Рентген и бухгалтерия в одной сети: сегментация VLAN для медицинского центра

Наши инженеры провели физический аудит всех трёх этажей:

• 1 этаж: рецепция, зона ожидания (гостевой Wi-Fi), серверная комната, кабинет IT
• 2 этаж: кабинеты врачей (15 ПК), процедурные, рентгенологическое отделение (рентген-аппарат, 2 рабочих станции, PACS-сервер)
• 3 этаж: бухгалтерия (8 ПК с 1С), администрация (5 ПК), HR (2 ПК)

Текущее оборудование:

• Коммутаторы: 3× неуправляемых TP-Link TL-SG1024 (по одному на этаж)
• Маршрутизатор: MikroTik hAP ac2 (используется как роутер + Wi-Fi)
• Провайдер: 100 Мбит/с, статический IP
• Серверная: 1 сервер (1С, файловое хранилище, AD на Samba)

Проблемы, которые мы зафиксировали:

1. Нулевая изоляция — пациент с телефоном в зоне ожидания видел рентген-аппарат через Bonjour/mDNS
2. Broadcast storms — 127 устройств в одном L2-домене, ARP-таблицы переполнялись
3. Несоответствие ФСТЭК — приказ №17 требует сегментации персональных данных
4. Нет QoS — загрузка DICOM-снимков (30–50 МБ) убивала скорость 1С для бухгалтерии

# Схема VLAN для «МедЛайн»

VLAN ID  | Название       | Подсеть          | Назначение
---------|----------------|------------------|---------------------------------
10       | MGMT           | 10.10.10.0/24    | Управление сетевым оборудованием
20       | MEDICAL        | 10.10.20.0/24    | Медоборудование (рентген, PACS, DICOM)
30       | DOCTORS        | 10.10.30.0/24    | Рабочие станции врачей
40       | ACCOUNTING     | 10.10.40.0/24    | Бухгалтерия, администрация (1С, ЭДО)
50       | SERVERS        | 10.10.50.0/24    | Серверный сегмент (1С, файлы, AD)
100      | GUEST          | 10.10.100.0/24   | Гостевой Wi-Fi для пациентов

# Gateway для каждого VLAN — MikroTik (inter-VLAN routing)
# VLAN 10: 10.10.10.1
# VLAN 20: 10.10.20.1
# VLAN 30: 10.10.30.1
# VLAN 40: 10.10.40.1
# VLAN 50: 10.10.50.1
# VLAN 100: 10.10.100.1

Принцип минимальных привилегий: каждый VLAN имеет доступ только к тем ресурсам, которые необходимы для работы.

Неуправляемые TP-Link не поддерживают VLAN. Мы заменили их на управляемые Cisco:

• Серверная (1 этаж): Cisco Catalyst 2960L-24TS — 24 порта, L2+ managed
• 2 этаж: Cisco Catalyst 2960L-24TS — медоборудование + врачи
• 3 этаж: Cisco Catalyst 2960L-16TS — бухгалтерия + администрация

Маршрутизатор MikroTik hAP ac2 заменили на MikroTik hEX S (RB760iGS) — с достаточной производительностью для inter-VLAN routing и hardware offloading.

Настройка коммутатора 1 этажа (серверная) — он является центральным:

! Cisco Catalyst 2960L — 1 этаж (серверная)
! Подключаемся через console cable

enable
configure terminal

! Создаём VLAN
vlan 10
  name MGMT
vlan 20
  name MEDICAL
vlan 30
  name DOCTORS
vlan 40
  name ACCOUNTING
vlan 50
  name SERVERS
vlan 100
  name GUEST
exit

! Trunk к MikroTik (порт Gi0/1) — все VLAN
interface GigabitEthernet0/1
  description TRUNK-TO-MIKROTIK
  switchport mode trunk
  switchport trunk encapsulation dot1q
  switchport trunk allowed vlan 10,20,30,40,50,100
  switchport trunk native vlan 10
  spanning-tree portfast trunk
  no shutdown

! Trunk к коммутатору 2 этажа (порт Gi0/2)
interface GigabitEthernet0/2
  description TRUNK-TO-FLOOR2
  switchport mode trunk
  switchport trunk encapsulation dot1q
  switchport trunk allowed vlan 10,20,30
  switchport trunk native vlan 10
  no shutdown

! Trunk к коммутатору 3 этажа (порт Gi0/3)
interface GigabitEthernet0/3
  description TRUNK-TO-FLOOR3
  switchport mode trunk
  switchport trunk encapsulation dot1q
  switchport trunk allowed vlan 10,40,50
  switchport trunk native vlan 10
  no shutdown

! Access-порты для серверного сегмента (порты Gi0/10-Gi0/16)
interface range GigabitEthernet0/10-16
  description SERVERS-VLAN50
  switchport mode access
  switchport access vlan 50
  spanning-tree portfast
  no shutdown

! Management VLAN для самого коммутатора
interface vlan 10
  ip address 10.10.10.11 255.255.255.0
  no shutdown

ip default-gateway 10.10.10.1

! Безопасность — port security
interface range GigabitEthernet0/10-16
  switchport port-security
  switchport port-security maximum 2
  switchport port-security violation restrict
  switchport port-security aging time 60

end
write memory

! Cisco Catalyst 2960L — 2 этаж
enable
configure terminal

vlan 10
  name MGMT
vlan 20
  name MEDICAL
vlan 30
  name DOCTORS

! Trunk к коммутатору 1 этажа
interface GigabitEthernet0/1
  description TRUNK-TO-FLOOR1
  switchport mode trunk
  switchport trunk encapsulation dot1q
  switchport trunk allowed vlan 10,20,30
  switchport trunk native vlan 10
  no shutdown

! Рентгенологическое отделение — VLAN 20 (MEDICAL)
! Порты Gi0/5-8: рентген-аппарат, PACS, рабочие станции рентгенологов
interface range GigabitEthernet0/5-8
  description MEDICAL-EQUIPMENT
  switchport mode access
  switchport access vlan 20
  spanning-tree portfast
  ! Жёсткий port-security — только зарегистрированное оборудование
  switchport port-security
  switchport port-security maximum 1
  switchport port-security violation shutdown
  switchport port-security mac-address sticky
  no shutdown

! Кабинеты врачей — VLAN 30 (DOCTORS)
interface range GigabitEthernet0/10-24
  description DOCTORS-WORKSTATIONS
  switchport mode access
  switchport access vlan 30
  spanning-tree portfast
  no shutdown

! Management
interface vlan 10
  ip address 10.10.10.12 255.255.255.0
  no shutdown

ip default-gateway 10.10.10.1

end
write memory

Обратите внимание на port-security violation shutdown для медоборудования: если кто-то подключит неизвестное устройство в порт рентген-аппарата — порт заблокируется. Это требование ФСТЭК для сегмента с медицинскими данными.

# MikroTik RouterOS — подключаемся через WinBox или SSH

# Создаём VLAN-интерфейсы на порту ether1 (trunk к коммутатору 1 этажа)
/interface vlan
add name=vlan10-mgmt interface=ether1 vlan-id=10
add name=vlan20-medical interface=ether1 vlan-id=20
add name=vlan30-doctors interface=ether1 vlan-id=30
add name=vlan40-accounting interface=ether1 vlan-id=40
add name=vlan50-servers interface=ether1 vlan-id=50
add name=vlan100-guest interface=ether1 vlan-id=100

# Назначаем IP-адреса (gateway для каждого VLAN)
/ip address
add address=10.10.10.1/24 interface=vlan10-mgmt
add address=10.10.20.1/24 interface=vlan20-medical
add address=10.10.30.1/24 interface=vlan30-doctors
add address=10.10.40.1/24 interface=vlan40-accounting
add address=10.10.50.1/24 interface=vlan50-servers
add address=10.10.100.1/24 interface=vlan100-guest

# DHCP-сервер для каждого VLAN
# VLAN 20 — Medical (статический пул для оборудования)
/ip pool
add name=pool-medical ranges=10.10.20.50-10.10.20.100
/ip dhcp-server
add address-pool=pool-medical interface=vlan20-medical name=dhcp-medical lease-time=12h
/ip dhcp-server network
add address=10.10.20.0/24 gateway=10.10.20.1 dns-server=10.10.50.10

# Статические резервации для медоборудования
/ip dhcp-server lease
add address=10.10.20.10 mac-address=00:1A:2B:3C:4D:01 comment="Carestream DRX-Evolution"
add address=10.10.20.11 mac-address=00:1A:2B:3C:4D:02 comment="PACS Server"
add address=10.10.20.12 mac-address=00:1A:2B:3C:4D:03 comment="Radiologist WS-1"
add address=10.10.20.13 mac-address=00:1A:2B:3C:4D:04 comment="Radiologist WS-2"

# VLAN 30 — Doctors
/ip pool
add name=pool-doctors ranges=10.10.30.50-10.10.30.200
/ip dhcp-server
add address-pool=pool-doctors interface=vlan30-doctors name=dhcp-doctors lease-time=8h
/ip dhcp-server network
add address=10.10.30.0/24 gateway=10.10.30.1 dns-server=10.10.50.10

# VLAN 40 — Accounting
/ip pool
add name=pool-accounting ranges=10.10.40.50-10.10.40.100
/ip dhcp-server
add address-pool=pool-accounting interface=vlan40-accounting name=dhcp-accounting lease-time=8h
/ip dhcp-server network
add address=10.10.40.0/24 gateway=10.10.40.1 dns-server=10.10.50.10

# VLAN 100 — Guest (изолированный, свой DNS)
/ip pool
add name=pool-guest ranges=10.10.100.50-10.10.100.250
/ip dhcp-server
add address-pool=pool-guest interface=vlan100-guest name=dhcp-guest lease-time=2h
/ip dhcp-server network
add address=10.10.100.0/24 gateway=10.10.100.1 dns-server=8.8.8.8,8.8.4.4

Ключевая часть — межсетевой экран, контролирующий трафик между VLAN. Принцип: запрещено всё, что не разрешено явно.

# Политика межсетевого экрана между VLAN
/ip firewall filter

# --- Общие правила ---
# Разрешаем established/related
add chain=forward action=accept connection-state=established,related comment="Allow established"

# Дропаем invalid
add chain=forward action=drop connection-state=invalid comment="Drop invalid"

# --- MEDICAL (VLAN 20) ---
# Медоборудование → PACS-сервер (DICOM порт 104, 11112)
add chain=forward action=accept src-address=10.10.20.0/24 dst-address=10.10.20.11 \
  protocol=tcp dst-port=104,11112 comment="MEDICAL: DICOM to PACS"

# Медоборудование → Сервер (для хранения результатов)
add chain=forward action=accept src-address=10.10.20.0/24 dst-address=10.10.50.10 \
  protocol=tcp dst-port=445 comment="MEDICAL: SMB to fileserver"

# Медоборудование НЕ имеет доступа в интернет
add chain=forward action=drop src-address=10.10.20.0/24 out-interface=ether2 \
  comment="MEDICAL: block internet"

# --- DOCTORS (VLAN 30) ---
# Врачи → PACS (просмотр снимков через DICOM viewer)
add chain=forward action=accept src-address=10.10.30.0/24 dst-address=10.10.20.11 \
  protocol=tcp dst-port=104,11112,8080 comment="DOCTORS: DICOM/Web to PACS"

# Врачи → Серверы (1С, файлы)
add chain=forward action=accept src-address=10.10.30.0/24 dst-address=10.10.50.0/24 \
  protocol=tcp dst-port=445,1540,1541,1560-1591 comment="DOCTORS: to servers (1C, SMB)"

# Врачи → Интернет
add chain=forward action=accept src-address=10.10.30.0/24 out-interface=ether2 \
  comment="DOCTORS: internet access"

# --- ACCOUNTING (VLAN 40) ---
# Бухгалтерия → Серверы (1С, файлы, ЭДО)
add chain=forward action=accept src-address=10.10.40.0/24 dst-address=10.10.50.0/24 \
  protocol=tcp dst-port=445,1540,1541,1560-1591,443,80 comment="ACCOUNTING: to servers"

# Бухгалтерия → Интернет (ограниченный — банк-клиенты, ЭДО, налоговая)
add chain=forward action=accept src-address=10.10.40.0/24 out-interface=ether2 \
  protocol=tcp dst-port=80,443 comment="ACCOUNTING: internet HTTP/HTTPS only"

# Бухгалтерия НЕ имеет доступа к медоборудованию
add chain=forward action=drop src-address=10.10.40.0/24 dst-address=10.10.20.0/24 \
  comment="ACCOUNTING: block medical"

# --- GUEST (VLAN 100) ---
# Гости → только интернет, ничего внутреннего
add chain=forward action=accept src-address=10.10.100.0/24 out-interface=ether2 \
  protocol=tcp dst-port=80,443 comment="GUEST: internet HTTP/HTTPS"
add chain=forward action=accept src-address=10.10.100.0/24 out-interface=ether2 \
  protocol=udp dst-port=53 comment="GUEST: DNS"

# Гости не видят внутреннюю сеть
add chain=forward action=drop src-address=10.10.100.0/24 dst-address=10.10.0.0/16 \
  comment="GUEST: block all internal"

# --- Default drop ---
add chain=forward action=drop comment="Default: drop all other forward"

Мы установили по одной точке доступа MikroTik cAP ac на каждом этаже, управляемых через CAPsMAN (централизованное управление Wi-Fi на MikroTik):

# Настройка CAPsMAN на MikroTik hEX S (центральный маршрутизатор)

# Создаём каналы
/caps-man channel
add name=channel-2g frequency=2412,2437,2462 band=2ghz-g/n
add name=channel-5g frequency=5180,5220,5260 band=5ghz-n/ac

# Security profiles
/caps-man security
add name=sec-doctors authentication-types=wpa2-psk encryption=aes-ccm \
  passphrase="D0ct0rs!W1F1@2026"
add name=sec-guest authentication-types=wpa2-psk encryption=aes-ccm \
  passphrase="MedLine-Guest"

# Конфигурации SSID
/caps-man configuration
add name=cfg-doctors-5g ssid="MedLine-Staff" channel=channel-5g \
  security=sec-doctors datapath.vlan-id=30 datapath.vlan-mode=use-tag \
  datapath.bridge=bridge-local
add name=cfg-guest-2g ssid="MedLine-Guest" channel=channel-2g \
  security=sec-guest datapath.vlan-id=100 datapath.vlan-mode=use-tag \
  datapath.bridge=bridge-local datapath.client-to-client-forwarding=no

# Provisioning — автоматическая настройка новых AP
/caps-man provisioning
add action=create-dynamic-enabled master-configuration=cfg-doctors-5g \
  slave-configurations=cfg-guest-2g name-format=identity

# Включаем CAPsMAN manager
/caps-man manager
set enabled=yes

# На каждой точке доступа cAP ac:
/interface wireless cap
set enabled=yes interfaces=wlan1,wlan2 discovery-interfaces=ether1 \
  caps-man-addresses=10.10.10.1 bridge=bridge-local

Теперь при подключении к Wi-Fi MedLine-Staff устройство попадает в VLAN 30 (Doctors), а при подключении к MedLine-Guest — в VLAN 100 (Guest) с полной изоляцией.

# Ограничиваем гостевой Wi-Fi до 10 Мбит/с на клиента
/queue simple
add name=guest-limit target=10.10.100.0/24 max-limit=10M/10M \
  burst-limit=15M/15M burst-threshold=8M/8M burst-time=10s/10s \
  comment="Guest WiFi bandwidth limit"

# Ограничение количества одновременных гостевых устройств
/ip firewall filter
add chain=forward action=drop src-address=10.10.100.0/24 out-interface=ether2 \
  connection-limit=3,32 comment="GUEST: max 3 connections per device"

! На каждом коммутаторе Cisco включаем SNMP v3
enable
configure terminal

snmp-server group MONITOR v3 priv read ALLVIEW
snmp-server user monitor_user MONITOR v3 auth sha MonitorAuth2026! priv aes 128 MonitorPriv2026!
snmp-server view ALLVIEW iso included
snmp-server location "MedLine Clinic, Yekaterinburg, Floor 1"
snmp-server contact "it@medline-ekt.ru"

! Trap для мониторинга
snmp-server host 10.10.10.50 version 3 priv monitor_user
snmp-server enable traps port-security
snmp-server enable traps snmp linkdown linkup

end
write memory

На MikroTik:

/snmp
set enabled=yes contact="it@medline-ekt.ru" location="MedLine, Floor 1, Server Room"
/snmp community
set [ find default=yes ] disabled=yes
add name=medline_monitor addresses=10.10.10.50/32 security=private \
  authentication-protocol=SHA1 authentication-password="MonitorAuth2026!" \
  encryption-protocol=AES encryption-password="MonitorPriv2026!"

После настройки мы провели полное тестирование изоляции:

# С рабочей станции бухгалтерии (VLAN 40, 10.10.40.51)
# Пытаемся достучаться до медоборудования
ping 10.10.20.10
# Request timed out. ✓ (заблокировано firewall)

# С гостевого устройства (VLAN 100, 10.10.100.87)
# Пытаемся достучаться до серверов
ping 10.10.50.10
# Request timed out. ✓ (заблокировано firewall)

# С гостевого устройства — интернет
ping 8.8.8.8
# Reply from 8.8.8.8: time=5ms ✓ (разрешено)

# С рабочей станции врача (VLAN 30, 10.10.30.55)
# Доступ к PACS-серверу
curl http://10.10.20.11:8080/wado
# HTTP 200 OK ✓ (разрешено правилом)

# С рабочей станции врача — сервер 1С
telnet 10.10.50.10 1541
# Connected ✓ (разрешено правилом)

# Nmap-скан из VLAN 100 (гостевой)
nmap -sS 10.10.0.0/16
# All 65535 ports filtered ✓ (полная изоляция)

Мы подготовили полный комплект документации для «МедЛайн»:

• Физическая схема сети — расположение коммутаторов, точек доступа и кабельных трасс на поэтажных планах здания
• Логическая схема VLAN — все VLAN, подсети, gateway, DHCP-пулы и правила firewall в табличном виде
• Матрица доступа — какой VLAN имеет доступ к какому ресурсу, с указанием портов и протоколов
• Паспорта оборудования — модель, серийный номер, IP-адрес, логин/пароль для каждого коммутатора и маршрутизатора
• Инструкция для IT-специалиста — как подключить новое устройство в нужный VLAN, как разблокировать порт после срабатывания port-security

Отдельно мы создали аварийную карточку — ламинированный лист A4 в серверной с контактами инженеров АйТи Фреш, последовательностью действий при потере связи между этажами и инструкцией по откату конфигурации коммутатора к заводским настройкам.

# Шпаргалка для IT-специалиста клиники

# Посмотреть, в каком VLAN порт на Cisco:
show interfaces GigabitEthernet0/15 switchport

# Разблокировать порт после port-security violation:
interface GigabitEthernet0/7
  shutdown
  no shutdown

# Посмотреть MAC-адреса в VLAN:
show mac address-table vlan 20

# Посмотреть DHCP-leases на MikroTik:
/ip dhcp-server lease print where server=dhcp-medical

# Перезагрузить коммутатор удалённо (если завис):
# Подключиться через Telnet/SSH на management IP
reload

# Сбросить конфигурацию MikroTik в аварийном случае:
/system reset-configuration no-defaults=yes skip-backup=yes

«МедЛайн» успешно прошла проверку ФСТЭК и получила лицензию на рентгенологическое отделение в установленный срок. Инженеры АйТи Фреш передали клинике полную документацию сети и обеспечивают техподдержку на ежемесячной основе.

После внедрения VLAN-сегментации мы составили регламент обслуживания сети для IT-специалиста клиники:

• Еженедельно: проверка логов port-security (не было ли срабатываний на медицинских портах), проверка загрузки uplink-каналов между этажами
• Ежемесячно: бэкап конфигураций всех коммутаторов и MikroTik, проверка обновлений прошивок на предмет CVE
• Ежеквартально: аудит firewall-правил (не появились ли избыточные разрешения), ревизия подключённых устройств по MAC-адресам
• При изменениях: любое новое оборудование подключается только в соответствующий VLAN, новые правила firewall — через change management с документированием

Мы также рекомендовали клинике перейти на IEEE 802.1X (аутентификация устройств по сертификатам через RADIUS) в будущем — это следующий уровень защиты, при котором само устройство должно аутентифицироваться в сети, а не просто быть подключённым в правильный порт. Инженеры АйТи Фреш готовы реализовать 802.1X на втором этапе проекта.

Полная стоимость проекта для «МедЛайн» (оборудование Cisco + MikroTik + точки доступа + работа инженеров + документация) составила 420 000 руб. Для сравнения, потеря лицензии на рентген обошлась бы клинике в 2–3 млн руб упущенной выручки ежемесячно.