Projektując i budując sieć komputerową w firmie czy instytucji trzeba brać pod uwagę przede wszystkim bezpieczeństwo gromadzonych na komputerach danych. Należy chronić dane przed osobami z zewnątrz. Jeśli nasza sieć komputerowa jest przewodowa, to jedynym problemem jest dostęp do sieci poprzez internet. Wystarczy zastosować odpowiedniego firewall-a sprzętowego lub programowego i nasza sieć jest w pełni bezpieczna. Jeśli mamy sieć bezprzewodową musimy przyłożyć więcej starań do zabezpieczenia takiej sieci. Sieci bezprzewodowe proponujemy zabezpieczyć poprzez MAC-adresy.
Jeśli uporamy się już z problemem nieautoryzowanego dostępu do naszej sieci z zewnątrz, musimy zastanowić się nad problemem, czy wszyscy pracownicy w firmie czy instytucji mogą mieć dostęp do tej samej fizycznej sieci ? W większości firm sieci komputerowych budują je w oparciu o jeden router i switch. Na serwerze (lub routerze) ustawiony jest serwer DHCP, który przydziela adresy IP komputerom wpiętym w sieć. Wszystkie komputery, drukarki i inne urządzenia sieciowe należą do jednej klasy adresowej. Wszyscy pracownicy mają więc dostęp do jednej fizycznej sieci. Takie rozwiązanie jest bardzo proste w budowie, ale niesie ze sobą duże ryzyko. Wyobraźmy sobie taką sieć w szkole. Do sieci podłączone są komputery z pracowni komputerowy, komputery z księgowości, w administracji. Takie rozwiązanie powoduje, że z komputerów w pracowni komputerowej widać komputery z księgowości. Dostęp przez nieuprawnionego użytkownika do komputerów, na których gromadzone są dane wrażliwe jest niedopuszczalne nie tylko w dużych firmach. Również w szkołach, małych firmach warto zadbać o zabezpieczenie danych zgromadzonych na komputerach przed nieautoryzowanym dostępem.
Ale jak to zrobić ? Jak odizolować pewne komputery od innych w sytuacji gdy komputery połączone są do jednej fizycznej sieci – do jednego fizycznego switch-a czy routera ? Aby rozwiązać ten problem musimy mieć router (switch) wspierający technologię VLAN. Dzięki VLAN-om z naszej jednej fizycznej sieci wydzielimy kilka logicznych podsieci (należących do innych klas adresowych). W każdej podsieci będzie pracował oddzielny serwer DHCP. Komputery z jednej podsieci nie będą widoczne w innej. Inaczej mówiąc tworzymy odizolowane podsieci w naszej sieci fizycznej.
Komputer z sieci LAN1 nie widzi komputerów z pozostałych sieci LAN2 i LAN3. Routery zapewniające podział sieci na logiczne izolowane segmenty nie są obecnie już drogie. Każda szkoła czy instytucja dbająca o bezpieczeństwo danych musi być wyposażona w taki sprzęt. Nasz dział sieciowy przeprowadza audyty bezpieczeństwa w sieciach komputerowych. W razie potrzeby dobierze odpowiedni router lub switch, skonfiguruje sieć tak aby wrażliwe dany były bezpieczne.
