Сегментация и изоляция устройств в MikroTik: VLAN, DHCP и контроль доступа

Введение

Когда в доме или офисе много разных устройств — камеры, телевизоры, IoT, рабочие ПК — правильная сегментация сети становится ключом к безопасности и стабильности. В этой статье мы создадим VLAN-сегменты, настроим для них DHCP и покажем, как изолировать или объединять устройства по необходимости.

1. Что такое VLAN и зачем они нужны

VLAN (Virtual LAN) — это способ логически разделить устройства в сети, даже если они физически подключены к одному роутеру или коммутатору.

• IoT-сеть — для камер, ламп, умных розеток
• Домашняя сеть — телефоны, ноутбуки
• Медиа-сеть — ТВ, приставки
• Рабочая сеть — ПК, серверы, принтеры

Это позволяет изолировать устройства, ограничить доступ к важным данным, и даже применять разные настройки безопасности или VPN.

2. Настройка VLAN на MikroTik

Пример: создаём 4 VLAN на интерфейсе ether2

/interface vlan
add name=vlan10-iot vlan-id=10 interface=ether2
add name=vlan20-home vlan-id=20 interface=ether2
add name=vlan30-media vlan-id=30 interface=ether2
add name=vlan40-work vlan-id=40 interface=ether2

Создаём bridge и добавляем VLAN:

/interface bridge
add name=bridge-vlan

/interface bridge port
add bridge=bridge-vlan interface=vlan10-iot
add bridge=bridge-vlan interface=vlan20-home
add bridge=bridge-vlan interface=vlan30-media
add bridge=bridge-vlan interface=vlan40-work

3. Настройка DHCP-серверов для каждой VLAN

Пример: для VLAN10

/ip pool add name=pool-vlan10 ranges=192.168.10.10-192.168.10.254
/ip dhcp-server add name=dhcp-vlan10 interface=vlan10-iot address-pool=pool-vlan10 lease-time=1h
/ip dhcp-server network add address=192.168.10.0/24 gateway=192.168.10.1 dns-server=192.168.10.1

Аналогично — для VLAN20, VLAN30 и VLAN40 с сетями 192.168.20.0/24, 192.168.30.0/24, 192.168.40.0/24.

4. Назначение IP-адресов интерфейсам VLAN

/ip address
add address=192.168.10.1/24 interface=vlan10-iot
add address=192.168.20.1/24 interface=vlan20-home
add address=192.168.30.1/24 interface=vlan30-media
add address=192.168.40.1/24 interface=vlan40-work

5. Базовая изоляция VLAN с помощью Firewall

Запретим доступ между сетями, кроме рабочих устройств:

/ip firewall filter
add chain=forward action=drop src-address=192.168.10.0/24 dst-address=192.168.20.0/24 comment="Block IoT → Home"
add chain=forward action=drop src-address=192.168.10.0/24 dst-address=192.168.30.0/24 comment="Block IoT → Media"
add chain=forward action=accept src-address=192.168.40.0/24 comment="Allow Work Access"
add chain=forward action=drop comment="Block Other"

Или можно настроить доступ к NAS или принтеру только из VLAN40.

6. Советы по физической и беспроводной реализации

• Поддержка VLAN необходима на коммутаторах и Wi-Fi точках доступа
• Для Wi-Fi лучше использовать CAPsMAN или точки доступа с VLAN tagging
• Можно создать отдельные SSID для каждой сети: Home Wi-Fi, IoT Wi-Fi и т.д.

Заключение

Теперь вы можете разделить вашу сеть на логические зоны с разными уровнями доступа и безопасности. Это особенно важно, если у вас в сети есть как домашние устройства, так и важные рабочие системы.

📌 Следующая часть: «Изоляция, маршруты и доступ между VLAN: как управлять связями»