Зачем делить офис на VLAN?

Сегментация изолирует трафик: принтеры не видят серверы, гости не видят офисную сеть, IP-камеры не ломают SIP-телефонию. Плюс упрощает применение ACL, QoS и поиск проблем — broadcast-шторм в одном VLAN не валит остальные.

Сколько VLAN нужно для офиса на 50 мест?

Минимальный набор — 5: MGMT (управление коммутаторами), USERS (рабочие места), SERVERS (серверная), VOICE (IP-телефония), GUEST (Wi-Fi для гостей). При наличии камер и IoT — добавляются ещё два.

Какой коммутатор брать — Cisco, Mikrotik или Huawei?

Для офиса 30-100 мест подходят MikroTik CRS/CSS или Huawei S310-S500. В 2026 году после ухода Cisco с РФ-рынка основной поток на Mikrotik и Huawei, для стойки ДЦ — Eltex, Huawei CloudEngine, HP Aruba.

Что такое trunk и access порт?

Access — порт с одним VLAN, куда подключают рабочее место или принтер. Trunk — порт, через который идёт несколько VLAN, обычно между коммутаторами или к виртуальному гипервизору. На trunk требуется 802.1Q-тегирование.

Нужен ли L3-коммутатор или хватит роутера?

Для офиса до 100 мест хватает роутера с поддержкой VLAN — Mikrotik hEX S, hAP ac³, Keenetic. Для 150+ мест уже разумнее L3-коммутатор — inter-VLAN routing на wire-speed без узкого места на роутере.

Сети 14 октября 2025 · 16 мин чтения

VLAN в офисе на 30–200 рабочих мест: проект сегментации под ключ

Меня зовут Семёнов Евгений Сергеевич, директор АйТи Фреш. За 15 лет я спроектировал и внедрил сегментацию для пары сотен офисных сетей — от 15-местных стартапов до 400-местных производств. И на каждом проекте вижу одно и то же: «у нас всё на одном диапазоне 192.168.1.0/24, работает же». Работает — до первого шифровальщика, который пройдётся от ноутбука бухгалтера до сервера 1С за 10 минут. Или до первой видеокамеры, которая забьёт broadcast-шторм и положит всю телефонию. VLAN — это не блажь админа. Это базовая защита, управляемость и читаемая структура сети.

Зачем VLAN в офисе

Я всегда начинаю аудит с того, что смотрю, что в одной сети. И в 70% случаев в одном broadcast-домене — рабочие места, сервера, IP-камеры, телефоны, принтеры, гостевой Wi-Fi, IoT-розетки, «умный» кондиционер. То есть доступ к серверу имеет любое устройство, которое подключилось к Wi-Fi или любой розетке в офисе.

Пять задач, которые решает VLAN:

Безопасность. Шифровальщик на заражённом ноутбуке не добирается до сервера 1С без роутинга между VLAN.
QoS для телефонии. Голосовой VLAN получает приоритет в трафике, даже если сотрудники качают торренты.
Гостевой Wi-Fi. Гости подключаются в отдельный VLAN с доступом только в интернет.
IoT и камеры. Уязвимые устройства не дают хакеру плацдарм в корпоративную сеть.
Управляемость. Коммутаторы управляются из MGMT-VLAN, недоступного пользователям.

Типовая схема VLAN для офиса на 50 мест

Начну с базовой схемы, которую использую на большинстве клиентов. Дальше её можно расширять, но минимум — это 5 VLAN.

VLAN ID	Название	Подсеть	Назначение
1	NATIVE	нет	Не используется, заглушка (default)
10	MGMT	10.10.10.0/24	Управление коммутаторами, Wi-Fi, гипервизором
20	SERVERS	10.10.20.0/24	Физические и виртуальные серверы
30	USERS	10.10.30.0/23	Рабочие места пользователей
40	VOICE	10.10.40.0/24	IP-телефоны, SIP-сервер
50	PRINTERS	10.10.50.0/24	Принтеры, МФУ
60	IOT	10.10.60.0/24	Камеры, умные розетки, кондиционеры
99	GUEST	10.10.99.0/24	Гостевой Wi-Fi

Адресацию беру из RFC 1918 (10.0.0.0/8) по шаблону 10.<site>.<vlan>.0/24. При росте до второго офиса легко добавить — у второго будет 10.20.10.0 и так далее.

Конфигурация коммутатора Mikrotik CRS

Показываю на примере Mikrotik CRS328-24P-4S+ (24 PoE + 4 SFP+). Этот коммутатор хорошо ложится на малый-средний офис, держит 48 устройств включая телефоны с PoE, 4 uplink на 10G.

# Создаём bridge с VLAN-filtering
/interface bridge
add name=bridge1 vlan-filtering=yes protocol-mode=rstp

# Добавляем VLAN
/interface bridge vlan
add bridge=bridge1 vlan-ids=10 tagged=bridge1,ether1-trunk
add bridge=bridge1 vlan-ids=20 tagged=bridge1,ether1-trunk untagged=ether2
add bridge=bridge1 vlan-ids=30 tagged=bridge1,ether1-trunk untagged=ether3-ether24
add bridge=bridge1 vlan-ids=40 tagged=bridge1,ether1-trunk,ether3-ether24
add bridge=bridge1 vlan-ids=99 tagged=bridge1,ether1-trunk

# Назначаем PVID (access-vlan по умолчанию)
/interface bridge port
add bridge=bridge1 interface=ether2 pvid=20
add bridge=bridge1 interface=ether3 pvid=30 frame-types=admit-all
add bridge=bridge1 interface=ether4 pvid=30 frame-types=admit-all
# ... остальные порты
add bridge=bridge1 interface=ether1-trunk frame-types=admit-only-vlan-tagged

Обратите внимание: на порты пользователей идёт PVID 30 (USERS) плюс tagged VLAN 40 (VOICE) — это для IP-телефонов с встроенным свитчом, через который подключается ПК. Телефон получает голосовой VLAN по тегу, компьютер — дата-VLAN без тега.

Inter-VLAN routing на роутере Mikrotik

VLAN без роутинга — это изолированные сегменты без возможности общения. Но нам-то нужно, чтобы пользователи ходили на серверы, на принтеры, в интернет. Роутинг и ACL делаем на роутере (или L3-коммутаторе).

# На роутере Mikrotik hAP ax3 или CCR2004
/interface vlan
add interface=ether1 vlan-id=10 name=vlan10-mgmt
add interface=ether1 vlan-id=20 name=vlan20-servers
add interface=ether1 vlan-id=30 name=vlan30-users
add interface=ether1 vlan-id=40 name=vlan40-voice
add interface=ether1 vlan-id=50 name=vlan50-printers
add interface=ether1 vlan-id=60 name=vlan60-iot
add interface=ether1 vlan-id=99 name=vlan99-guest

/ip address
add interface=vlan10-mgmt address=10.10.10.1/24
add interface=vlan20-servers address=10.10.20.1/24
add interface=vlan30-users address=10.10.30.1/23
add interface=vlan40-voice address=10.10.40.1/24
add interface=vlan50-printers address=10.10.50.1/24
add interface=vlan60-iot address=10.10.60.1/24
add interface=vlan99-guest address=10.10.99.1/24

ACL между VLAN: кто кому можно

Смысл VLAN пропадает, если весь трафик между ними свободно роутится. Правила firewall на роутере — та часть, которой часто пренебрегают. Минимальный набор ACL:

# GUEST — только интернет, никуда во внутрь
/ip firewall filter
add chain=forward src-address=10.10.99.0/24 dst-address=10.0.0.0/8 \
    action=drop comment="GUEST deny internal"

# IOT — только конкретные сервисы и интернет
add chain=forward src-address=10.10.60.0/24 dst-address=10.10.20.10 \
    dst-port=1883 protocol=tcp action=accept comment="MQTT broker"
add chain=forward src-address=10.10.60.0/24 dst-address=10.0.0.0/8 \
    action=drop comment="IoT deny other internal"

# USERS — в серверы только по нужным портам
add chain=forward src-address=10.10.30.0/23 dst-address=10.10.20.0/24 \
    dst-port=80,443,445,139,5432 protocol=tcp action=accept
add chain=forward src-address=10.10.30.0/23 dst-address=10.10.20.0/24 \
    action=drop comment="USERS deny other to servers"

# MGMT доступен только админам
add chain=forward src-address=!10.10.30.5,10.10.30.6 dst-address=10.10.10.0/24 \
    action=drop comment="MGMT admins only"

Принцип — явный allow по нужным портам + deny остальное. Писать deny all в конце — обязательно, иначе default allow в Mikrotik пропускает всё.

QoS для IP-телефонии

Голос чувствителен к задержкам и джиттеру. Без QoS при нагрузке торрентами/видеозвонками пропадают фразы, гуляет эхо. Ставим правила приоритезации на роутере:

# Маркируем трафик VOICE VLAN как high-priority
/ip firewall mangle
add chain=prerouting in-interface=vlan40-voice action=set-priority new-priority=6
add chain=prerouting src-address=10.10.40.0/24 protocol=udp dst-port=5060 \
    action=mark-packet new-packet-mark=sip-signal
add chain=prerouting src-address=10.10.40.0/24 protocol=udp dst-port=10000-20000 \
    action=mark-packet new-packet-mark=rtp-media

# Queue на интерфейс WAN
/queue tree
add name=voice-sig parent=ether-wan packet-mark=sip-signal priority=1 limit-at=128k
add name=voice-rtp parent=ether-wan packet-mark=rtp-media priority=2 limit-at=1M

Реальный кейс: сегментация офиса юркомпании на 80 мест

В сентябре 2025 года к нам пришла юридическая фирма в Москва-Сити — 80 рабочих мест, 3 этажа, 40 IP-телефонов Yealink, 22 IP-камеры, гостевой Wi-Fi для посетителей. До этого всё работало на одной плоской сети 192.168.1.0/24 с D-Link DES-1024D.

Что было плохо:

Камеры генерировали broadcast-шторм, из-за которого телефоны обрывались.
Гостевой Wi-Fi был в той же сети — любой посетитель видел сервер 1С.
Принтеры регулярно «пропадали» из-за конфликта IP.
После инцидента с фишингом шифровальщик на одном ноутбуке зашифровал 3 файловые шары.

За неделю заменили оборудование и спроектировали сеть:

Core: Mikrotik CCR2004-1G-12S+2XS как роутер + L3-коммутатор, 12 SFP+ для межэтажных uplink.
Access: 3 коммутатора Mikrotik CRS328-24P-4S+ (по одному на этаж), соединены 10G-линками.
Wi-Fi: 5 точек Mikrotik cAP ax с двумя SSID (Corp и Guest), gettag VLAN 30 и 99.
8 VLAN по схеме выше + отдельный CAMERAS VLAN с ограничением скорости.
ACL — USERS могут только в SERVERS по портам 445/1433/80/443, GUEST только в интернет, IOT заперт.
QoS для VOICE — голос получает priority 1, максимальная задержка < 30 мс.

Внедрение — 4 рабочих дня с двумя админами, стоимость 215 000 руб. Через 3 месяца IT-директор отчитался: нулевые инциденты с телефонией (было 2–3 жалобы в неделю), полная изоляция гостевого Wi-Fi, поиск проблем ускорился в разы благодаря разбивке broadcast-доменов.

Wi-Fi с multiple SSID и VLAN

Современные точки доступа поддерживают Multi-SSID с разными VLAN. Пример для Mikrotik cAP ax:

/interface wifi
set wifi1 configuration.mode=ap configuration.country=Russia

/interface wifi provisioning
add action=create-dynamic-enabled master-configuration=cfg-corp \
    identity-regexp="" name-format=prefix-identity name-prefix=corp

/interface wifi configuration
add name=cfg-corp datapath.vlan-id=30 datapath.bridge=bridge1 \
    security.authentication-types=wpa2-psk security.passphrase=CorpPass123!
add name=cfg-guest datapath.vlan-id=99 datapath.bridge=bridge1 \
    security.authentication-types=wpa2-psk security.passphrase=WelcomeGuest

Два SSID на одной точке, разные VLAN — корпоративный пользователь получает полный доступ, гость видит только интернет.

Типичные ошибки при проектировании VLAN

VLAN 1 для пользователей. Default VLAN на многих коммутаторах уязвим — в нём живут служебные CDP/LLDP, STP BPDU. Пользователи — минимум VLAN 10, а default оставляем пустым.
Native VLAN = data VLAN. На trunk-портах native должен отличаться от всех рабочих, иначе possible VLAN hopping-атаку.
Нет MGMT-VLAN. Коммутаторы управляются из пользовательского VLAN — любой пользователь может атаковать их.
Без ACL между VLAN. Сегментация есть, но трафик свободно бегает. Без firewall это decoration, а не безопасность.
Trunk-порт в access-режиме. Если подключить компьютер в trunk-порт — он может прописать нужный VLAN и выйти куда угодно. VLAN ACL на trunk обязателен.

Спроектируем и внедрим VLAN-сегментацию

Полный проект сети для офиса 30–300 рабочих мест: подбор оборудования, схема VLAN и адресации, настройка Mikrotik/Huawei/Eltex, ACL между сегментами, QoS для телефонии, гостевой Wi-Fi. Документация по коду и паспорт сети. Срок — 3–7 дней в зависимости от размера.

Телефон: +7 903 729-62-41
Telegram: @ITfresh_Boss
Семёнов Евгений Сергеевич, директор АйТи Фреш

FAQ — частые вопросы

Зачем делить офис на VLAN?: Сегментация изолирует трафик: принтеры не видят серверы, гости не видят офисную сеть, IP-камеры не ломают SIP-телефонию. Упрощает ACL, QoS и поиск проблем.
Сколько VLAN нужно для офиса на 50 мест?: Минимальный набор — 5: MGMT, USERS, SERVERS, VOICE, GUEST. При наличии камер и IoT — 7 VLAN.
Какой коммутатор брать?: Для офиса 30-100 мест подходят MikroTik CRS или Huawei S310-S500. После ухода Cisco основной поток — Mikrotik и Huawei, для ДЦ — Eltex и HP Aruba.
Что такое trunk и access порт?: Access — порт с одним VLAN, куда подключают рабочее место или принтер. Trunk — порт, через который идёт несколько VLAN, обычно между коммутаторами. Требуется 802.1Q-тегирование.
Нужен ли L3-коммутатор или хватит роутера?: Для офиса до 100 мест хватает роутера с VLAN. Для 150+ уже разумнее L3-коммутатор — inter-VLAN routing на wire-speed без узкого места.