Segmentação de Rede com VLANs no MikroTik: Guia para Pequenas Empresas
Imagine que sua empresa tem 15 funcionários, uma rede WiFi para visitantes e câmeras IP conectadas na mesma rede que os computadores. Se uma câmera for comprometida por um atacante — e isso acontece com frequência com dispositivos IoT sem suporte de fabricante — o atacante está na mesma rede que os dados financeiros e documentos da empresa.
Segmentação de rede com VLANs resolve isso criando redes lógicas isoladas dentro do mesmo hardware. É uma das medidas de segurança mais eficazes e mais ignoradas em redes de pequenas empresas.
O que é uma VLAN e como funciona no MikroTik
VLAN (Virtual Local Area Network) divide uma rede física em múltiplas redes lógicas isoladas. Cada VLAN tem sua própria faixa de IP e os dispositivos de VLANs diferentes não conseguem se comunicar diretamente — a comunicação entre VLANs só ocorre se o roteador explicitamente permitir via regras de firewall.
No RouterOS, VLANs são configuradas via Bridge VLAN Filtering — o método atual recomendado pela MikroTik para a série 7.x.
Exemplo prático: 3 VLANs para uma PME
| VLAN | ID | Rede | Dispositivos | Acesso à internet |
|---|---|---|---|---|
| Corporativa | 10 | 192.168.10.0/24 | PCs, notebooks, impressoras | Sim |
| Visitantes | 20 | 192.168.20.0/24 | WiFi público, celulares de clientes | Sim (apenas) |
| IoT | 30 | 192.168.30.0/24 | Câmeras IP, Smart TVs, impressoras antigas | Controlado |
Configuração passo a passo (RouterOS 7.x)
Passo 1 — Habilitar VLAN filtering na bridge
# Habilitar VLAN filtering na bridge principal /interface bridge set bridge1 \ vlan-filtering=yes \ ether-type=0x8100
Passo 2 — Criar as interfaces VLAN
# VLAN 10 — Corporativa /interface vlan add \ name=vlan10-corp \ vlan-id=10 \ interface=bridge1 # VLAN 20 — Visitantes /interface vlan add \ name=vlan20-guest \ vlan-id=20 \ interface=bridge1 # VLAN 30 — IoT /interface vlan add \ name=vlan30-iot \ vlan-id=30 \ interface=bridge1
Passo 3 — Atribuir IPs e DHCP para cada VLAN
# IPs do gateway para cada VLAN /ip address add address=192.168.10.1/24 interface=vlan10-corp /ip address add address=192.168.20.1/24 interface=vlan20-guest /ip address add address=192.168.30.1/24 interface=vlan30-iot # Pool de IPs para cada VLAN /ip pool add name=pool-corp ranges=192.168.10.10-192.168.10.200 /ip pool add name=pool-guest ranges=192.168.20.10-192.168.20.200 /ip pool add name=pool-iot ranges=192.168.30.10-192.168.30.100 # DHCP server para cada VLAN /ip dhcp-server add name=dhcp-corp interface=vlan10-corp address-pool=pool-corp disabled=no /ip dhcp-server add name=dhcp-guest interface=vlan20-guest address-pool=pool-guest disabled=no /ip dhcp-server add name=dhcp-iot interface=vlan30-iot address-pool=pool-iot disabled=no
Passo 4 — Regras de firewall para isolamento
# Bloquear acesso de Visitantes para rede Corporativa /ip firewall filter add \ chain=forward \ src-address=192.168.20.0/24 \ dst-address=192.168.10.0/24 \ action=drop \ comment="Visitantes não acessam rede corporativa" # Bloquear acesso de IoT para rede Corporativa /ip firewall filter add \ chain=forward \ src-address=192.168.30.0/24 \ dst-address=192.168.10.0/24 \ action=drop \ comment="IoT não acessa rede corporativa" # Bloquear acesso de IoT para rede de Visitantes /ip firewall filter add \ chain=forward \ src-address=192.168.30.0/24 \ dst-address=192.168.20.0/24 \ action=drop \ comment="IoT não acessa visitantes" # Opcional: limitar velocidade da rede de visitantes /queue simple add \ name=limit-visitantes \ target=192.168.20.0/24 \ max-limit=10M/10M \ comment="Limite 10 Mbps para visitantes"
WiFi por VLAN: se você usa Access Points gerenciados (Mikrotik ou outros), configure um SSID diferente para cada VLAN. O AP enviará o tráfego com a tag VLAN correta e os dispositivos ficarão automaticamente na rede segmentada correta.
Benefícios práticos da segmentação
- Contenção de malware: um dispositivo infectado na VLAN IoT não consegue se comunicar com os PCs da rede corporativa
- Conformidade: LGPD e normas do setor de saúde (quando aplicáveis) exigem isolamento de dados sensíveis
- Performance: broadcast de uma VLAN não polui as outras
- Controle de banda: limite de velocidade por VLAN evita que visitantes consumam o link todo
- Auditoria: logs de acesso por segmento facilitam investigação de incidentes
Aplique políticas de VLAN em múltiplos sites simultaneamente
Com o SDN Policy Engine do Mikrosinc, você define uma política de segmentação de rede uma vez e aplica em todos os roteadores da empresa — garantindo consistência em matriz e filiais sem editar cada equipamento manualmente.
Conhecer as Políticas SDN