VLAN za laike — kada mi je potreban?
VLAN za laike — kada mi je potreban?
“VLAN” zvuči kao tehnički žargon koji brine samo IT odeljenja velikih firmi. Ali u 2026. godini, VLAN je standard za bilo koju mrežu sa više od jedne svrhe — gostinjski WiFi, IP kamere, pametna kuća, VoIP. Ako imaš firmu sa 5+ zaposlenih ili kafić sa WiFi-om za goste, VLAN ti je verovatno potreban — a ne znaš ga. U ovom članku objašnjavamo šta je VLAN, kada ga treba, i kako se postavlja na razumljivom srpskom.
Šta je VLAN?
VLAN (Virtual LAN) je tehnologija koja logički razdvaja jednu fizičku mrežu na više nezavisnih mreža. Iako svi uređaji idu kroz isti switch i ista UTP kabliranja, VLAN ih grupiše u zasebne “broadcast domene” — saobraćaj iz VLAN-a A ne vidi VLAN B, kao da su dve potpuno odvojene mreže.
Bez VLAN-a: sve što povežeš na switch može da priča sa svim ostalim. Gost na WiFi-u može da skenira mrežu i vidi tvoj NAS, štampač, NVR. Ako gostov telefon ima virus, može da pokuša da napadne sve ostalo.
Sa VLAN-om: gosti idu u zaseban “logički segment” koji ima samo internet, ali ne vidi ništa drugo. POS sistem ide u poseban segment. Kamere u poseban. IoT (zigbee bridge, smart bulbs) u poseban. Svaki rizičan uređaj je izolovan.
VLAN je standardizovan kroz IEEE 802.1Q — protokol koji dodaje 4-bajtni “tag” na svaki Ethernet okvir koji nosi VLAN ID (1–4094).
Kada ti zaista treba VLAN?
1. Imaš gostinski WiFi
Ovo je #1 razlog za VLAN. Bez VLAN-a, gostinski WiFi je u istoj mreži kao tvoji uređaji — gost može da vidi tvoj NAS, štampa preko tvog štampača, eventualno i da uđe u tvoj router admin (ako šifra nije promenjena).
Tipičan setup: glavni VLAN za zaposlene + gostinski VLAN za posetioce. Gostinski ima samo internet, ne vidi unutrašnju mrežu.
2. Imaš IP kamere
IP kamere su poznata sigurnosna katastrofa. Kineski jeftini modeli često imaju backdoor pristup, šalju podatke u Kinu, i kompromituju se na daljinu. Ako su u istoj mreži kao tvoji računari, kamera može biti ulazna tačka za napad.
Tipičan setup: zasebnan VLAN samo za kamere + NVR. NVR je jedini uređaj sa pristupom internetu (i to ograničenim). Iz “korisničke” mreže možeš da pristupiš NVR-u (npr. da gledaš snimke), ali kamere ne mogu nigde drugde.
3. Imaš VoIP telefone
Glas zahteva niski latency. VLAN za VoIP omogućava da se glasovni paketi prioritizuju (QoS) preko ostalog saobraćaja. Plus, izoluje telefonske uređaje od ostatka mreže.
4. Imaš pametnu kuću sa puno IoT uređaja
Smart bulbs, zigbee bridge, robotski usisivač, smart TV, smart thermostat — svaki od njih je potencijalna sigurnosna rana. IoT VLAN ih grupiše i ograničava na samo internet (ili samo lokalnu komunikaciju sa hub-om).
5. Hoćeš da razdvojiš biznis od privatnog
Mnogi vlasnici manjih firmi rade iz kuće. Posao i privatni uređaji u istoj mreži znače da curenje na privatnom uređaju može da utiče na poslovne dokumente. VLAN razdvaja “Privatno” i “Posao” čak i sa istim ruterom i switchem.
Kako se VLAN konfiguriše?
VLAN zahteva tri komponente koje moraju da rade zajedno:
1. Managed switch koji podržava 802.1Q VLAN tagovanje.
2. VLAN-aware ruter ili L3 switch koji rutira između VLAN-ova (i kontroliše ko može da vidi koga).
3. VLAN-aware access point ako želiš VLAN-ove na WiFi-u (npr. gostinski SSID na svom VLAN-u).
Konfiguracija ide kroz koncepte access port i trunk port:
- Access port — port koji “pripada” jednom VLAN-u. Sav saobraćaj koji uđe / izađe iz tog porta je u tom VLAN-u. Tipično: utičnica do laptopa korisnika.
- Trunk port — port koji nosi više VLAN-ova istovremeno (svaki paket je obeležen “tag-om”). Tipično: link između dva switcha, ili switch ↔ ruter, ili switch ↔ AP.
Tipičan flow:
- Kreiraš VLAN-ove na switchu (npr. VLAN 10 = “Office”, VLAN 20 = “Guest”, VLAN 30 = “Cameras”)
- Postaviš “access” portove na koji VLAN pripadaju (port 1 = VLAN 10, port 5 = VLAN 30, …)
- Postaviš “trunk” port ka ruteru i AP-u (svi VLAN-ovi se prosleđuju)
- Konfigurišeš ruter da svaki VLAN ima svoj subnet (10.0.10.0/24, 10.0.20.0/24, …) i firewall pravila između njih
- Konfigurišeš AP da emituje SSID-ove vezane za VLAN-ove (Wi-Fi-Office na VLAN 10, Wi-Fi-Guest na VLAN 20)
Realan primer — kafić sa POS, gostima, kamerama, muzikom
Mali kafić sa 12 stolova. Postavka:
- 1 ruter (TP-Link Omada ER605 ili UniFi UDM)
- 1 managed switch sa 8 PoE+ portova (TP-Link Omada SG2008P ili UniFi USW-Lite-8)
- 2 AP-a (TP-Link EAP610 ili UniFi U6 Lite)
- 1 POS računar
- 4 IP kamere + NVR
- 1 Sonos zvučnik za muziku
Bez VLAN-a: sve u jednoj mreži. Gosti vide POS, NVR, Sonos. Sigurnosno katastrofalno, plus gosti mogu da pojedu propusnost (torrent) tako da POS gubi vezu sa cloud-om.
Sa VLAN-om (4 VLAN-a):
| VLAN ID | Naziv | Subnet | Sadržaj | Pristup |
|---|---|---|---|---|
| 10 | Office | 10.0.10.0/24 | POS, kancelarski računar | Internet + lokalni štampač |
| 20 | Cameras | 10.0.20.0/24 | 4 kamere + NVR | NVR ide na internet, kamere izolovane |
| 30 | Guest | 10.0.30.0/24 | Gostinski WiFi | Internet ograničen na 10 Mbps po klijentu |
| 40 | Sonos | 10.0.40.0/24 | Sonos zvučnik | Multicast za muziku, izolovan |
Konfiguracija u Omada/UniFi kontroleru: tipično 30–60 minuta posla za nekoga ko zna sistem. Kontroleri imaju “wizard” za VLAN postavku — kreiraš VLAN, dodeliš mu SSID i portove, sve u par klikova.
Šta da izbegavaš
- VLAN bez VLAN-aware rutera — switch može da tagira saobraćaj, ali ako ga ruter ne razume, paketi se ne rute. Najpre proveri da ruter podržava 802.1Q i sub-interface-e.
- Postavljanje VLAN ID 1 kao “korisnički” — VLAN 1 je default na većini uređaja i ostavlja sigurnosnu rupu (untagged saobraćaj često ide u VLAN 1). Koristi VLAN 10, 20, 30…
- Zaboravljanje firewall pravila između VLAN-ova — VLAN-ovi sami po sebi razdvajaju broadcast, ali ako ruter rutira između njih bez restriktivnih pravila, gosti i dalje mogu da pristupe POS-u. Default pravilo: blokiraj sve, dozvoli samo eksplicitno potrebno.
- VLAN sa nemanaged switchom u sredini — ako neki port između managed switchewa prolazi kroz nemanaged switch, VLAN tagovi se gube. Cela trasa mora da bude managed.
- Mešanje različitih VLAN ID konvencija — drži dosledno. Ako koristiš 10/20/30/40, ostani na tome u celom sistemu. Inače debugging postaje noćna mora.
Naš stav
VLAN nije više opcija — to je standard za:
- Bilo koju firmu sa gostinjskim WiFi-om
- Bilo koju kuću sa IP kamerama
- Bilo koji setup sa pametnom kućom (10+ IoT uređaja)
Investicija je mala: TP-Link Omada SG2008P (8-port managed PoE+, ~110 EUR) ili UniFi USW-Lite-8 (~140 EUR) + VLAN-aware ruter ti je dovoljan za 80% scenarija. Konfiguracija kroz Omada ili UniFi kontroler je vodena (wizard) — ne treba ti CLI ili duboko mrežno znanje.
Ako nisi spreman da ulaziš u VLAN-ove sam, AV Market predlaže “ready to deploy” pakete za male firme — switch + ruter + AP sa preset konfiguracijom 4 VLAN-a (Office / Guest / Cameras / IoT), spremno za instalaciju.
Šta dalje?
Iskoristi naš Switch port kalkulator → — odredi tačan broj portova i klasu switcha (managed je obavezan za VLAN).
Povezani članci
- Managed vs unmanaged switch →
- Kako odabrati ruter za firmu od 5-15 zaposlenih →
- WiFi mesh vs PoE access pointi →