Оптимизация сетевой инфраструктуры для максимальной производительности

Прежде чем что-то менять, стоит понять — а что именно ломается. Большинство жалоб на «медленный интернет» в офисе имеют вполне конкретные технические причины.

Самые частые из них:

• Устаревшее оборудование. Свитч на 100 Мбит/с в офисах с активным внутренним трафиком или большим количеством сотрудников — типичное узкое место. На практике гигабитный свитч оказывается быстрее в 10 раз, но для совсем маленьких офисов (до 5–7 человек) 100 Мбит/с может быть ещё приемлемо. Оценивайте свою ситуацию.
• Плоская сеть без сегментации. Когда все устройства в одной подсети, широковещательный (broadcast) трафик создаёт постоянную фоновую нагрузку. Это не «шторм» в аварийном смысле, но чем больше устройств — тем заметнее падение производительности. Решается сегментацией на VLAN.
• Отсутствие приоритетов трафика. Если IP-телефония и автоматическое обновление Windows конкурируют за канал на равных, звонки будут прерываться.
• Перегруженная Wi-Fi-точка. Одна точка доступа на 40 сотрудников — это очередь, а не сеть.
• Нет мониторинга. Никто не видит, что канал забит до отказа с 9:00 до 10:00 каждый день.

Оптимизация без диагностики — это как лечить пациента, не зная диагноза. Аудит занимает от нескольких часов до пары дней и даёт конкретные данные для принятия решений.

Что нужно зафиксировать:

• Схему сети — физическую (кто к чему подключён физически) и логическую (IP-адреса, VLAN, маршруты). Инструмент: draw.io или Visio.
• Загрузку каналов — особенно в пиковые часы. Инструменты: Zabbix, PRTG, ntopng.
• Латентность и потери пакетов между ключевыми узлами — командами ping и tracert (Windows) или MTR (Linux).
• Список оборудования с моделями, прошивками и датой выпуска.
• Текущие настройки — есть ли VLAN, QoS, агрегация каналов (LACP), STP.

Совет: результаты аудита оформите в таблицу с тремя колонками: «Что нашли» / «Степень критичности» / «Рекомендуемое действие». Так их легче защитить перед руководством и расставить приоритеты.

VLAN (Virtual Local Area Network) — это способ разделить одну физическую сеть на несколько логических. Каждый сегмент живёт в своём «пузыре» и не мешает остальным.
Зачем это нужно:

• Уменьшает лишний трафик внутри сети (меньше broadcast-пакетов)
• Изолирует чувствительные данные (бухгалтерия отдельно от гостевого Wi-Fi)
• Упрощает управление полосой пропускания
• Повышает безопасность: заражённый компьютер в гостевом сегменте не «видит» серверы

Оборудование MikroTik широко используется в белорусских компаниях. При настройке VLAN на нём используйте метод Bridge VLAN Filtering — он работает быстрее и потребляет меньше ресурсов маршрутизатора, чем устаревший подход с отдельными бриджами на каждый VLAN.

QoS (Quality of Service — качество обслуживания) — это механизм, который говорит маршрутизатору: «Этот пакет важнее, пропусти его первым». Без QoS канал делится поровну между всем трафиком, и голосовой звонок страдает наравне с фоновой загрузкой обновлений.

Как расставить приоритеты:

• Максимальный приоритет — VoIP-телефония, Zoom, Microsoft Teams. Голос очень чувствителен к задержкам: даже 150 мс уже заметны.
• Высокий приоритет — корпоративные системы: 1С, Bitrix24, CRM, ERP.
• Средний приоритет — обычный веб-браузинг, электронная почта.
• Низкий приоритет — резервное копирование, обновления ОС, облачная синхронизация файлов.

Используйте /ip firewall mangle для маркировки пакетов по IP-адресу, порту или протоколу, затем /queue tree для назначения полосы каждому классу трафика. Для небольших сетей подойдёт и более простой /queue simple с параметром priority.

Результат на практике: компания с каналом 100 Мбит/с после внедрения QoS полностью избавилась от жалоб на качество IP-звонков — при той же скорости подключения.

Wi-Fi — самое уязвимое место большинства офисных сетей. Одна точка доступа на весь этаж, перегруженный канал 2.4 ГГц и максимальная мощность передатчика — классический набор проблем.

Типичные ошибки:

• Все клиенты подключаются к одной точке, хотя физически разбросаны по зданию
• Точки работают на одних и тех же каналах, создавая помехи друг другу
• Мощность передатчика выкручена на максимум — это ухудшает работу соседних точек
• Нет роуминга: при переходе из комнаты в комнату соединение обрывается

Что сделать:

• Провести site survey — анализ радиоэфира. Инструменты: NetSpot, inSSIDer, встроенные средства Ubiquiti UniFi или MikroTik.
• Зафиксировать непересекающиеся каналы. Для диапазона 2.4 ГГц: каналы 1, 6, 11. Для 5 ГГц: каналы 36, 40, 44, 48 и далее.
• Внедрить контроллер точек доступа для централизованного управления роумингом: UniFi Controller от Ubiquiti или CAPsMAN в MikroTik.
• Настроить Band Steering — автоматический перевод клиентов, поддерживающих 5 ГГц, в этот диапазон. Он менее загружен и обеспечивает более высокую скорость.

Если в компании два интернет-провайдера или несколько WAN-каналов, их можно использовать одновременно — а не держать второй «на всякий случай» в выключенном состоянии.

Маршрутизатор распределяет исходящие соединения между несколькими каналами. Это увеличивает суммарную пропускную способность и снижает нагрузку на каждый из них. На MikroTik реализуется через /ip route с параметром check-gateway и ECMP-маршрутизацию.

При отказе основного канала трафик автоматически уходит на резервный. Важно настроить мониторинг доступности шлюза (ping до внешнего IP), чтобы переключение происходило за секунды, а не минуты.

Безопасность и производительность — не противоположности. Заражённый компьютер, рассылающий спам или участвующий в DDoS-атаке, может «съесть» весь исходящий канал. Поэтому базовая защита сети напрямую влияет на её скорость.

Минимальный набор мер:

• Межсетевой экран (Firewall) — фильтрует входящий и исходящий трафик по правилам. Встроен в MikroTik, pfSense, Cisco ASA и большинство корпоративных маршрутизаторов.
• VPN для удалённого доступа — сотрудники подключаются к офисной сети через зашифрованный туннель, а не через открытый RDP.
• Изоляция гостевой сети — гости используют отдельный VLAN без доступа к внутренним ресурсам.
• Обновление прошивок — уязвимости в старых версиях прошивок активно эксплуатируются. Это бесплатно и занимает 15 минут.
• IDS/IPS — системы обнаружения и предотвращения вторжений. Для малого и среднего бизнеса подойдёт pfSense с пакетом Snort или Suricata.

Регулярно проверяйте журналы firewall — подозрительная активность часто видна задолго до реального инцидента.

Оптимизация — не разовое мероприятие. Сеть меняется: добавляются устройства, растёт нагрузка, появляются новые приложения. Без мониторинга проблемы накапливаются незаметно.

Что мониторить обязательно:

• Загрузка каналов (входящий и исходящий трафик на аплинке).
• CPU и оперативная память маршрутизаторов и коммутаторов.
• Потери пакетов и латентность до ключевых узлов.
• Доступность критичных сервисов: файловый сервер, 1С, почта, IP-АТС.
• Температура активного оборудования (особенно летом).

Отдельная задача, которую часто забывают: регулярно сохраняйте конфигурации маршрутизаторов и коммутаторов. При выходе устройства из строя это сокращает время восстановления с нескольких часов до 15–20 минут.

Совет: настройте алерты на нерабочее время. Большинство серьёзных инцидентов начинается ночью или в выходные — когда никто не смотрит на экран.

Используйте этот список как план действий при оптимизации сети:

• Составить актуальную схему сети (физическую и логическую).
• Замерить нагрузку на канал в пиковые и непиковые часы.
• Выявить устаревшее оборудование (старше 5–7 лет или без поддержки производителя).
• Внедрить или пересмотреть VLAN-сегментацию.
• Настроить QoS с приоритетом для VoIP и корпоративных систем.
• Провести аудит Wi-Fi: каналы, мощность, покрытие, роуминг.
• Настроить балансировку нагрузки или failover (при наличии нескольких каналов).
• Проверить настройки безопасности: firewall, VPN, изоляция гостевой сети.
• Обновить прошивки всего активного оборудования.
• Развернуть мониторинг с алертами.
• Настроить автоматическое резервное копирование конфигураций.
• Задокументировать все изменения.