Immagina di entrare negli uffici di un’azienda appena ristrutturata. Pareti nuove, mobili moderni, sale riunioni con pareti in vetro. Poi guardi sotto le scrivanie e vedi un groviglio di cavi che farebbe invidia a un piatto di spaghetti, uno switch consumer da 30 euro comprato su Amazon che regge venti postazioni, e un access point WiFi piazzato nell’angolo più remoto dell’ufficio perché “lì c’era la presa di corrente”. Il risultato? Connessione che cade durante le videochiamate, trasferimenti di file che ci mettono un’eternità e il magazziniere che deve uscire sul piazzale per prendere il segnale WiFi.
La rete aziendale è l’infrastruttura invisibile su cui si regge tutto il resto. È come l’impianto idraulico di un edificio: nessuno ci pensa finché funziona, ma quando qualcosa va storto, tutto si ferma. Progettare una rete bene dall’inizio costa meno che ripararla dopo, e la differenza in termini di prestazioni, sicurezza e affidabilità è abissale. Vediamo come si fa.
Cablaggio strutturato: le fondamenta di tutto
Partiamo dalle basi, letteralmente. Il cablaggio strutturato è l’insieme dei cavi, dei pannelli di permutazione, delle prese a muro e delle canalizzazioni che collegano fisicamente tutti i dispositivi della rete. È la parte meno affascinante dell’IT, ma è anche quella su cui non puoi permetterti di risparmiare.
Un cablaggio fatto bene segue lo standard TIA/EIA-568 e prevede:
- Cavi Cat 6A o superiore — il Cat 5e supporta il gigabit ma è al limite. Il Cat 6A garantisce 10 Gbps fino a 100 metri, un investimento che ti mette al sicuro per i prossimi 15-20 anni. La differenza di costo rispetto al Cat 5e è minima, quella di prestazioni è enorme.
- Topologia a stella — ogni presa a muro collegata con un cavo dedicato al pannello di permutazione nel locale tecnico. Mai cascate, mai prolunghe, mai “attacchiamo questo switch sotto la scrivania perché ci servono altre porte”.
- Locale tecnico dedicato — un armadio rack in un ambiente ventilato (possibilmente climatizzato), con alimentazione protetta da UPS. Non il ripostiglio delle scope, non l’angolo della reception, non il sottoscala. Un locale tecnico vero, con accesso controllato.
- Certificazione di ogni tratta — dopo la posa, ogni cavo va testato con un certificatore professionale che verifica lunghezza, attenuazione, diafonia e tutti i parametri previsti dallo standard. Se il tuo installatore non certifica, cambia installatore.
- Documentazione completa — planimetria con la posizione di ogni presa, etichettatura coerente tra prese a muro, cavi e porte del pannello di permutazione. Quando tra due anni dovrai collegare una nuova postazione, saprai esattamente dove passano i cavi e quali porte sono disponibili.
Un errore che vediamo spesso nelle PMI italiane è il sottodimensionamento. “Abbiamo quindici postazioni, quindi servono quindici punti rete.” No. Servono almeno il doppio, più le prese per stampanti, telefoni VoIP, access point WiFi, telecamere, dispositivi IoT e quella sala riunioni che adesso è vuota ma tra sei mesi ospiterà un monitor interattivo con videoconferenza. Prevedere oggi costa pochi euro in più; aggiungere dopo costa migliaia.
Switch managed: il cuore intelligente della rete
Lo switch è il dispositivo che collega tutti i cavi del tuo ufficio. Ma non tutti gli switch sono uguali, e la differenza tra uno switch “unmanaged” da supermercato e uno switch managed di fascia professionale è la differenza tra guidare bendati e guidare con il navigatore.
Uno switch managed ti permette di:
- Creare VLAN — segmentare la rete in reti virtuali separate. I computer degli uffici su una VLAN, i telefoni VoIP su un’altra, le telecamere su una terza, gli ospiti su una quarta. Anche se condividono lo stesso cablaggio fisico, sono isolate tra loro come se fossero reti diverse. Se un ransomware colpisce un PC nella VLAN uffici, le telecamere e i telefoni continuano a funzionare.
- Configurare QoS (Quality of Service) — dare priorità al traffico VoIP e video rispetto ai download, così le telefonate non gracchiano quando qualcuno sta scaricando un file pesante.
- Monitorare il traffico — sapere esattamente cosa succede sulla rete: quale porta è attiva, quanto traffico genera, se ci sono errori o collisioni. Fondamentale per la diagnostica e la pianificazione della capacità.
- Implementare la sicurezza a livello di porta — limitare quali dispositivi possono connettersi a ciascuna porta (802.1X), bloccare il MAC address flooding e proteggersi da attacchi ARP spoofing.
- Supportare il PoE (Power over Ethernet) — alimentare access point WiFi, telefoni VoIP e telecamere direttamente dal cavo di rete, senza bisogno di prese elettriche dedicate. Un dettaglio pratico che semplifica enormemente l’installazione.
Per una PMI con 20-50 postazioni, uno o due switch managed da 48 porte PoE+ con un paio di uplink a 10 Gbps rappresentano un investimento di poche migliaia di euro che dura anni. Marchi come HPE Aruba, Cisco Catalyst o Ubiquiti offrono soluzioni eccellenti per ogni fascia di budget.
WiFi enterprise: non è il router di casa
Il WiFi aziendale è forse l’aspetto più sottovalutato. Troppo spesso vediamo aziende che pretendono di far funzionare trenta dispositivi con un router domestico o un access point economico. Il risultato è prevedibile: segnale debole nelle zone lontane, disconnessioni frequenti, velocità che crolla quando ci sono più di dieci utenti collegati.
Una rete WiFi aziendale seria richiede un approccio completamente diverso:
Site survey professionale
Prima di installare qualsiasi access point, va fatta un’analisi dell’ambiente. Spessore delle pareti, materiali costruttivi, interferenze da reti vicine, distribuzione degli utenti e dei dispositivi. Un site survey con strumenti professionali ti dice esattamente quanti access point servono e dove posizionarli per garantire copertura uniforme e prestazioni costanti. Montare gli AP “a occhio” è una ricetta per il disastro.
Access point di classe enterprise
Gli access point professionali supportano WiFi 6 (o WiFi 6E), gestiscono centinaia di client contemporaneamente, hanno antenne MIMO avanzate e funzionalità come il band steering (che sposta automaticamente i dispositivi sulla banda migliore) e il roaming trasparente (che permette di spostarsi nell’ufficio senza perdere la connessione). Sono montati a soffitto o a parete, alimentati via PoE, e gestiti centralmente.
Controller centralizzato
In un’installazione con più access point, serve un controller (hardware o software/cloud) che li gestisca come un sistema unico. Il controller bilancia il carico tra gli AP, ottimizza i canali radio, applica le policy di sicurezza e fornisce una visione d’insieme della rete wireless. Soluzioni come Ubiquiti UniFi, Aruba Instant On o Cisco Meraki offrono controller cloud-based che non richiedono hardware aggiuntivo.
SSID separati per dipendenti e ospiti
La rete WiFi degli ospiti deve essere fisicamente (tramite VLAN) separata da quella aziendale. Un visitatore che si collega al WiFi per controllare le email non deve poter accedere ai file server o alle stampanti interne. Configurare un captive portal con termini d’uso e durata limitata è buona prassi e, in Italia, anche un requisito normativo in molti contesti.
Segmentazione VLAN: la sicurezza che non si vede
Abbiamo già accennato alle VLAN, ma vale la pena approfondire perché la segmentazione della rete è una delle misure di sicurezza più efficaci e meno costose che un’azienda possa adottare.
In una rete piatta (non segmentata), tutti i dispositivi possono comunicare direttamente con tutti gli altri. Il PC della reception può raggiungere il server della contabilità, la telecamera del parcheggio può parlare con il NAS dei backup, il tablet del visitatore può vedere le stampanti interne. È una situazione che semplifica la configurazione ma è un incubo dal punto di vista della sicurezza.
Con le VLAN, dividi la rete in segmenti logici. Ogni segmento ha il proprio range di indirizzi IP e comunica con gli altri solo attraverso un firewall (o un router con ACL) che filtra il traffico. Uno schema tipico per una PMI potrebbe essere:
- VLAN 10 — Postazioni di lavoro
- VLAN 20 — Server
- VLAN 30 — Telefonia VoIP
- VLAN 40 — Videosorveglianza
- VLAN 50 — WiFi ospiti
- VLAN 60 — Dispositivi IoT e building automation
Il traffico tra VLAN passa attraverso il firewall, che applica regole precise: le postazioni possono accedere ai server ma non alla videosorveglianza, i telefoni VoIP hanno priorità garantita, gli ospiti escono su internet ma non vedono nulla della rete interna. Semplice, efficace e praticamente a costo zero se hai già switch managed.
Il firewall: la guardia all’ingresso
Ogni rete aziendale che si rispetti ha un firewall perimetrale tra la rete interna e internet. Ma anche qui, non tutti i firewall sono uguali. Un firewall UTM (Unified Threat Management) moderno come quelli di Fortinet, SonicWall o WatchGuard integra in un unico dispositivo: firewall stateful, IPS/IDS, antivirus perimetrale, web filtering, application control e VPN. Per una PMI, è la soluzione più pratica e cost-effective per proteggere il perimetro senza dover gestire una dozzina di appliance separate.
Affidati a chi progetta reti per mestiere
Una rete aziendale ben progettata dura anni, performa in modo costante e ti protegge da minacce che nemmeno immaginavi. Una rete improvvisata diventa un pozzo di problemi cronici che succhia tempo, denaro e pazienza. La differenza non sta nella tecnologia — quella è disponibile a tutti — ma nella progettazione e nell’implementazione.
Auxilia Sistemi progetta, installa e gestisce reti aziendali per uffici, studi professionali e aziende di ogni dimensione. Dal cablaggio strutturato certificato alla configurazione degli switch managed, dal WiFi enterprise al firewall perimetrale, ci occupiamo di tutto. Se la tua rete attuale ti crea problemi, o se stai per ristrutturare l’ufficio e vuoi fare le cose per bene fin dall’inizio, chiamaci al 06 2170 1593 o contattaci dalla pagina dedicata. Un sopralluogo e un preventivo non costano nulla, ma possono farti risparmiare molto.
