VLAN в офисе на 50–150 ПК: зачем и как настраивать в 2026
Привет! Меня зовут Семёнов Евгений Сергеевич, и я директор компании АйТи Фреш. За мои 15 лет в IT я лично спроектировал и запустил больше 200 офисных сетей в Москве. Сегодня хочу рассказать вам, почему плоская сеть в современном офисе — это прямой путь к штрафам от Роскомнадзора и к встрече с шифровальщиком. Я покажу, как именно мы "режем" VLAN в стандартных офисах размером от 50 до 150 рабочих мест. Более того, я поделюсь живыми, рабочими конфигами для Mikrotik и Cisco — теми самыми, что мы еженедельно "льём" в продакшен.
Что такое VLAN простыми словами
Представьте себе такой типичный офис: в серверной стоит всего один свитч, и в него подключено буквально всё, что можно. Это и компьютеры бухгалтерии, и рабочие станции дизайнеров, IP-телефоны, гостевой Wi-Fi, видеокамеры, принтер с веб-интерфейсом, а также сервер 1С. Все эти устройства физически находятся в одной «коробке». Что это значит? А то, что любое из них может легко "пинговать" любое другое. Вот это, дорогие мои, и есть та самая плоская сеть.
Что же такое VLAN, или Virtual LAN? Это очень умная технология, которая позволяет нам на одном физическом коммутаторе создать несколько виртуальных "свитчей", и они будут полностью изолированы друг от друга на канальном уровне. То есть, бухгалтерия попросту не "видит" гостевой Wi-Fi, IP-камеры никак не взаимодействуют с рабочими станциями, а гостевой ноутбук вообще видит только интернет, и больше ничего. Технически, VLAN "живёт" в специальном теге 802.1Q внутри обычного Ethernet-кадра — это всего четыре дополнительных байта, где хранится номер VLAN от 1 до 4094.
На практике, для небольшого офиса, где работает около 30 ПК, нам обычно хватает 3 VLAN. В среднем офисе, рассчитанном на 50–100 ПК, мы чаще всего используем 5–7 VLAN. А вот для крупных компаний, особенно если это производство или медицинское учреждение, я выделяю 8–12. Больше, скажу вам честно, я принципиально не делаю. Почему? Потому что каждая лишняя сеть — это ведь новый интерфейс на маршрутизаторе, новая строчка в DHCP, новая запись в межсетевом экране, а значит, и новый, совершенно ненужный, шанс ошибиться.
Почему плоская сеть — это бомба замедленного действия
Прошлой осенью меня срочно вызвали в один офис на 70 человек в Тушине: там произошёл неприятный инцидент. Бухгалтер, как это часто бывает, открыла письмо с темой «Акт сверки» от якобы знакомого контрагента, скачала вложение и запустила его. Итог? Шифровальщик начал стремительно распространяться по сетевым папкам. Всего за 3 часа он успел зашифровать абсолютно всё: данные бухгалтерии, базу 1С, файловый сервер со всеми документами отделов, бэкапы (которые, к сожалению, лежали на NAS в той же сети) и даже видеоархив с камер за последние полгода. Восстановление всего этого "добра" обошлось им в 1,4 млн руб. — и это мы ещё не считаем целую неделю простоя, которая тоже стоила денег.
А вот если бы у них были настроены VLAN, всё сложилось бы совсем по-другому! Шифровальщик добрался бы только до той сети, где сидит бухгалтерия. Файловый сервер с документами других отделов и видеоархив остались бы совершенно целыми. Бэкапы на NAS, который по всем правилам должен располагаться в отдельном management-сегменте, тоже бы уцелели. Получается, что VLAN — это вовсе не какой-то "модный наворот в настройке сети", а самая что ни на есть базовая, жизненно важная защита. Она в случае такого инцидента реально сохраняет вам сотни тысяч, а то и миллионы рублей.
Есть и вторая очень веская причина для использования VLAN — это соблюдение законов. Согласно 152-ФЗ, персональные данные как сотрудников, так и клиентов обязательно должны обрабатываться в максимально защищённой среде. А вот гостевой Wi-Fi, через который любой посетитель из переговорки может запросто "пинговать" сервер кадрового учёта, — это прямое и грубое нарушение. Штраф за подобные "шалости" может достигать 100 000 руб. на каждое юрлицо, а с 2025 года, насколько я знаю, за повторные нарушения суммы штрафов значительно вырастут.
Эталонная схема VLAN для офиса на 80 человек
Вот схема, которую я ставлю по умолчанию в офисе среднего размера (от 50 до 100 рабочих мест) с производственным или коммерческим профилем. Шаблон обкатан годами, дальше под клиента подгоняем число сетей и подсети:
| VLAN | Назначение | Подсеть | Кол-во устройств |
|---|---|---|---|
| 10 | Рабочие места — общие отделы | 10.10.10.0/24 | 50–80 |
| 20 | Бухгалтерия и руководство | 10.10.20.0/24 | 5–15 |
| 30 | Серверы (1С, AD, файловый, NAS) | 10.10.30.0/27 | 3–8 |
| 40 | Гостевой Wi-Fi для посетителей | 10.10.40.0/24 | до 100 |
| 50 | IP-телефония (Asterisk, 3CX, IP-АТС) | 10.10.50.0/24 | 15–40 |
| 60 | IP-камеры и СКУД | 10.10.60.0/24 | 20–60 |
| 99 | Management — коммутаторы, точки доступа, IPMI | 10.10.99.0/27 | 10–30 |
Логика такого деления очень проста, как дважды два: чем выше уровень доверия к данным и их чувствительность, тем меньше должна быть подсеть и тем строже мы настраиваем ACL. Бухгалтерию, с её банк-клиентом и доступом к зарплатной 1С, мы, конечно же, отделяем от всех остальных рабочих мест. Серверы отправляются в совершенно отдельную сеть, и доступ к ним возможен только из VLAN 10 и 20 по чётко определённым портам, никакого ICMP, и тем более RDP с гостевых сетей. Камеры и IoT — это вообще "грязная" сеть, потому что прошивки китайских камер, чего уж скрывать, живут своей жизнью и время от времени сливают данные куда-то аж в Шэньчжэнь. Ну а management — это наша "священная корова": доступ сюда имеют только конкретные IP адреса наших админов и исключительно через VPN.
Настройка на Mikrotik: типичный офис
Что касается оборудования в московских офисах среднего размера, то в 70% случаев мы ставим Mikrotik. Почему? Потому что он дешевле Cisco в 4–5 раз, обновления для него бесплатные и пожизненные, а функционала хватает с очень большим запасом. Обычно я рекомендую связку CRS326-24G-2S+ в качестве ядра, hEX S как маршрутизатор и cAP ac для точек доступа. Полная настройка всего этого добра — чуть ниже.
Сначала на коммутаторе CRS326 включаем bridge с VLAN-фильтрацией. Главное правило, на котором сотни админов теряли доступ к свитчу — vlan-filtering=yes включаем самым последним:
# === Mikrotik CRS326: создаём bridge ===
/interface bridge
add name=bridge1 vlan-filtering=no protocol-mode=rstp
# === Добавляем порты ===
# Доступ для рабочих мест общих отделов (VLAN 10)
/interface bridge port
add bridge=bridge1 interface=ether1 pvid=10 comment="WS-room-101"
add bridge=bridge1 interface=ether2 pvid=10 comment="WS-room-102"
add bridge=bridge1 interface=ether3 pvid=10 comment="WS-room-103"
# Бухгалтерия (VLAN 20)
add bridge=bridge1 interface=ether4 pvid=20 comment="Accounting"
add bridge=bridge1 interface=ether5 pvid=20 comment="Accounting"
# IP-телефоны (VLAN 50)
add bridge=bridge1 interface=ether10 pvid=50 comment="SIP-phone"
# Камеры (VLAN 60)
add bridge=bridge1 interface=ether15 pvid=60 comment="CAM-entrance"
# Trunk на роутер и на точки Wi-Fi
add bridge=bridge1 interface=sfp-sfpplus1 comment="Uplink-to-router"
add bridge=bridge1 interface=ether24 comment="Trunk-to-AP-1"
# === VLAN-таблица ===
/interface bridge vlan
add bridge=bridge1 tagged=sfp-sfpplus1,ether24 untagged=ether1,ether2,ether3 vlan-ids=10
add bridge=bridge1 tagged=sfp-sfpplus1,ether24 untagged=ether4,ether5 vlan-ids=20
add bridge=bridge1 tagged=sfp-sfpplus1,ether24 vlan-ids=30
add bridge=bridge1 tagged=sfp-sfpplus1,ether24 vlan-ids=40
add bridge=bridge1 tagged=sfp-sfpplus1,ether24 untagged=ether10 vlan-ids=50
add bridge=bridge1 tagged=sfp-sfpplus1,ether24 untagged=ether15 vlan-ids=60
add bridge=bridge1 tagged=sfp-sfpplus1,ether24,bridge1 vlan-ids=99
# === Management-IP в VLAN 99 ===
/interface vlan
add interface=bridge1 name=vlan99-mgmt vlan-id=99
/ip address
add address=10.10.99.10/27 interface=vlan99-mgmt
# === Включаем фильтрацию ПОСЛЕДНИМ шагом ===
/interface bridge
set bridge1 vlan-filtering=yes
Теперь маршрутизатор hEX S (RB760iGS) — он же DHCP-сервер и шлюз между VLAN. Тут очень важно правильно настроить firewall: межсегментная фильтрация — это и есть то, ради чего вся затея.
# === hEX S: VLAN-интерфейсы на trunk-порте ===
/interface vlan
add interface=ether1 name=vlan10 vlan-id=10
add interface=ether1 name=vlan20 vlan-id=20
add interface=ether1 name=vlan30 vlan-id=30
add interface=ether1 name=vlan40 vlan-id=40
add interface=ether1 name=vlan50 vlan-id=50
add interface=ether1 name=vlan60 vlan-id=60
add interface=ether1 name=vlan99 vlan-id=99
# === Шлюзы для каждого VLAN ===
/ip address
add address=10.10.10.1/24 interface=vlan10
add address=10.10.20.1/24 interface=vlan20
add address=10.10.30.1/27 interface=vlan30
add address=10.10.40.1/24 interface=vlan40
add address=10.10.50.1/24 interface=vlan50
add address=10.10.60.1/24 interface=vlan60
add address=10.10.99.1/27 interface=vlan99
# === DHCP для гостей и общих рабочих мест ===
/ip pool
add name=pool-staff ranges=10.10.10.50-10.10.10.250
add name=pool-guest ranges=10.10.40.50-10.10.40.250
/ip dhcp-server
add address-pool=pool-staff interface=vlan10 name=dhcp-staff lease-time=8h
add address-pool=pool-guest interface=vlan40 name=dhcp-guest lease-time=2h
/ip dhcp-server network
add address=10.10.10.0/24 gateway=10.10.10.1 dns-server=10.10.30.5
add address=10.10.40.0/24 gateway=10.10.40.1 dns-server=8.8.8.8,1.1.1.1
# === Firewall: гостевой VLAN — только в интернет ===
/ip firewall filter
add chain=forward src-address=10.10.40.0/24 dst-address=10.10.0.0/16 \
action=drop comment="Guest: block all internal"
add chain=forward src-address=10.10.40.0/24 action=accept \
comment="Guest: allow internet only"
# === Firewall: камеры — никуда, кроме видеосервера ===
add chain=forward src-address=10.10.60.0/24 dst-address=10.10.30.20 \
protocol=tcp dst-port=554,8000 action=accept comment="CAM->NVR"
add chain=forward src-address=10.10.60.0/24 action=drop comment="CAM: block all"
# === Бухгалтерия → серверы, никаких других VLAN ===
add chain=forward src-address=10.10.20.0/24 dst-address=10.10.30.0/27 \
action=accept comment="Accounting->Servers"
add chain=forward src-address=10.10.20.0/24 dst-address=10.10.10.0/24 \
action=drop comment="Accounting: isolate from staff"
Важная деталь, на которой я раньше регулярно обжигался: при работе в продакшене — настраивайте правила firewall с конца, всегда сначала правило accept established,related, потом — конкретные разрешения, и только потом — финальный drop. Иначе можно потерять управление прямо посреди настройки и ехать на объект ножками с ноутбуком.
Wi-Fi с разными SSID на разные VLAN
Знаете, самый частый запрос, который я слышу от своих клиентов, звучит примерно так: «Сделайте так, чтобы гости заходили в отдельную сеть, а сотрудники — в корпоративную». Технически это достигается очень просто: мы создаём два SSID на одной точке доступа, и каждый из них "маппится" на свой собственный VLAN. На Mikrotik cAP ac это выглядит вот так:
# === cAP ac: интерфейсы Wi-Fi с тегированием ===
/interface wireless
set wlan1 ssid="Office-Corp" vlan-mode=use-tag vlan-id=10
add master-interface=wlan1 name=wlan1-guest ssid="Office-Guest" \
vlan-mode=use-tag vlan-id=40 security-profile=open
# === Bridge с trunk на коммутатор ===
/interface bridge
add name=br-trunk vlan-filtering=yes
/interface bridge port
add bridge=br-trunk interface=ether1
add bridge=br-trunk interface=wlan1
add bridge=br-trunk interface=wlan1-guest
/interface bridge vlan
add bridge=br-trunk tagged=ether1,wlan1 vlan-ids=10
add bridge=br-trunk tagged=ether1,wlan1-guest vlan-ids=40
add bridge=br-trunk tagged=ether1,br-trunk vlan-ids=99
На Ubiquiti UniFi и TP-Link Omada аналогично — в свойствах SSID указывается «VLAN ID» и точка доступа сама вешает тег на трафик. Главное условие: порт коммутатора, в который воткнута точка, должен быть trunk и пропускать оба VLAN.
Настройка на Cisco для крупного офиса
Но если бюджет позволяет, и у вас действительно большой офис (скажем, от 100 ПК), то золотым стандартом для нас всё ещё остаётся Cisco. Эта техника стабильнее и, что важно, гораздо лучше масштабируется, особенно когда у вас, например, пять этажей и нужен серьёзный L3-коммутатор в роли ядра. Классика жанра в таких случаях — это Catalyst 2960X на каждом этаже и мощный Catalyst 3650 в серверной.
! === Catalyst 2960X на этаже ===
vlan 10
name Staff
vlan 20
name Accounting
vlan 40
name Guest
vlan 50
name VoIP
vlan 60
name CAM
vlan 99
name Mgmt
! Доступный порт — рабочее место
interface GigabitEthernet0/3
description WS-Designer-Room-208
switchport mode access
switchport access vlan 10
switchport voice vlan 50
switchport port-security
switchport port-security maximum 2
switchport port-security violation restrict
spanning-tree portfast
spanning-tree bpduguard enable
! Trunk на ядро
interface GigabitEthernet0/24
description Uplink-to-Core-3650
switchport trunk encapsulation dot1q
switchport mode trunk
switchport trunk allowed vlan 10,20,40,50,60,99
switchport trunk native vlan 999
На L3-коммутаторе Catalyst 3650 включаем маршрутизацию между VLAN и пишем ACL. Inter-VLAN routing на L3-коммутаторе работает на скорости коммутации (wire-speed) — никаких бутылочных горлышек, в отличие от router-on-a-stick через гигабитный линк.
! === Catalyst 3650: SVI и ACL ===
ip routing
interface Vlan10
description Staff-Gateway
ip address 10.10.10.1 255.255.255.0
ip helper-address 10.10.30.5
interface Vlan40
description Guest-Gateway
ip address 10.10.40.1 255.255.255.0
ip access-group GUEST_DENY in
ip helper-address 10.10.30.5
! ACL: гость не пингует ничего внутреннего
ip access-list extended GUEST_DENY
permit udp any host 10.10.30.5 eq bootps
permit udp any any eq domain
deny ip any 10.10.0.0 0.0.255.255
permit ip any any
Самые частые грабли при внедрении
За 200+ внедрений я собрал коллекцию ошибок, которые встречаются чаще всего. Вот пять, которых вы избежите, если прочитаете эту статью внимательно:
- Включить vlan-filtering=yes на Mikrotik до создания VLAN-таблицы. Управление пропадает мгновенно, и едете на объект восстанавливать по консоли. Всегда финальным шагом.
- Native VLAN = 1 на trunk-портах. Это известная уязвимость для атаки double-tagging. Меняйте native VLAN на неиспользуемый (999) и выключайте DTP командой
switchport nonegotiateна Cisco. - Забыть DHCP relay на маршрутизаторе. Устройства в дочерних VLAN не получают IP, потому что DHCP-запросы — широковещательные и не пересекают L3-границу. Лечится
ip helper-addressна Cisco или DHCP-relay-сервисом на Mikrotik. - Открытый ICMP между VLAN. Кажется удобным для диагностики, но даёт злоумышленнику инструмент картирования сети. Разрешайте ICMP только из management-VLAN.
- Wi-Fi-точки не на trunk-порту. Подключили cAP в access-порт — гостевой и корпоративный SSID попадают в один VLAN, изоляция не работает. Проверяйте: порт точки доступа всегда trunk с разрешёнными VLAN.
Сколько это стоит и как мы это делаем
Прайс на проект «VLAN под ключ» в АйТи Фреш на апрель 2026:
| Размер офиса | Без замены оборудования | С заменой на Mikrotik | С заменой на Cisco |
|---|---|---|---|
| До 50 ПК | 35 000 ₽ | 110 000 ₽ | 240 000 ₽ |
| 50–100 ПК | 55 000 ₽ | 180 000 ₽ | 420 000 ₽ |
| 100–150 ПК | 85 000 ₽ | 280 000 ₽ | 650 000 ₽ |
Что же входит в нашу стоимость? Прежде всего, это тщательное обследование вашей текущей сети (обычно занимает 1–2 дня), затем проектирование схемы адресации и VLAN, идеально подходящих под ваши отделы, и, конечно же, согласование всего этого с вами. Мы берём на себя полную настройку коммутаторов и точек доступа, развёртывание DHCP, а затем аккуратную миграцию офиса. Мы делаем это по ночам, чтобы не было никакого простоя в рабочее время. В конце вы получаете детальную документацию в Confluence или Notion, обучение вашего IT-сотрудника и целый месяц гарантийного сопровождения.
Мы всегда работаем поэтапно. Сначала мы параллельно поднимаем новую сеть на запасных портах и тщательно её тестируем. И только потом, когда убедимся в стабильности, постепенно переключаем оборудование группами по 10–15 ПК. Утром офис приходит на работу, садится за компьютеры — и никто ничего не замечает. Это не просто теория: за прошлый год мы таким образом безболезненно перевели 23 офиса.
Закажите проект VLAN под ключ для своего офиса
Чтобы получить максимально точную информацию, я выезжаю на обследование сети лично — к каждому новому клиенту по Москве и всему Подмосковью. Всего за 2–3 рабочих дня вы получите от меня не просто слова, а полноценный письменный проект сегментации, подробный расчёт по оборудованию и, что очень важно, фиксированную смету на все работы. И да, никаких обязательств с вашей стороны!
Телефон: +7 903 729-62-41
Telegram: @ITfresh_Boss
Семёнов Евгений Сергеевич, директор АйТи Фреш
FAQ — частые вопросы по VLAN в офисе
- Нужны ли VLAN в офисе на 30 ПК?
- Да, минимум три: VLAN 10 для рабочих мест, VLAN 40 для гостевого Wi-Fi, VLAN 99 для управления оборудованием. Без изоляции гостевого SSID любой посетитель сканирует офисную сеть за 30 секунд. На Mikrotik эта схема настраивается за час.
- Какое оборудование нужно для VLAN в офисе?
- Управляемые коммутаторы (Mikrotik CRS305/CRS326, Cisco SG350, TP-Link T1600G), Wi-Fi-точки с поддержкой 802.1Q (Mikrotik cAP, Ubiquiti UniFi, TP-Link Omada), маршрутизатор с inter-VLAN routing (Mikrotik hEX/RB4011, MikroTik CCR). Бюджет на офис 50 ПК — от 70 000 руб. за всё оборудование.
- Сколько стоит проектирование VLAN под ключ?
- Полный проект для офиса 50–100 ПК — 35 000–65 000 руб. в АйТи Фреш, с учётом обследования сети, схемы адресации, настройки коммутаторов, Wi-Fi и роутера, документации и обучения вашего IT-сотрудника. Срок выполнения — 5–10 рабочих дней.
- Можно ли разделить бухгалтерию в отдельный VLAN?
- Можно и нужно — это требование 152-ФЗ при обработке персональных данных. Бухгалтерия выделяется в отдельный VLAN с ACL, разрешающим только нужные ресурсы (сервер 1С, СБИС, банк-клиент) и запрещающим обмен с другими отделами. Нарушение — штраф до 100 000 руб. на юрлицо.
- Сколько занимает внедрение VLAN в работающем офисе?
- Если оборудование уже стоит управляемое — 1–2 ночи работ, без простоя в рабочее время. Если нужна замена коммутаторов и точек доступа — 3–5 рабочих дней с поэтапным переключением. Мы в АйТи Фреш всегда работаем по ночам, чтобы офис утром заходил в готовую сеть.
