Home » Keamanan Jaringan » Apa Itu Network Segmentation? Panduan VLAN untuk Pemula
Keamanan Jaringan

Apa Itu Network Segmentation? Panduan VLAN untuk Pemula

Ilustrasi network segmentation dengan VLAN yang memisahkan jaringan IoT, tamu, dan utama ke dalam segmen berbeda untuk membatasi penyebaran serangan

Apa Itu Network Segmentation? Panduan VLAN untuk Pemula

Waktu pertama kali bikin home lab sendiri, saya kira semua perangkat tinggal colok ke satu switch, kasih IP satu subnet, beres. Sederhana. Ternyata itu kesalahan paling mahal yang pernah saya buat. Suatu malam, IP camera murah yang saya beli dari marketplace kena botnet Mirai — dan karena jaringan saya flat tanpa segmentasi sama sekali, si botnet ini langsung scanning semua perangkat lain. Laptop, NAS, bahkan printer ikut kena. Satu malam itu saya belajar dengan keras kenapa apa itu network segmentation bukan sekadar teori di buku CCNA, tapi pondasi keamanan jaringan yang nggak bisa ditawar.

Nah, setelah kejadian itu saya langsung bongkar total setup jaringan rumahan. Saya pelajari VLAN, subnetting, access control list — semuanya dari nol sambil berkeringat karena NAS yang isinya backup project freelance udah mulai di-enkripsi sama malware. Untungnya saya sempat cabut kabel sebelum semua data hilang. Tapi trust me, kamu nggak mau ngalamin hal yang sama. Makanya di sini saya mau sharing apa yang saya pelajari tentang network segmentation, dari konsep paling dasar sampai implementasi praktis yang bisa kamu terapin di lab sendiri.

Apa Itu Network Segmentation Sih Sebenarnya?

Oke, bayangin rumah kamu. Kalau rumahmu cuma satu ruangan besar tanpa sekat — ruang tamu, dapur, kamar tidur, kamar mandi semua jadi satu. Kacau kan? Tamu yang datang bisa lihat isi lemari bajumu, anak kecil bisa main pisau dapur, dan kalau ada kebakaran di kompor, seluruh rumah langsung ikut terbakar.

Nah, network segmentation itu ibarat kamu bikin sekat-sekat di rumah itu. Kamu bikin kamar tidur terpisah, dapur ada pintunya sendiri, ruang tamu juga dibatasi. Jadi kalau ada masalah di satu ruangan — misalnya kebakaran di dapur — api nggak langsung menjalar ke kamar tidur. Kamu masih punya waktu buat evakuasi.

Secara teknis, apa itu network segmentation adalah praktik membagi jaringan komputer menjadi beberapa subnet atau segmen yang lebih kecil, di mana tiap segmen diisolasi secara logis maupun fisik. Ini bisa dilakukan lewat VLAN (Virtual LAN), subnetting, atau kombinasi keduanya. Tujuan utamanya simpel: membatasi blast radius. Kalau satu segmen kena serangan, penyerang nggak bisa seenaknya lompat ke segmen lain.

Saya sering nemu perusahaan yang jaringannya masih flat — server keuangan satu subnet sama WiFi tamu. Ini nightmare buat security researcher kaya saya. Dalam satu engagement pentest, saya bisa pivot dari jaringan tamu ke server HRD cuma karena nggak ada segmentasi sama sekali. Padahal solusinya nggak mahal dan nggak susah — cuma butuh pemahaman dasar tentang VLAN.

Kenapa Jaringan Flat Itu Sangat Berbahaya?

Jaringan flat itu definisi dari “nyaman tapi mematikan.” Semua perangkat dalam satu broadcast domain yang sama. Enak buat setup awal? Iya. Enak buat troubleshooting? Lumayan. Tapi dari sisi keamanan? Bencana.

Satu Perangkat Kena, Semua Kena

Ini yang saya alamin sendiri. Satu IoT camera dengan firmware outdated jadi entry point. Karena nggak ada segmentasi, malware bisa scan seluruh jaringan dari situ. Dalam hitungan menit, dia udah nemu NAS saya yang kebetulan pakai default credential (yes, saya dulu sepicik itu). Hasilnya? Hampir 2TB data project freelance nyaris hilang.

Di lingkungan enterprise, skenarionya lebih serem lagi. Bayangin karyawan ngeklik phishing email di laptop kantor. Laptop itu kena malware. Kalau jaringannya flat, malware bisa lateral movement ke server database customer, server finance, bahkan ke sistem backup. Semua dari satu klik ceroboh. Ini bukan skenario fiksi — saya udah lihat sendiri di beberapa engagement pentest.

Lateral Movement Itu Cepat Banget

Di dunia offense security, lateral movement itu seni berpindah dari satu sistem ke sistem lain setelah foothold didapat. Di jaringan flat, lateral movement itu semudah jalan di trotoar. Nggak ada hambatan, nggak ada filtering, nggak ada checkpoint. Tools kaya Mimikatz, PSExec, atau Cobalt Strike bisa beroperasi dengan leluasa.

Saya pernah simulasi serangan di lab dengan Windows domain tanpa segmentasi. Dari foothold awal di satu workstation, saya bisa dapet Domain Admin dalam waktu kurang dari 15 menit. Itu bukan karena saya jago — tapi karena nggak ada kontrol segmentasi yang menghalangi pergerakan lateral.

Monitoring Jadi Mimpi Buruk

Satu lagi masalah jaringan flat: lo udah susah-susah pasang IDS/IPS, tapi alert yang masuk campur aduk nggak karuan. Traffic dari semua segmen numpuk jadi satu. Mau bedain mana traffic normal mana yang malicious? Good luck with that. Network segmentation justru membantu monitoring karena kamu bisa fokusin sensor ke segmen-segmen kritis dan bikin baseline traffic yang lebih jelas.

VLAN — Senjata Utama Buat Segmentasi Jaringan

Kalau subnetting itu kayak kamu bikin gang-gang di perumahan, VLAN itu kayak kamu bikin pagar tinggi dengan gerbang yang dijaga satpam. Keduanya penting, tapi VLAN itu lapisan keamanan yang lebih powerful karena bekerja di layer 2 OSI model.

Konsep Dasar VLAN

VLAN atau Virtual LAN adalah teknologi yang memungkinkan kamu membuat beberapa jaringan logis terpisah di atas infrastruktur fisik yang sama. Jadi kamu bisa punya satu switch 24-port, tapi port 1-8 jadi VLAN 10 (network kantor), port 9-16 jadi VLAN 20 (network server), dan port 17-24 jadi VLAN 30 (network tamu). Secara fisik switch-nya satu — tapi secara logis, ketiga jaringan itu terisolasi total.

Waktu pertama kali belajar VLAN, saya bingung: “Loh, kalau fisiknya satu switch, kenapa nggak bisa komunikasi langsung?” Jawabannya sederhana: karena VLAN bekerja dengan menandai (tagging) setiap frame Ethernet dengan VLAN ID. Switch akan membaca tag ini dan memastikan frame cuma dikirim ke port-port yang ada di VLAN yang sama. Device di VLAN 10 nggak akan pernah lihat traffic dari VLAN 20 kecuali kamu explicitly routing di layer 3.

Tagged vs Untagged Port

Ini konsep yang sering bikin pemula pusing — termasuk saya dulu. Tapi konsepnya simpel:

  • Untagged port (Access port): Port ini cuma bisa ada di satu VLAN. Device yang colok ke port ini nggak perlu tahu soal VLAN — dia cuma kirim terima frame Ethernet biasa. Switch yang nanti menambahkan VLAN tag secara internal. Cocok buat end device kayak laptop, printer, atau IP phone.

  • Tagged port (Trunk port): Port ini bisa membawa traffic dari beberapa VLAN sekaligus. Setiap frame ditandai dengan VLAN ID. Biasanya dipakai buat koneksi antar switch atau dari switch ke router. Jadi kalau kamu punya dua switch, kamu tinggal bikin trunk port di antara keduanya dan semua VLAN bisa lewat.

Kesalahan yang sering saya lihat: orang setting semua port jadi trunk “biar gampang.” Ini bahaya banget karena artinya lo ngasih akses ke semua VLAN dari port mana aja. Prinsip least privilege berlaku juga di layer 2.

Konfigurasi Dasar VLAN di Switch

Nah, ini bagian yang praktis. Saya pakai managed switch murah meriah (TP-Link, MikroTik, bekas Cisco dari marketplace) buat lab rumahan. Berikut contoh konfigurasi dasarnya:

VLAN 10 — Network Utama (192.168.10.0/24):

  • Port 1-8 sebagai access port VLAN 10
  • Ini buat laptop, PC, dan perangkat kerja utama

VLAN 20 — Network Server (192.168.20.0/24):

  • Port 9-12 sebagai access port VLAN 20
  • Buat NAS, server lab, VM

VLAN 30 — Network IoT (192.168.30.0/24):

  • Port 13-20 sebagai access port VLAN 30
  • Buat smart devices, CCTV, smart speaker

VLAN 40 — Network Tamu (192.168.40.0/24):

  • Port 21-24 sebagai access port VLAN 40
  • Buat teman atau keluarga yang main

Port 24 saya set sebagai trunk ke router, jadi router bisa handle inter-VLAN routing kalau diperlukan (dengan ACL ketat tentunya).

Untuk switch Cisco bekasan, kurang lebih perintahnya gini:

# Bikin VLAN
vlan 10
 name Network-Utama
vlan 20
 name Network-Server
vlan 30
 name Network-IoT
vlan 40
 name Network-Tamu

# Setting access port
interface gigabitEthernet 0/1
 switchport mode access
 switchport access vlan 10

# Setting trunk
interface gigabitEthernet 0/24
 switchport mode trunk
 switchport trunk allowed vlan 10,20,30,40

Kalau pakai MikroTik, lebih gampang lagi lewat WinBox. Tapi konsepnya sama: bikin VLAN interface, assign ke port, beres.

Subnetting Sebagai Lapisan Segmentasi Tambahan

Nah, VLAN di layer 2 itu bagus, tapi kita juga butuh kontrol di layer 3. Di sinilah subnetting dan routing berperan. Setiap VLAN biasanya punya subnet sendiri — dan komunikasi antar subnet harus lewat router atau layer 3 switch.

Ini penting karena kamu bisa pasang access control list (ACL) atau firewall rules antar subnet. Misalnya:

  • Network Utama (10.0.10.0/24) boleh akses ke Network Server (10.0.20.0/24) port tertentu aja (SSH, HTTPS, SMB).
  • Network IoT (10.0.30.0/24) nggak boleh akses ke network manapun — cuma boleh keluar internet dan itupun ke IP tertentu.
  • Network Tamu (10.0.40.0/24) cuma boleh akses internet, nggak boleh lihat internal network sama sekali.

Saya implementasiin ini pakai pfSense sebagai router/firewall. Setup-nya:

  1. Bikin VLAN interface di pfSense untuk masing-masing VLAN (10, 20, 30, 40).
  2. Enable DHCP server di tiap VLAN interface.
  3. Bikin firewall rules yang ketat:
    • Allow: Main → Server port 22, 443, 445
    • Allow: Main → Internet any
    • Allow: IoT → Internet port 80, 443, 123 (NTP)
    • Block: IoT → any internal
    • Block: Tamu → any internal
    • Allow: Tamu → Internet any

Hasilnya? Kalau IP camera IoT saya kena hack lagi — yang alhamdulillah belum terjadi setelah implementasi ini — si penyerang cuma bisa lihat network IoT yang isinya cuma smart bulb dan CCTV. Dia nggak bisa sentuh NAS atau laptop kerja. Blast radius langsung terbatas.

Implementasi Segmentasi di Lab Rumahan: Case Study

Saya mau cerita setup real lab rumahan saya sekarang. Mungkin bisa jadi referensi buat kamu yang mau mulai.

Step 1: Planning Dulu, Jangan Asal Colok

Ini kesalahan kedua yang saya buat — setelah insiden IoT camera, saya langsung beli managed switch dan excited pengen cepet-cepet setup VLAN. Hasilnya malah lebih kacau karena nggak ada perencanaan.

Sekarang saya selalu mulai dengan bikin diagram dulu (pake draw.io, gratis). Definisikan:

  • Perangkat apa aja yang ada di jaringan?
  • Mana yang critical (server, NAS, PC kerja)?
  • Mana yang untrusted (IoT, smart TV, guest)?
  • Policy komunikasi antar segmen seperti apa?

Dari diagram ini, kamu bisa lihat dengan jelas dependency dan potensi lubang keamanan sebelum mulai implementasi.

Step 2: Pisahin IoT Devices

IoT devices itu nightmare dari sisi keamanan. Firmware jarang di-update, credential sering hardcoded, dan banyak yang pake protokol komunikasi aneh yang rentan. Saya punya:

  • 2 IP camera (merk random dari marketplace)
  • 1 smart plug
  • 1 smart bulb
  • 1 smart TV (ini yang paling susah karena butuh akses ke NAS buat streaming)

Semua ini masuk VLAN IoT. Aturan firewall-nya strict: cuma boleh koneksi keluar ke internet, nggak boleh initiate connection ke internal network manapun. Untuk smart TV yang butuh akses NAS, saya kasih exception spesifik: IP TV itu boleh akses IP NAS port Plex aja. Bukan seluruh subnet server.

Step 3: Jaringan Tamu Terpisah Total

Jangan pernah — saya ulangi — jangan pernah kasih teman atau keluarga akses ke network utama kamu. Saya punya pengalaman pahit: temen datang, minta WiFi, saya kasih password network utama. Dia ternyata bawa laptop yang udah kena malware. Malware itu nyebar ke network saya dan bikin chaos.

Sekarang saya punya SSID terpisah “Rumah-Tamu” yang langsung masuk VLAN Tamu. Guest isolation enabled, jadi sesama device di network tamu juga nggak bisa komunikasi. Internet access iya, internal network absolutely no.

Step 4: Network Utama yang Relatif Dipercaya

Network utama isinya PC kerja, laptop pribadi, dan printer. Ini segmen yang paling “longgar” aturannya, tapi tetap dibatasi:

  • Boleh akses internet full
  • Boleh akses server NAS
  • Nggak boleh akses VLAN IoT (kecuali established/related)
  • Nggak boleh akses VLAN tamu

Step 5: Segmentasi Khusus untuk Server

NAS dan server lab (VM untuk pentest, vulnerable machine buat latihan) masuk VLAN terpisah. Kenapa? Karena server lab saya sengaja vulnerable — dan saya nggak mau kalau suatu saat saya salah konfigurasi, vulnerable machine itu bisa diakses dari network utama.

Dari network utama ke server cuma allowed port tertentu. Dari internet? Nggak ada sama sekali kecuali saya bikin VPN dulu.

Kesalahan Umum Saat Implementasi Network Segmentation

Saya udah bikin banyak kesalahan selama bertahun-tahun setup segmentasi jaringan. Supaya kamu nggak ngulangin, ini beberapa yang paling sering:

1. Lupa Dokumentasi — Setelah setup VLAN dan firewall rules, buru-buru pindah ke project lain. Dua bulan kemudian ada masalah, dan saya udah lupa aturan apa yang saya bikin. Sekarang saya selalu catat di markdown file yang disimpen di NAS.

2. Terlalu Kompleks — Pernah suatu saat saya bikin 15 VLAN buat network rumahan yang cuma punya 20 device. Overkill. Troubleshooting jadi mimpi buruk. Sekarang saya pegang prinsip: segmentasi secukupnya, jangan berlebihan.

3. Management VLAN Lupa Diisolasi — Default VLAN (biasanya VLAN 1) dipakai buat semua port management switch. Ini bahaya karena kalau ada yang colok ke port kosong, dia otomatis masuk management VLAN. Selalu ganti native VLAN dan pisahkan management traffic.

4. ACL Terlalu Longgar — Bikin aturan “allow any any” dari network utama ke server. Ini sama aja kayak nggak ada segmentasi. Selalu terapkan prinsip least privilege: allow cuma port yang diperlukan.

5. Nggak Test Setelah Setup — Selesai konfigurasi, langsung anggap aman. Saya selalu test dengan nmap scan dari tiap segmen untuk memvalidasi bahwa aturan isolasi bekerja dengan benar.

Pengalaman Nyata: Segmentasi Gagalkan Ransomware

Saya mau sharing satu pengalaman yang bikin saya makin yakin sama pentingnya segmentasi. Bukan di lab, tapi kejadian nyata di client.

Suatu perusahaan manufaktur kecil minta saya audit jaringan mereka. Pas awal assessment, saya lihat network mereka flat — server produksi, server HRD, workstation karyawan, bahkan WiFi pabrik semua dalam satu subnet. Saya langsung warning mereka soal bahayanya.

Mereka setuju buat implementasi segmentasi. Saya bantu setup:

  • VLAN terpisah untuk SCADA/production
  • VLAN untuk server internal
  • VLAN untuk workstation karyawan
  • VLAN untuk guest/WiFi pabrik
  • Firewall rules ketat antar VLAN

Tiga bulan kemudian, mereka kena phishing campaign. Dua karyawan ngeklik link dan download malware. Malware itu ransomware. Tapi… ransomware hanya bisa encrypt workstation si karyawan itu sendiri. Dia nggak bisa nyebar ke server produksi karena firewall rules antar VLAN ngeblok koneksi SMB dari VLAN workstation ke VLAN production.

Satu workstation kena, bisa di-reimage dalam sejam. Tapi server produksi tetap aman. Production downtime? Nol. Data hilang? Nggak ada. Mereka cuma kehilangan waktu sejam buat reimage satu PC — dibanding ribuan jam kalau seluruh lantai produksi berhenti.

Client itu sekarang jadi pelanggan rutin. Dan setiap ngobrol, mereka selalu bilang: “Untung udah segmentasi dulu.”

Tools yang Bisa Kamu Pakai

Buat mulai belajar segmentasi, kamu nggak perlu hardware mahal. Ini tools yang saya pakai dan rekomendasikan:

Tool Fungsi Harga
GNS3 / EVE-NG Simulasi network lengkap dengan VLAN Gratis
pfSense / OPNsense Router dan firewall open source Gratis
MikroTik hEX Router murah untuk lab fisik ~Rp 500rb
TP-Link Managed Switch Switch manageable untuk belajar VLAN ~Rp 400rb
VirtualBox / VMware VM untuk simulasi multi-segmen Gratis

Saya pribadi mulai dengan GNS3 + pfSense VM + 3-4 VM Debian sebagai simulasi client/server di segmen berbeda. Total biaya: Rp 0. Ilmu yang didapat: priceless.

Mulai Dari Mana?

Kalau kamu baru dengar tentang apa itu network segmentation dan bingung mulai dari mana, ini roadmap simpel yang bisa kamu ikuti:

  1. Minggu 1: Pahami konsep VLAN, subnetting, dan broadcast domain. Baca dokumentasi, nonton video, dan yang penting: praktik di GNS3.
  2. Minggu 2: Setup VLAN sederhana dengan 2-3 segmen di simulator.
  3. Minggu 3: Tambahin router/firewall virtual dan bikin ACL antar segmen.
  4. Minggu 4: Tes dari tiap segmen — pastikan isolasi bekerja.
  5. Minggu 5+: Implementasi di hardware beneran kalau udah pede.

Yang paling penting: jangan takut bikin salah. Saya udah berkali-kali bikin network kacau gara-gara miskonfigurasi VLAN — tapi justru dari situ saya paling banyak belajar. Every mistake is a lesson, dan di lab rumahan nggak ada yang namanya kesalahan fatal (selama nggak production).

Network segmentation itu investasi keamanan dengan ROI paling tinggi. Satu switch manageable seharga 400 ribu bisa jadi pembatas antara ransomware dan data berharga kamu. Silakan mulai dari sekarang — jangan tunggu kena serangan dulu kayak saya dulu.

Banditz Cyber Verified
Security Researcher at IT Security
Banditz Cyber adalah security researcher di IT Security yang berfokus pada keamanan web, analisis kerentanan, dan edukasi keamanan siber. Melalui tulisannya, ia membagikan panduan praktis, riset teknis, dan wawasan keamanan digital dengan pendekatan yang mudah dipahami.
View all posts