Вступ

У мережах на базі MikroTik одним із найбільш коректних і масштабованих підходів до сегментації є використання VLAN-інтерфейсів у поєднанні з IP Firewall. Такий підхід дозволяє будувати зрозумілу логіку доступу між сегментами, не прив’язуючись жорстко до IP-адресації та зберігаючи високий рівень керованості.

У цій статті розглянуто повний цикл налаштування сегментації мережі через VLAN-інтерфейси: від базової архітектури до контролю міжсегментного трафіку.

Чому саме VLAN-інтерфейси

Основні переваги

• логічна прив’язка правил доступу до сегмента, а не до IP

• висока читабельність firewall-правил

• зручне масштабування

• відповідність enterprise-підходам

• відсутність залежності від зміни IP-плану

Чим VLAN-інтерфейси відрізняються від VLAN ID

• VLAN ID — L2-тег (802.1Q), використовується на bridge

• VLAN-інтерфейс — логічний L3-інтерфейс у RouterOS

IP firewall працює саме з інтерфейсами, а не з VLAN ID напряму.

Типова архітектура сегментованої мережі

Крок 1. Створення bridge з підтримкою VLAN

/interface bridge
add name=bridge-main vlan-filtering=yes

Крок 2. Додавання фізичних портів до bridge

/interface bridge port
add bridge=bridge-main interface=ether1    # trunk
add bridge=bridge-main interface=ether2    # users
add bridge=bridge-main interface=ether3    # servers
add bridge=bridge-main interface=ether4    # guest

Крок 3. Налаштування VLAN на bridge

/interface bridge vlan
add bridge=bridge-main vlan-ids=10 tagged=bridge-main,ether1 untagged=ether2
add bridge=bridge-main vlan-ids=20 tagged=bridge-main,ether1 untagged=ether3
add bridge=bridge-main vlan-ids=40 tagged=bridge-main,ether1 untagged=ether4

Крок 4. Створення VLAN-інтерфейсів

/interface vlan
add name=vlan10-users vlan-id=10 interface=bridge-main
add name=vlan20-servers vlan-id=20 interface=bridge-main
add name=vlan30-mgmt vlan-id=30 interface=bridge-main
add name=vlan40-guest vlan-id=40 interface=bridge-main

Крок 5. IP-адресація VLAN-інтерфейсів

/ip address
add address=192.168.10.1/24 interface=vlan10-users
add address=192.168.20.1/24 interface=vlan20-servers
add address=192.168.30.1/24 interface=vlan30-mgmt
add address=192.168.40.1/24 interface=vlan40-guest

Крок 6. Базова логіка міжсегментного доступу

Принцип “deny by default”

/ip firewall filter
add chain=forward action=drop comment="Default inter-VLAN deny"

Правило повинно бути в кінці chain=forward.

Крок 7. Контроль доступу через VLAN-інтерфейси

Заборонити Users → Servers

/ip firewall filter
add chain=forward in-interface=vlan10-users out-interface=vlan20-servers action=drop comment="Block users to servers"

Дозволити HTTPS доступ до конкретного сервера

/ip firewall filter
add chain=forward in-interface=vlan10-users out-interface=vlan20-servers \
protocol=tcp dst-port=443 action=accept

Крок 8. Ізоляція гостьової мережі

/ip firewall filter
add chain=forward in-interface=vlan40-guest out-interface=!ether1 action=drop comment="Guest isolation"

Гості мають доступ лише до WAN.

Крок 9. Захист мережі керування (Management VLAN)

Доступ до керування тільки з mgmt VLAN

/ip firewall filter
add chain=input in-interface=!vlan30-mgmt action=drop comment="Protect management"

/ip service
set winbox address=192.168.30.0/24
set ssh address=192.168.30.0/24

Крок 10. Рекомендовані best practices

• іменувати VLAN-інтерфейси зрозуміло (vlan10-users)

• використовувати interface-based firewall

• документувати VLAN та IP-план

• не змішувати L2 та L3 фільтрацію без потреби

• використовувати interface-lists у великих мережах

Типові помилки

• використання лише IP-адрес у firewall

• відсутність default deny

• доступ до керування з користувацьких VLAN

• вимкнений vlan-filtering на bridge