Рентген и бухгалтерия в одной сети: сегментация VLAN для медицинского центра

Задача клиента: плоская сеть в медицинском центре

В марте 2026 года к нам в АйТи Фреш обратился медицинский центр «МедЛайн» из Екатеринбурга — многопрофильная клиника на 3 этажа с 85 сотрудниками. Клиника готовилась к лицензированию нового рентгенологического отделения. Проверка ФСТЭК дала неприятный результат: всё оборудование работало в одной плоской сети, и это стало блокером для получения лицензии.

Рентгеновский аппарат Carestream DRX-Evolution, рабочие станции рентгенологов с DICOM-просмотрщиком, компьютеры бухгалтерии с 1С, гостевой Wi-Fi для пациентов в зоне ожидания — все 127 устройств сидели в одном broadcast-домене 192.168.1.0/24. Классика, которую мы видим примерно в каждой второй клинике.

«ФСТЭК дал нам 60 дней на устранение. Если не разделим сеть — не получим лицензию на рентген. А без рентгена мы теряем 30% выручки» — главный врач «МедЛайн».

Аудит сетевой инфраструктуры

Наши инженеры прошлись по всем трём этажам и сделали физический аудит:

  • 1 этаж: рецепция, зона ожидания (гостевой Wi-Fi), серверная комната, кабинет IT
  • 2 этаж: кабинеты врачей (15 ПК), процедурные, рентгенологическое отделение (рентген-аппарат, 2 рабочих станции, PACS-сервер)
  • 3 этаж: бухгалтерия (8 ПК с 1С), администрация (5 ПК), HR (2 ПК)

Что стояло в сети на момент нашего прихода:

  • Коммутаторы: 3× неуправляемых TP-Link TL-SG1024 (по одному на этаж)
  • Маршрутизатор: MikroTik hAP ac2 (используется как роутер + Wi-Fi)
  • Провайдер: 100 Мбит/с, статический IP
  • Серверная: 1 сервер (1С, файловое хранилище, AD на Samba)

Картина получилась предсказуемо грустная. Вот конкретные проблемы, которые мы зафиксировали:

  1. Нулевая изоляция — пациент с телефоном в зоне ожидания видел рентген-аппарат через Bonjour/mDNS
  2. Broadcast storms — 127 устройств в одном L2-домене, ARP-таблицы переполнялись
  3. Несоответствие ФСТЭК — приказ №17 требует сегментации персональных данных
  4. Нет QoS — загрузка DICOM-снимков (30–50 МБ) убивала скорость 1С для бухгалтерии

Проектирование VLAN-архитектуры

Мы спроектировали 6 VLAN под конкретные функциональные зоны клиники. Каждый VLAN — отдельный broadcast-домен со своей подсетью и политиками безопасности. Никакой общей кучи.

Схема VLAN и адресация

# Схема VLAN для «МедЛайн»

VLAN ID  | Название       | Подсеть          | Назначение
---------|----------------|------------------|---------------------------------
10       | MGMT           | 10.10.10.0/24    | Управление сетевым оборудованием
20       | MEDICAL        | 10.10.20.0/24    | Медоборудование (рентген, PACS, DICOM)
30       | DOCTORS        | 10.10.30.0/24    | Рабочие станции врачей
40       | ACCOUNTING     | 10.10.40.0/24    | Бухгалтерия, администрация (1С, ЭДО)
50       | SERVERS        | 10.10.50.0/24    | Серверный сегмент (1С, файлы, AD)
100      | GUEST          | 10.10.100.0/24   | Гостевой Wi-Fi для пациентов

# Gateway для каждого VLAN — MikroTik (inter-VLAN routing)
# VLAN 10: 10.10.10.1
# VLAN 20: 10.10.20.1
# VLAN 30: 10.10.30.1
# VLAN 40: 10.10.40.1
# VLAN 50: 10.10.50.1
# VLAN 100: 10.10.100.1

В основе — принцип минимальных привилегий: каждый VLAN получает доступ ровно к тем ресурсам, без которых его пользователи просто не смогут работать. Не больше.

Замена неуправляемых коммутаторов

Первое, во что мы уткнулись: неуправляемые TP-Link не поддерживают VLAN от слова совсем. Пришлось менять коммутаторы на управляемые Cisco:

  • Серверная (1 этаж): Cisco Catalyst 2960L-24TS — 24 порта, L2+ managed
  • 2 этаж: Cisco Catalyst 2960L-24TS — медоборудование + врачи
  • 3 этаж: Cisco Catalyst 2960L-16TS — бухгалтерия + администрация

MikroTik hAP ac2 тоже попрощался с проектом — его заменили на MikroTik hEX S (RB760iGS). У него хватает производительности для inter-VLAN routing с hardware offloading, и он не захлёбывается при реальных нагрузках.

Настройка коммутаторов Cisco: VLAN, trunk, access

Конфигурация коммутаторов — это фундамент всей VLAN-сегментации. Каждый порт жёстко привязывается к конкретному VLAN в access mode, а между коммутаторами поднимаются trunk-линки, которые гоняют трафик всех VLAN с тегами 802.1Q.

Создание VLAN и настройка trunk-портов

Коммутатор 1 этажа (серверная) — центральный узел, настраиваем его первым:

! Cisco Catalyst 2960L — 1 этаж (серверная)
! Подключаемся через console cable

enable
configure terminal

! Создаём VLAN
vlan 10
  name MGMT
vlan 20
  name MEDICAL
vlan 30
  name DOCTORS
vlan 40
  name ACCOUNTING
vlan 50
  name SERVERS
vlan 100
  name GUEST
exit

! Trunk к MikroTik (порт Gi0/1) — все VLAN
interface GigabitEthernet0/1
  description TRUNK-TO-MIKROTIK
  switchport mode trunk
  switchport trunk encapsulation dot1q
  switchport trunk allowed vlan 10,20,30,40,50,100
  switchport trunk native vlan 10
  spanning-tree portfast trunk
  no shutdown

! Trunk к коммутатору 2 этажа (порт Gi0/2)
interface GigabitEthernet0/2
  description TRUNK-TO-FLOOR2
  switchport mode trunk
  switchport trunk encapsulation dot1q
  switchport trunk allowed vlan 10,20,30
  switchport trunk native vlan 10
  no shutdown

! Trunk к коммутатору 3 этажа (порт Gi0/3)
interface GigabitEthernet0/3
  description TRUNK-TO-FLOOR3
  switchport mode trunk
  switchport trunk encapsulation dot1q
  switchport trunk allowed vlan 10,40,50
  switchport trunk native vlan 10
  no shutdown

! Access-порты для серверного сегмента (порты Gi0/10-Gi0/16)
interface range GigabitEthernet0/10-16
  description SERVERS-VLAN50
  switchport mode access
  switchport access vlan 50
  spanning-tree portfast
  no shutdown

! Management VLAN для самого коммутатора
interface vlan 10
  ip address 10.10.10.11 255.255.255.0
  no shutdown

ip default-gateway 10.10.10.1

! Безопасность — port security
interface range GigabitEthernet0/10-16
  switchport port-security
  switchport port-security maximum 2
  switchport port-security violation restrict
  switchport port-security aging time 60

end
write memory

Настройка коммутатора 2 этажа (медоборудование + врачи)

! Cisco Catalyst 2960L — 2 этаж
enable
configure terminal

vlan 10
  name MGMT
vlan 20
  name MEDICAL
vlan 30
  name DOCTORS

! Trunk к коммутатору 1 этажа
interface GigabitEthernet0/1
  description TRUNK-TO-FLOOR1
  switchport mode trunk
  switchport trunk encapsulation dot1q
  switchport trunk allowed vlan 10,20,30
  switchport trunk native vlan 10
  no shutdown

! Рентгенологическое отделение — VLAN 20 (MEDICAL)
! Порты Gi0/5-8: рентген-аппарат, PACS, рабочие станции рентгенологов
interface range GigabitEthernet0/5-8
  description MEDICAL-EQUIPMENT
  switchport mode access
  switchport access vlan 20
  spanning-tree portfast
  ! Жёсткий port-security — только зарегистрированное оборудование
  switchport port-security
  switchport port-security maximum 1
  switchport port-security violation shutdown
  switchport port-security mac-address sticky
  no shutdown

! Кабинеты врачей — VLAN 30 (DOCTORS)
interface range GigabitEthernet0/10-24
  description DOCTORS-WORKSTATIONS
  switchport mode access
  switchport access vlan 30
  spanning-tree portfast
  no shutdown

! Management
interface vlan 10
  ip address 10.10.10.12 255.255.255.0
  no shutdown

ip default-gateway 10.10.10.1

end
write memory

Обратите внимание на port-security violation shutdown для медоборудования. Логика простая: если кто-то воткнёт в порт рентген-аппарата постороннее устройство — порт немедленно заблокируется. Это не перестраховка, это прямое требование ФСТЭК для сегментов с медицинскими данными.

MikroTik: inter-VLAN routing, DHCP и firewall

MikroTik hEX S здесь выполняет сразу три роли: маршрутизирует трафик между VLAN по схеме router-on-a-stick, раздаёт DHCP отдельно для каждого VLAN и работает межсетевым экраном.

Создание VLAN-интерфейсов и DHCP

# MikroTik RouterOS — подключаемся через WinBox или SSH

# Создаём VLAN-интерфейсы на порту ether1 (trunk к коммутатору 1 этажа)
/interface vlan
add name=vlan10-mgmt interface=ether1 vlan-id=10
add name=vlan20-medical interface=ether1 vlan-id=20
add name=vlan30-doctors interface=ether1 vlan-id=30
add name=vlan40-accounting interface=ether1 vlan-id=40
add name=vlan50-servers interface=ether1 vlan-id=50
add name=vlan100-guest interface=ether1 vlan-id=100

# Назначаем IP-адреса (gateway для каждого VLAN)
/ip address
add address=10.10.10.1/24 interface=vlan10-mgmt
add address=10.10.20.1/24 interface=vlan20-medical
add address=10.10.30.1/24 interface=vlan30-doctors
add address=10.10.40.1/24 interface=vlan40-accounting
add address=10.10.50.1/24 interface=vlan50-servers
add address=10.10.100.1/24 interface=vlan100-guest

# DHCP-сервер для каждого VLAN
# VLAN 20 — Medical (статический пул для оборудования)
/ip pool
add name=pool-medical ranges=10.10.20.50-10.10.20.100
/ip dhcp-server
add address-pool=pool-medical interface=vlan20-medical name=dhcp-medical lease-time=12h
/ip dhcp-server network
add address=10.10.20.0/24 gateway=10.10.20.1 dns-server=10.10.50.10

# Статические резервации для медоборудования
/ip dhcp-server lease
add address=10.10.20.10 mac-address=00:1A:2B:3C:4D:01 comment="Carestream DRX-Evolution"
add address=10.10.20.11 mac-address=00:1A:2B:3C:4D:02 comment="PACS Server"
add address=10.10.20.12 mac-address=00:1A:2B:3C:4D:03 comment="Radiologist WS-1"
add address=10.10.20.13 mac-address=00:1A:2B:3C:4D:04 comment="Radiologist WS-2"

# VLAN 30 — Doctors
/ip pool
add name=pool-doctors ranges=10.10.30.50-10.10.30.200
/ip dhcp-server
add address-pool=pool-doctors interface=vlan30-doctors name=dhcp-doctors lease-time=8h
/ip dhcp-server network
add address=10.10.30.0/24 gateway=10.10.30.1 dns-server=10.10.50.10

# VLAN 40 — Accounting
/ip pool
add name=pool-accounting ranges=10.10.40.50-10.10.40.100
/ip dhcp-server
add address-pool=pool-accounting interface=vlan40-accounting name=dhcp-accounting lease-time=8h
/ip dhcp-server network
add address=10.10.40.0/24 gateway=10.10.40.1 dns-server=10.10.50.10

# VLAN 100 — Guest (изолированный, свой DNS)
/ip pool
add name=pool-guest ranges=10.10.100.50-10.10.100.250
/ip dhcp-server
add address-pool=pool-guest interface=vlan100-guest name=dhcp-guest lease-time=2h
/ip dhcp-server network
add address=10.10.100.0/24 gateway=10.10.100.1 dns-server=8.8.8.8,8.8.4.4

Firewall: правила между VLAN

Самая важная часть конфига — межсетевой экран, который контролирует трафик между VLAN. Принцип один: запрещено всё, что не разрешено явно. Никаких «разрешим пока всё, потом закроем».

# Политика межсетевого экрана между VLAN
/ip firewall filter

# --- Общие правила ---
# Разрешаем established/related
add chain=forward action=accept connection-state=established,related comment="Allow established"

# Дропаем invalid
add chain=forward action=drop connection-state=invalid comment="Drop invalid"

# --- MEDICAL (VLAN 20) ---
# Медоборудование → PACS-сервер (DICOM порт 104, 11112)
add chain=forward action=accept src-address=10.10.20.0/24 dst-address=10.10.20.11 \
  protocol=tcp dst-port=104,11112 comment="MEDICAL: DICOM to PACS"

# Медоборудование → Сервер (для хранения результатов)
add chain=forward action=accept src-address=10.10.20.0/24 dst-address=10.10.50.10 \
  protocol=tcp dst-port=445 comment="MEDICAL: SMB to fileserver"

# Медоборудование НЕ имеет доступа в интернет
add chain=forward action=drop src-address=10.10.20.0/24 out-interface=ether2 \
  comment="MEDICAL: block internet"

# --- DOCTORS (VLAN 30) ---
# Врачи → PACS (просмотр снимков через DICOM viewer)
add chain=forward action=accept src-address=10.10.30.0/24 dst-address=10.10.20.11 \
  protocol=tcp dst-port=104,11112,8080 comment="DOCTORS: DICOM/Web to PACS"

# Врачи → Серверы (1С, файлы)
add chain=forward action=accept src-address=10.10.30.0/24 dst-address=10.10.50.0/24 \
  protocol=tcp dst-port=445,1540,1541,1560-1591 comment="DOCTORS: to servers (1C, SMB)"

# Врачи → Интернет
add chain=forward action=accept src-address=10.10.30.0/24 out-interface=ether2 \
  comment="DOCTORS: internet access"

# --- ACCOUNTING (VLAN 40) ---
# Бухгалтерия → Серверы (1С, файлы, ЭДО)
add chain=forward action=accept src-address=10.10.40.0/24 dst-address=10.10.50.0/24 \
  protocol=tcp dst-port=445,1540,1541,1560-1591,443,80 comment="ACCOUNTING: to servers"

# Бухгалтерия → Интернет (ограниченный — банк-клиенты, ЭДО, налоговая)
add chain=forward action=accept src-address=10.10.40.0/24 out-interface=ether2 \
  protocol=tcp dst-port=80,443 comment="ACCOUNTING: internet HTTP/HTTPS only"

# Бухгалтерия НЕ имеет доступа к медоборудованию
add chain=forward action=drop src-address=10.10.40.0/24 dst-address=10.10.20.0/24 \
  comment="ACCOUNTING: block medical"

# --- GUEST (VLAN 100) ---
# Гости → только интернет, ничего внутреннего
add chain=forward action=accept src-address=10.10.100.0/24 out-interface=ether2 \
  protocol=tcp dst-port=80,443 comment="GUEST: internet HTTP/HTTPS"
add chain=forward action=accept src-address=10.10.100.0/24 out-interface=ether2 \
  protocol=udp dst-port=53 comment="GUEST: DNS"

# Гости не видят внутреннюю сеть
add chain=forward action=drop src-address=10.10.100.0/24 dst-address=10.10.0.0/16 \
  comment="GUEST: block all internal"

# --- Default drop ---
add chain=forward action=drop comment="Default: drop all other forward"

Wi-Fi с разделением на VLAN

В клинике Wi-Fi нужен в двух совершенно разных сценариях: врачи ходят с планшетами по палатам, пациенты сидят в очереди и листают соцсети. Эти два потока должны быть в разных VLAN — смешивать их нельзя ни при каких обстоятельствах.

Настройка MikroTik cAP ac для Multi-SSID VLAN

На каждом этаже мы поставили по точке доступа MikroTik cAP ac. Все три управляются централизованно через CAPsMAN — это контроллер Wi-Fi, встроенный прямо в MikroTik:

# Настройка CAPsMAN на MikroTik hEX S (центральный маршрутизатор)

# Создаём каналы
/caps-man channel
add name=channel-2g frequency=2412,2437,2462 band=2ghz-g/n
add name=channel-5g frequency=5180,5220,5260 band=5ghz-n/ac

# Security profiles
/caps-man security
add name=sec-doctors authentication-types=wpa2-psk encryption=aes-ccm \
  passphrase="D0ct0rs!W1F1@2026"
add name=sec-guest authentication-types=wpa2-psk encryption=aes-ccm \
  passphrase="MedLine-Guest"

# Конфигурации SSID
/caps-man configuration
add name=cfg-doctors-5g ssid="MedLine-Staff" channel=channel-5g \
  security=sec-doctors datapath.vlan-id=30 datapath.vlan-mode=use-tag \
  datapath.bridge=bridge-local
add name=cfg-guest-2g ssid="MedLine-Guest" channel=channel-2g \
  security=sec-guest datapath.vlan-id=100 datapath.vlan-mode=use-tag \
  datapath.bridge=bridge-local datapath.client-to-client-forwarding=no

# Provisioning — автоматическая настройка новых AP
/caps-man provisioning
add action=create-dynamic-enabled master-configuration=cfg-doctors-5g \
  slave-configurations=cfg-guest-2g name-format=identity

# Включаем CAPsMAN manager
/caps-man manager
set enabled=yes

# На каждой точке доступа cAP ac:
/interface wireless cap
set enabled=yes interfaces=wlan1,wlan2 discovery-interfaces=ether1 \
  caps-man-addresses=10.10.10.1 bridge=bridge-local

Теперь всё работает предсказуемо: подключился к MedLine-Staff — попал в VLAN 30 (Doctors), подключился к MedLine-Guest — оказался в VLAN 100 (Guest) с полной изоляцией от всего остального.

Ограничение скорости для гостевого Wi-Fi

# Ограничиваем гостевой Wi-Fi до 10 Мбит/с на клиента
/queue simple
add name=guest-limit target=10.10.100.0/24 max-limit=10M/10M \
  burst-limit=15M/15M burst-threshold=8M/8M burst-time=10s/10s \
  comment="Guest WiFi bandwidth limit"

# Ограничение количества одновременных гостевых устройств
/ip firewall filter
add chain=forward action=drop src-address=10.10.100.0/24 out-interface=ether2 \
  connection-limit=3,32 comment="GUEST: max 3 connections per device"

Мониторинг и документация сети

Настроить VLAN — это полдела. После сегментации нужно видеть, что происходит в сети, иначе любая аномалия обнаружится только когда что-то уже сломается.

SNMP мониторинг коммутаторов

! На каждом коммутаторе Cisco включаем SNMP v3
enable
configure terminal

snmp-server group MONITOR v3 priv read ALLVIEW
snmp-server user monitor_user MONITOR v3 auth sha MonitorAuth2026! priv aes 128 MonitorPriv2026!
snmp-server view ALLVIEW iso included
snmp-server location "MedLine Clinic, Yekaterinburg, Floor 1"
snmp-server contact "it@medline-ekt.ru"

! Trap для мониторинга
snmp-server host 10.10.10.50 version 3 priv monitor_user
snmp-server enable traps port-security
snmp-server enable traps snmp linkdown linkup

end
write memory

На MikroTik настраиваем мониторинг так:

/snmp
set enabled=yes contact="it@medline-ekt.ru" location="MedLine, Floor 1, Server Room"
/snmp community
set [ find default=yes ] disabled=yes
add name=medline_monitor addresses=10.10.10.50/32 security=private \
  authentication-protocol=SHA1 authentication-password="MonitorAuth2026!" \
  encryption-protocol=AES encryption-password="MonitorPriv2026!"

Проверка изоляции VLAN

Прежде чем сдать работу клиенту, мы прогнали полное тестирование изоляции — проверили каждый VLAN на проникновение с соседних сегментов:

# С рабочей станции бухгалтерии (VLAN 40, 10.10.40.51)
# Пытаемся достучаться до медоборудования
ping 10.10.20.10
# Request timed out. ✓ (заблокировано firewall)

# С гостевого устройства (VLAN 100, 10.10.100.87)
# Пытаемся достучаться до серверов
ping 10.10.50.10
# Request timed out. ✓ (заблокировано firewall)

# С гостевого устройства — интернет
ping 8.8.8.8
# Reply from 8.8.8.8: time=5ms ✓ (разрешено)

# С рабочей станции врача (VLAN 30, 10.10.30.55)
# Доступ к PACS-серверу
curl http://10.10.20.11:8080/wado
# HTTP 200 OK ✓ (разрешено правилом)

# С рабочей станции врача — сервер 1С
telnet 10.10.50.10 1541
# Connected ✓ (разрешено правилом)

# Nmap-скан из VLAN 100 (гостевой)
nmap -sS 10.10.0.0/16
# All 65535 ports filtered ✓ (полная изоляция)

Документирование и схема сети

Под конец проекта мы собрали для «МедЛайн» полный пакет документации:

  • Физическая схема сети — расположение коммутаторов, точек доступа и кабельных трасс на поэтажных планах здания
  • Логическая схема VLAN — таблица со всеми VLAN, подсетями, gateway, DHCP-пулами и правилами firewall. Одного взгляда достаточно, чтобы понять, как устроена сеть
  • Матрица доступа — кто куда ходит. Какой VLAN к какому ресурсу имеет доступ, с конкретными портами и протоколами
  • Паспорта оборудования — модель, серийник, IP-адрес, логин/пароль для каждого коммутатора и маршрутизатора. Без этого любая ночная авария превращается в квест
  • Инструкция для IT-специалиста — как подключить новое устройство в нужный VLAN, как разблокировать порт после срабатывания port-security. Пошагово, без двусмысленностей

Отдельно мы сделали аварийную карточку — ламинированный лист A4, висит в серверной. Контакты инженеров АйТи Фреш, последовательность действий при потере связи между этажами и инструкция по откату коммутатора к заводским настройкам. Звучит просто, но именно такая карточка спасала нервы в 2 часа ночи не один раз.

# Шпаргалка для IT-специалиста клиники

# Посмотреть, в каком VLAN порт на Cisco:
show interfaces GigabitEthernet0/15 switchport

# Разблокировать порт после port-security violation:
interface GigabitEthernet0/7
  shutdown
  no shutdown

# Посмотреть MAC-адреса в VLAN:
show mac address-table vlan 20

# Посмотреть DHCP-leases на MikroTik:
/ip dhcp-server lease print where server=dhcp-medical

# Перезагрузить коммутатор удалённо (если завис):
# Подключиться через Telnet/SSH на management IP
reload

# Сбросить конфигурацию MikroTik в аварийном случае:
/system reset-configuration no-defaults=yes skip-backup=yes

Результаты внедрения: безопасность и лицензия

Весь проект уложился в 8 рабочих дней — закупка оборудования, монтаж, настройка. Клиника не работала всего 4 часа, и то в субботу ночью. Для медучреждения это принципиально: простой в рабочее время был бы неприемлем.

Ключевые результаты

МетрикаДоПосле
Количество VLAN1 (плоская сеть)6
Изоляция медоборудованияНетПолная (VLAN 20 + firewall)
Broadcast-домен127 устройствМакс. 25 устройств в VLAN
Соответствие ФСТЭКНе соответствуетПолное соответствие
Скорость 1С (бухгалтерия)Просадки при загрузке DICOMСтабильная (изолированный трафик)
Гостевой Wi-FiВидит всю сетьТолько интернет, 10 Мбит/с

«МедЛайн» прошла проверку ФСТЭК и получила лицензию на рентгенологическое отделение точно в срок. Инженеры АйТи Фреш передали клинике полный пакет документации по сети — и сейчас обеспечивают техподдержку на ежемесячной основе.

Рекомендации по обслуживанию сети

После внедрения VLAN-сегментации мы составили для IT-специалиста клиники регламент обслуживания сети. Без него хорошо настроенная инфраструктура за полгода превращается в «а кто это трогал»:

  • Еженедельно: смотрим логи port-security — не было ли срабатываний на медицинских портах, проверяем загрузку uplink-каналов между этажами
  • Ежемесячно: бэкап конфигураций всех коммутаторов и MikroTik, мониторинг обновлений прошивок на предмет свежих CVE
  • Ежеквартально: аудит firewall-правил — не накопились ли лишние разрешения, ревизия подключённых устройств по MAC-адресам. Сеть имеет свойство «расти» без ведома администратора
  • При изменениях: любое новое оборудование — только в соответствующий VLAN, никаких «временно воткну сюда». Новые firewall-правила — через change management с обязательным документированием

На перспективу мы рекомендовали клинике внедрить IEEE 802.1X — аутентификацию устройств по сертификатам через RADIUS. Это следующий уровень: устройство не просто подключается в «правильный» порт, оно само должно доказать сети, что имеет право там находиться. Сейчас это звучит как усложнение, но после первого инцидента с чужим ноутбуком в сети мнение меняется быстро. Инженеры АйТи Фреш готовы реализовать 802.1X вторым этапом.

Полная стоимость проекта для «МедЛайн» — оборудование Cisco и MikroTik, точки доступа, работа инженеров и документация — составила 420 000 руб. Много? Потеря лицензии на рентген — это 2–3 млн руб упущенной выручки каждый месяц. Считайте сами.

Часто задаваемые вопросы

Да, VLAN требует управляемых (managed) коммутаторов с поддержкой IEEE 802.1Q — неуправляемые с тегами VLAN просто не работают. Но покупать Cisco необязательно. Для небольших офисов отлично подходят MikroTik CRS326, TP-Link TL-SG2xxx или D-Link DGS-1210 — они в 3–5 раз дешевле Cisco и VLAN поддерживают полностью. Мы сами активно используем их в проектах.

Да, MikroTik с CRS-серией — например, CRS326-24G-2S+ — совмещает L2-коммутатор с поддержкой VLAN и L3-маршрутизатор в одном устройстве. Для офиса до 50–70 устройств одного такого девайса хватит за глаза. В проекте «МедЛайн» мы поставили отдельные коммутаторы на каждый этаж — там диктовало количество портов и физическое расстояние между этажами, а не какие-то маркетинговые соображения.

ФСТЭК (приказы №17, №21) прямо требует сегментации информационных систем с персональными данными. VLAN даёт логическое разделение сегментов, firewall между VLAN — контроль доступа. Для медицины это не опция, а обязательное условие: данные пациентов, DICOM-снимки, результаты анализов должны быть изолированы от административной сети и тем более от гостевого Wi-Fi. Без VLAN-сегментации аттестацию ФСТЭК не пройти — мы через это прошли с несколькими клиниками.

VLAN работает на уровне L2 и на скорость внутри одного сегмента не влияет вообще — трафик коммутируется аппаратно на скорости порта. Между VLAN трафик идёт через маршрутизатор (inter-VLAN routing), задержка добавляется менее 1 мс на современном железе. На практике пользователи разницы не чувствуют. Зато broadcast-шторм в одном VLAN больше не кладёт всю сеть, и «шумные соседи» с потоковым видео не мешают IP-телефонии.

Нужна помощь с настройкой?

Специалисты АйТи Фреш помогут внедрить и настроить VLAN-сегментацию — 15+ лет в IT-аутсорсинге, обслуживание от 15 000 ₽/мес

📞 Связаться с нами
#VLAN настройка офис#сегментация сети VLAN#802.1Q trunk access#inter-VLAN routing#VLAN Cisco MikroTik#DHCP сервер VLAN#сетевая безопасность ФСТЭК#VLAN медицинское оборудование