VLAN в офисе на 50–150 ПК: зачем и как настраивать в 2026
Меня зовут Семёнов Евгений Сергеевич, я директор АйТи Фреш и за 15 лет лично спроектировал больше 200 офисных сетей в Москве. Расскажу, почему плоская сеть в современном офисе — это билет в один конец на штрафы Роскомнадзора и заражение шифровальщиком, и как мы делим VLAN в типичных офисах от 50 до 150 рабочих мест. Покажу реальные конфиги для Mikrotik и Cisco — те, что мы льём в продакшен каждую неделю.
Что такое VLAN простыми словами
Представьте обычный офис: один свитч в серверной, в него воткнуты компьютеры бухгалтерии, рабочие места дизайнеров, IP-телефоны, точка Wi-Fi для гостей, видеокамеры, принтер с веб-интерфейсом, сервер 1С. Все они физически в одной «коробке», и любое устройство может пинговать любое другое. Это и называется плоская сеть.
VLAN (Virtual LAN) — это технология, которая позволяет на одном физическом коммутаторе создать несколько виртуальных «свитчей», полностью изолированных друг от друга на канальном уровне. Бухгалтерия не видит гостевой Wi-Fi, IP-камеры не видят рабочие станции, гостевой ноутбук не видит вообще ничего, кроме интернета. Технически VLAN реализуется через тег 802.1Q в Ethernet-кадре — четыре дополнительных байта, в которых хранится номер VLAN от 1 до 4094.
На практике для небольшого офиса 30 ПК достаточно 3 VLAN. Для среднего офиса 50–100 ПК — обычно 5–7 VLAN. Для крупного с производством или медициной — 8–12. Больше я не делаю принципиально: каждая лишняя сеть — это новый интерфейс на маршрутизаторе, новая строка в DHCP, новая запись в межсетевом экране и новая возможность ошибиться.
Почему плоская сеть — это бомба замедленного действия
Прошлой осенью меня позвали на разбор инцидента в офис на 70 человек в Тушине. Бухгалтер открыла письмо «Акт сверки» от якобы контрагента, скачала вложение, запустила. Шифровальщик перебрался по сетевым папкам и за 3 часа зашифровал всё: данные бухгалтерии, базу 1С, файловый сервер с документами всех отделов, бэкапы (которые лежали на NAS в той же сети) и даже архив с видео с камер за полгода. Восстановление обошлось в 1.4 млн руб., и это без учёта недели простоя.
Если бы у них были VLAN, шифровальщик дошёл бы только до той сети, куда подключена бухгалтерия. Файловый сервер с документами других отделов и видеоархив с камер остались бы целы. Бэкапы на NAS, который должен жить в отдельном management-сегменте, тоже бы не пострадали. То есть VLAN — это не «модный навороченный способ настройки сети», а базовая защита, которая в случае инцидента сохраняет вам сотни тысяч и миллионы рублей.
Вторая причина — соответствие законам. По 152-ФЗ персональные данные сотрудников и клиентов должны обрабатываться в защищённой среде. Гостевой Wi-Fi, через который любой посетитель может из переговорки пинговать сервер кадрового учёта — это прямое нарушение. Штраф за такое — до 100 000 руб. на юрлицо, с 2025 года повышенные штрафы для повторных нарушений.
Эталонная схема VLAN для офиса на 80 человек
Вот схема, которую я ставлю по умолчанию в офисе среднего размера (от 50 до 100 рабочих мест) с производственным или коммерческим профилем. Шаблон отрабатывался годами, дальше под клиента подгоняем количество и подсети:
| VLAN | Назначение | Подсеть | Кол-во устройств |
|---|---|---|---|
| 10 | Рабочие места — общие отделы | 10.10.10.0/24 | 50–80 |
| 20 | Бухгалтерия и руководство | 10.10.20.0/24 | 5–15 |
| 30 | Серверы (1С, AD, файловый, NAS) | 10.10.30.0/27 | 3–8 |
| 40 | Гостевой Wi-Fi для посетителей | 10.10.40.0/24 | до 100 |
| 50 | IP-телефония (Asterisk, 3CX, IP-АТС) | 10.10.50.0/24 | 15–40 |
| 60 | IP-камеры и СКУД | 10.10.60.0/24 | 20–60 |
| 99 | Management — коммутаторы, точки доступа, IPMI | 10.10.99.0/27 | 10–30 |
Логика разделения проста: чем выше уровень доверия и чувствительности, тем меньше подсеть и тем строже ACL. Бухгалтерия с банк-клиентом и доступом к зарплатной 1С отделена от остальных рабочих мест. Серверы — в отдельной сети, доступ к ним только из VLAN 10 и 20 по конкретным портам, никакого ICMP и никакого RDP с гостей. Камеры и IoT — это вообще «грязная» сеть, потому что прошивки китайских камер живут своей жизнью, периодически сливая данные в Шеньчжень. Management — священная корова, доступ только с конкретных IP админов через VPN.
Настройка на Mikrotik: типичный офис
В московских офисах среднего размера 70% оборудования — Mikrotik: дешевле Cisco в 4–5 раз, обновления бесплатные пожизненно, функционал избыточный. Возьмём связку CRS326-24G-2S+ как ядро + hEX S как маршрутизатор + cAP ac как точки доступа. Полная настройка ниже.
Сначала на коммутаторе CRS326 включаем bridge с VLAN-фильтрацией. Главное правило, на котором сотни админов теряли доступ к свитчу — vlan-filtering=yes включаем самым последним:
# === Mikrotik CRS326: создаём bridge ===
/interface bridge
add name=bridge1 vlan-filtering=no protocol-mode=rstp
# === Добавляем порты ===
# Доступ для рабочих мест общих отделов (VLAN 10)
/interface bridge port
add bridge=bridge1 interface=ether1 pvid=10 comment="WS-room-101"
add bridge=bridge1 interface=ether2 pvid=10 comment="WS-room-102"
add bridge=bridge1 interface=ether3 pvid=10 comment="WS-room-103"
# Бухгалтерия (VLAN 20)
add bridge=bridge1 interface=ether4 pvid=20 comment="Accounting"
add bridge=bridge1 interface=ether5 pvid=20 comment="Accounting"
# IP-телефоны (VLAN 50)
add bridge=bridge1 interface=ether10 pvid=50 comment="SIP-phone"
# Камеры (VLAN 60)
add bridge=bridge1 interface=ether15 pvid=60 comment="CAM-entrance"
# Trunk на роутер и на точки Wi-Fi
add bridge=bridge1 interface=sfp-sfpplus1 comment="Uplink-to-router"
add bridge=bridge1 interface=ether24 comment="Trunk-to-AP-1"
# === VLAN-таблица ===
/interface bridge vlan
add bridge=bridge1 tagged=sfp-sfpplus1,ether24 untagged=ether1,ether2,ether3 vlan-ids=10
add bridge=bridge1 tagged=sfp-sfpplus1,ether24 untagged=ether4,ether5 vlan-ids=20
add bridge=bridge1 tagged=sfp-sfpplus1,ether24 vlan-ids=30
add bridge=bridge1 tagged=sfp-sfpplus1,ether24 vlan-ids=40
add bridge=bridge1 tagged=sfp-sfpplus1,ether24 untagged=ether10 vlan-ids=50
add bridge=bridge1 tagged=sfp-sfpplus1,ether24 untagged=ether15 vlan-ids=60
add bridge=bridge1 tagged=sfp-sfpplus1,ether24,bridge1 vlan-ids=99
# === Management-IP в VLAN 99 ===
/interface vlan
add interface=bridge1 name=vlan99-mgmt vlan-id=99
/ip address
add address=10.10.99.10/27 interface=vlan99-mgmt
# === Включаем фильтрацию ПОСЛЕДНИМ шагом ===
/interface bridge
set bridge1 vlan-filtering=yesТеперь маршрутизатор hEX S (RB760iGS) — он же DHCP-сервер и шлюз между VLAN. Тут очень важно правильно настроить firewall: межсегментная фильтрация — это и есть то, ради чего вся затея.
# === hEX S: VLAN-интерфейсы на trunk-порте ===
/interface vlan
add interface=ether1 name=vlan10 vlan-id=10
add interface=ether1 name=vlan20 vlan-id=20
add interface=ether1 name=vlan30 vlan-id=30
add interface=ether1 name=vlan40 vlan-id=40
add interface=ether1 name=vlan50 vlan-id=50
add interface=ether1 name=vlan60 vlan-id=60
add interface=ether1 name=vlan99 vlan-id=99
# === Шлюзы для каждого VLAN ===
/ip address
add address=10.10.10.1/24 interface=vlan10
add address=10.10.20.1/24 interface=vlan20
add address=10.10.30.1/27 interface=vlan30
add address=10.10.40.1/24 interface=vlan40
add address=10.10.50.1/24 interface=vlan50
add address=10.10.60.1/24 interface=vlan60
add address=10.10.99.1/27 interface=vlan99
# === DHCP для гостей и общих рабочих мест ===
/ip pool
add name=pool-staff ranges=10.10.10.50-10.10.10.250
add name=pool-guest ranges=10.10.40.50-10.10.40.250
/ip dhcp-server
add address-pool=pool-staff interface=vlan10 name=dhcp-staff lease-time=8h
add address-pool=pool-guest interface=vlan40 name=dhcp-guest lease-time=2h
/ip dhcp-server network
add address=10.10.10.0/24 gateway=10.10.10.1 dns-server=10.10.30.5
add address=10.10.40.0/24 gateway=10.10.40.1 dns-server=8.8.8.8,1.1.1.1
# === Firewall: гостевой VLAN — только в интернет ===
/ip firewall filter
add chain=forward src-address=10.10.40.0/24 dst-address=10.10.0.0/16 \
action=drop comment="Guest: block all internal"
add chain=forward src-address=10.10.40.0/24 action=accept \
comment="Guest: allow internet only"
# === Firewall: камеры — никуда, кроме видеосервера ===
add chain=forward src-address=10.10.60.0/24 dst-address=10.10.30.20 \
protocol=tcp dst-port=554,8000 action=accept comment="CAM->NVR"
add chain=forward src-address=10.10.60.0/24 action=drop comment="CAM: block all"
# === Бухгалтерия → серверы, никаких других VLAN ===
add chain=forward src-address=10.10.20.0/24 dst-address=10.10.30.0/27 \
action=accept comment="Accounting->Servers"
add chain=forward src-address=10.10.20.0/24 dst-address=10.10.10.0/24 \
action=drop comment="Accounting: isolate from staff"Важная деталь, на которой я раньше регулярно обжигался: при работе в продакшене — настраивайте правила firewall с конца, всегда сначала правило accept established,related, потом — конкретные разрешения, и только потом — финальный drop. Иначе можно потерять управление прямо посреди настройки и ехать на объект ножками с ноутбуком.
Wi-Fi с разными SSID на разные VLAN
Самый частый запрос от клиентов: «Сделайте, чтобы гости заходили на отдельную сеть, а сотрудники — на корпоративную». Технически это решается двумя SSID на одной точке доступа, каждый из которых маппится на свой VLAN. На Mikrotik cAP ac:
# === cAP ac: интерфейсы Wi-Fi с тегированием ===
/interface wireless
set wlan1 ssid="Office-Corp" vlan-mode=use-tag vlan-id=10
add master-interface=wlan1 name=wlan1-guest ssid="Office-Guest" \
vlan-mode=use-tag vlan-id=40 security-profile=open
# === Bridge с trunk на коммутатор ===
/interface bridge
add name=br-trunk vlan-filtering=yes
/interface bridge port
add bridge=br-trunk interface=ether1
add bridge=br-trunk interface=wlan1
add bridge=br-trunk interface=wlan1-guest
/interface bridge vlan
add bridge=br-trunk tagged=ether1,wlan1 vlan-ids=10
add bridge=br-trunk tagged=ether1,wlan1-guest vlan-ids=40
add bridge=br-trunk tagged=ether1,br-trunk vlan-ids=99На Ubiquiti UniFi и TP-Link Omada аналогично — в свойствах SSID указывается «VLAN ID» и точка доступа сама вешает тег на трафик. Главное условие: порт коммутатора, в который воткнута точка, должен быть trunk и пропускать оба VLAN.
Настройка на Cisco для крупного офиса
Если бюджет позволяет и офис большой (от 100 ПК), Cisco остаётся золотым стандартом — стабильнее и масштабируемее, особенно когда у вас пять этажей и нужен L3-коммутатор как ядро. Связка из Catalyst 2960X на этажах + Catalyst 3650 в серверной — классика.
! === Catalyst 2960X на этаже ===
vlan 10
name Staff
vlan 20
name Accounting
vlan 40
name Guest
vlan 50
name VoIP
vlan 60
name CAM
vlan 99
name Mgmt
! Доступный порт — рабочее место
interface GigabitEthernet0/3
description WS-Designer-Room-208
switchport mode access
switchport access vlan 10
switchport voice vlan 50
switchport port-security
switchport port-security maximum 2
switchport port-security violation restrict
spanning-tree portfast
spanning-tree bpduguard enable
! Trunk на ядро
interface GigabitEthernet0/24
description Uplink-to-Core-3650
switchport trunk encapsulation dot1q
switchport mode trunk
switchport trunk allowed vlan 10,20,40,50,60,99
switchport trunk native vlan 999На L3-коммутаторе Catalyst 3650 включаем маршрутизацию между VLAN и пишем ACL. Inter-VLAN routing на L3-коммутаторе работает на скорости коммутации (wire-speed) — никаких бутылочных горлышек, в отличие от router-on-a-stick через гигабитный линк.
! === Catalyst 3650: SVI и ACL ===
ip routing
interface Vlan10
description Staff-Gateway
ip address 10.10.10.1 255.255.255.0
ip helper-address 10.10.30.5
interface Vlan40
description Guest-Gateway
ip address 10.10.40.1 255.255.255.0
ip access-group GUEST_DENY in
ip helper-address 10.10.30.5
! ACL: гость не пингует ничего внутреннего
ip access-list extended GUEST_DENY
permit udp any host 10.10.30.5 eq bootps
permit udp any any eq domain
deny ip any 10.10.0.0 0.0.255.255
permit ip any anyСамые частые грабли при внедрении
За 200+ внедрений я собрал коллекцию ошибок, которые встречаются чаще всего. Вот пять, которых вы избежите, если прочитаете эту статью внимательно:
- Включить vlan-filtering=yes на Mikrotik до создания VLAN-таблицы. Управление пропадает мгновенно, и едете на объект восстанавливать по консоли. Всегда финальным шагом.
- Native VLAN = 1 на trunk-портах. Это известная уязвимость для атаки double-tagging. Меняйте native VLAN на неиспользуемый (999) и выключайте DTP командой
switchport nonegotiateна Cisco. - Забыть DHCP relay на маршрутизаторе. Устройства в дочерних VLAN не получают IP, потому что DHCP-запросы — широковещательные и не пересекают L3-границу. Лечится
ip helper-addressна Cisco или DHCP-relay-сервисом на Mikrotik. - Открытый ICMP между VLAN. Кажется удобным для диагностики, но даёт злоумышленнику инструмент картирования сети. Разрешайте ICMP только из management-VLAN.
- Wi-Fi-точки не на trunk-порту. Подключили cAP в access-порт — гостевой и корпоративный SSID попадают в один VLAN, изоляция не работает. Проверяйте: порт точки доступа всегда trunk с разрешёнными VLAN.
Сколько это стоит и как мы это делаем
Прайс на проект «VLAN под ключ» в АйТи Фреш на апрель 2026:
| Размер офиса | Без замены оборудования | С заменой на Mikrotik | С заменой на Cisco |
|---|---|---|---|
| До 50 ПК | 35 000 ₽ | 110 000 ₽ | 240 000 ₽ |
| 50–100 ПК | 55 000 ₽ | 180 000 ₽ | 420 000 ₽ |
| 100–150 ПК | 85 000 ₽ | 280 000 ₽ | 650 000 ₽ |
В стоимость входит: обследование текущей сети (1–2 дня), проектирование схемы адресации и VLAN под ваши отделы, согласование с вами, настройка коммутаторов и точек доступа, развёртывание DHCP, миграция офиса по ночам без простоя в рабочее время, документация в Confluence или Notion, обучение вашего IT-сотрудника и месяц гарантийного сопровождения.
Работы делаем поэтапно: сначала параллельно поднимаем новую сеть на запасных портах, тестируем — потом переключаем оборудование группами по 10–15 ПК. Утром офис заходит в работу, никто ничего не замечает. Это не теория — за прошлый год так перевели 23 офиса.
Закажите проект VLAN под ключ для своего офиса
Я лично выезжаю на обследование сети к каждому новому клиенту в Москве и Подмосковье. За 2–3 рабочих дня вы получите письменный проект сегментации, расчёт по оборудованию и фиксированную смету на работы. Без обязательств.
Телефон: +7 903 729-62-41
Telegram: @ITfresh_Boss
Семёнов Евгений Сергеевич, директор АйТи Фреш
FAQ — частые вопросы по VLAN в офисе
- Нужны ли VLAN в офисе на 30 ПК?
- Да, минимум три: VLAN 10 для рабочих мест, VLAN 40 для гостевого Wi-Fi, VLAN 99 для управления оборудованием. Без изоляции гостевого SSID любой посетитель сканирует офисную сеть за 30 секунд. На Mikrotik эта схема настраивается за час.
- Какое оборудование нужно для VLAN в офисе?
- Управляемые коммутаторы (Mikrotik CRS305/CRS326, Cisco SG350, TP-Link T1600G), Wi-Fi-точки с поддержкой 802.1Q (Mikrotik cAP, Ubiquiti UniFi, TP-Link Omada), маршрутизатор с inter-VLAN routing (Mikrotik hEX/RB4011, MikroTik CCR). Бюджет на офис 50 ПК — от 70 000 руб. за всё оборудование.
- Сколько стоит проектирование VLAN под ключ?
- Полный проект для офиса 50–100 ПК — 35 000–65 000 руб. в АйТи Фреш, с учётом обследования сети, схемы адресации, настройки коммутаторов, Wi-Fi и роутера, документации и обучения вашего IT-сотрудника. Срок выполнения — 5–10 рабочих дней.
- Можно ли разделить бухгалтерию в отдельный VLAN?
- Можно и нужно — это требование 152-ФЗ при обработке персональных данных. Бухгалтерия выделяется в отдельный VLAN с ACL, разрешающим только нужные ресурсы (сервер 1С, СБИС, банк-клиент) и запрещающим обмен с другими отделами. Нарушение — штраф до 100 000 руб. на юрлицо.
- Сколько занимает внедрение VLAN в работающем офисе?
- Если оборудование уже стоит управляемое — 1–2 ночи работ, без простоя в рабочее время. Если нужна замена коммутаторов и точек доступа — 3–5 рабочих дней с поэтапным переключением. Мы в АйТи Фреш всегда работаем по ночам, чтобы офис утром заходил в готовую сеть.