· 13 мин чтения

VLAN в офисе на 50–150 ПК: зачем и как настраивать в 2026

VLAN в офисе на 50–150 ПК: зачем и как настраивать в 2026

Привет! Меня зовут Семёнов Евгений Сергеевич, и я директор компании АйТи Фреш. За мои 15 лет в IT я лично спроектировал и запустил больше 200 офисных сетей в Москве. Сегодня хочу рассказать вам, почему плоская сеть в современном офисе — это прямой путь к штрафам от Роскомнадзора и к встрече с шифровальщиком. Я покажу, как именно мы "режем" VLAN в стандартных офисах размером от 50 до 150 рабочих мест. Более того, я поделюсь живыми, рабочими конфигами для Mikrotik и Cisco — теми самыми, что мы еженедельно "льём" в продакшен.

Что такое VLAN простыми словами

Представьте себе такой типичный офис: в серверной стоит всего один свитч, и в него подключено буквально всё, что можно. Это и компьютеры бухгалтерии, и рабочие станции дизайнеров, IP-телефоны, гостевой Wi-Fi, видеокамеры, принтер с веб-интерфейсом, а также сервер 1С. Все эти устройства физически находятся в одной «коробке». Что это значит? А то, что любое из них может легко "пинговать" любое другое. Вот это, дорогие мои, и есть та самая плоская сеть.

Что же такое VLAN, или Virtual LAN? Это очень умная технология, которая позволяет нам на одном физическом коммутаторе создать несколько виртуальных "свитчей", и они будут полностью изолированы друг от друга на канальном уровне. То есть, бухгалтерия попросту не "видит" гостевой Wi-Fi, IP-камеры никак не взаимодействуют с рабочими станциями, а гостевой ноутбук вообще видит только интернет, и больше ничего. Технически, VLAN "живёт" в специальном теге 802.1Q внутри обычного Ethernet-кадра — это всего четыре дополнительных байта, где хранится номер VLAN от 1 до 4094.

На практике, для небольшого офиса, где работает около 30 ПК, нам обычно хватает 3 VLAN. В среднем офисе, рассчитанном на 50–100 ПК, мы чаще всего используем 5–7 VLAN. А вот для крупных компаний, особенно если это производство или медицинское учреждение, я выделяю 8–12. Больше, скажу вам честно, я принципиально не делаю. Почему? Потому что каждая лишняя сеть — это ведь новый интерфейс на маршрутизаторе, новая строчка в DHCP, новая запись в межсетевом экране, а значит, и новый, совершенно ненужный, шанс ошибиться.

Почему плоская сеть — это бомба замедленного действия

Прошлой осенью меня срочно вызвали в один офис на 70 человек в Тушине: там произошёл неприятный инцидент. Бухгалтер, как это часто бывает, открыла письмо с темой «Акт сверки» от якобы знакомого контрагента, скачала вложение и запустила его. Итог? Шифровальщик начал стремительно распространяться по сетевым папкам. Всего за 3 часа он успел зашифровать абсолютно всё: данные бухгалтерии, базу 1С, файловый сервер со всеми документами отделов, бэкапы (которые, к сожалению, лежали на NAS в той же сети) и даже видеоархив с камер за последние полгода. Восстановление всего этого "добра" обошлось им в 1,4 млн руб. — и это мы ещё не считаем целую неделю простоя, которая тоже стоила денег.

А вот если бы у них были настроены VLAN, всё сложилось бы совсем по-другому! Шифровальщик добрался бы только до той сети, где сидит бухгалтерия. Файловый сервер с документами других отделов и видеоархив остались бы совершенно целыми. Бэкапы на NAS, который по всем правилам должен располагаться в отдельном management-сегменте, тоже бы уцелели. Получается, что VLAN — это вовсе не какой-то "модный наворот в настройке сети", а самая что ни на есть базовая, жизненно важная защита. Она в случае такого инцидента реально сохраняет вам сотни тысяч, а то и миллионы рублей.

Есть и вторая очень веская причина для использования VLAN — это соблюдение законов. Согласно 152-ФЗ, персональные данные как сотрудников, так и клиентов обязательно должны обрабатываться в максимально защищённой среде. А вот гостевой Wi-Fi, через который любой посетитель из переговорки может запросто "пинговать" сервер кадрового учёта, — это прямое и грубое нарушение. Штраф за подобные "шалости" может достигать 100 000 руб. на каждое юрлицо, а с 2025 года, насколько я знаю, за повторные нарушения суммы штрафов значительно вырастут.

Эталонная схема VLAN для офиса на 80 человек

Вот схема, которую я ставлю по умолчанию в офисе среднего размера (от 50 до 100 рабочих мест) с производственным или коммерческим профилем. Шаблон обкатан годами, дальше под клиента подгоняем число сетей и подсети:

VLANНазначениеПодсетьКол-во устройств
10Рабочие места — общие отделы10.10.10.0/2450–80
20Бухгалтерия и руководство10.10.20.0/245–15
30Серверы (1С, AD, файловый, NAS)10.10.30.0/273–8
40Гостевой Wi-Fi для посетителей10.10.40.0/24до 100
50IP-телефония (Asterisk, 3CX, IP-АТС)10.10.50.0/2415–40
60IP-камеры и СКУД10.10.60.0/2420–60
99Management — коммутаторы, точки доступа, IPMI10.10.99.0/2710–30

Логика такого деления очень проста, как дважды два: чем выше уровень доверия к данным и их чувствительность, тем меньше должна быть подсеть и тем строже мы настраиваем ACL. Бухгалтерию, с её банк-клиентом и доступом к зарплатной 1С, мы, конечно же, отделяем от всех остальных рабочих мест. Серверы отправляются в совершенно отдельную сеть, и доступ к ним возможен только из VLAN 10 и 20 по чётко определённым портам, никакого ICMP, и тем более RDP с гостевых сетей. Камеры и IoT — это вообще "грязная" сеть, потому что прошивки китайских камер, чего уж скрывать, живут своей жизнью и время от времени сливают данные куда-то аж в Шэньчжэнь. Ну а management — это наша "священная корова": доступ сюда имеют только конкретные IP адреса наших админов и исключительно через VPN.

Настройка на Mikrotik: типичный офис

Что касается оборудования в московских офисах среднего размера, то в 70% случаев мы ставим Mikrotik. Почему? Потому что он дешевле Cisco в 4–5 раз, обновления для него бесплатные и пожизненные, а функционала хватает с очень большим запасом. Обычно я рекомендую связку CRS326-24G-2S+ в качестве ядра, hEX S как маршрутизатор и cAP ac для точек доступа. Полная настройка всего этого добра — чуть ниже.

Сначала на коммутаторе CRS326 включаем bridge с VLAN-фильтрацией. Главное правило, на котором сотни админов теряли доступ к свитчу — vlan-filtering=yes включаем самым последним:

# === Mikrotik CRS326: создаём bridge ===
/interface bridge
add name=bridge1 vlan-filtering=no protocol-mode=rstp

# === Добавляем порты ===
# Доступ для рабочих мест общих отделов (VLAN 10)
/interface bridge port
add bridge=bridge1 interface=ether1  pvid=10  comment="WS-room-101"
add bridge=bridge1 interface=ether2  pvid=10  comment="WS-room-102"
add bridge=bridge1 interface=ether3  pvid=10  comment="WS-room-103"
# Бухгалтерия (VLAN 20)
add bridge=bridge1 interface=ether4  pvid=20  comment="Accounting"
add bridge=bridge1 interface=ether5  pvid=20  comment="Accounting"
# IP-телефоны (VLAN 50)
add bridge=bridge1 interface=ether10 pvid=50  comment="SIP-phone"
# Камеры (VLAN 60)
add bridge=bridge1 interface=ether15 pvid=60  comment="CAM-entrance"
# Trunk на роутер и на точки Wi-Fi
add bridge=bridge1 interface=sfp-sfpplus1     comment="Uplink-to-router"
add bridge=bridge1 interface=ether24          comment="Trunk-to-AP-1"

# === VLAN-таблица ===
/interface bridge vlan
add bridge=bridge1 tagged=sfp-sfpplus1,ether24 untagged=ether1,ether2,ether3 vlan-ids=10
add bridge=bridge1 tagged=sfp-sfpplus1,ether24 untagged=ether4,ether5         vlan-ids=20
add bridge=bridge1 tagged=sfp-sfpplus1,ether24                                vlan-ids=30
add bridge=bridge1 tagged=sfp-sfpplus1,ether24                                vlan-ids=40
add bridge=bridge1 tagged=sfp-sfpplus1,ether24 untagged=ether10               vlan-ids=50
add bridge=bridge1 tagged=sfp-sfpplus1,ether24 untagged=ether15               vlan-ids=60
add bridge=bridge1 tagged=sfp-sfpplus1,ether24,bridge1                        vlan-ids=99

# === Management-IP в VLAN 99 ===
/interface vlan
add interface=bridge1 name=vlan99-mgmt vlan-id=99
/ip address
add address=10.10.99.10/27 interface=vlan99-mgmt

# === Включаем фильтрацию ПОСЛЕДНИМ шагом ===
/interface bridge
set bridge1 vlan-filtering=yes

Теперь маршрутизатор hEX S (RB760iGS) — он же DHCP-сервер и шлюз между VLAN. Тут очень важно правильно настроить firewall: межсегментная фильтрация — это и есть то, ради чего вся затея.

# === hEX S: VLAN-интерфейсы на trunk-порте ===
/interface vlan
add interface=ether1 name=vlan10 vlan-id=10
add interface=ether1 name=vlan20 vlan-id=20
add interface=ether1 name=vlan30 vlan-id=30
add interface=ether1 name=vlan40 vlan-id=40
add interface=ether1 name=vlan50 vlan-id=50
add interface=ether1 name=vlan60 vlan-id=60
add interface=ether1 name=vlan99 vlan-id=99

# === Шлюзы для каждого VLAN ===
/ip address
add address=10.10.10.1/24 interface=vlan10
add address=10.10.20.1/24 interface=vlan20
add address=10.10.30.1/27 interface=vlan30
add address=10.10.40.1/24 interface=vlan40
add address=10.10.50.1/24 interface=vlan50
add address=10.10.60.1/24 interface=vlan60
add address=10.10.99.1/27 interface=vlan99

# === DHCP для гостей и общих рабочих мест ===
/ip pool
add name=pool-staff ranges=10.10.10.50-10.10.10.250
add name=pool-guest ranges=10.10.40.50-10.10.40.250
/ip dhcp-server
add address-pool=pool-staff interface=vlan10 name=dhcp-staff lease-time=8h
add address-pool=pool-guest interface=vlan40 name=dhcp-guest lease-time=2h
/ip dhcp-server network
add address=10.10.10.0/24 gateway=10.10.10.1 dns-server=10.10.30.5
add address=10.10.40.0/24 gateway=10.10.40.1 dns-server=8.8.8.8,1.1.1.1

# === Firewall: гостевой VLAN — только в интернет ===
/ip firewall filter
add chain=forward src-address=10.10.40.0/24 dst-address=10.10.0.0/16 \
    action=drop comment="Guest: block all internal"
add chain=forward src-address=10.10.40.0/24 action=accept \
    comment="Guest: allow internet only"

# === Firewall: камеры — никуда, кроме видеосервера ===
add chain=forward src-address=10.10.60.0/24 dst-address=10.10.30.20 \
    protocol=tcp dst-port=554,8000 action=accept comment="CAM->NVR"
add chain=forward src-address=10.10.60.0/24 action=drop comment="CAM: block all"

# === Бухгалтерия → серверы, никаких других VLAN ===
add chain=forward src-address=10.10.20.0/24 dst-address=10.10.30.0/27 \
    action=accept comment="Accounting->Servers"
add chain=forward src-address=10.10.20.0/24 dst-address=10.10.10.0/24 \
    action=drop comment="Accounting: isolate from staff"

Важная деталь, на которой я раньше регулярно обжигался: при работе в продакшене — настраивайте правила firewall с конца, всегда сначала правило accept established,related, потом — конкретные разрешения, и только потом — финальный drop. Иначе можно потерять управление прямо посреди настройки и ехать на объект ножками с ноутбуком.

Wi-Fi с разными SSID на разные VLAN

Знаете, самый частый запрос, который я слышу от своих клиентов, звучит примерно так: «Сделайте так, чтобы гости заходили в отдельную сеть, а сотрудники — в корпоративную». Технически это достигается очень просто: мы создаём два SSID на одной точке доступа, и каждый из них "маппится" на свой собственный VLAN. На Mikrotik cAP ac это выглядит вот так:

# === cAP ac: интерфейсы Wi-Fi с тегированием ===
/interface wireless
set wlan1 ssid="Office-Corp"  vlan-mode=use-tag vlan-id=10
add master-interface=wlan1 name=wlan1-guest ssid="Office-Guest" \
    vlan-mode=use-tag vlan-id=40 security-profile=open

# === Bridge с trunk на коммутатор ===
/interface bridge
add name=br-trunk vlan-filtering=yes
/interface bridge port
add bridge=br-trunk interface=ether1
add bridge=br-trunk interface=wlan1
add bridge=br-trunk interface=wlan1-guest
/interface bridge vlan
add bridge=br-trunk tagged=ether1,wlan1       vlan-ids=10
add bridge=br-trunk tagged=ether1,wlan1-guest vlan-ids=40
add bridge=br-trunk tagged=ether1,br-trunk    vlan-ids=99

На Ubiquiti UniFi и TP-Link Omada аналогично — в свойствах SSID указывается «VLAN ID» и точка доступа сама вешает тег на трафик. Главное условие: порт коммутатора, в который воткнута точка, должен быть trunk и пропускать оба VLAN.

Настройка на Cisco для крупного офиса

Но если бюджет позволяет, и у вас действительно большой офис (скажем, от 100 ПК), то золотым стандартом для нас всё ещё остаётся Cisco. Эта техника стабильнее и, что важно, гораздо лучше масштабируется, особенно когда у вас, например, пять этажей и нужен серьёзный L3-коммутатор в роли ядра. Классика жанра в таких случаях — это Catalyst 2960X на каждом этаже и мощный Catalyst 3650 в серверной.

! === Catalyst 2960X на этаже ===
vlan 10
 name Staff
vlan 20
 name Accounting
vlan 40
 name Guest
vlan 50
 name VoIP
vlan 60
 name CAM
vlan 99
 name Mgmt

! Доступный порт — рабочее место
interface GigabitEthernet0/3
 description WS-Designer-Room-208
 switchport mode access
 switchport access vlan 10
 switchport voice vlan 50
 switchport port-security
 switchport port-security maximum 2
 switchport port-security violation restrict
 spanning-tree portfast
 spanning-tree bpduguard enable

! Trunk на ядро
interface GigabitEthernet0/24
 description Uplink-to-Core-3650
 switchport trunk encapsulation dot1q
 switchport mode trunk
 switchport trunk allowed vlan 10,20,40,50,60,99
 switchport trunk native vlan 999

На L3-коммутаторе Catalyst 3650 включаем маршрутизацию между VLAN и пишем ACL. Inter-VLAN routing на L3-коммутаторе работает на скорости коммутации (wire-speed) — никаких бутылочных горлышек, в отличие от router-on-a-stick через гигабитный линк.

! === Catalyst 3650: SVI и ACL ===
ip routing

interface Vlan10
 description Staff-Gateway
 ip address 10.10.10.1 255.255.255.0
 ip helper-address 10.10.30.5

interface Vlan40
 description Guest-Gateway
 ip address 10.10.40.1 255.255.255.0
 ip access-group GUEST_DENY in
 ip helper-address 10.10.30.5

! ACL: гость не пингует ничего внутреннего
ip access-list extended GUEST_DENY
 permit udp any host 10.10.30.5 eq bootps
 permit udp any any eq domain
 deny   ip any 10.10.0.0 0.0.255.255
 permit ip any any

Самые частые грабли при внедрении

За 200+ внедрений я собрал коллекцию ошибок, которые встречаются чаще всего. Вот пять, которых вы избежите, если прочитаете эту статью внимательно:

  1. Включить vlan-filtering=yes на Mikrotik до создания VLAN-таблицы. Управление пропадает мгновенно, и едете на объект восстанавливать по консоли. Всегда финальным шагом.
  2. Native VLAN = 1 на trunk-портах. Это известная уязвимость для атаки double-tagging. Меняйте native VLAN на неиспользуемый (999) и выключайте DTP командой switchport nonegotiate на Cisco.
  3. Забыть DHCP relay на маршрутизаторе. Устройства в дочерних VLAN не получают IP, потому что DHCP-запросы — широковещательные и не пересекают L3-границу. Лечится ip helper-address на Cisco или DHCP-relay-сервисом на Mikrotik.
  4. Открытый ICMP между VLAN. Кажется удобным для диагностики, но даёт злоумышленнику инструмент картирования сети. Разрешайте ICMP только из management-VLAN.
  5. Wi-Fi-точки не на trunk-порту. Подключили cAP в access-порт — гостевой и корпоративный SSID попадают в один VLAN, изоляция не работает. Проверяйте: порт точки доступа всегда trunk с разрешёнными VLAN.

Сколько это стоит и как мы это делаем

Прайс на проект «VLAN под ключ» в АйТи Фреш на апрель 2026:

Размер офисаБез замены оборудованияС заменой на MikrotikС заменой на Cisco
До 50 ПК35 000 ₽110 000 ₽240 000 ₽
50–100 ПК55 000 ₽180 000 ₽420 000 ₽
100–150 ПК85 000 ₽280 000 ₽650 000 ₽

Что же входит в нашу стоимость? Прежде всего, это тщательное обследование вашей текущей сети (обычно занимает 1–2 дня), затем проектирование схемы адресации и VLAN, идеально подходящих под ваши отделы, и, конечно же, согласование всего этого с вами. Мы берём на себя полную настройку коммутаторов и точек доступа, развёртывание DHCP, а затем аккуратную миграцию офиса. Мы делаем это по ночам, чтобы не было никакого простоя в рабочее время. В конце вы получаете детальную документацию в Confluence или Notion, обучение вашего IT-сотрудника и целый месяц гарантийного сопровождения.

Мы всегда работаем поэтапно. Сначала мы параллельно поднимаем новую сеть на запасных портах и тщательно её тестируем. И только потом, когда убедимся в стабильности, постепенно переключаем оборудование группами по 10–15 ПК. Утром офис приходит на работу, садится за компьютеры — и никто ничего не замечает. Это не просто теория: за прошлый год мы таким образом безболезненно перевели 23 офиса.

Закажите проект VLAN под ключ для своего офиса

Чтобы получить максимально точную информацию, я выезжаю на обследование сети лично — к каждому новому клиенту по Москве и всему Подмосковью. Всего за 2–3 рабочих дня вы получите от меня не просто слова, а полноценный письменный проект сегментации, подробный расчёт по оборудованию и, что очень важно, фиксированную смету на все работы. И да, никаких обязательств с вашей стороны!

Телефон: +7 903 729-62-41
Telegram: @ITfresh_Boss
Семёнов Евгений Сергеевич, директор АйТи Фреш

FAQ — частые вопросы по VLAN в офисе

Нужны ли VLAN в офисе на 30 ПК?
Да, минимум три: VLAN 10 для рабочих мест, VLAN 40 для гостевого Wi-Fi, VLAN 99 для управления оборудованием. Без изоляции гостевого SSID любой посетитель сканирует офисную сеть за 30 секунд. На Mikrotik эта схема настраивается за час.
Какое оборудование нужно для VLAN в офисе?
Управляемые коммутаторы (Mikrotik CRS305/CRS326, Cisco SG350, TP-Link T1600G), Wi-Fi-точки с поддержкой 802.1Q (Mikrotik cAP, Ubiquiti UniFi, TP-Link Omada), маршрутизатор с inter-VLAN routing (Mikrotik hEX/RB4011, MikroTik CCR). Бюджет на офис 50 ПК — от 70 000 руб. за всё оборудование.
Сколько стоит проектирование VLAN под ключ?
Полный проект для офиса 50–100 ПК — 35 000–65 000 руб. в АйТи Фреш, с учётом обследования сети, схемы адресации, настройки коммутаторов, Wi-Fi и роутера, документации и обучения вашего IT-сотрудника. Срок выполнения — 5–10 рабочих дней.
Можно ли разделить бухгалтерию в отдельный VLAN?
Можно и нужно — это требование 152-ФЗ при обработке персональных данных. Бухгалтерия выделяется в отдельный VLAN с ACL, разрешающим только нужные ресурсы (сервер 1С, СБИС, банк-клиент) и запрещающим обмен с другими отделами. Нарушение — штраф до 100 000 руб. на юрлицо.
Сколько занимает внедрение VLAN в работающем офисе?
Если оборудование уже стоит управляемое — 1–2 ночи работ, без простоя в рабочее время. Если нужна замена коммутаторов и точек доступа — 3–5 рабочих дней с поэтапным переключением. Мы в АйТи Фреш всегда работаем по ночам, чтобы офис утром заходил в готовую сеть.

Подпишитесь на рассылку ITfresh

Раз в неделю — практические гайды для руководителя IT и сисадмина: безопасность, 1С, миграции, резервные копии, лайфхаки из реальных проектов.

Реквизиты оператора персональных данных

ООО «АЙТИ-ФРЕШ», ИНН 7719418495, КПП 771901001. Юридический адрес: 105523, г. Москва, Щёлковское шоссе, д. 92, корп. 7. Контакт: info@itfresh.ru, +7 903 729-62-41. Оператор обрабатывает e-mail подписчика в целях рассылки информационных и рекламных материалов до момента отзыва согласия.