VLAN в малом офисе: зачем изолировать бухгалтерию, IP-камеры и принтеры на уровне сети

Я занимаюсь IT-аутсорсингом уже больше десяти лет, и за это время насмотрелся на офисные сети, от которых у нормального сетевика случился бы нервный тик. Всё в одной подсети, камеры рядом с бухгалтерией, принтер без пароля торчит наружу. Это не злой умысел — просто никто не объяснил, что так нельзя и что сделать правильно совсем недорого. Сегодня расскажу про VLAN: что это, зачем малому офису и как я это настраиваю на MikroTik.

Как я объяснял клиенту, что такое VLAN, и почему разговор затянулся

Несколько лет назад ко мне обратился владелец небольшой юридической фирмы — двенадцать рабочих мест, один сервер с 1С, три юриста, бухгалтер и куча принтеров по всем комнатам. Жаловался: «Тормозит сеть, 1С зависает, непонятно почему.» Я приехал, посмотрел — вся инфраструктура живёт в одном широковещательном домене. Камеры гоняют трафик по той же сети, что и рабочие станции. Принтер Canon регулярно анонсирует себя всем устройствам подряд. Один из юристских ноутбуков, как выяснилось потом, подхватил что-то нехорошее ещё в позапрошлом году и спокойно жил с этим полтора года — тихонько, незаметно.

Я спросил: «Слышали про VLAN?» Он честно ответил: «Нет. Это дорого?» Дорого — понятие растяжимое. Роутер MikroTik hEX — около 5 200 рублей. Управляемый коммутатор TP-Link на восемь портов — ещё 3 400. Час-полтора моей работы. Итого примерно 15 000 рублей — и клиент получил три изолированных сегмента сети, нормальный firewall между ними и спокойный сон. Это не дорого. Просто никто раньше не предложил.

Объяснял я так. Представьте, что ваш офис — это коммунальная квартира. Все живут в общем коридоре, все всё слышат, любой может зайти к любому. VLAN — это стены между комнатами и замки на дверях. Бухгалтерия за своей дверью, камеры за своей, принтеры — отдельно, и каждый попадает только туда, куда ему разрешили. Это и есть сегментация сети на уровне канального уровня. Ничего магического.

Почему общая сеть в небольшом офисе — это тихая и реальная угроза

Большинство малых компаний строят сеть одинаково. Провайдер поставил роутер — какой-нибудь Keenetic или бюджетный TP-Link. К нему подключили коммутатор за 1 200 рублей с маркетплейса. Воткнули туда всё подряд: рабочие станции, принтеры, IP-камеры, NAS, умный телевизор в переговорке, иногда ещё кофемашину с Wi-Fi. Вся эта живность сидит в одной подсети — 192.168.1.0/24, тридцать-сорок устройств, один огромный широковещательный домен. Так проще. Так дешевле. Так и работают.

Первая проблема — безопасность, и это не абстрактная страшилка. IP-камеры китайского производства — это отдельная история, которую можно рассказывать бесконечно. Раз в несколько месяцев всплывают новости: очередная уязвимость в прошивке Hikvision или Dahua, backdoor, захардкоженные пароли, которые производитель оставил «для удобства технической поддержки». Если камера находится в одной сети с бухгалтерским компьютером, на котором открыт банк-клиент и крутится 1С с данными о зарплатах — это проблема. Камера может сканировать соседей по сети, участвовать в атаках изнутри, стать точкой входа для злоумышленника. Звучит параноидально? Я сам так думал первые пару лет. Пока не столкнулся с реальным инцидентом у клиента.

Вторая проблема — производительность, и она куда банальнее. Широковещательный трафик растёт линейно с количеством устройств. Двадцать устройств в сети — терпимо. Тридцать — уже шумновато. Добавьте сорок IP-камер с постоянным видеопотоком плюс рабочие станции плюс принтеры, которые регулярно объявляют о своём существовании — и ваш 1С начинает подвисать. Не потому что сервер слабый и не потому что провайдер плохой. Просто сеть забита мусором, который никому не нужен, но все его исправно рассылают.

Что именно сегментируем и почему каждый сегмент важен

Я обычно делю сеть малого офиса на три-четыре сегмента. Первый — рабочие станции бухгалтерии. Это святое. 1С:Предприятие, банк-клиент, сканы первичной документации, ЭЦП через КриптоПро — всё это должно быть надёжно отделено от остального мира. Второй сегмент — общие рабочие места: менеджеры, юристы, маркетологи, ресепшн. Третий — принтеры и МФУ. Четвёртый — IP-камеры и всё остальное IoT-оборудование, которое кто-нибудь обязательно притащит в офис.

Зачем отдельно принтеры? Этот вопрос мне задают чаще всего. Современный сетевой принтер — это маленький компьютер со своей операционной системой, процессором, памятью, веб-интерфейсом и историей всех заданий печати. У одного моего клиента — небольшая медклиника на восемь врачей — МФУ Canon imageRUNNER жил в общей сети три года. Когда мы его наконец обследовали при очередном обслуживании, выяснилось: веб-интерфейс открывается без пароля, в журнале хранятся сканы медицинских документов за несколько месяцев, и любой человек, подключённый к этой сети, мог зайти и всё это прочитать. Пациентские данные. Диагнозы. Назначения. Никакой злой умысел — просто никто не задумался.

Камеры — отдельная боль. Чаще всего в небольших офисах ставят дешёвые устройства за 2 000–4 000 рублей, прошивки которых не обновлялись с момента покупки. Пароли либо заводские, либо «1234», либо их нет вообще. Я видел офисы, где камеры были напрямую проброшены в интернет через NAT на роутере — «для удобства просмотра из дома». Удобно. И для взломщика тоже удобно: находит открытый порт, заходит в камеру через известную уязвимость, оказывается во внутренней сети и начинает потихоньку осматриваться. Без VLAN ему теперь доступно всё.

MikroTik: почему именно он и сколько это стоит

Я выбрал MikroTik несколько лет назад и не жалею. Не потому что это «правильный» выбор по учебнику сетевого инженера. Просто соотношение цена-возможности у них честное. RB951Ui-2HnD — около 4 500 рублей и умеет всё нужное малому офису: VLAN, firewall, DHCP на каждый сегмент, VPN, контроль полосы. hEX (RB750Gr3) — пять гигабитных портов, около 5 200 рублей, работает годами без перезагрузок. Есть ещё CCR-серия для тех, у кого офис побольше и трафик поинтенсивнее, но для большинства моих клиентов hEX — это то, что надо.

RouterOS — их операционная система. Интерфейс Winbox поначалу пугает: кнопок много, всё непривычно, не как в домашнем роутере. Но когда разбираешься — это просто. Прозрачно. Ничего не скрыто за «умными» мастерами настройки, которые делают что хотят за вашей спиной. Всё видно, всё редактируется, всё логируется. По сравнению с Cisco ASA — небо и земля по цене при сопоставимом функционале для задач малого офиса. Я не говорю, что MikroTik лучше Cisco — у больших сетей свои требования. Но для офиса на 20–30 рабочих мест MikroTik закрывает 95% задач.

Для настройки VLAN обязательно нужен управляемый коммутатор — это принципиально важно. Обычный «тупой» коммутатор за 1 200 рублей с маркетплейса не понимает тегированный трафик 802.1Q. Ему всё равно, какому VLAN принадлежит кадр. TP-Link TL-SG108E — восемь портов, поддержка 802.1Q VLAN, веб-интерфейс, цена около 3 400–3 700 рублей. TL-SG116E — уже шестнадцать портов, около 6 500. Для большинства офисов до двадцати рабочих мест восьми портов хватает, если грамотно спланировать разводку. Итого железо: MikroTik плюс коммутатор — меньше 9 000 рублей.

Как выглядит настройка VLAN на MikroTik: конкретный пример

Расскажу на реальном примере. Клиент — торговая компания, восемнадцать рабочих мест, один сервер на Windows Server 2019 с 1С и складской базой, шесть IP-камер Hikvision, три сетевых принтера, плюс CRM-система. До меня всё это хозяйство жило в одной подсети 192.168.0.0/24 на роутере от провайдера. Производительность — так себе, безопасность — никакая.

Я разделил сеть на четыре VLAN. VLAN 10 — бухгалтерия, подсеть 192.168.10.0/24, три рабочих места и сервер с 1С. VLAN 20 — офис, 192.168.20.0/24, все остальные рабочие станции. VLAN 30 — камеры, 192.168.30.0/24, шесть Hikvision и регистратор. VLAN 40 — принтеры, 192.168.40.0/24, три МФУ. На MikroTik hEX создал bridge с включённым VLAN filtering, добавил четыре VLAN-интерфейса — vlan10, vlan20, vlan30, vlan40. На каждом настроил свой DHCP-сервер с соответствующим диапазоном адресов. Физически — один порт идёт в коммутатор TP-Link в режиме trunk с тегами всех четырёх VLAN.

На управляемом коммутаторе расставил порты по сегментам: порты 1–3 — VLAN 10 (untagged, бухгалтерия), порты 4–6 — VLAN 20 (untagged, офис), порт 7 — VLAN 30 (untagged, камеры и регистратор через патч-панель), порт 8 — VLAN 40 (untagged, принтеры через хаб в принт-зоне). Восьмой порт — trunk, tagged, все VLAN, идёт в MikroTik. Общее время работы — около трёх с половиной часов вместе с тестированием и переподключением кабелей. Оборудование обошлось в 8 700 рублей. Работа — отдельно по прайсу.

Firewall между сегментами — это самая важная часть, не пропускайте

VLAN без межсегментного firewall — половина решения, а то и меньше. По умолчанию MikroTik маршрутизирует трафик между всеми подсетями, которые на нём настроены. Это значит: если не написать правила firewall, компьютер из офисного VLAN 20 спокойно достучится до бухгалтерии в VLAN 10. Вы потратили деньги на оборудование, время на настройку — и получили ноль изоляции. Так бывает. Я видел такие «настроенные» сети.

Логика правил простая, и её можно описать словами. Бухгалтерия (VLAN 10) — разрешаем доступ к серверу 1С по нужным портам (TCP 1541, 1560 — это стандартные порты 1С:Предприятия через сервер приложений), разрешаем DNS и NTP, разрешаем интернет через NAT, всё остальное межсегментное — запрещено. Офис (VLAN 20) — разрешаем доступ к принтерам в VLAN 40, к серверу CRM, интернет разрешён, к бухгалтерии — нет. Камеры (VLAN 30) — исходящий трафик только к регистратору и к серверу видеонаблюдения если он есть, всё остальное — дроп. Принтеры (VLAN 40) — принимают входящие соединения с разрешённых сегментов, сами никуда не ходят.

Самая частая ошибка, которую я вижу даже у людей, которые «что-то слышали про VLAN» — написали правила accept для нужного трафика, но забыли добавить финальное правило drop для inter-VLAN трафика. В результате разрешённые соединения проходят, но и всё остальное тоже проходит, потому что в цепочке forward нет явного запрета. В RouterOS правила обрабатываются строго сверху вниз, первое совпавшее срабатывает. Всегда добавляйте в конец цепочки forward правило drop с src-address-list и dst-address-list, перечисляющими все ваши внутренние подсети. Это страховка. Без неё вся архитектура — декорация.

Что получает клиент и когда VLAN честно не нужен

После нормально настроенной сегментации клиент получает несколько конкретных вещей. Бухгалтерия реально изолирована: даже если что-то заразится в офисном сегменте — ноутбук менеджера, чья-то флешка, что угодно — до 1С это не доберётся по сети, потому что firewall дропнет попытки соединения. Камеры больше не «видят» внутреннюю сеть: взломай хоть все Hikvision сразу — из их сегмента никуда не выйти. Принтеры доступны только тем, кому это нужно. Широковещательный шум от IoT-устройств остаётся внутри их сегмента и не мешает рабочим станциям. Сеть работает ровнее, 1С перестаёт задумываться в неподходящие моменты.

Скажу честно и про обратную сторону. Если у вас два компьютера, один принтер и нет IP-камер — не усложняйте. Избыточность в IT так же вредна, как недостаточность. Если пять рабочих мест, все сотрудники — люди проверенные, угрозы снаружи минимальны — хватит нормального пароля на Wi-Fi, антивируса и человеческих прав администратора на рабочих станциях. VLAN начинает реально работать на безопасность в офисах от восьми-десяти рабочих мест, где есть выраженная бухгалтерия с чувствительными данными и разношёрстное оборудование в сети — камеры, принтеры, гостевой Wi-Fi, может быть складские терминалы или кассы.

И ещё одно, важное. VLAN — не замена остальным мерам. Резервное копирование никуда не девается: у большинства моих клиентов это Veeam Agent на каждой рабочей станции плюс Veeam Backup and Replication на сервере с репликацией на внешний накопитель или в облако. Антивирус не девается. Политики паролей в Active Directory не деваются. Обновления Windows Server — тоже. VLAN — это один слой в многоуровневой защите. Один из многих, но слой реальный, ощутимый и, как мы выяснили, вполне доступный по деньгам. Девять тысяч рублей на железо и несколько часов работы — это не тот бюджет, из-за которого стоит откладывать.

Частые вопросы

Нужен ли штатный сетевик для настройки VLAN на MikroTik?
Не нужен, если этим занимается опытный IT-аутсорсер. Настройка VLAN на MikroTik для небольшого офиса — это несколько часов работы специалиста, который делал это раньше. Самостоятельно без опыта лучше не браться: можно получить сеть, которая выглядит настроенной, но не изолирует ничего — и понять это получится только после инцидента.

Можно ли сделать VLAN на обычном домашнем роутере от провайдера?
Как правило, нет, или с очень большими ограничениями. Домашние роутеры Keenetic, TP-Link Archer, Xiaomi и прочие рассчитаны на домашнее использование: там или нет поддержки 802.1Q VLAN совсем, или она есть только на WAN-интерфейсе для настройки провайдерских тегов. Для нормальной сегментации офисной сети нужен роутер бизнес-класса — MikroTik, Cisco, Ubiquiti. MikroTik при этом самый доступный по цене.

Что произойдёт, если IP-камера окажется скомпрометирована и при этом находится в одной сети с бухгалтерией?
В лучшем случае — ничего страшного, просто шум в логах. В худшем — камера становится плацдармом для атаки на внутренние системы: сканирование сети, попытки подключения к открытым RDP-портам рабочих станций, перехват незашифрованного трафика. Реальные инциденты с компрометацией через IoT-устройства хорошо задокументированы в отчётах Kaspersky и Positive Technologies. После введения VLAN скомпрометированная камера оказывается в изолированном сегменте и до бухгалтерии физически не дотянется.

Сколько стоит внедрение VLAN под ключ в небольшом офисе?
Оборудование — от 8 000 до 15 000 рублей в зависимости от модели MikroTik и количества портов управляемого коммутатора. Работа по настройке — от 5 000 до 10 000 рублей у нормального аутсорсера. Итого под ключ — 13 000–25 000 рублей для офиса до 20 рабочих мест. Если у вас уже стоит более-менее нормальный роутер, иногда хватает только коммутатора и часа работы.