Найти в Дзене
Партнёр TP-Link - Россия
113 подписчиков

Создание VLAN на разных узлах Deco: разносим трафик в сети

1
8 мин
Главная мысль: в экосистеме TP-Link Deco вы не получите «классические» десятки VLAN на каждый SSID и порт, как в профессиональном оборудовании, но можете грамотно разнести трафик между узлами с помощью гостевой сети, IoT-сети и управляемого свича. В домашних офисах и небольших компаниях этого часто достаточно, чтобы разделить сотрудников, гостей и умный дом. 1. Что вообще даёт VLAN в сети с Deco VLAN (виртуальная локальная сеть) по сути делает несколько логических сетей поверх одного физического кабеля и коммутатора. Зачем это нужно владельцу Deco: Безопасность. Отделить умные камеры, лампочки, розетки и прочие IoT от ноутбуков, NAS и рабочих ПК. Гости и арендаторы. Дать им интернет, но не пустить в вашу внутреннюю сеть. Управляемый рост. Когда устройств становится 50–100+, разделение на сегменты избавляет от лишних широковещательных пакетов и «шума» в эфире. Deco по умолчанию скрывает от пользователя часть сложностей, но внутри уже использует свои VLAN (например, для гостевой сети),
Оглавление
Главная мысль: в экосистеме TP-Link Deco вы не получите «классические» десятки VLAN на каждый SSID и порт, как в профессиональном оборудовании, но можете грамотно разнести трафик между узлами с помощью гостевой сети, IoT-сети и управляемого свича. В домашних офисах и небольших компаниях этого часто достаточно, чтобы разделить сотрудников, гостей и умный дом.

1. Что вообще даёт VLAN в сети с Deco

VLAN (виртуальная локальная сеть) по сути делает несколько логических сетей поверх одного физического кабеля и коммутатора.

Зачем это нужно владельцу Deco:

  • Безопасность. Отделить умные камеры, лампочки, розетки и прочие IoT от ноутбуков, NAS и рабочих ПК.
  • Гости и арендаторы. Дать им интернет, но не пустить в вашу внутреннюю сеть.
  • Управляемый рост. Когда устройств становится 50–100+, разделение на сегменты избавляет от лишних широковещательных пакетов и «шума» в эфире.

Deco по умолчанию скрывает от пользователя часть сложностей, но внутри уже использует свои VLAN (например, для гостевой сети), а также позволяет прописать VLAN ID для интернета/IPTV от провайдера.

-2

2. Что Deco реально умеет по VLAN и где ограничения

Чтобы не строить иллюзий, сначала честно разберём возможности.

2.1. VLAN от провайдера (internet/IPTV)

В приложении Deco есть пункт IPTV/VLAN (More → Advanced → IPTV/VLAN), где можно включить VLAN и задать ID, если ваш провайдер требует, чтобы интернет или IPTV шли в отдельном теге.

Главное: это VLAN на стороне WAN (интернет-порт), а не внутренняя «нарезка» вашей локальной сети на десяток сегментов.

2.2. Гостевая сеть как отдельный VLAN

Гостевая Wi-Fi-сеть в Deco реализована как отдельная виртуальная сеть, изолированная от основной. В официальных примерах TP-Link рекомендует на управляемом свиче создавать VLAN ID 591 для гостевой сети и помечать трафик как tagged, чтобы гостевой Wi-Fi корректно ходил между узлами Deco через свич.

Факт: гостевая сеть работает как отдельный VLAN-сегмент, к которому можно относиться как к отдельной «подсети для гостей или IoT».

2.3. IoT Network (дополнительный сегмент)

В свежих прошивках большинство Deco получили функцию IoT Network — отдельный SSID для умных устройств с собственными ограничениями и приоритетами.

Это ещё не полноценный VLAN с ручной настройкой тегов, но: это уже третий логический сегмент поверх основной сети и гостевой, со своей политикой доступа.

2.4. Что Deco не умеет

  • Не поддерживает свободную настройку 802.1Q VLAN на LAN-портах (нельзя на каждый порт навесить список VLAN с тегами, как на Omada-свитчах).
  • Нельзя назначить свой VLAN ID для каждой пользовательской сети (кроме IPTV/VLAN на WAN и внутреннего гостевого 591).
Главная мысль: Deco — это mesh с «упрощённым» VLAN-подходом: основной сегмент + гостевая сеть + иногда IoT-сеть. Если нужен жёсткий VLAN-зоопарк, дальше в ход идёт Omada.
-3

3. Простое разделение: основная сеть + гости/IoT на одной связке Deco

Начнём с того, что можно сделать без свича и сложной схемы.

Шаг 1. Планируем сегменты

Рекомендуемый минимум:

  1. Основная сеть. Ноутбуки, ПК, NAS, принтеры, рабочие телефоны.
  2. Гостевая/IoT сеть. Смарт-лампы, чайники, телевизоры, камеры, гости.
Совет: если у вас есть Home Assistant или другой сервер, который должен видеть IoT-устройства, часть из них лучше оставить в основной сети или заранее проверить, как ведёт себя конкретная модель в гостевом сегменте.

Шаг 2. Включаем гостевую сеть

В приложении Deco:

  • More → Guest Network → включить.
  • Задать название SSID (например, Home-IoT-Guest).
  • Включить пароль и опцию «Изолировать клиентов друг от друга», если нужен режим «гости только в интернет».

В этот момент Deco уже развёл основной и гостевой трафик по разным внутренним VLAN и не пустит гостей к вашим NAS/ПК (если не включены дополнительные «мосты»).

Шаг 3. Разносим устройства

  • Все «чувствительные» устройства (ноутбуки, ПК, NAS, рабочие станции) оставляем в основной сети.
  • Устройства гостей, временные гаджеты и «подозрительный» IoT (дешёвые камеры, лампочки) — уносим в гостевую сеть или IoT Network.
Рекомендация: в современных сетях разумно считать, что любой IoT — потенциальный риск, и держать его подальше от рабочих данных. Гостевая или IoT-сеть Deco как раз для этого.
-4

4. Схема с управляемым свичом: одинаковые VLAN на разных узлах Deco

Теперь к «продвинутому» сценарию, который чаще всего и подразумевают под фразой «создание VLAN на разных узлах Deco».

4.1. Типичная топология

Пример для дома или маленького офиса:

  • Главный Deco (router mode) подключён к провайдеру.
  • Между ним и остальными Deco стоит управляемый свич (L2 с поддержкой 802.1Q).
  • К этому же свичу подключены стационарные ПК и серверы.
Наша цель: сделать так, чтобы основная и гостевая сети Deco корректно ходили через свич, а гостевая оставалась изолированной.

4.2. Как это работает внутри

TP-Link использует внутренний VLAN ID 591 для гостевой сети. В инструкции по расширению гостевого Wi-Fi через свич рекомендуют создать VLAN 591 и пометить порты к Deco как tagged, чтобы этот VLAN «протягивался» между узлами.

Проще говоря: свич становится «магистралью» для двух VLAN — основного (обычно VLAN 1) и гостевого (591).

4.3. Пошаговая настройка (обобщённо)

  1. Настраиваем Deco.
    Включаем гостевую сеть, как в предыдущем разделе.
    Проверяем, что на всех узлах Deco она появилась и работает, если соединить их напрямую (без свича).
  2. Готовим свич.
    Заходим в веб-интерфейс свича.
    Создаём VLAN 1 (если не создан) как основной.
    Создаём VLAN 591 с именем guest или deco-guest.
  3. Настраиваем порты со стороны Deco.
    Порт свича, идущий к главному Deco:
    VLAN 1 — untagged (PVID 1).
    VLAN 591 — tagged.
    Порты к     спутниковым Deco:
    VLAN 1 — untagged.
    VLAN 591 — tagged.
  4. Настраиваем порты к обычным устройствам.
    Порты к ПК/принтерам: только VLAN 1 (untagged, PVID 1).
    Отдельный порт для «кабельных гостей», если нужно: VLAN 591 (untagged, PVID 591).
  5. Проверяем.
    Гостевой Wi-Fi должен работать и на главном Deco, и на спутниках за свичом.
    Устройства в гостевой сети должны выходить в интернет, но не видеть ваши ПК на VLAN 1.
Главная мысль: за счёт того, что Deco уже разделяет основной и гостевой сегменты по VLAN, управляемый свич становится «прозрачным транспортом» для обоих, если вы правильно настроите теги.
-5

5. Где реально помогает такое разделение

5.1. Дом с умным домом и детьми

  • Основной VLAN (1): компьютеры, ТВ, консоли, NAS.
  • Гостевой VLAN (591): планшеты детей друзей, устройства няни, временные гаджеты.
  • IoT Network: лампочки, розетки, робот-пылесосы.
Совет: подключите управление умным домом (например, Home Assistant) в тот же сегмент, что и ключевые IoT-устройства, иначе некоторые «локальные» интеграции могут не заработать.

5.2. Маленький офис или кабинет

  • Основной VLAN: компьютеры сотрудников, IP-телефония, принтеры.
  • Гостевой VLAN: Wi-Fi для посетителей или арендаторов.
  • При необходимости — отдельный порт на свиче в гостевом VLAN для медиапанели в переговорной, чтобы гости могли показывать презентации, не попадая в вашу сеть.

5.3. Коворкинг или мини-бизнес-центр

Здесь уже часто нужны 3–5 сегментов:

  • Администрация коворкинга.
  • Резиденты (постоянные клиенты).
  • Гости/мероприятия.
  • IoT/камеры.
  • Техническая зона.

В этом случае Deco уже граничит по возможностям. Лучше использовать связку:

  • Omada-маршрутизатор ER-серии (VLAN, политики доступа).
  • Omada-свитчи с 802.1Q.
  • Omada-точки доступа EAP с Multi-SSID и VLAN на каждый SSID.

Deco можно оставить для домашних сценариев или простого офиса.

6. Какие модели Deco подходят под такие сценарии

Важно: по VLAN-возможностям у большинства Deco логика одинаковая (основная сеть + гостевая + иногда IoT, VLAN ID под провайдера). Различия — в скорости, портах и количестве устройств.

Deco X50 / X55 / X50-PoE

  • Wi-Fi 6 AX3000, до 2.4 Гбит/с на 5 ГГц.
  • До ~150 устройств на комплект, поддержка HomeShield и AI-роуминга.
  • Версия X50-PoE позволяет питать узлы по PoE и ставить их на потолок/стены, что даёт более чистую зону покрытия — актуально для коридоров и open-space.

Для кого: квартиры, небольшие офисы, кабинет с управляемым свичом.

Deco XE75 / XE75 Pro

  • Wi-Fi 6E AXE5400, отдельная полоса 6 ГГц, до 5.4 Гбит/с суммарно.
  • Покрытие 5000–7200 кв.футов (≈460–670 м²) на 3-pack, до 150–200 устройств.
  • Версия Pro добавляет 2.5G-порт для гигабитного и многогигабитного интернета.

Для кого: большие квартиры, 2–3-этажные дома, мини-офисы, где важна «чистая» полоса 6 ГГц для чувствительных задач.

Deco BE65 / BE65 Pro (Wi-Fi 7)

  • Tri-Band Wi-Fi 7 до ~11 Гбит/с суммарно, Multi-Link Operation, 320 МГц.
  • По 4 порта 2.5G (BE65) или комбинация 5G+2.5G (BE65 Pro) для многогигабитной проводной связности.
  • Поддержка до ~200 устройств.
Для кого: дома и офисы «на вырост» с несколькими гигабитными потоками, NAS, рабочими станциями и требовательными задачами.

Deco X50-Outdoor и X50-5G

  • X50-Outdoor — уличный узел для террасы, двора, камер наблюдения.
  • X50-5G — совмещает 5G/LTE-модем и Deco-узел, тянет до ~150 устройств, удобен для дач и резервного интернета.
Совет: если вы строите VLAN-схему через гостевой сегмент, уличные и 5G-узлы вписываются в неё автоматически — главное, чтобы они были в той же Deco-сети и магистраль до них поддерживала нужные VLAN (если между ними есть управляемый свич).

7. Практический чек-лист: как «разнести» трафик с Deco уже сегодня

  1. Проверяем требования провайдера. Если нужен VLAN ID для интернета или IPTV — настраиваем IPTV/VLAN в приложении Deco.
  2. Включаем гостевую сеть. Делаем отдельный SSID, включаем защиту паролем и изоляцию клиентов.
  3. Создаём IoT-сегмент. Если прошивка поддерживает IoT Network, заводим отдельный SSID для умных устройств.
  4. Добавляем управляемый свич. При необходимости тянем к нему все узлы Deco и «разносим» VLAN 1 и 591 по портам.
  5. Разводим устройства по сегментам. Рабочие ПК и серверы — в основной сети; IoT и гости — в гостевой/IoT-сети.
  6. Тестируем доступ. С гостевой сети не должны открываться веб-интерфейсы роутеров, NAS и рабочих станций.
  7. Планируем рост. Если понимаете, что вам скоро понадобятся 3–5 независимых VLAN с тонкими правилами, сразу закладывайте Omada-маршрутизатор и управляемые свичи.

Вывод:

Если принять возможности Deco честно и использовать гостевую и IoT-сети вместе с управляемым свичом, вы уже сегодня можете разнести трафик по сегментам и повысить безопасность без «жёсткого» enterprise-железа, а когда сеть вырастет до уровня коворкинга или мини-датацентра, просто добавите в связку Omada и развернёте полноценную VLAN-архитектуру.