VLAN
Что такое VLAN?
У вас дома одна сеть. Роутер, к нему — ноутбук с банковским приложением, рабочий компьютер с VPN в офис, телефоны, планшет ребёнка. И рядом — двадцать китайских Zigbee-розеток, восемь IP-камер непонятного происхождения, умный телевизор, который шлёт телеметрию куда-то в Азию, и робот-пылесос с облаком в Китае. Все эти устройства видят друг друга. Камера может «достучаться» до рабочего ноутбука. Робот-пылесос теоретически имеет доступ к сетевому хранилищу с фотографиями. Это не паранойя — это реальность плоской домашней сети.
VLAN решает эту проблему, разделяя одну физическую сеть на несколько изолированных виртуальных.
Что такое VLAN
VLAN (Virtual Local Area Network, виртуальная локальная сеть) — это технология, которая позволяет разделить одну физическую сеть на несколько логически изолированных сегментов. Устройства в одном VLAN видят друг друга. Устройства в разных VLAN — не видят, как если бы они были подключены к разным роутерам в разных зданиях.
Физически всё по-прежнему проходит через один коммутатор, один роутер, один кабель. Но логически — это разные сети с разными IP-адресами, разными правилами и разным уровнем доступа. Разделение происходит на уровне кадров Ethernet: каждый кадр получает метку (тег) с номером VLAN. Коммутатор, получив кадр с тегом VLAN 10, передаёт его только на порты, принадлежащие VLAN 10. Порты VLAN 20 этот кадр не увидят.
Стандарт — IEEE 802.1Q. Поддерживается всеми управляемыми коммутаторами и большинством продвинутых роутеров, включая OpenWrt.
Зачем это в умном доме
Безопасность
Главная причина. IoT-устройства — это потенциальная брешь в безопасности домашней сети. IP-камеры дешёвых брендов регулярно попадают в новости из-за уязвимостей и бэкдоров. Wi-Fi-розетки с облачной прошивкой общаются с серверами, которые вы не контролируете. Любое скомпрометированное устройство, находящееся в одной сети с вашими компьютерами, может стать точкой входа для атаки.
VLAN изолирует IoT-устройства от всего остального. Камера видит только NVR (Frigate). Розетка видит только MQTT-брокер. Робот-пылесос видит только своё облако (если вы решили его туда пустить). Но ни одно из этих устройств не видит ваш ноутбук, NAS, рабочий VPN или телефоны.
Даже если камера взломана — злоумышленник оказывается в изолированном сегменте, откуда нет доступа к остальной сети. Это не абсолютная защита, но порог для атаки вырастает радикально.
Контроль трафика
В отдельном VLAN можно настроить собственные правила файрвола. Запретить IoT-устройствам доступ в интернет (зачем Zigbee-координатору интернет?). Разрешить камерам общаться только с NVR. Пустить робота-пылесоса только на серверы производителя и никуда больше. Без VLAN такие правила применить сложно — все устройства в одной подсети, фильтрация по IP-адресам неудобна и ненадёжна.
Стабильность
IoT-устройства бывают шумными. Дешёвая Wi-Fi-лампочка может рассылать широковещательные пакеты, мультикаст-трафик или просто забивать эфир переподключениями. В отдельном VLAN этот «мусор» не влияет на основную сеть — ваш видеозвонок не прервётся из-за того, что десять Tuya-розеток одновременно решили переподключиться к Wi-Fi.
Организация
VLAN привносит порядок. Вместо одной свалки из 50 устройств с адресами 192.168.1.x — три-четыре аккуратных сегмента, каждый со своим назначением и своими правилами. Легче отлаживать, легче мониторить, легче понимать, что к чему.
Типичная VLAN-структура для умного дома
Количество VLAN и их назначение — вопрос личных предпочтений и масштаба инсталляции. Но типичная схема выглядит примерно так.
VLAN 1 (или untagged) — основная (доверенная) сеть. Ноутбуки, телефоны, планшеты, NAS. Устройства, которым вы доверяете и которые имеют доступ ко всему.
VLAN 10 — серверная / инфраструктура. Home Assistant, Mosquitto, Zigbee2MQTT, Frigate, InfluxDB, Grafana, DNS-сервер (AdGuard Home / Pi-hole). Сердце умного дома. Доступ — только из основной сети (для администрирования) и из IoT-сетей (для обмена данными, с ограничениями).
VLAN 20 — IoT-устройства. Wi-Fi-розетки, лампочки, роботы-пылесосы, кондиционеры с Wi-Fi, стиральные машины. Устройства, которым нужен интернет (для облака), но которые не должны видеть основную сеть. Доступ в интернет — ограниченный (только серверы производителя). Доступ к основной сети — запрещён. Доступ к серверному VLAN — только к MQTT-брокеру и Home Assistant (конкретные порты).
VLAN 30 — камеры / видеонаблюдение. IP-камеры, NVR. Полная изоляция от интернета — камерам незачем звонить домой. Доступ — только к Frigate (через RTSP). Камеры не видят основную сеть, не видят IoT, не видят ничего, кроме NVR.
VLAN 40 — гостевая сеть. Wi-Fi для гостей. Доступ в интернет — да. Доступ к домашней сети — нет. Изоляция клиентов друг от друга (AP isolation) — желательно.
Это не догма, а отправная точка. Кто-то объединяет IoT и камеры в один VLAN. Кто-то выделяет отдельный VLAN для медиа-устройств (телевизоры, приставки). Структура зависит от ваших потребностей и уровня паранойи.
Что нужно для VLAN
Управляемый коммутатор
Обычный домашний коммутатор (неуправляемый) не поддерживает VLAN. Нужен управляемый (managed) или хотя бы «умный» (smart) коммутатор с поддержкой 802.1Q.
TP-Link TL-SG108E (8 портов, smart, поддержка VLAN, около 2500 рублей) — бюджетный вариант. Работает, настраивается через веб-интерфейс. Для домашнего использования — достаточно.
TP-Link Omada серия, Ubiquiti UniFi Switch, MikroTik CRS — более продвинутые варианты с полноценным управлением, мониторингом и интеграцией с контроллерами.
Если нужен PoE — выбирайте управляемый PoE-коммутатор с поддержкой VLAN. Два требования совмещаются в одном устройстве.
Роутер с поддержкой VLAN
Роутер должен уметь создавать виртуальные интерфейсы для каждого VLAN, назначать им IP-адреса (подсети) и маршрутизировать трафик между ними (inter-VLAN routing) с правилами файрвола.
OpenWrt — поддерживает VLAN полностью. Любой роутер с OpenWrt может стать центром VLAN-инфраструктуры. Настройка — через LuCI (веб-интерфейс) или UCI (командная строка).
MikroTik RouterOS — поддержка VLAN из коробки, гибкая настройка файрвола. Популярный выбор для продвинутых домашних сетей.
pfSense / OPNsense — на мини-ПК или виртуальной машине. Полноценный файрвол с поддержкой VLAN, IDS/IPS, VPN.
Обычные потребительские роутеры (TP-Link Archer, ASUS RT, Keenetic) в стоковой прошивке VLAN поддерживают ограниченно или не поддерживают вовсе. Keenetic умеет делать сегменты и изоляцию гостевой сети, но полноценных 802.1Q VLAN с тегированием — нет (или только через CLI и неофициальные методы). Если VLAN — серьёзная задача, OpenWrt или MikroTik — правильный путь.
Точка доступа Wi-Fi с поддержкой нескольких SSID
Для разделения Wi-Fi-устройств по VLAN нужна точка доступа, которая умеет транслировать несколько SSID (имён сети) и привязывать каждый к своему VLAN.
Ubiquiti UniFi AP, TP-Link Omada EAP, MikroTik hAP — все поддерживают множественные SSID с VLAN-тегами. Одна точка доступа, три Wi-Fi сети: «Home» (VLAN 1), «IoT» (VLAN 20), «Guest» (VLAN 40). Устройства подключаются к нужной сети, попадают в нужный VLAN.
OpenWrt на роутере с Wi-Fi тоже позволяет создать несколько SSID с привязкой к VLAN.
Как устройства из разных VLAN общаются
По умолчанию — никак. В этом и смысл. Но умному дому нужна связь между сегментами: IoT-устройства должны общаться с Home Assistant, камеры — с Frigate. Как это организовать?
Inter-VLAN routing с правилами файрвола. Роутер маршрутизирует трафик между VLAN, но файрвол пропускает только разрешённые соединения. Пример правил:
- VLAN 20 (IoT) → VLAN 10 (серверы): разрешить только TCP порт 1883 (MQTT) на IP-адрес Mosquitto. Всё остальное — запретить.
- VLAN 30 (камеры) → VLAN 10 (серверы): разрешить только RTSP (порт 554) на IP-адрес Frigate.
- VLAN 20 (IoT) → интернет: разрешить только DNS и HTTPS на конкретные домены (серверы производителей). Или запретить полностью.
- VLAN 1 (основная) → всё: разрешить (вы доверяете своим устройствам).
- VLAN 40 (гостевая) → VLAN 1/10/20/30: запретить всё.
Конкретная реализация зависит от роутера. В OpenWrt — через настройки файрвола и зон. В pfSense — через правила файрвола для каждого интерфейса.
mDNS relay. Некоторые устройства обнаруживают друг друга через mDNS (multicast DNS). Chromecast ищет точку управления, Home Assistant обнаруживает устройства по mDNS. Мультикаст не проходит между VLAN. Если обнаружение нужно — настройте mDNS relay (avahi-daemon в OpenWrt, igmpproxy или аналоги). Это пробрасывает мультикаст-объявления между VLAN, не открывая полного доступа.
Типичные ошибки
Слишком сложная структура. Десять VLAN в квартире с двадцатью устройствами — перебор. Чем больше VLAN, тем больше правил файрвола, тем сложнее отладка. Для большинства домашних инсталляций три-четыре VLAN — оптимум.
Забыли про mDNS/SSDP. Устройства перестают обнаруживаться после разделения по VLAN. Chromecast не виден с телефона, принтер не находится, Home Assistant не обнаруживает интеграции. Решение — mDNS relay или ручная настройка IP-адресов.
Заблокировали себе доступ. Неправильное правило файрвола — и вы не можете зайти в веб-интерфейс роутера. Перед применением правил убедитесь, что у вас есть резервный способ доступа: консольный порт, физический доступ к роутеру, таймер автоотката изменений.
IoT-устройства, которые не работают без интернета. Некоторые облачные устройства (Tuya, Xiaomi) отказываются работать, если не могут связаться с облаком. Полная блокировка интернета для IoT VLAN может «сломать» такие устройства. Решение: разрешить доступ к серверам производителя (по доменам или IP) или переход на локально управляемые устройства (Tasmota, ESPHome, Shelly).
Проблемы с DHCP. Каждый VLAN — отдельная подсеть, каждой подсети нужен свой DHCP-сервер (или один сервер, обслуживающий несколько подсетей). Если DHCP не настроен для нового VLAN — устройства не получат IP-адрес.
Нужен ли VLAN именно вам
Честный ответ: не всем. VLAN — это инструмент сетевой гигиены, но он требует оборудования, знаний и времени на настройку. Если у вас пять Zigbee-датчиков, пара умных розеток и Home Assistant на Raspberry Pi — VLAN, скорее всего, избыточен.
VLAN становится оправданным, когда появляются IP-камеры (особенно китайские, особенно с доступом в интернет), когда IoT-устройств больше десятка, когда в сети есть рабочие компьютеры с доступом к корпоративным ресурсам, когда вы хотите гостевую сеть с изоляцией.
Можно начать без VLAN и добавить его позже. Главное — при планировании сети купить управляемый коммутатор вместо неуправляемого. Разница в цене — тысяча рублей. Разница в возможностях — принципиальная.
Что в итоге
VLAN — это невидимые стены внутри вашей сети. Снаружи — один роутер, один коммутатор, один дом. Внутри — изолированные зоны, каждая со своими правилами и правами. Камера не видит ноутбук. Робот-пылесос не видит NAS. Гостевой телефон не видит вообще ничего, кроме интернета.
Для умного дома с десятками IoT-устройств VLAN — не паранойя, а гигиена. Такая же, как пароль на Wi-Fi или обновление прошивки роутера. Необязательно, чтобы работало. Но обязательно, чтобы работало безопасно.
Статья подготовлена на основе стандарта IEEE 802.1Q, документации OpenWrt и материалов сообщества. Все упомянутые торговые марки принадлежат их правообладателям. Материал носит информационный характер и не является рекламой.