Segmentiranje mreže i zašto nam je ono bitno

ideje i primjerimreža; sigurnost; infrastruktura
Written By Dario Sekula

Kako to obično kreće s mrežom - ugovorimo putem nekog od telekoma uslugu interneta. Nakon nešto čekanja i ovisno o situaciji u vašem domu/kući i dostupnoj infrastrukturi telekom nam ili šalje tehničara ili nam opremu šalje putem pošte.

Kako god bilo, uobičajeno dobivate jedan uređaj koji ima više funkcija:

  • preklopnik (switch) sa nekoliko fizičkih portova

  • usmjernik (router)

  • bežična pristupna točka (access point)

  • vatrozid (firewall)

Nakon što ste uređaj upogonili ostaje vam jedna mreža na koju spajate sve svoje uređaje. I to je sasvim OK za početak.

Kako broj uređaja raste, kada se pojave kamere, senzori, releji i pametni asistenti, ta jedna mreža vrlo brzo postane usko grlo. Ne nužno po brzini, nego po sigurnosti, stabilnosti i preglednosti.

I tu sad u priču ulazi – segmentacija mreže.

presjek kuće u kojem je simulirana segmentirana mreža

Što uopće znači segmentirati mrežu?

Prije nego krenem u detalje našeg segmentiranja pametnog doma, da vidimo vidimo što kaže Wikipedia na temu:

Network segmentation in computer networking is the act or practice of splitting a computer network into subnetworks, each being a network segment. Advantages of such splitting are primarily for boosting performance and improving security.
— Wikipedia

Nekim mojim slobodnim prijevodom segmentacija znači:

❇️ da smo jednu fizičku mrežu podijelili na više logičkih dijelova
❇️ da svaki od logičkih dijelova može imati svoja pravila komunikacije
❇️ prednosti se očituju u učinkovitosti i sigurnosti mreže

Analogiju u fizičkom svijetu bila bi, recimo stambena zgrada:

  • stanari imaju svoje stanove

  • poslovni prostori su odvojeni od stambenih

  • posjetitelji imaju pristup samo hodniku

Zamislite sada zgradu koja sve ovo navedeno ima u jednoj jedinoj prostoriji 😅. Nastao bi popriličan kaos reklo bi se.

Idemo vidjeti kako i zašto smo mi našu mrežu segmentirali.

7 segmenata naše mreže

Prilikom razmišljanja što i kako segmentirati u našem novom pametnom domu, osim nekih općih IT dobrih praksi, glavna nit vodilja bile su naše konkretne potrebe. I to je, u pravilu, uvijek tako – dvije mreže koje na papiru izgledaju vrlo slično (recimo po broju uređaja), ne moraju nužno biti segmentirane na isti način.

Ovakav pristup vrijedi u korporativnim okruženjima, ali jednako tako i u kućnim. Nema univerzalnog pravila – postoji samo ono što ima smisla u konkretnom slučaju.

OK, kod mene u cijelu priču ulazi i jedan dodatni faktor – moj hobi o kojem pišem na ovom blogu 😊. Zbog toga će se nekima ova razina segmentacije vjerojatno činiti kao overkill…

(P.S. bilo ih je i 9 u jednom trenutku 😆)

Uglavnom, veličanstvenih 7 je:

  1. VLAN 10 – MGMT

  2. VLAN 20 – Home

  3. VLAN 30 – Kids

  4. VLAN 40 – IoT      

  5. VLAN 50 – NoT

  6. VLAN 60 – Surveillance

  7. VLAN 70 – Guests

O konkretnoj učinkovitosti i sigurnosti pisat ću kada ovaj plan realiziramo, a za ovaj blog post kratko samo o svakom segmentu

VLAN 10 – MGMT

Krećemo sa upravljačkim segmentom koji služi isključivo za mrežnu infrastrukturu – u našem slučaju internet gateway, switch i access pointovi, čije detalje možete vidjeti u ovom postu. Ideja je jednostavna: upravljanje mrežom treba biti odvojeno od svega ostalog.

VLAN 20 – Home

Ovo je glavna i “trusted” mreža u kući. Tu su naša osobna računala, mobiteli, televizori, Hi-Fi, mrežni sustav za pohranu podataka (NAS) te centralni sustav pametnog doma - Home Assistant.

VLAN 30 – Kids

Zaseban segment za dječje uređaje, a kada su oni u zasebnoj mreži puno lakše je uvoditi neka ograničenja i/ili filtriranja sadržaja koja su primjerena dječjoj dobi.

VLAN 40 – IoT

Ovdje će biti smješteni svi pametni uređaji (IoT) koji za svoj rad trebaju pristup Internetu. Na ovaj način odvojeni su uređaji koji inherentno predstavljaju nešto veći sigurnosni rizik od ostatka mreže, a ujedno im se omogućava nesmetana komunikacija jednoga sa drugima.

VLAN 50 – NoT

NoT (Not on the Internet) segment je rezerviran za lokalne pametne uređaje kojima internet za rad nije potreban. Iz perspektive kibernetičke sigurnosti, smanjujemo na ovaj način sigurnosne rizike s obzirom da se ovim uređajima ne može pristupiti izvana.

VLAN 60 – Surveillance

Segment za video nadzor – kamere i sustav za snimanje. Ovi uređaji nemaju nikakvu potrebu za pristupom internetu i zato su strogo izolirani. Pristup im je moguć samo iz Home segmenta, kada se stvarno želi pogledati snimka ili live feed.

VLAN 70 – Guests

Ovo je vjerojatno svima poznato. Gosti koji nam dođu imat će samo pristup internetu jer im drugo ništa nije niti potrebno.

Gledano u cjelini, kada maknemo više-manje “statička” tri segmenta segmenta (10, 60, 70), pri čemu “statički” znači da se, jednom konfigurirani, rijetko ili nikad ne diraju, ostaje za voditi brigu o preostala 4 segmenta.

Rekao bih, upravljivo bez većih napora 😎…

Dario Sekula https://smarthomeinsights.eu
Previous

Shelly Plug M Gen3 – pametna utičnica za svakoga
Next

Home Assistant v2026.1