VLAN и сегментация сети: подробное руководство
В этой статье разберём, что такое VLAN, зачем они нужны, как работают на практике, и как использовать их в реальных сценариях — от небольшого офиса до крупного предприятия.
1. Что такое VLAN
VLAN (Virtual Local Area Network) — это технология разделения одной физической сети на несколько логических подсетей.
-
Все устройства подключены к одному «железу» (например, к одному свичу или одному интерфейсу маршрутизатора).
-
Но благодаря VLAN они оказываются в разных изолированных сегментах.
Пример:
-
У вас есть один коммутатор и 20 компьютеров.
-
10 компьютеров — бухгалтерия, 10 — отдел продаж.
-
Без VLAN — все они в одной подсети, могут видеть друг друга, возможны конфликты и риски безопасности.
-
С VLAN — бухгалтерия и продажи разделены, как будто это два разных коммутатора и две разные сети.
2. Зачем нужны VLAN
- Безопасность — сотрудники отдела продаж не смогут подключиться к компьютерам бухгалтерии.
- Снижение широковещательного трафика — каждое VLAN имеет свой broadcast-домен.
- Управление сетью — проще назначать правила, ограничивать скорость, фильтровать трафик.
- Гибкость — можно «смешивать» пользователей: например, бухгалтерия может сидеть на разных этажах, но логически будет в одном VLAN.
3. Основные принципы работы VLAN
-
Каждый пакет в сети Ethernet имеет специальное VLAN-тегирование (802.1Q).
-
Тег содержит номер VLAN (от 1 до 4094).
-
Коммутатор или маршрутизатор по тегу понимает, к какой логической сети принадлежит кадр.
Виды портов на коммутаторе:
-
Access-порт — работает только с одним VLAN (обычно для подключения компьютеров).
-
Trunk-порт — пропускает трафик с несколькими VLAN, пакеты передаются с тегами (обычно для связи коммутаторов или маршрутизаторов).
4. VLAN и маршрутизация
-
VLAN — это разделение на уровне L2 (канальный уровень).
-
Чтобы устройства из разных VLAN могли общаться, нужен маршрутизатор или L3-коммутатор.
Варианты:
- Router-on-a-stick (роутер с одним интерфейсом, на котором поднимаются подинтерфейсы VLAN).
- L3-свитч (умеет сам маршрутизировать между VLAN).
- Микротик/любая L3-OS — создаём VLAN-интерфейсы и настраиваем маршруты.
5. DHCP и VLAN
DHCP можно настроить на каждый VLAN отдельно.
-
Например, VLAN 10 (бухгалтерия) → сеть 192.168.10.0/24.
-
VLAN 20 (продажи) → сеть 192.168.20.0/24.
-
DHCP сервер выдаёт адреса в зависимости от VLAN.
Это важно: если оставить один DHCP на все VLAN, то произойдёт «перемешивание» адресов.
6. Реальные сценарии использования VLAN
Сценарий 1. Малый офис
-
Один MikroTik + управляемый свич.
-
VLAN 10 — бухгалтерия (192.168.10.0/24).
-
VLAN 20 — продажи (192.168.20.0/24).
-
VLAN 30 — Wi-Fi для гостей (192.168.30.0/24, без доступа к внутренним ресурсам).
Сценарий 2. Камеры видеонаблюдения
-
VLAN 40 — видеокамеры (192.168.40.0/24).
-
VLAN 41 — регистратор.
-
Нет выхода в интернет, только доступ к регистратору.
Сценарий 3. Крупное предприятие
-
VLAN по отделам: бухгалтерия, продажи, техподдержка, ИТ.
-
VLAN для серверов и виртуализации.
-
VLAN для VoIP телефонии (QoS + приоритет).
-
VLAN для Wi-Fi гостей (изолированный).
7. VLAN в MikroTik (пример конфигурации)
На MikroTik с одним физическим интерфейсом (router-on-a-stick):
Теперь:
-
ПК бухгалтерии подключается в порт свича, где access VLAN 10 → получает адрес 192.168.10.X.
-
ПК отдела продаж → access VLAN 20 → получает 192.168.20.X.
8. Плюсы и минусы VLAN
Плюсы:
-
Экономия оборудования (одна физическая сеть — много логических).
-
Безопасность и контроль доступа.
-
Оптимизация широковещательных пакетов.
-
Гибкость в управлении сетью.
Минусы:
-
Требует управляемого оборудования.
-
Ошибки конфигурации приводят к «потерянным» пакетам.
-
При большом количестве VLAN — сложнее администрировать.
9. Когда VLAN особенно полезны
-
Когда несколько отделов в одной физической сети, но требуется разделение.
-
При создании гостевого Wi-Fi с ограничениями.
-
Для VoIP, видеонаблюдения, IoT — чтобы не мешать основной сети.
-
В дата-центрах — для разделения клиентов или сервисов.
✅ Вывод: VLAN — это основа сегментации сети. Они позволяют «разделить» сеть без физического разделения кабелей, повысить безопасность, уменьшить нагрузку и гибко управлять доступом.