Сегментацията на мрежата с VLAN е една от най-евтините и ефективни мерки за сигурност в офис среда. С MikroTik рутер можете да отделите Wi-Fi за гости, IoT устройства, работни компютри и сървъри в отделни VLAN-и за под 30 минути работа. Това ръководство показва как да го направите на RouterOS 7 със стандартен подход "bridge VLAN filtering".
Какво ще постигнем
- VLAN 10 — Management
- VLAN 20 — Staff (служители)
- VLAN 30 — Guest Wi-Fi (изолиран от вътрешната мрежа)
- VLAN 40 — IoT (камери, принтери)
- VLAN 50 — Servers
Стъпка 1: Подгответе bridge
/interface bridge
add name=bridge1 vlan-filtering=no protocol-mode=noneВнимание: първоначално оставете vlan-filtering=no, за да не загубите достъп.
Стъпка 2: Добавете портовете (trunk vs access)
# ether2 — trunk
/interface bridge port
add bridge=bridge1 interface=ether2 frame-types=admit-only-vlan-tagged
# ether3 — access за Staff
add bridge=bridge1 interface=ether3 pvid=20 frame-types=admit-only-untagged-and-priority-tagged
# ether4 — access за IoT
add bridge=bridge1 interface=ether4 pvid=40 frame-types=admit-only-untagged-and-priority-tagged
# ether5 — access за Servers
add bridge=bridge1 interface=ether5 pvid=50 frame-types=admit-only-untagged-and-priority-taggedСтъпка 3: Дефинирайте VLAN-ите
/interface bridge vlan
add bridge=bridge1 vlan-ids=10 tagged=bridge1,ether2
add bridge=bridge1 vlan-ids=20 tagged=bridge1,ether2 untagged=ether3
add bridge=bridge1 vlan-ids=30 tagged=bridge1,ether2
add bridge=bridge1 vlan-ids=40 tagged=bridge1,ether2 untagged=ether4
add bridge=bridge1 vlan-ids=50 tagged=bridge1,ether2 untagged=ether5Стъпка 4: VLAN интерфейси върху bridge
/interface vlan
add interface=bridge1 name=vlan10-mgmt vlan-id=10
add interface=bridge1 name=vlan20-staff vlan-id=20
add interface=bridge1 name=vlan30-guest vlan-id=30
add interface=bridge1 name=vlan40-iot vlan-id=40
add interface=bridge1 name=vlan50-servers vlan-id=50Стъпка 5: IP адреси и DHCP
/ip address
add address=10.10.10.1/24 interface=vlan10-mgmt
add address=10.10.20.1/24 interface=vlan20-staff
add address=10.10.30.1/24 interface=vlan30-guest
add address=10.10.40.1/24 interface=vlan40-iot
add address=10.10.50.1/24 interface=vlan50-servers
/ip pool
add name=pool-staff ranges=10.10.20.100-10.10.20.250
add name=pool-guest ranges=10.10.30.100-10.10.30.250
add name=pool-iot ranges=10.10.40.100-10.10.40.250
/ip dhcp-server
add address-pool=pool-staff interface=vlan20-staff name=dhcp-staff
add address-pool=pool-guest interface=vlan30-guest name=dhcp-guest
add address-pool=pool-iot interface=vlan40-iot name=dhcp-iotСтъпка 6: Firewall — изолация между VLAN-и
Без изрични правила всички VLAN-и могат да си говорят. Това е основната грешка.
/ip firewall filter
add chain=forward action=accept connection-state=established,related
# Изолирай Guest от всички вътрешни
add chain=forward action=drop in-interface=vlan30-guest out-interface-list=!WAN
# IoT не може към Staff и Servers
add chain=forward action=drop in-interface=vlan40-iot out-interface=vlan20-staff
add chain=forward action=drop in-interface=vlan40-iot out-interface=vlan50-servers
# Staff може към Servers
add chain=forward action=accept in-interface=vlan20-staff out-interface=vlan50-serversСтъпка 7: Активирайте VLAN filtering
/interface bridge set bridge1 vlan-filtering=yesПреди да го направите, уверете се, че имате достъп до рутер от друго място или сте свързани с конзолен кабел.
Wi-Fi VLAN
/interface wireless
set wlan1 vlan-id=20 vlan-mode=use-tag ssid=Office-Staff
set wlan2 vlan-id=30 vlan-mode=use-tag ssid=Guest-WiFiЧести грешки
- Активиране на vlan-filtering преди да създадете правила → загуба на достъп.
- Trunk порт без правилни tagged VLAN-и → switch-ите не виждат VLAN-ите.
- Един VLAN на два различни pvid-а → loop / странно поведение.
- Липсваща изолация на Guest → security дупка.
Имате нужда от помощ с MikroTik setup или одит? Услугата MikroTik конфигурация покрива дизайн, инсталация, мониторинг и обучение. Свържете се с нас.
