· 14 мин чтения

Сеть в офисе на 10-50 рабочих мест: VLAN, гостевой Wi-Fi и IP-адресация

Сеть в офисе на 10-50 рабочих мест: VLAN, гостевой Wi-Fi и IP-адресация

Привет! Меня зовут Семёнов Евгений Сергеевич, и я руковожу компанией АйТи Фреш. Уже 15 лет я занимаюсь корпоративными сетями в Москве. За эти годы мне довелось перепланировать около 200 офисных сетей, и знаете, в 80 % случаев картина была до боли знакомой: сеть «как-то выросла сама по себе», все устройства свалены в одну кучу в плоской подсети 192.168.1.0/24, гостевой Wi-Fi оказывается той же самой сетью, IP-адреса постоянно конфликтуют, а если что-то откажет, то никто и не вспомнит, что это за железка и где она вообще стоит. В этой статье я подробно расскажу, как правильно организовать сеть, сделать всё по уму и при этом не переплачивать за дорогое корпоративное оборудование от Cisco.

Почему «плоская» сеть — это всегда плохо

Вот свежий пример: в 2024-м году я приехал на аудит к одной юридической фирме, у них 22 рабочих места. Всё, как они сказали, «нормально работало» целых 6 лет. И что же я там обнаружил в одной-единственной подсети 192.168.0.0/24? Список впечатляет: 22 ПК сотрудников, сервер 1С, IP-АТС Asterisk, NAS Synology, 4 IP-камеры, цветной МФУ, телевизор в переговорной, который транслировал YouTube, два смартфона уборщицы (она их, кстати, сама подключала к Wi-Fi) и, что окончательно меня добило, холодильник на кухне с поддержкой Wi-Fi. Да-да, обычный холодильник!

Не прошло и двух недель после моего визита, как у них, что называется, «рвануло»: рабочий ноутбук одного из юристов поймал шифровальщик. А дальше всё пошло по накатанной: вирус добрался до общих сетевых папок на NAS. Почему? Да просто потому, что у юриста эти папки были смонтированы как обычный сетевой диск. Восстановление из бэкапа превратилось в настоящий кошмар: 6 часов простоя всего офиса, да ещё и часть документов потеряли — те, что за день не успели забэкапить. А ведь если бы NAS был в отдельном VLAN, с доступом только по нужным портам и исключительно с правильных учёток, заражение так и осталось бы на одном-единственном ноутбуке. Вот где был бы толк!

История типовая. Плоская сеть удобна для лени и опасна для бизнеса. Любая железка видит любую другую — а значит, дыра в одной железке мгновенно расползается на всю сеть.

Минимальная разумная сегментация для офиса

Обычно я делю сеть на 4–6 VLAN. Точное количество зависит, конечно, от размера офиса. Но это тот самый минимум, ниже которого, поверьте мне, опускаться просто нельзя:

VLANНазначениеПодсетьКто туда ходит
10Офисная LAN — рабочие ПК10.10.10.0/24Все сотрудники с проводных мест
20Серверы (1С, NAS, AD)10.10.20.0/24Только сервисный трафик с офисной LAN
30Wi-Fi корпоративный10.10.30.0/24Сотрудники с ноутбуков и смартфонов
40VoIP — IP-телефоны и АТС10.10.40.0/24Только телефоны, изолировано
50Wi-Fi гостевой10.10.50.0/24Гости — только в интернет, никакого доступа внутрь
60IP-камеры и СКУД10.10.60.0/24Видеосервер и доступ к админке
99Управление сетью10.10.99.0/24Только админ, доступ к Mikrotik и коммутаторам

Хочу сразу обратить ваше внимание: я никогда не использую подсети 192.168.0.0/24 или 192.168.1.0/24. Почему? Да потому что эти подсети чаще всего прописаны по умолчанию на домашних роутерах ваших же сотрудников — на TP-Link, Keenetic, Asus. И представьте себе: человек работает удалённо через VPN, и тут же «привет!» — конфликт подсетей. Его компьютер либо наотрез отказывается видеть офисные ресурсы, либо принимает свои домашние за офисные. Мой совет: берите 10.X.X.0/24. Диапазон 10.0.0.0/8 даёт целых 16 миллионов адресов, и будьте уверены, ни одна домашняя сеть туда точно не залезет.

Как считаются маски подсетей — короткий ликбез

Я знаю, что такая «сетевая» арифметика многих руководителей может запутать, поэтому объясню коротко и без лишнего занудства. Если вы видите запись /24 в конце адреса, это значит, что первые 24 бита отвечают за адрес сети, а оставшиеся 8 бит — за адреса устройств. Так вот, 8 бит — это 2 в 8 степени, то есть 256 адресов. Отнимаем 2 (один адрес для самой сети, другой для широковещательного вещания) — и получаем 254 устройства в подсети. Этого количества с лихвой хватит на любой офис, где до 200 рабочих мест.

Подсеть /29 даёт нам 8 адресов, то есть реальных 6 устройств. /30 — это 4 адреса, а значит, 2 устройства; её обычно используют для линков «точка-точка» между роутерами. Что касается /16 — это целых 65 534 устройства. Для офиса это, на мой взгляд, явный перебор, такую я не использую никогда.

Для офисов, где меньше 50 рабочих мест, я без раздумий использую /24 везде. Это просто, понятно, и не нужно ничего высчитывать на калькуляторе. Если вам вдруг предлагают какие-то навороченные схемы с VLSM (это переменная длина маски), плавающими подсетями и сложными иерархиями — для вашего офиса это, скорее всего, просто лишнее. Да и перерасход адресов в частном диапазоне 10.X — это вообще не повод для беспокойства.

Конфигурация Mikrotik для офиса с VLAN

Обычно я ставлю Mikrotik RB5009 в качестве основного роутера, а к нему добавляю пару Mikrotik CSS610, которые работают как коммутаторы доступа. Все VLANы «ходят» через RouterOS, и маршрутизация, и файрвол — всё это тоже на нём. Вот пример базовой конфигурации для разделения трёх VLAN (LAN, гости, серверы):

# Создаём VLAN-интерфейсы на основном bridge
/interface vlan
add interface=bridge name=vlan10-lan vlan-id=10
add interface=bridge name=vlan20-srv vlan-id=20
add interface=bridge name=vlan50-guest vlan-id=50

# Назначаем IP-адреса
/ip address
add address=10.10.10.1/24 interface=vlan10-lan
add address=10.10.20.1/24 interface=vlan20-srv
add address=10.10.50.1/24 interface=vlan50-guest

# DHCP-серверы для каждого VLAN
/ip pool
add name=pool-lan ranges=10.10.10.50-10.10.10.250
add name=pool-srv ranges=10.10.20.50-10.10.20.99
add name=pool-guest ranges=10.10.50.50-10.10.50.250

/ip dhcp-server
add address-pool=pool-lan interface=vlan10-lan name=dhcp-lan
add address-pool=pool-srv interface=vlan20-srv name=dhcp-srv
add address-pool=pool-guest interface=vlan50-guest name=dhcp-guest
add disabled=no name=*

# Настраиваем VLAN на портах bridge
/interface bridge port
add bridge=bridge interface=ether2 pvid=10
add bridge=bridge interface=ether3 pvid=10
add bridge=bridge interface=ether4 pvid=20  # порт для сервера
add bridge=bridge interface=sfp-sfpplus1 pvid=20  # 10G к серверу

/interface bridge vlan
add bridge=bridge tagged=bridge,sfp-sfpplus1 untagged=ether2,ether3 vlan-ids=10
add bridge=bridge tagged=bridge,sfp-sfpplus1 untagged=ether4 vlan-ids=20
add bridge=bridge tagged=bridge,wlan1 vlan-ids=50

В моей практике на офис из 25 рабочих мест с тремя VLAN полная настройка с нуля занимает 4–5 часов работы инженера, включая раскидывание правил файрвола.

Правила файрвола между VLAN — что разрешать, что запрещать

Важно понимать: сама по себе сегментация, если нет правил файрвола, — это всего лишь разные подсети, и ничего более. Маршрутизация между ними работает по умолчанию, а значит, без чётких запретов любой VLAN будет «видеть» любой другой. Поэтому второй и очень важный шаг — это прописать правила inter-VLAN routing.

# Разрешаем офисной LAN ходить к серверам по нужным портам
/ip firewall filter
# 1С — порты 1540, 1541, 1560-1591
add chain=forward action=accept src-address=10.10.10.0/24 \
    dst-address=10.10.20.0/24 protocol=tcp dst-port=1540-1591 \
    comment="LAN -> 1C servers"

# RDP к серверу 1С (только определённые ПК)
add chain=forward action=accept src-address=10.10.10.0/24 \
    dst-address=10.10.20.10 protocol=tcp dst-port=3389 \
    comment="LAN -> RDP 1C"

# Доступ к NAS — SMB и веб-морда
add chain=forward action=accept src-address=10.10.10.0/24 \
    dst-address=10.10.20.20 protocol=tcp dst-port=445,5000,5001 \
    comment="LAN -> NAS"

# Гости — ТОЛЬКО в интернет, никаких внутренних подсетей
add chain=forward action=drop src-address=10.10.50.0/24 \
    dst-address=10.10.0.0/16 comment="Guests can't access internal"

# Запрет всего лишнего между VLAN
add chain=forward action=drop dst-address=10.10.0.0/16 \
    src-address=10.10.0.0/16 comment="Drop inter-VLAN by default"

Принцип: по умолчанию запрещено всё, разрешаем только то, что реально нужно для работы. Это противоположность типичной «по умолчанию разрешено» — и именно она спасает от распространения шифровальщиков по сети.

Гостевой Wi-Fi: отдельная история

Гостевой Wi-Fi — это не просто «тот же Wi-Fi, но с другим паролем». Это должна быть полностью изолированная сеть: свой отдельный VLAN, свой DHCP и единственное, что ему разрешено, — это выход в интернет. Вот что обязательно должно быть настроено:

Кстати, раз уж затронули последний пункт, хочу напомнить: по 374-ФЗ компании, которые предоставляют доступ в интернет, обязаны хранить логи доступа в течение года. Для гостевого Wi-Fi это означает, что DHCP-логи и NAT-таблица должны куда-то записываться. У меня это всё автоматически уходит через rsyslog на тот же самый Wazuh. Так что всё под контролем.

Wi-Fi для сотрудников: WPA2-Enterprise или WPA3

Корпоративный Wi-Fi для сотрудников должен быть строго отделён от гостевого. У него должен быть свой SSID и, конечно, работа по WPA3-Enterprise (ну, или хотя бы WPA2-Enterprise с RADIUS-сервером). Чем это отличается от обычного «Wi-Fi с паролем»? Всё просто: каждый сотрудник заходит под своими уникальными доменными учётками AD, а не под одним общим паролем, который знают все.

Что это даёт:

Настроить это всё проще всего через Mikrotik User Manager (он, кстати, бесплатный и входит в RouterOS) или, если у вас уже есть Windows Server с AD, то в связке с Microsoft NPS. Настройка займёт у инженера 4–6 часов, плюс ещё час понадобится, чтобы раздать профили пользователям через GPO.

IP-адресация принтеров, IP-камер и принт-серверов

Есть ещё один важный момент, о котором почему-то часто забывают, — это фиксированные IP-адреса для оборудования, которое ни в коем случае не должно «плавать». Речь идёт о принтерах, МФУ, IP-камерах, системах СКУД, терминалах сбора данных на складе — у всего этого должны быть постоянные адреса. Тогда драйверы и софт всегда будут точно знать, куда им стучаться.

В каждом VLAN я выделяю зоны:

Я обычно закрепляю принтеры и МФУ по MAC-адресу через DHCP static lease. Это, на мой взгляд, куда удобнее, чем городить статический IP прямо на самом принтере. Если потом понадобится перекинуть принтер в другой VLAN, это правится всего в одном месте — на роутере. Красота!

Документация: NetBox или Excel

А вот и самая важная, но, признаюсь честно, наименее любимая часть работы — документация сети. Без неё уже через год даже сам админ не вспомнит, что куда подключено. Поэтому я всегда обязательно передаю клиенту документ, который состоит из трёх частей:

Для офисов, где до 50 рабочих мест, обычная Excel-таблица на 4 листа полностью закрывает все вопросы по документации. Никакие NetBox или phpIPAM ставить не нужно, это лишнее. Документ обычно хранится в Confluence или просто в общей папке на NAS и, конечно, обновляется при любом, даже самом незначительном изменении.

Как-то раз у одного клиента я наткнулся на документ от прежнего админа: 17 столбцов в Excel, 380 строк, а актуальность датировалась 2018 годом. В реальности же 80 % информации уже не соответствовало действительности. Это, я вам скажу, хуже, чем вообще ничего не иметь, — такая документация только вводит в заблуждение. Отсюда мой принцип: лучше пусть будет коротко, но всегда актуально, чем длинно и протухло.

Сколько стоит правильно сделать сеть в офисе

А теперь поговорим о конкретных цифрах для офисов разного размера — это мой опыт работы в Москве и Подмосковье, актуальный на апрель 2026 года:

ОфисОборудованиеРаботыСрок
10 рабочих мест, 1 Wi-Fi45 000 ₽ (Mikrotik hAP ax3 + 1 точка Wi-Fi)32 000 ₽2-3 дня
25 рабочих мест, 2 Wi-Fi, сервер 1С78 000 ₽ (RB5009 + CSS610 + 2 точки)52 000 ₽4-5 дней
50 рабочих мест, 4 Wi-Fi, 2 сервера158 000 ₽ (RB5009 + 2 коммутатора + 4 точки)78 000 ₽7-8 дней

В эти работы, как правило, входит: совместное с клиентом планирование сети, разводка кабелей (если есть такая необходимость), монтаж оборудования, настройка VLAN, файрвола, гостевого Wi-Fi и, конечно же, полная документация. Если же сеть нужно переделывать в уже работающем офисе, я добавляю +30 % к стоимости за работы в нерабочее время и поэтапную миграцию, чтобы не было никаких простоев.

Чего я не делаю в малых офисах

За мои 15 лет практики я отложил в сторону немало «модных» решений. Для офиса до 50 человек это, как говорится, «пушка по воробьям»:

Получите бесплатный аудит инфраструктуры

На аудит к каждому новому клиенту в Москве и в радиусе 50 км от МКАД я выезжаю лично. Будьте уверены, за 2–3 рабочих дня вы получите от меня подробный письменный отчёт: схему вашей текущей сети, все найденные проблемы (будь то открытые порты, конфликты IP-адресов или полное отсутствие сегментации) и, конечно, смету на то, чтобы привести всё в полный порядок.

Телефон: +7 903 729-62-41
Telegram: @ITfresh_Boss
Семёнов Евгений Сергеевич, директор АйТи Фреш

FAQ — частые вопросы по офисной сети

Зачем разделять сеть офиса на VLAN, если все и так работают?
Без VLAN зашифрованный гостевой ноутбук имеет доступ к серверу 1С, IP-камерам и принтерам. Один заражённый ноутбук — и вся сеть в опасности. VLAN ограничивает зону поражения и позволяет применять разные правила доступа к разным сегментам.
Какой Mikrotik выбрать для офиса 25 рабочих мест?
Для 25 рабочих мест с парой серверов и Wi-Fi беру Mikrotik RB5009 за 28 000 ₽ — производительный CPU, 7 портов Gigabit + 1 SFP+ 10G для сервера. Это закрывает потребности офиса до 50 человек с запасом на 5 лет.
Какой диапазон IP-адресов выбрать для офиса?
Беру 10.10.X.0/24 на каждый VLAN, не использую 192.168.0.0/24 и 192.168.1.0/24 — они конфликтуют с домашними сетями сотрудников при VPN. Например: 10.10.10.0/24 для офиса, 10.10.20.0/24 для серверов, 10.10.50.0/24 для гостей.
Нужен ли отдельный VLAN для гостевого Wi-Fi?
Обязательно. Гостевой Wi-Fi должен быть полностью изолирован от внутренней сети — никакого доступа к серверам, NAS, принтерам, рабочим станциям. Только интернет. Это защищает от заражённых устройств гостей и от утечек, если кто-то подсмотрел пароль Wi-Fi.
Сколько стоит спроектировать и настроить сеть в офисе на 30 рабочих мест?
Для офиса 30 РМ с нуля: проектирование — 12 000 ₽, оборудование (Mikrotik RB5009 + 2 коммутатора + 3 точки Wi-Fi) — 95 000 ₽, монтаж и настройка — 65 000 ₽, итого около 170 000 ₽ за 5-7 рабочих дней.

Подпишитесь на рассылку ITfresh

Раз в неделю — практические гайды для руководителя IT и сисадмина: безопасность, 1С, миграции, резервные копии, лайфхаки из реальных проектов.

Реквизиты оператора персональных данных

ООО «АЙТИ-ФРЕШ», ИНН 7719418495, КПП 771901001. Юридический адрес: 105523, г. Москва, Щёлковское шоссе, д. 92, корп. 7. Контакт: info@itfresh.ru, +7 903 729-62-41. Оператор обрабатывает e-mail подписчика в целях рассылки информационных и рекламных материалов до момента отзыва согласия.