АйТи Фреш
Главная / Статьи / Сети
Сети и безопасность

VLAN-сегментация офиса: изолируем бухгалтерию, сервер 1С и гостевой Wi-Fi друг от друга

Автор: Семёнов Евгений Сергеевич, директор ООО «АйТи-Фреш» · 2026-07-16
VLAN-сегментация офиса: изолируем бухгалтерию, сервер 1С и гостевой Wi-Fi друг от друга

За пятнадцать лет в IT-аутсорсинге я перевидал десятки офисных сетей. Процентов восемьдесят из них устроены одинаково: один свитч, одна подсеть, все всё видят. Работает? Работает — ровно до первого случая. Расскажу, как за один рабочий день с управляемым свитчем за 15-20 тысяч рублей развести бухгалтерию, сервер 1С и гостевой Wi-Fi по разным сетям — так, чтобы заражённый ноутбук гостя не превращался в шифровальщик на бухгалтерской базе.

Почему плоская сеть — это не экономия, а отложенный счёт

Пришёл к клиенту — бухгалтерская компания в Балашихе, восемнадцать рабочих мест. Всё как у всех: один Wi-Fi роутер за три тысячи рублей раздаёт интернет и сотрудникам, и гостям, и принтерам, и серверу 1С заодно. Гостевая сеть формально есть, галочка стоит, но физически это тот же коммутатор, та же подсеть 192.168.1.0/24. Разница только в SSID.

Дальше — классика. Клиент приходит на встречу, просит пароль от Wi-Fi, подключает ноутбук с трояном, который он подцепил неделю назад на сайте с прайс-листами конкурентов. Троян тихо сканирует сеть, находит расшаренные папки на сервере 1С, находит RDP на 3389 порту без ограничений по IP. Через два дня — шифровальщик. База 1С Бухгалтерии, накопленная за семь лет, зашифрована вместе с бэкапами, потому что архивы Veeam лежали в той же сети на том же сервере.

Простой — четыре дня, восстановление части данных с облачной копии, которую, к счастью, делали раз в неделю на внешний ресурс. Потери — где-то 600 тысяч рублей, если считать упущенные платежи и время бухгалтеров. И всё это — не из-за слабого пароля и не из-за дырявого антивируса. Из-за того, что гость и сервер 1С сидели в одной сети, и между ними не было вообще ничего, кроме доверия.

Что такое VLAN, если объяснять без умных слов

VLAN — Virtual LAN, виртуальная локальная сеть. Смысл простой: один физический свитч превращается в несколько логически изолированных сетей, будто вы нарезали один коридор офиса на отдельные комнаты со своими дверями. Провода те же, розетки те же, а трафик бухгалтерии физически не может попасть в сеть гостевого Wi-Fi, даже если оба устройства воткнуты в соседние порты одного и того же коммутатора.

Это не про новые провода и не про второй роутер в шкафу. Это про настройку, которая живёт внутри самого свитча — прошивка помечает каждый порт номером VLAN, и трафик с одного VLAN не попадает на порт другого, пока вы явно не разрешите это на маршрутизаторе. Обычный неуправляемый свитч из Ситилинка за полторы тысячи рублей этого не умеет в принципе — у него все порты в одном большом бродкаст-домене.

Аналогия, которая обычно заходит клиентам: представьте подъезд многоквартирного дома. Общий вход, общий лифт — это интернет-канал. А дальше у каждой квартиры своя дверь с замком. VLAN — это как раз про замки на дверях внутри одного дома, а не про строительство отдельных зданий.

Железо: без управляемого свитча разговор закончен

Первое, на чём спотыкаются владельцы бизнеса — экономия на свитче. Купили на Wildberries безымянный восьмипортовый коммутатор за 900 рублей, воткнули — и всё, инфраструктура готова. Для VLAN такой свитч не подходит категорически, у него просто нет управления, нет веб-морды, нет понятия тегированного порта.

Для офиса на 10-20 рабочих мест хватит управляемого свитча уровня TP-Link TL-SG3210 (около 9-10 тысяч рублей) или Zyxel GS1900-8HP, если нужно ещё и питание по PoE для камер и точек доступа — цена в районе 14-16 тысяч. Для 30-50 мест я обычно ставлю MikroTik CRS328-24P-4S+ (15-20 тысяч рублей) — недорого и с запасом по портам, или Cisco SG350-28, если у клиента уже есть Cisco-инфраструктура и привычные админы.

Отдельный момент — маршрутизатор. Свитч режет сеть на VLAN, но правила «кому куда можно ходить» задаёт роутер или файрвол выше него. Домашний Keenetic с этим тоже не справится на серьёзном уровне — нужен либо MikroTik (hEX или CCR), либо pfSense на отдельном мини-сервере, либо, если сеть совсем небольшая, встроенный L3-функционал того же MikroTik-свитча.

Пошагово: разбиваем сеть на VLAN'ы под конкретные задачи

Прежде чем лезть в настройки, я всегда рисую на бумаге, кто с кем должен разговаривать. Для типичного клиента — бухгалтерская фирма или юрфирма — получается примерно так: VLAN 10 — рабочие места бухгалтерии, VLAN 20 — сервер 1С и файловый сервер, VLAN 30 — гостевой Wi-Fi, VLAN 40 — оргтехника и принтеры, VLAN 99 — управление самим сетевым оборудованием.

Дальше заходим в веб-интерфейс свитча — у TP-Link и Zyxel это раздел VLAN Configuration, у MikroTik всё делается через Bridge VLAN Filtering. Создаём сами VLAN с этими номерами, даём каждому осмысленное имя — не Vlan10, а Buhgalteria, чтобы через полгода не гадать, что где. Затем идём в настройки портов: порт, к которому подключён компьютер бухгалтера — access-порт VLAN 10, порт сервера 1С — access-порт VLAN 20, порт точки доступа для гостей — либо отдельный access-порт под VLAN 30, либо trunk, если та же точка раздаёт и рабочий, и гостевой Wi-Fi одновременно.

Важно сразу зарезервировать VLAN 99 под управление — порт, через который вы сами заходите в веб-морду свитча, точки доступа, IP-камеры. Если управляющий интерфейс висит в общей сети с пользовательскими компьютерами, взломанный ноутбук бухгалтера получает шанс перенастроить сам свитч. Я видел это своими глазами у одного клиента из Подольска — пароль от админки свитча совпадал с паролем от Wi-Fi, а Wi-Fi был в общей сети с админкой.

Trunk и access-порты — ошибка, из-за которой ничего не работает

Тут обычно и начинаются проблемы у тех, кто настраивает VLAN первый раз. Access-порт — это порт, к которому подключено конечное устройство (компьютер, принтер, сервер), и он принадлежит ровно одному VLAN, трафик идёт нетегированным, устройство вообще не знает, что такое VLAN. Trunk-порт — это порт между свитчами или между свитчем и роутером, через него идёт трафик сразу нескольких VLAN, каждый пакет помечен тегом VLAN ID.

Классическая ошибка — оставить порт в режиме trunk там, где должен быть access, или наоборот. Тогда либо компьютер бухгалтера вообще перестаёт видеть сеть (получает тегированный трафик, который не понимает), либо, что хуже, порт остаётся в VLAN 1 по умолчанию — том самом «нативном» VLAN, который есть на любом свитче из коробки и который часто забывают трогать. Через VLAN 1 умный атакующий может обойти всю вашу сегментацию, это известный класс атак VLAN hopping.

Правило, которое я вбиваю всем своим инженерам: VLAN 1 не используется вообще, ни для чего, кроме служебного трафика самого протокола. Все рабочие сегменты — с номера 10 и выше, все порты явно назначены, ни одного порта «по умолчанию». Занимает на 20 минут больше времени при настройке, зато потом не приходится разгребать инцидент в три часа ночи.

Правила между VLAN — вот где настоящая защита, а не в самих VLAN

Здесь важный момент, который многие пропускают: сам по себе VLAN ничего не блокирует. Он режет широковещательный трафик и создаёт отдельные подсети, но если на роутере стоит маршрут между VLAN 10 и VLAN 30 без единого правила файрвола, весь эффект от сегментации — ноль. Компьютеры просто продолжат ходить друг к другу, только теперь через маршрутизатор вместо коммутатора.

Реальная защита начинается на файрволе, где вы явно прописываете: гостевому VLAN 30 разрешён только выход в интернет, доступ к VLAN 10 и VLAN 20 запрещён полностью, в обе стороны. Бухгалтерии из VLAN 10 разрешён доступ к серверу 1С в VLAN 20 по нужным портам — обычно это RDP на 3389 для терминального доступа и порт службы 1С — и больше ничего. Сервер бэкапов, если он у вас отдельный (у меня клиенты чаще всего используют Veeam или встроенные средства Windows Server), я вообще выношу в отдельный VLAN, куда не может достучаться ни один пользовательский компьютер, только сам сервер 1С по расписанию.

Про RDP отдельный разговор — это один из самых частых входных векторов у атакующих, поэтому проброс 3389 наружу без VPN я считаю почти преступлением против собственного бизнеса. А если на компьютере бухгалтера стоит КриптоПро с ключом электронной подписи для отчётности в налоговую, я дополнительно закрываю этому VLAN вообще любой исходящий доступ, кроме конкретных адресов ФНС и СБИС — так утечка ключа через постороннее устройство физически невозможна, даже если кто-то подберёт пароль.

Гостевой Wi-Fi и бэкапы — два места, где про VLAN обычно забывают

Гостевой Wi-Fi — это не отдельное имя сети на том же роутере, как думают процентов семьдесят предпринимателей. Это должен быть отдельный VLAN с изоляцией клиент-клиент (client isolation) прямо на точке доступа, чтобы даже два гостевых устройства не видели друг друга, не говоря уже про сервер 1С за стеной. У приличных точек доступа Ubiquiti или TP-Link Omada эта галочка есть в настройках SSID, и она обязана быть включена.

Второе слабое место — резервные копии. Я регулярно вижу серверы с Veeam или обычным Windows Server Backup, которые сидят в той же сети, что и рабочие станции. Шифровальщик, попав на любой компьютер в этой сети, находит сетевую папку с бэкапами и шифрует их вместе с оригиналом — а потом восстанавливать уже нечего. Правильная схема: бэкап-сервер в изолированном VLAN, куда пускают только сам сервер 1С на запись по расписанию, а администратор заходит туда через отдельный VPN-профиль, а не через общую офисную сеть.

Третье — это IP-камеры и умные принтеры, тот самый интернет вещей, который производители делают дешёвым за счёт безопасности. У одного клиента, производственная компания в Электростали, взломанная камера видеонаблюдения китайского производителя оказалась плацдармом для атаки на всю сеть — прошивку никто не обновлял два года. Теперь у меня правило: вся периферия, которая не является рабочим местом человека, идёт в отдельный VLAN без доступа куда-либо, кроме своего облачного сервиса и локального сервера видеонаблюдения.

Частые вопросы

Сколько стоит внедрить VLAN в небольшом офисе и как долго это делается?
Для офиса на 15-20 рабочих мест обычно укладываюсь в один управляемый свитч за 10-15 тысяч рублей плюс, если его ещё нет, роутер с поддержкой VLAN и файрвола — от 8 до 25 тысяч рублей в зависимости от модели. Сама настройка при готовой схеме сети занимает от четырёх до восьми часов вместе с тестированием, обычно я делаю это вечером или в выходной, чтобы не мешать работе офиса.

Можно ли настроить VLAN на обычном Wi-Fi роутере из магазина электроники?
На большинстве бытовых роутеров — нет, там просто отсутствует такая функция в прошивке. Отдельные модели вроде Keenetic старших линеек и ASUS с прошивкой Merlin умеют базовый VLAN, но без гибких правил файрвола между сегментами и без нормального управления через веб-интерфейс. Для полноценной сегментации всё равно нужен управляемый свитч и маршрутизатор с файрволом уровня MikroTik или pfSense.

Что будет, если сотрудник бухгалтерии случайно окажется в гостевом VLAN?
Ничего страшного не случится, но и работать он не сможет — гостевой VLAN не увидит ни сервер 1С, ни принтеры, ни общие папки, только интернет. Обычно это сразу заметно и решается за пару минут переключением порта в свитче на нужный VLAN. Опаснее обратная ситуация — когда посторонний из гостевой сети получает доступ к рабочим VLAN, и вот от этого как раз защищают правильно настроенные правила файрвола.

Нужно ли менять IP-адреса и перенастраивать 1С при переходе на VLAN?
Да, у каждого VLAN своя подсеть — например, 192.168.10.0/24 для бухгалтерии и 192.168.20.0/24 для сервера 1С, поэтому IP-адреса компьютеров и сервера меняются. Саму базу 1С это не трогает, а вот пути подключения к серверу и настройки RDP-ярлыков придётся один раз обновить. Я обычно делаю это через DHCP с привязкой по MAC-адресу, чтобы сервер и принтеры получали одни и те же адреса автоматически и ничего не пришлось прописывать руками на каждом компьютере.

Не хотите проверять на своей бухгалтерии, что будет, если гость подключится к вашему Wi-Fi?
Приезжаем, за один день разводим сеть по VLAN и настраиваем правила доступа между сегментами — так, чтобы один заражённый ноутбук больше не был угрозой для всей компании.
Бесплатная консультация →

Подпишитесь на рассылку ITfresh

Раз в неделю — практические гайды для руководителя и сисадмина: безопасность, 1С, миграции, резервные копии, лайфхаки из реальных проектов.

© ООО «АйТи-Фреш» · Москва · Все статьи