🌐 Сети и связь 📅 02.04.2026 ⏱️ 23 мин чтения ✍️ АйТи Фреш

Торговые терминалы теряли связь: настраиваем MikroTik для брокерской компании

Q: Почему MikroTik, а не Cisco или Ubiquiti для офисной сети?

MikroTik предлагает оптимальный баланс для малого и среднего бизнеса. По сравнению с Cisco: функциональность RouterOS сопоставима с IOS, но стоимость оборудования в 5–10 раз ниже, нет платных лицензий на функции. По сравнению с Ubiquiti: MikroTik значительно гибче в настройке firewall, QoS и маршрутизации, хотя интерфейс менее дружелюбен. Для задачи с критически важным QoS и VLAN-сегментацией MikroTik — лучший выбор в своём ценовом сегменте.

Q: Можно ли настроить QoS на MikroTik без VLAN?

Технически — да, через маркировку пакетов по IP-адресам или портам. Но без VLAN вы не получите L2-изоляцию, и broadcast-трафик из одного сегмента будет влиять на все устройства. Для сценариев с критически важным трафиком (торговые терминалы, VoIP, видеонаблюдение) мы настоятельно рекомендуем VLAN + QoS как единую систему. VLAN обеспечивает изоляцию на канальном уровне, QoS — приоритизацию на сетевом.

Q: Как CAPsMAN справляется с роумингом между точками доступа?

CAPsMAN управляет всеми точками доступа как единой системой. Когда клиент перемещается между точками, CAPsMAN координирует переключение: точка с лучшим сигналом принимает клиента, а предыдущая его отпускает. Переключение занимает менее 100 мс — незаметно для большинства приложений. Для максимальной эффективности роуминга важно правильно распределить каналы (не перекрывающиеся) и ограничить мощность передатчиков, чтобы зоны покрытия слегка пересекались.

Q: Безопасно ли использовать L2TP/IPsec в 2026 году?

L2TP/IPsec остаётся безопасным при правильной конфигурации: AES-256 шифрование, SHA-256 хэширование, DH группа modp2048 или выше. Его главное преимущество — нативная поддержка во всех ОС без установки дополнительного ПО. Однако для максимальной производительности WireGuard предпочтительнее: он быстрее, проще в конфигурации и использует современную криптографию. Мы включили миграцию на WireGuard в дорожную карту ИнфоТрейд на Q4 2026.

Задача клиента: брокерская компания, где секунда задержки стоит миллионы

В январе 2026 года в АйТи Фреш обратилась брокерская компания ИнфоТрейд из Екатеринбурга. Штат — 50 сотрудников: трейдеры, аналитики, бэк-офис и IT-отдел. Компания обеспечивает клиентам доступ к биржевым площадкам, и качество связи напрямую влияет на финансовый результат.

Проблема была критической: торговые терминалы теряли соединение с биржей по нескольку раз в день. Трейдеры жаловались на «зависания» котировок, обрывы при исполнении ордеров и невозможность работать, когда бухгалтерия запускала обновление 1С. Wi-Fi в переговорных работал через раз, а удалённые сотрудники не могли подключиться к внутренним системам.

«У нас трейдер не смог закрыть позицию, потому что Wi-Fi отвалился в самый неподходящий момент. Потеря — 800 тысяч рублей за 40 секунд. После этого руководство сказало: деньги на сеть — не вопрос» — IT-директор ИнфоТрейд.

Предыдущая инфраструктура: бытовые роутеры TP-Link Archer, плоская L2-сеть без VLAN, отсутствие QoS, VPN через сторонний сервис, no firewall rules кроме NAT. Типичная картина офиса, который вырос из стартапа.

Аудит сети и выявленные проблемы

Наши инженеры выехали на площадку и провели полный аудит сетевой инфраструктуры:

Каналообразующее оборудование — 3 бытовых TP-Link Archer C7 (один как роутер, два как точки доступа)
Коммутация — неуправляемые гигабитные свитчи D-Link DGS-1024D
Канал связи — 2 провайдера: основной 100 Мбит/с (Ростелеком) и резервный 50 Мбит/с (ЭР-Телеком)
Сегментация — отсутствует, все 50 устройств в одном broadcast-домене 192.168.1.0/24
Wi-Fi — каналы не распределены, все точки на авто (работали на одном канале), мощность максимальная (взаимные помехи)
QoS — отсутствует, торговые терминалы конкурируют за полосу с YouTube и 1С

Мы провели замеры с помощью Wireshark и iPerf3:

# Замеры пропускной способности внутри сети
iperf3 -c 192.168.1.1 -t 30 -P 4
[ ID] Interval           Transfer     Bitrate
[SUM]   0.00-30.00  sec  1.87 GBytes   536 Mbits/sec  # Вместо гигабита

# Потери пакетов при нагрузке
ping -c 1000 -i 0.01 trading-server.local
--- trading-server.local ping statistics ---
1000 packets transmitted, 973 received, 2.7% packet loss
rtt min/avg/max/mdev = 0.234/4.891/187.234/12.445 ms
# 2.7% потерь — катастрофа для торговых терминалов

Packet loss 2.7% объяснял обрывы торговых терминалов: протоколы биржевого подключения не толерантны к потерям.

Проектирование целевой архитектуры

Мы спроектировали архитектуру на оборудовании MikroTik — оптимальный баланс между функциональностью enterprise-уровня и разумной стоимостью:

Компонент	Модель	Роль	Кол-во
Маршрутизатор	MikroTik RB4011iGS+5HacQ2HnD	Core router, firewall, QoS	1
Управляемый коммутатор	MikroTik CRS326-24G-2S+	L2 коммутация, VLAN	2
Wi-Fi точки доступа	MikroTik cAP ac (RBcAPGi-5acD2nD)	Корпоративный Wi-Fi	5
Резервный роутер	MikroTik hAP ac3	Failover, CAPsMAN controller backup	1

Целевая VLAN-структура:

# Схема VLAN
┌──────────────────────────────────────────┐
│ VLAN 10 — Trading (трейдеры, терминалы)  │
│          10.10.10.0/24 — QoS Priority    │
│ VLAN 20 — Office (бэк-офис, 1С)         │
│          10.10.20.0/24 — Normal          │
│ VLAN 30 — Guest Wi-Fi (гости)           │
│          10.10.30.0/24 — Limited         │
│ VLAN 40 — Management (оборудование)     │
│          10.10.40.0/24 — Restricted      │
│ VLAN 50 — Servers (серверы)              │
│          10.10.50.0/24 — Internal        │
└──────────────────────────────────────────┘

Базовая настройка MikroTik RB4011

RB4011 — мощный маршрутизатор с 10 гигабитными портами, SFP+ и встроенным Wi-Fi. Его производительности с запасом хватает для офиса на 50–100 человек с активным межсетевым экранированием и QoS.

Начальная конфигурация и безопасность

Первым делом — сброс конфигурации по умолчанию и базовая защита:

# Подключаемся через консольный кабель или MAC WinBox
/system reset-configuration no-defaults=yes skip-backup=yes

# Задаём имя и часовой пояс
/system identity set name="IT-RB4011-CORE"
/system clock set time-zone-name=Asia/Yekaterinburg

# NTP-клиент
/system ntp client set enabled=yes
/system ntp client servers add address=ntp.msk-ix.ru

# Создаём администратора, отключаем admin
/user add name=itfresh-admin password="K0mpl3x_P@ss!" group=full
/user disable admin

# Отключаем ненужные сервисы
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set api disabled=yes
set api-ssl disabled=yes
set ssh port=2222
set winbox address=10.10.40.0/24  # WinBox только из Management VLAN

# Защита от брутфорса SSH
/ip firewall filter
add chain=input protocol=tcp dst-port=2222 src-address-list=ssh_blacklist action=drop comment="Drop SSH brute force"
add chain=input protocol=tcp dst-port=2222 connection-state=new src-address-list=ssh_stage3 action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=7d
add chain=input protocol=tcp dst-port=2222 connection-state=new src-address-list=ssh_stage2 action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m
add chain=input protocol=tcp dst-port=2222 connection-state=new src-address-list=ssh_stage1 action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m
add chain=input protocol=tcp dst-port=2222 connection-state=new action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m

Настройка VLAN и межсетевого взаимодействия

Создаём VLAN-интерфейсы на bridge и назначаем IP-адреса:

# Создаём bridge для LAN
/interface bridge add name=bridge-lan vlan-filtering=no

# Добавляем порты в bridge (ether2-ether10)
/interface bridge port
add bridge=bridge-lan interface=ether2
add bridge=bridge-lan interface=ether3
add bridge=bridge-lan interface=ether4
add bridge=bridge-lan interface=ether5
add bridge=bridge-lan interface=ether6
add bridge=bridge-lan interface=ether7
add bridge=bridge-lan interface=ether8
add bridge=bridge-lan interface=ether9
add bridge=bridge-lan interface=ether10

# Создаём VLAN-интерфейсы
/interface vlan
add interface=bridge-lan name=vlan10-trading vlan-id=10
add interface=bridge-lan name=vlan20-office vlan-id=20
add interface=bridge-lan name=vlan30-guest vlan-id=30
add interface=bridge-lan name=vlan40-mgmt vlan-id=40
add interface=bridge-lan name=vlan50-servers vlan-id=50

# IP-адреса (шлюзы для каждого VLAN)
/ip address
add address=10.10.10.1/24 interface=vlan10-trading
add address=10.10.20.1/24 interface=vlan20-office
add address=10.10.30.1/24 interface=vlan30-guest
add address=10.10.40.1/24 interface=vlan40-mgmt
add address=10.10.50.1/24 interface=vlan50-servers

# DHCP-серверы для каждого VLAN
/ip pool
add name=pool-trading ranges=10.10.10.100-10.10.10.200
add name=pool-office ranges=10.10.20.100-10.10.20.200
add name=pool-guest ranges=10.10.30.100-10.10.30.200

/ip dhcp-server
add address-pool=pool-trading interface=vlan10-trading name=dhcp-trading lease-time=8h
add address-pool=pool-office interface=vlan20-office name=dhcp-office lease-time=8h
add address-pool=pool-guest interface=vlan30-guest name=dhcp-guest lease-time=1h

/ip dhcp-server network
add address=10.10.10.0/24 gateway=10.10.10.1 dns-server=10.10.10.1
add address=10.10.20.0/24 gateway=10.10.20.1 dns-server=10.10.20.1
add address=10.10.30.0/24 gateway=10.10.30.1 dns-server=10.10.30.1

DNS-кэш и статические записи

Локальный DNS-кэш снижает задержки для торговых терминалов и ускоряет резолвинг для всего офиса:

# Включаем DNS-кэш
/ip dns
set allow-remote-requests=yes cache-size=16384KiB servers=77.88.8.8,77.88.8.1

# Статические DNS-записи для внутренних ресурсов
/ip dns static
add name=dc01.infotrade.local address=10.10.50.10
add name=1c-server.infotrade.local address=10.10.50.11
add name=fileserver.infotrade.local address=10.10.50.12
add name=trading-gw.infotrade.local address=10.10.50.20
add name=printer-floor1.infotrade.local address=10.10.20.50
add name=printer-floor2.infotrade.local address=10.10.20.51

QoS: приоритет для торговых терминалов

Главная задача проекта — гарантировать, что торговые терминалы никогда не конкурируют за полосу с остальным офисным трафиком. В MikroTik это реализуется через систему Queues и Mangle-маркировку.

Маркировка трафика через Mangle

Сначала маркируем пакеты по VLAN и типу трафика:

# Маркировка соединений по VLAN
/ip firewall mangle

# Trading VLAN — наивысший приоритет
add chain=forward src-address=10.10.10.0/24 action=mark-connection new-connection-mark=conn-trading passthrough=yes comment="Trading connections"
add chain=forward connection-mark=conn-trading action=mark-packet new-packet-mark=pkt-trading passthrough=no

# Дополнительно маркируем конкретные торговые протоколы (порты бирж)
add chain=forward protocol=tcp dst-port=15100,15200,9999,443 src-address=10.10.10.0/24 action=mark-packet new-packet-mark=pkt-trading-critical passthrough=no comment="Critical trading ports"

# Office VLAN — нормальный приоритет
add chain=forward src-address=10.10.20.0/24 action=mark-connection new-connection-mark=conn-office passthrough=yes comment="Office connections"
add chain=forward connection-mark=conn-office action=mark-packet new-packet-mark=pkt-office passthrough=no

# Guest VLAN — низкий приоритет
add chain=forward src-address=10.10.30.0/24 action=mark-connection new-connection-mark=conn-guest passthrough=yes comment="Guest connections"
add chain=forward connection-mark=conn-guest action=mark-packet new-packet-mark=pkt-guest passthrough=no

Queue Tree для распределения полосы

На основе маркировки строим дерево очередей:

# Общая полоса на интерфейсе к провайдеру
/queue tree
add name=download parent=bridge-lan max-limit=95M
add name=upload parent=ether1 max-limit=95M

# Trading — гарантированные 40 Мбит/с, приоритет 1
add name=trading-down parent=download packet-mark=pkt-trading priority=1 max-limit=60M limit-at=40M queue=pcq-download-default
add name=trading-up parent=upload packet-mark=pkt-trading priority=1 max-limit=60M limit-at=40M queue=pcq-upload-default

# Trading Critical — ещё выше приоритет для биржевых протоколов
add name=trading-crit-down parent=download packet-mark=pkt-trading-critical priority=1 max-limit=60M limit-at=40M queue=pcq-download-default
add name=trading-crit-up parent=upload packet-mark=pkt-trading-critical priority=1 max-limit=60M limit-at=40M queue=pcq-upload-default

# Office — 40 Мбит/с, приоритет 4
add name=office-down parent=download packet-mark=pkt-office priority=4 max-limit=50M limit-at=30M queue=pcq-download-default
add name=office-up parent=upload packet-mark=pkt-office priority=4 max-limit=50M limit-at=30M queue=pcq-upload-default

# Guest — 10 Мбит/с максимум, приоритет 8
add name=guest-down parent=download packet-mark=pkt-guest priority=8 max-limit=10M limit-at=5M queue=pcq-download-default
add name=guest-up parent=upload packet-mark=pkt-guest priority=8 max-limit=10M limit-at=5M queue=pcq-upload-default

Параметр limit-at гарантирует минимальную полосу даже при перегрузке канала. Трейдеры всегда получат свои 40 Мбит/с, даже если весь офис смотрит YouTube.

Firewall: правила межсетевого экрана

MikroTik Firewall в RouterOS — полноценный stateful firewall с возможностями, сопоставимыми с коммерческими решениями. Мы настроили комплексную фильтрацию для защиты сетевых сегментов.

Input Chain: защита самого роутера

# Базовые правила Input
/ip firewall filter

# Разрешаем established и related
add chain=input action=accept connection-state=established,related comment="Accept established"

# Разрешаем ICMP (с ограничением)
add chain=input protocol=icmp action=accept limit=10,20:packet comment="ICMP limited"

# Разрешаем DNS из внутренних сетей
add chain=input protocol=udp dst-port=53 src-address=10.10.0.0/16 action=accept comment="DNS from LAN"
add chain=input protocol=tcp dst-port=53 src-address=10.10.0.0/16 action=accept

# Разрешаем WinBox из Management VLAN
add chain=input protocol=tcp dst-port=8291 src-address=10.10.40.0/24 action=accept comment="WinBox from Mgmt"

# Разрешаем SSH с ограничениями
add chain=input protocol=tcp dst-port=2222 src-address=10.10.40.0/24 action=accept comment="SSH from Mgmt"

# Разрешаем VPN
add chain=input protocol=udp dst-port=1701,500,4500 action=accept comment="L2TP/IPsec VPN"
add chain=input protocol=ipsec-esp action=accept comment="IPsec ESP"

# Запрещаем всё остальное
add chain=input action=drop comment="Drop everything else"

Forward Chain: межсегментная фильтрация

# Forward — контроль межсегментного трафика
/ip firewall filter

# Established/related
add chain=forward action=accept connection-state=established,related comment="Accept established"

# Trading -> Servers (торговый шлюз, DNS)
add chain=forward src-address=10.10.10.0/24 dst-address=10.10.50.0/24 action=accept comment="Trading to Servers"

# Trading -> Internet
add chain=forward src-address=10.10.10.0/24 out-interface=ether1 action=accept comment="Trading to Internet"

# Office -> Servers
add chain=forward src-address=10.10.20.0/24 dst-address=10.10.50.0/24 action=accept comment="Office to Servers"

# Office -> Internet
add chain=forward src-address=10.10.20.0/24 out-interface=ether1 action=accept comment="Office to Internet"

# Guest -> только Internet (никакого доступа к LAN)
add chain=forward src-address=10.10.30.0/24 out-interface=ether1 action=accept comment="Guest to Internet only"
add chain=forward src-address=10.10.30.0/24 dst-address=10.10.0.0/16 action=drop comment="Block Guest to LAN"

# Запрет прямого общения Trading <-> Office
add chain=forward src-address=10.10.10.0/24 dst-address=10.10.20.0/24 action=drop comment="Block Trading to Office"
add chain=forward src-address=10.10.20.0/24 dst-address=10.10.10.0/24 action=drop comment="Block Office to Trading"

# Drop everything else
add chain=forward action=drop comment="Drop forward default"

Критически важно: сегмент Trading полностью изолирован от Office. Трейдерские рабочие станции имеют доступ только к серверам и интернету. Это исключает ситуацию, когда broadcast-шторм из VLAN Office повлияет на торговый трафик.

CAPsMAN: централизованное управление Wi-Fi

Разрозненные точки доступа — причина проблем с роумингом и интерференцией. MikroTik CAPsMAN (Controlled Access Point System Manager) позволяет управлять всеми точками из одного места на роутере RB4011.

Конфигурация CAPsMAN на контроллере

# Включаем CAPsMAN на RB4011
/caps-man manager set enabled=yes

# Профили безопасности
/caps-man security
add name=sec-trading authentication-types=wpa2-psk encryption=aes-ccm passphrase="Tr@d1ng_W1F1_2026!"
add name=sec-office authentication-types=wpa2-psk encryption=aes-ccm passphrase="0ff1ce_W1F1_2026!"
add name=sec-guest authentication-types=wpa2-psk encryption=aes-ccm passphrase="Guest_Welcome"

# Datapath (привязка к VLAN)
/caps-man datapath
add name=dp-trading bridge=bridge-lan vlan-id=10 vlan-mode=use-tag
add name=dp-office bridge=bridge-lan vlan-id=20 vlan-mode=use-tag
add name=dp-guest bridge=bridge-lan vlan-id=30 vlan-mode=use-tag client-to-client-forwarding=no

# Конфигурации радиомодулей (2.4 ГГц)
/caps-man channel
add name=ch-2ghz-1 frequency=2412 band=2ghz-g/n width=20
add name=ch-2ghz-6 frequency=2437 band=2ghz-g/n width=20
add name=ch-2ghz-11 frequency=2462 band=2ghz-g/n width=20

# Конфигурации радиомодулей (5 ГГц)
/caps-man channel
add name=ch-5ghz-36 frequency=5180 band=5ghz-n/ac width=20/40/80
add name=ch-5ghz-52 frequency=5260 band=5ghz-n/ac width=20/40/80
add name=ch-5ghz-100 frequency=5500 band=5ghz-n/ac width=20/40/80

# Конфигурации для каждой SSID
/caps-man configuration
add name=cfg-trading-5ghz ssid=INFOTRADE-TRADING security=sec-trading datapath=dp-trading channel=ch-5ghz-36 mode=ap
add name=cfg-office-5ghz ssid=INFOTRADE-OFFICE security=sec-office datapath=dp-office channel=ch-5ghz-52 mode=ap
add name=cfg-guest-2ghz ssid=INFOTRADE-GUEST security=sec-guest datapath=dp-guest channel=ch-2ghz-6 mode=ap

# Provisioning — автоматическое применение конфигурации к точкам
/caps-man provisioning
add action=create-dynamic-enabled master-configuration=cfg-trading-5ghz slave-configurations=cfg-office-5ghz,cfg-guest-2ghz hw-supported-modes=gn,an name-format=identity

Развёртывание точек доступа cAP ac

На каждой из 5 точек доступа MikroTik cAP ac минимальная конфигурация — они управляются централизованно:

# На каждой cAP ac (подключаемся по MAC через WinBox)
/system reset-configuration no-defaults=yes skip-backup=yes

# Включаем режим CAP
/interface wireless cap
set enabled=yes interfaces=wlan1,wlan2 \
    caps-man-addresses=10.10.40.1 \
    bridge=bridge-lan \
    discovery-interfaces=bridge-lan

# Точка автоматически получает конфигурацию от CAPsMAN
# Проверяем на контроллере:
/caps-man remote-cap print
# Flags: B - bound
# #  IDENTITY       ADDRESS        STATE    RADIOS
# 0 B CAP-FLOOR1-01  10.10.40.11    Run      2
# 1 B CAP-FLOOR1-02  10.10.40.12    Run      2
# 2 B CAP-FLOOR2-01  10.10.40.13    Run      2
# 3 B CAP-FLOOR2-02  10.10.40.14    Run      2
# 4 B CAP-MEETING    10.10.40.15    Run      2

Каждая точка создаёт три SSID: INFOTRADE-TRADING (5 ГГц, VLAN 10), INFOTRADE-OFFICE (5 ГГц, VLAN 20) и INFOTRADE-GUEST (2.4 ГГц, VLAN 30). Трейдеры подключаются к выделенной SSID с гарантированным QoS.

VPN: удалённый доступ через L2TP/IPsec

Около 10 сотрудников ИнфоТрейд регулярно работают удалённо. Им необходим защищённый доступ к внутренним серверам, включая торговый шлюз. Мы настроили L2TP/IPsec — стандарт, поддерживаемый всеми ОС без дополнительного ПО.

Настройка L2TP/IPsec на RB4011

# IPsec предложение
/ip ipsec proposal
add name=L2TP-proposal auth-algorithms=sha256 enc-algorithms=aes-256-cbc pfs-group=modp2048

# IPsec профиль
/ip ipsec profile
add name=L2TP-profile hash-algorithm=sha256 enc-algorithm=aes-256 dh-group=modp2048

# IPsec peer
/ip ipsec peer
add name=L2TP-peer exchange-mode=main passive=yes profile=L2TP-profile

# IPsec identity
/ip ipsec identity
add peer=L2TP-peer auth-method=pre-shared-key secret="V3ry$ecure_IPsec_Key!"

# IPsec policy
/ip ipsec policy
set 0 dst-address=0.0.0.0/0 src-address=0.0.0.0/0 protocol=udp dst-port=1701

# PPP профиль
/ppp profile
add name=L2TP-profile local-address=10.10.60.1 remote-address=pool-vpn \
    dns-server=10.10.50.10 change-tcp-mss=yes use-encryption=required

# Пул адресов для VPN
/ip pool add name=pool-vpn ranges=10.10.60.10-10.10.60.50

# L2TP сервер
/interface l2tp-server server
set enabled=yes default-profile=L2TP-profile \
    authentication=mschap2 use-ipsec=required ipsec-secret="V3ry$ecure_IPsec_Key!"

# VPN-пользователи
/ppp secret
add name=ivanov service=l2tp password="Iv@n0v_VPN!" profile=L2TP-profile
add name=petrov service=l2tp password="P3tr0v_VPN!" profile=L2TP-profile
add name=sidorov service=l2tp password="S1d0r0v_VPN!" profile=L2TP-profile

Маршрутизация и доступ VPN-клиентов к сегментам

VPN-клиенты получают доступ к серверному сегменту (VLAN 50), но не к торговому (VLAN 10) — если сотрудник не является трейдером:

# Маршруты для VPN-клиентов (push через PPP)
/ppp profile
set L2TP-profile routes="10.10.50.0/24 10.10.60.1 1"

# Firewall: VPN -> Servers (разрешено)
/ip firewall filter
add chain=forward src-address=10.10.60.0/24 dst-address=10.10.50.0/24 action=accept comment="VPN to Servers" place-before=*last

# VPN -> Trading (только для трейдеров по IP)
/ip firewall address-list
add address=10.10.60.10 list=vpn-traders comment="Ivanov - trader"

/ip firewall filter
add chain=forward src-address-list=vpn-traders dst-address=10.10.10.0/24 action=accept comment="VPN traders to Trading" place-before=*last

# VPN -> остальные сегменты (запрещено)
add chain=forward src-address=10.10.60.0/24 dst-address=10.10.0.0/16 action=drop comment="VPN default deny LAN" place-before=*last

Мониторинг SNMP и автоматический бэкап

Настроенная сеть требует постоянного мониторинга. Мы интегрировали MikroTik с системой мониторинга Zabbix через SNMP и настроили автоматическое резервное копирование конфигурации.

SNMP для Zabbix

# Включаем SNMP v2c (из Management VLAN)
/snmp
set enabled=yes contact="it@infotrade.ru" location="Ekaterinburg Office" \
    trap-community=infotrade_snmp trap-version=2

/snmp community
set public name=infotrade_read addresses=10.10.40.100/32 read-access=yes write-access=no

# В Zabbix используем шаблон "MikroTik RB4011 by SNMP" со следующими метриками:
# - CPU/Memory utilization
# - Interface traffic (per VLAN)
# - Active VPN connections
# - Wireless client count
# - Queue statistics (QoS)
# - System uptime and health

Автоматический бэкап конфигурации

# Скрипт ежедневного бэкапа на email и FTP
/system script
add name=daily-backup source={
    :local hostname [/system identity get name]
    :local date [/system clock get date]
    :local time [/system clock get time]
    :local fname ($hostname . "-" . $date . "-" . $time)

    # Бинарный бэкап (полное восстановление)
    /system backup save name=$fname encryption=aes-sha256 password="Backup_3ncrypt!"

    # Текстовый экспорт (для ревью и версионирования)
    /export file=$fname

    # Отправляем на email
    /tool e-mail send to="it@infotrade.ru" subject="MikroTik Backup $date" \
        body="Automatic backup from $hostname" \
        file="$fname.backup,$fname.rsc"

    # Загружаем на FTP
    /tool fetch url="ftp://10.10.50.30/mikrotik-backups/$fname.backup" \
        src-path="$fname.backup" upload=yes user=backup password="FTP_Pass!"
    /tool fetch url="ftp://10.10.50.30/mikrotik-backups/$fname.rsc" \
        src-path="$fname.rsc" upload=yes user=backup password="FTP_Pass!"

    # Удаляем локальные файлы старше 7 дней
    :foreach f in=[/file find where name~"$hostname" and type="backup"] do={
        :if ([/file get $f creation-time] < ([:timestamp] - 7d)) do={
            /file remove $f
        }
    }
}

# Запуск по расписанию каждый день в 23:00
/system scheduler
add name=daily-backup interval=1d on-event=daily-backup start-time=23:00:00

Зашифрованный бинарный бэкап позволяет восстановить конфигурацию за считанные минуты, а текстовый RSC-экспорт удобен для ревью изменений и хранения в Git.

Результаты внедрения: сеть, которая зарабатывает деньги

Проект занял 5 рабочих дней: 2 дня на монтаж и базовую конфигурацию, 2 дня на QoS/VPN/CAPsMAN, 1 день на тестирование и документацию. Результаты замеров через 2 недели эксплуатации:

Метрика	До (TP-Link)	После (MikroTik)	Улучшение
Потери пакетов (trading VLAN)	2.7%	0.00%	100%
Задержка до биржи	4.9 мс (avg), 187 мс (max)	1.2 мс (avg), 3.8 мс (max)	75%
Обрывы торговых терминалов	3–5 в день	0 за 14 дней	100%
Wi-Fi роуминг	Обрыв 5–15 сек	Бесшовный, <100 мс	99%
Скорость Wi-Fi (5 ГГц)	80 Мбит/с	400+ Мбит/с	400%
VPN-подключения	Сторонний сервис, нестабильно	L2TP/IPsec, стабильно	—

«Прошёл месяц. Ни одного обрыва торгового терминала. IT-отдел занимается развитием вместо тушения пожаров. А гостевой Wi-Fi в переговорной — просто приятный бонус» — IT-директор ИнфоТрейд.

Общая стоимость оборудования MikroTik составила около 120 000 рублей — в 5–10 раз дешевле аналогичного решения на Cisco или Juniper, при сопоставимой функциональности для офиса такого масштаба.

Ключевые выводы проекта

Этот проект наглядно показал несколько важных принципов:

Сегментация — основа безопасности и стабильности. Разделение на VLAN устранило broadcast-штормы и изолировало критически важный торговый трафик
QoS решает проблему «всё тормозит». Гарантированная полоса для приоритетного трафика дешевле, чем расширение канала
CAPsMAN экономит часы. Централизованное управление 5 точками с одного контроллера вместо конфигурации каждой отдельно
MikroTik — enterprise для малого и среднего бизнеса. RouterOS предоставляет функции уровня Cisco ASA за долю стоимости

План развития сети

Совместно с IT-отделом ИнфоТрейд мы составили roadmap на ближайший год:

Q2 2026 — внедрение 802.1X аутентификации на портах (RADIUS через Windows NPS)
Q3 2026 — резервирование интернет-канала через failover на RB4011 (уже подготовлена конфигурация)
Q4 2026 — миграция VPN с L2TP/IPsec на WireGuard для улучшения производительности
2027 — обновление точек доступа до Wi-Fi 6 (MikroTik hAP ax3) для поддержки WPA3

Часто задаваемые вопросы