oswiata.eu
IT w oświacie
Zaloguj Forum

Segmentacja sieci VLAN w szkole – schemat praktyczny

14 lutego, 2026 · Infrastruktura IT
Segmentacja sieci

Współczesna szkoła to środowisko o wysokiej złożoności teleinformatycznej: dziennik elektroniczny, monitoring IP, sieć Wi-Fi dla uczniów, administracja, księgowość, tablice interaktywne, drukarki sieciowe, serwer plików, usługi chmurowe. Trzymanie tego wszystkiego w jednej płaskiej sieci LAN to jeden z najczęstszych błędów wykazywanych podczas audytów KRI.

Segmentacja VLAN nie jest „rozwiązaniem dla korporacji”.
To podstawowy środek bezpieczeństwa wynikający z obowiązku zarządzania ryzykiem (por. §20 ust.2 KRI).

Dlaczego segmentacja VLAN w szkole jest konieczna?

Bez segmentacji:

  • uczeń może „widzieć” serwer administracji,
  • drukarki księgowości są dostępne z sieci Wi-Fi gościnnej,
  • monitoring IP jest w tej samej sieci co komputery uczniów,
  • infekcja ransomware rozprzestrzenia się lateralnie.

Segmentacja ogranicza:

✔ rozprzestrzenianie się ataku
✔ możliwość nieautoryzowanego dostępu
✔ ryzyko naruszenia danych osobowych
✔ skutki incydentu

Co to jest VLAN – w praktyce?

VLAN (Virtual Local Area Network) to logiczny podział jednej fizycznej infrastruktury sieciowej na odrębne, izolowane segmenty.

Dla użytkownika wygląda to jak kilka oddzielnych sieci, mimo że korzystają z tych samych przełączników.

Schemat referencyjny VLAN dla szkoły (model rekomendowany)

https://www.edugeek.net/uploads/monthly_2014_11/Network.jpg.7a7ab786893357852f09f9ca60941395.jpg
https://images.wondershare.com/edrawmax/templates/vlan-network-diagram.png
https://community.sophos.com/cfs-file/__key/communityserver-discussions-components-files/53/Sophos-VLAN.jpg

4

Minimalny podział VLAN w szkole

VLAN 10 – Administracja

  • sekretariat
  • księgowość
  • dyrekcja
  • kadry
  • serwer plików

🔒 Dostęp ściśle ograniczony

VLAN 20 – Nauczyciele

  • laptopy nauczycieli
  • tablice interaktywne
  • drukarki dydaktyczne

✔ dostęp do Internetu
✔ ograniczony dostęp do zasobów administracji

VLAN 30 – Uczniowie

  • Wi-Fi uczniowskie
  • pracownie komputerowe

❌ brak dostępu do serwerów
❌ brak dostępu do monitoringu
✔ dostęp tylko do Internetu

VLAN 40 – Monitoring IP

  • rejestrator NVR
  • kamery IP

❌ brak dostępu z VLAN uczniowskiego
✔ dostęp tylko z VLAN administracyjnego

VLAN 50 – Goście

  • Internet only
  • izolacja klientów (client isolation)

VLAN 60 – Zarządzanie (Management)

  • firewall
  • przełączniki
  • access pointy

🔒 dostęp wyłącznie z określonych adresów IP

Jak wygląda ruch między VLAN?

Ruch między VLAN nie odbywa się automatycznie.

Kontroluje go firewall (najlepiej klasy UTM).

Przykład reguł:

  • VLAN 30 (uczniowie) → tylko Internet
  • VLAN 20 (nauczyciele) → Internet + drukarki
  • VLAN 10 (administracja) → pełny dostęp
  • VLAN 40 (monitoring) → brak wyjścia do Internetu

Przykład praktyczny – szkoła 350 uczniów

Infrastruktura:

  • Firewall UTM
  • 3 przełączniki zarządzalne
  • 6 access pointów
  • 1 serwer lokalny
  • Monitoring IP (12 kamer)

Konfiguracja:

  • Każdy VLAN ma osobną podsieć (np. 192.168.10.0/24)
  • DHCP przypisany do VLAN
  • SSID „Uczniowie” przypisany do VLAN 30
  • SSID „Nauczyciele” przypisany do VLAN 20
  • Rejestrator NVR w VLAN 40

Efekt:

Podczas incydentu malware w pracowni:

  • serwer administracyjny nie był widoczny,
  • monitoring nie został naruszony,
  • przywrócenie pracy trwało 3 godziny zamiast kilku dni.

Błędy najczęściej wykrywane podczas audytu

❌ VLAN utworzony, ale brak reguł firewall
❌ Monitoring w tej samej sieci co uczniowie
❌ Brak VLAN zarządzania
❌ Jeden SSID dla wszystkich
❌ Przełączniki niezarządzalne

Segmentacja a RODO

Zgodnie z RODO, administrator musi wdrożyć „odpowiednie środki techniczne”.

Segmentacja VLAN jest środkiem minimalizującym ryzyko nieuprawnionego dostępu do danych uczniów.

Segmentacja a KRI

Zgodnie z §20 ust.2 pkt 5–6 KRI:

  • kontrola dostępu,
  • zabezpieczenie systemów przed nieuprawnionym dostępem.

VLAN + firewall realizują te wymagania w sposób mierzalny.

Przykładowa tabela VLAN dla OPZ / audytu

VLANNazwaZakresDostęp do InternetuDostęp do serwera
10AdministracjaSekretariat, kadryTakTak
20NauczycieleSale lekcyjneTakOgraniczony
30UczniowieWi-Fi uczniowskieTakNie
40MonitoringKamery IPNieTak (z admin)
60ManagementSprzęt sieciowyNieTylko admin

Minimalne wymagania sprzętowe

Aby wdrożyć VLAN, szkoła potrzebuje:

  • firewall z obsługą wielu interfejsów VLAN,
  • przełączników zarządzalnych (802.1Q),
  • access pointów z obsługą VLAN / multiple SSID,
  • centralnego zarządzania.

Nie da się zrobić poprawnej segmentacji na routerze operatorskim.

Jak wdrożyć VLAN – krok po kroku

1️⃣ Inwentaryzacja urządzeń
2️⃣ Określenie segmentów logicznych
3️⃣ Konfiguracja VLAN na firewallu
4️⃣ Konfiguracja trunków na switchach
5️⃣ Przypisanie portów access
6️⃣ Konfiguracja SSID
7️⃣ Wdrożenie reguł firewall
8️⃣ Testy izolacji

Test poprawności segmentacji

Sprawdź:

  • czy z VLAN uczniowskiego można pingować serwer?
  • czy monitoring jest dostępny z sieci uczniów?
  • czy VLAN management jest niewidoczny?

Jeśli odpowiedź brzmi „tak” – segmentacja jest błędna.

Korzyści organizacyjne

✔ zmniejszenie ryzyka incydentu
✔ zgodność z KRI
✔ spełnienie wymogów RODO
✔ lepsza kontrola ruchu
✔ łatwiejsze zarządzanie

Podsumowanie

Segmentacja VLAN w szkole nie jest opcjonalnym ulepszeniem.

To:

  • element zarządzania ryzykiem,
  • techniczna realizacja KRI,
  • środek minimalizujący odpowiedzialność dyrektora,
  • podstawowy standard bezpieczeństwa.

Szkoła bez segmentacji działa w modelu wysokiego ryzyka.