy (PVID = výchozí VLAN portu).

RouterOS – /interface bridge vlan

# Trunk port ether5 – přenáší tagované VLANy 10, 50, 60
/interface bridge vlan
add bridge=bridge1 tagged=bridge1,ether5 vlan-ids=10
add bridge=bridge1 tagged=bridge1,ether5 vlan-ids=50
add bridge=bridge1 tagged=bridge1,ether5 vlan-ids=60

# Access porty – ether2 do VLAN 10 (LAN), ether3 do VLAN 50 (IoT)
/interface bridge port
set [find interface=ether2] pvid=10
set [find interface=ether3] pvid=50

Krok 3 – VLAN interface a IP adresy

Co děláme: Pro každou VLAN vytvoříme routeru „virtuální dveře" s vlastní IP adresou. Zařízení v VLAN 10 (adresy 10.0.10.x) budou posílat veškerý provoz mimo svou síť na bránu 10.0.10.1 — to je právě toto rozhraní.

Všimni si, že VLAN interface vytváříme na bridge1, nikoliv přímo na fyzickém portu (ether1 apod.). To je klíčový rozdíl oproti starší metodě zmíněné výše — bridge VLAN filtering zůstává správcem VLANů, rozhraní slouží jen k přiřazení IP adresy.

RouterOS – VLAN interface + IP

# Vytvoříme VLAN subinterface na bridge
/interface vlan
add interface=bridge1 name=vlan10 vlan-id=10
add interface=bridge1 name=vlan50 vlan-id=50
add interface=bridge1 name=vlan60 vlan-id=60

# Přiřadíme IP adresy (router je gateway každé VLANy)
/ip address
add address=10.0.10.1/24 interface=vlan10
add address=10.0.50.1/24 interface=vlan50
add address=10.0.60.1/24 interface=vlan60

Krok 4 – DHCP server pro každou VLAN

Co děláme: Každá VLAN dostane vlastní „recepci", která nově připojeným zařízením automaticky přidělí IP adresu ze správného rozsahu. Bez toho by zařízení buď nedostala adresu vůbec, nebo by dostala adresu z jiné VLANy — a komunikace by nefungovala.

RouterOS – DHCP pools a servery

# IP Pool pro každou VLAN
/ip pool
add name=pool-lan    ranges=10.0.10.100-10.0.10.200
add name=pool-iot    ranges=10.0.50.100-10.0.50.200
add name=pool-guest  ranges=10.0.60.100-10.0.60.200

# DHCP servery – každý na svém VLAN interface
/ip dhcp-server
add address-pool=pool-lan   interface=vlan10  name=dhcp-lan   disabled=no
add address-pool=pool-iot   interface=vlan50  name=dhcp-iot   disabled=no
add address-pool=pool-guest interface=vlan60  name=dhcp-guest disabled=no

# DHCP sítě
/ip dhcp-server network
add address=10.0.10.0/24 gateway=10.0.10.1 dns-server=10.0.10.1
add address=10.0.50.0/24 gateway=10.0.50.1 dns-server=10.0.50.1
add address=10.0.60.0/24 gateway=10.0.60.1 dns-server=1.1.1.1

Krok 5 – Firewall pravidla mezi VLANy (forward chain)

Co děláme: Stavíme vrátnice mezi patry. Bez těchto pravidel by router nechal vše volně procházet — VLANy by byly jen kosmetické oddělení. Říkáme mu konkrétně: IoT nesmí na LAN ani na servery, hosté nesmí nikam do interní sítě, tiskárna je dostupná jen z LAN a jen na tiskový port. Vše ostatní je zakázáno.

Klíčová část: bez těchto pravidel MikroTik mezi VLANy routuje volně. Přidáme pravidla do forward chainu — ta kontrolují provoz procházející routerem mezi sítěmi.

RouterOS – /ip firewall filter (forward chain)

# ── Established/related provoz vždy pouštíme ──
/ip firewall filter
add chain=forward connection-state=established,related action=accept \
    comment="Povolení etablovaných spojení"

add chain=forward connection-state=invalid action=drop \
    comment="Zahození neplatných paketů"

# ── IoT VLAN – pouze internet, žádný přístup do LAN/Serverů ──
add chain=forward in-interface=vlan50 out-interface=vlan10  action=drop \
    comment="IoT → LAN: zakázáno"
add chain=forward in-interface=vlan50 out-interface=vlan20  action=drop \
    comment="IoT → Servery: zakázáno"

# ── Guest WiFi – pouze internet, žádná interní komunikace ──
add chain=forward in-interface=vlan60 out-interface=!ether1 action=drop \
    comment="Guest → LAN/Servery/IoT: zakázáno"

# ── Přístup k tiskárně z LAN – jen konkrétní port ──
add chain=forward in-interface=vlan10 out-interface=vlan30 \
    dst-port=9100 protocol=tcp action=accept \
    comment="LAN → Tiskárna (RAW print port 9100): povoleno"
add chain=forward in-interface=vlan10 out-interface=vlan30 action=drop \
    comment="LAN → Tiskárna (ostatní): zakázáno"

# ── Výchozí DROP pro vše ostatní mezi VLANy ──
add chain=forward action=drop \
    comment="Default DROP – vše neuvedené je zakázáno"

Pořadí pravidel v MikroTiku: MikroTik firewall zpracovává pravidla první shoda vyhrává (first-match-wins). Pravidlo pro established/related musí být vždy první — jinak by i odpovědi na povolené spojení mohl zachytit pozdější DROP. Pořadí výše je záměrné.

Ověření konfigurace

RouterOS – diagnostika

# Zobrazit aktivní VLAN na bridge
/interface bridge vlan print

# Zobrazit bridge port a jejich PVID
/interface bridge port print

# Zobrazit DHCP leasy – kdo dostane IP v které VLAN
/ip dhcp-server lease print

# Ověřit firewall pravidla a hit countery
/ip firewall filter print stats

7. Konfigurace na L2 switchi

MikroTik RouterBoard nebo hEX zajistí routing a firewall, ale pokud máš v síti více portů, potřebuješ L2 switch, který chápe VLANy — tzv. managed switch. Unmanaged switche (bez správy) VLANy vůbec nepodporují a nelze je v segmentované síti použít jako uplink pro více VLANů.

Trunk uplink do MikroTiku

Port switche připojený k MikroTiku musí být konfigurován jako trunk — přenáší tagované rámce ze všech VLANů. Na přístupových portech (kde jsou připojeni klienti) nastavíš untagged VLAN pro daný segment.

MikroTik CRS (Cloud Router Switch) – SwOS/RouterOS

# Trunk port (ether24 → uplink do routeru)
/interface bridge port
set [find interface=ether24] pvid=1

/interface bridge vlan
add bridge=bridge1 tagged=ether24 vlan-ids=10,50,60,99

# Access port VLAN 10 (ether1)
/interface bridge port
set [find interface=ether1] pvid=10

/interface bridge vlan
add bridge=bridge1 untagged=ether1 vlan-ids=10

Výrobce / Platforma	Trunk port příkaz	Access port příkaz	Poznámka
MikroTik CRS	tagged v bridge vlan	untagged + pvid	Bridge VLAN filtering od v6.41
Ubiquiti UniFi	Port Profile: All	Port Profile: VLAN ID	GUI-driven, jednoduché
TP-Link (TL-SG108E)	802.1Q: Tagged na portu	802.1Q: Untagged + PVID	Levný managed switch pro domácí lab

8. WiFi a VLANy – SSID per VLAN

Bezdrátová síť přináší zajímavou výzvu: fyzicky je jeden access point, ale logicky chceme více oddělených sítí (firemní, guest, IoT). Řešením je mapovat každé SSID na jinou VLAN.

Jak AP mapuje SSID na VLAN

Access point je z pohledu sítě trunk zařízení — z jednoho kabelu (nebo wireless uplinku) přijímá tagovaný provoz více VLANů. Každé SSID je nakonfigurováno tak, aby provoz klientů tagoval do příslušné VLANy před odesláním do switche:

SSID Firma-WiFi → provoz tagován do VLAN 10
SSID Firma-Guest → provoz tagován do VLAN 60
SSID Firma-IoT → provoz tagován do VLAN 50

Kabel z AP do switche musí být trunk port povolující všechny tři VLANy.

Konfigurace na MikroTik CAPsMAN / WiFi

Princip je stejný bez ohledu na verzi RouterOS: každé SSID mapuješ na VLAN ID a nastavíš vlan-mode=use-tag, aby AP tagoval provoz před odesláním do switche.

Pozor na verzi RouterOS: RouterOS v6 používá /caps-man configuration, RouterOS v7 přešel na zcela nový systém /interface wifi s odlišnou syntaxí. Před konfigurací ověř verzi příkazem /system resource print a řiď se aktuální dokumentací na wiki.mikrotik.com.

Client isolation – guest síť navíc

Pro guest SSID je důležité nejen oddělení od interní sítě (to zajistí VLAN + firewall), ale také izolace klientů mezi sebou. Bez client isolation může host v guest síti skenovat a útočit na ostatní hosty — smartphony, tablety kolegů. Většina AP tuto funkci nabízí pod názvem Client Isolation, AP Isolation nebo Station Isolation.

Client isolation na MikroTiku: Na MikroTik Wireless nastavíš /interface wireless set [find ssid="Firma-Guest"] station-bridge-clone-mac=no a přidáš firewall pravidlo blokující forward provoz uvnitř VLAN 60: add chain=forward in-interface=vlan60 out-interface=vlan60 action=drop. Tím zařídíš, že hosté spolu nemohou komunikovat ani na L3 přes router.

9. Časté chyby a bezpečnostní rizika

VLAN hopping – jak útočník překoná segmentaci

VLAN hopping je technika, která útočníkovi umožní dostat se z jedné VLANy do jiné bez vědomí správce. Existují dvě varianty:

Switch spoofing: útočníkův počítač se chová jako switch a vyjedná trunk spojení s přepínačem (pomocí DTP protokolu na Cisco). Tím získá přístup ke všem VLANům na trunk portu. Obrana: vypni DTP a nastav všechny access porty explicitně jako access — nikdy nenechávej port v auto/desirable módu.

Double tagging: útočník vytvoří rámec s dvěma 802.1Q tagy. Vnější tag odpovídá native VLANě daného portu — switch ho odstraní a odešle rámec dál s vnitřním tagem jako by šlo o normální tagovaný rámec. Útočník tak může dostat paket do jiné VLANy (jednosměrně). Obrana: native VLAN nesmí být stejná jako žádná uživatelská VLAN — proto doporučujeme dedikovanou prázdnou native VLAN (např. 999).

VLAN 1 jako native VLAN – klasická chyba: Výchozí native VLAN na Cisco zařízeních je VLAN 1, která je zároveň výchozí správcovskou VLANou. Tato kombinace umožňuje double tagging útok na management infrastrukturu. Vždy změň native VLAN na prázdnou, nepoužívanou VLAN a z VLAN 1 odstraň veškerý produkční provoz.

Přehled chyb a jejich oprav

Chyba	Důsledek	Oprava
Native VLAN = VLAN 1	Double tagging útok na management	Nastav native VLAN na nepoužívanou VLAN (např. 999)
Trunk bez allow listu	Nová VLAN se propaguje všude automaticky	Vždy nastavit explicitní `allowed vlan`
DTP povoleno na access portech	Switch spoofing útok	`switchport nonegotiate` nebo `mode access`
VLAN bez firewall pravidel	Router volně routuje mezi segmenty	Explicitní pravidla v forward chain, default DROP
Management VLAN dostupná z user VLANy	Útočník může ovládat síťová zařízení	Management VLAN přísně oddělena, přístup jen z admin stanic
Unmanaged switch v segmentované síti	VLAN tagy jsou ignorovány, vše se míchá	Používej výhradně managed switche s podporou 802.1Q
Chybí client isolation na guest WiFi	Hosté se mohou navzájem skenovat	Zapni AP isolation na guest SSID

Falešný pocit bezpečí

Nejnebezpečnější chyba je psychologická: „mám VLANy, takže jsem v bezpečí". VLANy jsou logické oddělení na L2 — útočník s přístupem k routeru (třeba přes kompromitované admin heslo) vidí vše. VLAN bez firewall pravidel a bez ochrany management přístupu je jen organizační nástroj, ne bezpečnostní vrstva.

Segmentace je jedna vrstva obrany z mnoha. Musí jít ruku v ruce s dobrým firewall pravidly, silnými hesly na správu zařízení, aktuálním firmwarem a monitoringem.

10. Diagnostika a troubleshooting

Nejčastější příznaky špatné konfigurace

Zařízení nedostane IP přes DHCP — VLAN na portu switche nesedí s PVID, nebo DHCP server není spuštěn na správném VLAN interface.
Zařízení dostane IP z jiné VLANy — port má špatný PVID, nebo trunk port má špatný allow list (netagovaný provoz propadá do native VLANy).
Komunikace mezi VLANy nefunguje, přestože by měla — firewall DROP pravidlo zachytí i odpovědi — zkontroluj, zda je na začátku pravidlo pro established/related.
Komunikace mezi VLANy funguje, přestože by neměla — chybí forward chain pravidla, nebo pravidla jsou ve špatném pořadí.

Diagnostické nástroje

Wireshark – display filtry (zadej do filtrovací lišty ve GUI)

# Zobrazit pouze 802.1Q tagované rámce
vlan

# Zobrazit rámce konkrétní VLAN
vlan.id == 50

tcpdump – zachycení provozu na rozhraní (CLI, spouští se na Linuxu/RouterOS)

# Zachytit vše na interface eth0 a uložit do souboru pro analýzu ve Wiresharku
tcpdump -i eth0 -w capture.pcap

RouterOS – diagnostika VLAN a firewall

# Zobrazit VLAN tabulku na bridge
/interface bridge vlan print detail

# Zobrazit MAC tabulku (které MAC jsou na kterém portu)
/interface bridge host print

# Sledovat firewall pravidla v reálném čase (log musí být zapnut)
/ip firewall filter print stats

# Torch – live přehled provozu per interface
/tool torch interface=vlan50

# Ping test z routeru do každé VLANy (ověření konektivity)
/ping 10.0.10.1 count=3
/ping 10.0.50.1 count=3
/ping 10.0.60.1 count=3

Postup při troubleshootingu „zařízení nedostane IP"

Ověř fyzické zapojení — správný port switche?
Ověř PVID na portu switche — sedí s VLAN ID, do které zařízení patří?
Ověř, zda VLAN je povolena na trunk portu mezi switchem a routerem.
Ověř, zda existuje VLAN interface na routeru pro danou VLAN ID.
Ověř, zda DHCP server běží na tomto VLAN interface (/ip dhcp-server print).
Ověř, zda IP pool má volné adresy (/ip dhcp-server lease print).
Ověř firewall — není DHCP broadcast blokován v input chainu routeru?

Závěr – VLAN jako základ síťové bezpečnosti

VLAN není složitá technologie — je logická a přímočará. Přesto ji naprostá většina malých a středních firem buď vůbec nepoužívá, nebo implementuje polovičatě (VLANy bez firewall pravidel). To je škoda, protože správně nasazená segmentace dramaticky zvyšuje odolnost sítě vůči laterálnímu pohybu útočníka.

Klíčová poučení z tohoto průvodce:

VLAN = logické oddělení na L2, ne bezpečnostní hranice bez firewallu
Trunk port přenáší více VLANů tagovaně, access port je pro jedno zařízení netagovaně
Native VLAN nesmí být VLAN 1 — použij dedikovanou prázdnou VLAN
Firewall forward chain s default DROP je povinný doplněk segmentace
IoT a guest WiFi musí mít nulový přístup do interní sítě
Management VLAN je nejcennější segment — chraň ho nejvíce

VLAN spolu s firewallem a VPN tvoří základní trojici síťové bezpečnosti. Pokud jsi doposud provozoval plochou síť, segmentace je pravděpodobně nejhodnotnější bezpečnostní investice, kterou dnes můžeš udělat.

Řešíte podobný problém ve vaší firmě?