Загрузка

VLAN и сегментация сети: подробное руководство

В этой статье разберём, что такое VLAN, зачем они нужны, как работают на практике, и как использовать их в реальных сценариях — от небольшого офиса до крупного предприятия.

1. Что такое VLAN

VLAN (Virtual Local Area Network) — это технология разделения одной физической сети на несколько логических подсетей.

  • Все устройства подключены к одному «железу» (например, к одному свичу или одному интерфейсу маршрутизатора).

  • Но благодаря VLAN они оказываются в разных изолированных сегментах.

Пример:

  • У вас есть один коммутатор и 20 компьютеров.

  • 10 компьютеров — бухгалтерия, 10 — отдел продаж.

  • Без VLAN — все они в одной подсети, могут видеть друг друга, возможны конфликты и риски безопасности.

  • С VLAN — бухгалтерия и продажи разделены, как будто это два разных коммутатора и две разные сети.

2. Зачем нужны VLAN

  1. Безопасность — сотрудники отдела продаж не смогут подключиться к компьютерам бухгалтерии.
  2. Снижение широковещательного трафика — каждое VLAN имеет свой broadcast-домен.
  3. Управление сетью — проще назначать правила, ограничивать скорость, фильтровать трафик.
  4. Гибкость — можно «смешивать» пользователей: например, бухгалтерия может сидеть на разных этажах, но логически будет в одном VLAN.

3. Основные принципы работы VLAN

  • Каждый пакет в сети Ethernet имеет специальное VLAN-тегирование (802.1Q).

  • Тег содержит номер VLAN (от 1 до 4094).

  • Коммутатор или маршрутизатор по тегу понимает, к какой логической сети принадлежит кадр.

Виды портов на коммутаторе:

  • Access-порт — работает только с одним VLAN (обычно для подключения компьютеров).

  • Trunk-порт — пропускает трафик с несколькими VLAN, пакеты передаются с тегами (обычно для связи коммутаторов или маршрутизаторов).

4. VLAN и маршрутизация

  • VLAN — это разделение на уровне L2 (канальный уровень).

  • Чтобы устройства из разных VLAN могли общаться, нужен маршрутизатор или L3-коммутатор.

Варианты:

  1. Router-on-a-stick (роутер с одним интерфейсом, на котором поднимаются подинтерфейсы VLAN).
  2. L3-свитч (умеет сам маршрутизировать между VLAN).
  3. Микротик/любая L3-OS — создаём VLAN-интерфейсы и настраиваем маршруты.

5. DHCP и VLAN

DHCP можно настроить на каждый VLAN отдельно.

  • Например, VLAN 10 (бухгалтерия) → сеть 192.168.10.0/24.

  • VLAN 20 (продажи) → сеть 192.168.20.0/24.

  • DHCP сервер выдаёт адреса в зависимости от VLAN.

Это важно: если оставить один DHCP на все VLAN, то произойдёт «перемешивание» адресов.

6. Реальные сценарии использования VLAN

Сценарий 1. Малый офис

  • Один MikroTik + управляемый свич.

  • VLAN 10 — бухгалтерия (192.168.10.0/24).

  • VLAN 20 — продажи (192.168.20.0/24).

  • VLAN 30 — Wi-Fi для гостей (192.168.30.0/24, без доступа к внутренним ресурсам).

Сценарий 2. Камеры видеонаблюдения

  • VLAN 40 — видеокамеры (192.168.40.0/24).

  • VLAN 41 — регистратор.

  • Нет выхода в интернет, только доступ к регистратору.

Сценарий 3. Крупное предприятие

  • VLAN по отделам: бухгалтерия, продажи, техподдержка, ИТ.

  • VLAN для серверов и виртуализации.

  • VLAN для VoIP телефонии (QoS + приоритет).

  • VLAN для Wi-Fi гостей (изолированный).

7. VLAN в MikroTik (пример конфигурации)

На MikroTik с одним физическим интерфейсом (router-on-a-stick):

/interface vlan
add interface=ether1 name=vlan10 vlan-id=10
add interface=ether1 name=vlan20 vlan-id=20

/ip address
add address=192.168.10.1/24 interface=vlan10
add address=192.168.20.1/24 interface=vlan20

/ip pool
add name=pool10 ranges=192.168.10.10-192.168.10.100
add name=pool20 ranges=192.168.20.10-192.168.20.100

/ip dhcp-server
add name=dhcp10 interface=vlan10 address-pool=pool10 disabled=no
add name=dhcp20 interface=vlan20 address-pool=pool20 disabled=no

Теперь:

  • ПК бухгалтерии подключается в порт свича, где access VLAN 10 → получает адрес 192.168.10.X.

  • ПК отдела продаж → access VLAN 20 → получает 192.168.20.X.

8. Плюсы и минусы VLAN

Плюсы:

  • Экономия оборудования (одна физическая сеть — много логических).

  • Безопасность и контроль доступа.

  • Оптимизация широковещательных пакетов.

  • Гибкость в управлении сетью.

Минусы:

  • Требует управляемого оборудования.

  • Ошибки конфигурации приводят к «потерянным» пакетам.

  • При большом количестве VLAN — сложнее администрировать.

9. Когда VLAN особенно полезны

  • Когда несколько отделов в одной физической сети, но требуется разделение.

  • При создании гостевого Wi-Fi с ограничениями.

  • Для VoIP, видеонаблюдения, IoT — чтобы не мешать основной сети.

  • В дата-центрах — для разделения клиентов или сервисов.

Вывод: VLAN — это основа сегментации сети. Они позволяют «разделить» сеть без физического разделения кабелей, повысить безопасность, уменьшить нагрузку и гибко управлять доступом.