Аудит и модернизация сетевой инфраструктуры: от VLAN до многофакторной авторизации

Задача

Клиент — компания среднего размера с ИТ-ландшафтом, сложившимся стихийно за 5 лет: разнородное сетевое оборудование, отсутствие сегментации, единый широковещательный домен, ручная настройка пользователей. Это приводило к:

• частым сетевым сбоям из-за «штормов» в LAN,
• невозможности контролировать доступ к серверам,
• отсутствию учёта устройств (в том числе IoT),
• высоким рискам при компрометации одной рабочей станции.

Требовалось провести полный аудит, модернизировать сеть и внедрить многофакторную авторизацию — всё в рамках существующего бюджета и без остановки бизнеса.

Решение

Мы выполнили проект в три этапа: аудит, проектирование, внедрение.

Этап 1. Аудит и документирование

• Провели инвентаризацию всего сетевого оборудования: от коммутаторов MikroTik до старых неуправляемых хабов.
• Сканировали топологию с помощью Zabbix и ручного анализа ARP-таблиц.
• Выявили 120+ устройств без учётных записей, включая IP-камеры, кондиционеры и принтеры.
• Зафиксировали отсутствие политик безопасности, VLAN, QoS, резервирования каналов.

Этап 2. Проектирование новой архитектуры

На основе аудита предложили новую схему:

• Централизованный ядро-агрегатный backbone на базе управляемых коммутаторов MikroTik,
• Сегментация через VLAN:
• VLAN 10 — серверная зона,
• VLAN 20 — пользователи,
• VLAN 30 — IoT (камеры, климатика),
• VLAN 40 — гостевой Wi-Fi,
• VLAN 50 — СКУД и системы безопасности.
• DHCP-сервер с резервированием по MAC-адресу для критичных устройств,
• Изолированные порты (port isolation) в сегменте IoT,
• 802.1X для проводных рабочих мест (опционально),
• Многофакторная авторизация через «Мультифактор» при подключении к Wi-Fi и удалённому доступу.

Этап 3. Внедрение без простоя

• Постепенная замена оборудования в нерабочее время.
• Постепенный переход на VLAN: сначала сервера, затем пользователи, потом IoT.
• Настройка ACL между зонами: например, IoT может отправлять данные только на сервер мониторинга, но не в интернет.
• Интеграция «Мультифактор» с RADIUS-сервером и точками доступа MikroTik CAPsMAN.
• Настройка мониторинга через «Пульт»: отслеживание состояния портов, температуры, ошибок CRC, загрузки CPU на коммутаторах.
• Обучение администратора: как добавлять новые устройства, менять политики, диагностировать сбои.

Особое внимание — бесшовному переходу: ни один пользователь не заметил момента переключения.

Результат

• Сеть разделена на логические зоны безопасности — даже при заражении одной станции угроза не распространяется дальше.
• Трафик IoT изолирован, не создаёт нагрузки на пользовательский сегмент.
• Все устройства теперь учтены и под контролем.
• Подключение к Wi-Fi требует второго фактора — даже с правильным паролем.
• Система работает полностью локально, без зависимости от облаков.
• Администратор видит всю сеть в одном интерфейсе — от ARP-таблиц до истории алертов.

Сегодня ИТ-инфраструктура клиента — не источник рисков, а стабильная платформа для роста бизнеса.