VLAN простыми словами
VLAN (Virtual LAN) — это способ разделить одну физическую сеть на несколько логических, как будто это разные сети.
Аналогия: офис — это одно здание (физическая сеть). VLAN — это перегородки внутри здания: бухгалтерия, IT, директор, переговорка. Все в одном здании, но не видят друг друга, пока не выйдут в общий коридор (роутер).
Зачем VLAN малому офису
Кажется, что VLAN — для крупных компаний. На самом деле даже офис на 5 человек выигрывает от него:
Изоляция гостевого Wi-Fi. Курьеры, клиенты, друзья сотрудников приходят с заражёнными ноутбуками. Без VLAN они в одной сети с бухгалтерией.
Защита кассы и POS. В кафе, магазине, любом B2C — POS-терминал должен быть изолирован от гостевого трафика.
Видеонаблюдение отдельно. Камеры передают много трафика и иногда «фонят» в сети. Отдельный VLAN решает.
IoT-устройства отдельно. Умные лампы, датчики, домашняя техника часто плохо защищены. Их компрометация не должна затронуть рабочую сеть.
Гость вышел — гостевая сеть выключилась. В VLAN можно повесить расписание (отключить гостевой Wi-Fi после 22:00).
Базовая схема для офиса 10-20 человек
| VLAN | ID | Назначение | DHCP | Доступ в интернет |
|---|
|
| Default | 1 | Управление сетью (роутер, AP) | Нет | Да |
|---|
| Office | 10 | Сотрудники, ноутбуки, принтер | 10.10.10.0/24 | Да |
|---|
| POS | 20 | Касса, бухгалтерия | 10.10.20.0/24 | Только к платёжному шлюзу |
|---|
| Guest | 30 | Гостевой Wi-Fi | 10.10.30.0/24 | Да, ограниченная скорость |
|---|
| IoT | 40 | Камеры, умные лампы | 10.10.40.0/24 | Только облако |
|---|
| Voice | 50 | IP-телефония (если есть) | 10.10.50.0/24 | Да |
|---|
Правила firewall (важно)
Просто создать VLAN мало — нужно настроить, что между ними можно, а что нельзя.
Базовые правила:
Office → POS — заблокировать (бухгалтер не должен сканировать кассу)
Office → IoT — разрешить (нужно видеть камеры)
Guest → всё кроме интернета — заблокировать (изоляция гостей)
IoT → Office — заблокировать (зараженная камера не должна атаковать ноутбуки)
POS → интернет — только к необходимым доменам (Платёжный шлюз банка, обновления)
Voice → всё — разрешить (телефония критична)
Настройка на UniFi (UDM-Pro, UCG-Ultra)
Шаг 1. Settings → Networks → Create New Network
Name: Office
VLAN ID: 10
Subnet: 10.10.10.1/24
DHCP: Enabled
Шаг 2. Повторите для POS, Guest, IoT.
Шаг 3. Settings → WiFi → Create new WiFi
Name: Office-WiFi
Security: WPA3
Network: Office (VLAN 10)
Шаг 4. Аналогично для Guest-WiFi (VLAN 30) и POS-WiFi (VLAN 20).
Шаг 5. Firewall: Settings → Security → Firewall Rules
Add rule: From Guest network → To Local network → Reject
UniFi всё это делает в графическом интерфейсе. Базовая настройка — 20-30 минут.
Настройка на MikroTik
MikroTik — мощнее, но сложнее. Краткий план:
Создать interface vlan10 (Bridge → VLANs)
Настроить DHCP-сервер на vlan10
Назначить порты коммутатора в нужный VLAN
Создать firewall-правила в /ip firewall filter
Подробный гайд — отдельная статья. Для большинства малых офисов UniFi удобнее, потому что всё в одном интерфейсе.
Реальный пример (наш кейс)
Кафе на 80 м², 6 сотрудников.
До настройки VLAN:
Один роутер, всё в одной сети
Гость подключился, увидел в сети «КАССА-1» — попытался подключиться
Утечка платёжных данных едва не произошла
Пятница, час пик, гостей много → роутер захлёбывается, касса лагает
После настройки VLAN:
Создали 4 VLAN: Office, POS, Guest, Camera
POS изолирован, гости не видят кассу
Гостевой Wi-Fi с лимитом скорости 5 Мбит на устройство
Касса в приоритете трафика — даже при 30 гостях работает идеально
Время настройки: 1 час с тестированием. Стоимость: 0 (всё уже было оборудование UniFi).
Частые вопросы
«Не сломается ли существующая сеть?»
Если действовать аккуратно — нет. Сначала создаём VLAN, потом тестируем, потом постепенно переносим устройства.
«Нужен ли managed-коммутатор?»
Для VLAN — да, нужен L2-managed switch с поддержкой 802.1Q. UniFi USW-Lite-8-PoE подходит.
«Можно ли настроить VLAN через мобильное приложение?»
В UniFi — да, через приложение UniFi Network на iOS/Android.
«Сколько VLAN можно создать?»
По стандарту 802.1Q — до 4094. Реально на UDM-Pro — несколько десятков без проблем.
Чек-лист настройки VLAN в офисе
☐ Спланировать какие VLAN нужны (минимум: Office, Guest, IoT)
☐ Назначить ID и подсети (например, 10/20/30/40)
☐ Создать VLAN на роутере
☐ Настроить DHCP-сервер на каждой VLAN
☐ Создать SSID Wi-Fi с привязкой к VLAN
☐ Настроить firewall-правила между VLAN
☐ Назначить порты коммутатора (для проводных устройств)
☐ Протестировать изоляцию (с гостевой сети попробовать пинговать офис)
Итог
VLAN — это не «энтерпрайз-фича», а базовая практика безопасности для любого офиса с публичным Wi-Fi или POS. На UniFi настройка занимает 30 минут, на MikroTik — час с лишним. Не игнорируйте.
Каталог Ubiquiti | MikroTik |
Связаться