Segmentación de Red con VLANs en MikroTik: Guía para Pequeñas Empresas
Imagina que tu empresa tiene 15 empleados, una red WiFi para visitantes y cámaras IP conectadas en la misma red que las computadoras. Si una cámara es comprometida por un atacante — y esto ocurre con frecuencia con dispositivos IoT sin soporte del fabricante — el atacante está en la misma red que los datos financieros y documentos de la empresa.
La segmentación de red con VLANs resuelve esto creando redes lógicas aisladas dentro del mismo hardware. Es una de las medidas de seguridad más efectivas y más ignoradas en redes de pequeñas empresas.
Qué es una VLAN y cómo funciona en MikroTik
VLAN (Virtual Local Area Network) divide una red física en múltiples redes lógicas aisladas. Cada VLAN tiene su propio rango de IP y los dispositivos de VLANs diferentes no pueden comunicarse directamente — la comunicación entre VLANs solo ocurre si el router lo permite explícitamente mediante reglas de firewall.
En RouterOS, las VLANs se configuran mediante Bridge VLAN Filtering — el método actual recomendado por MikroTik para la serie 7.x.
Ejemplo práctico: 3 VLANs para una PYME
| VLAN | ID | Red | Dispositivos | Acceso a internet |
|---|---|---|---|---|
| Corporativa | 10 | 192.168.10.0/24 | PCs, notebooks, impresoras | Sí |
| Visitantes | 20 | 192.168.20.0/24 | WiFi público, celulares de clientes | Sí (solo) |
| IoT | 30 | 192.168.30.0/24 | Cámaras IP, Smart TVs, impresoras antiguas | Controlado |
Configuración paso a paso (RouterOS 7.x)
Paso 1 — Habilitar VLAN filtering en la bridge
# Habilitar VLAN filtering en la bridge principal /interface bridge set bridge1 \ vlan-filtering=yes \ ether-type=0x8100
Paso 2 — Crear las interfaces VLAN
# VLAN 10 — Corporativa /interface vlan add \ name=vlan10-corp \ vlan-id=10 \ interface=bridge1 # VLAN 20 — Visitantes /interface vlan add \ name=vlan20-guest \ vlan-id=20 \ interface=bridge1 # VLAN 30 — IoT /interface vlan add \ name=vlan30-iot \ vlan-id=30 \ interface=bridge1
Paso 3 — Asignar IPs y DHCP para cada VLAN
# IPs del gateway para cada VLAN /ip address add address=192.168.10.1/24 interface=vlan10-corp /ip address add address=192.168.20.1/24 interface=vlan20-guest /ip address add address=192.168.30.1/24 interface=vlan30-iot # Pool de IPs para cada VLAN /ip pool add name=pool-corp ranges=192.168.10.10-192.168.10.200 /ip pool add name=pool-guest ranges=192.168.20.10-192.168.20.200 /ip pool add name=pool-iot ranges=192.168.30.10-192.168.30.100 # Servidor DHCP para cada VLAN /ip dhcp-server add name=dhcp-corp interface=vlan10-corp address-pool=pool-corp disabled=no /ip dhcp-server add name=dhcp-guest interface=vlan20-guest address-pool=pool-guest disabled=no /ip dhcp-server add name=dhcp-iot interface=vlan30-iot address-pool=pool-iot disabled=no
Paso 4 — Reglas de firewall para aislamiento
# Bloquear acceso de Visitantes a la red Corporativa /ip firewall filter add \ chain=forward \ src-address=192.168.20.0/24 \ dst-address=192.168.10.0/24 \ action=drop \ comment="Visitantes no acceden a red corporativa" # Bloquear acceso de IoT a la red Corporativa /ip firewall filter add \ chain=forward \ src-address=192.168.30.0/24 \ dst-address=192.168.10.0/24 \ action=drop \ comment="IoT no accede a red corporativa" # Bloquear acceso de IoT a la red de Visitantes /ip firewall filter add \ chain=forward \ src-address=192.168.30.0/24 \ dst-address=192.168.20.0/24 \ action=drop \ comment="IoT no accede a visitantes" # Opcional: limitar velocidad de la red de visitantes /queue simple add \ name=limit-visitantes \ target=192.168.20.0/24 \ max-limit=10M/10M \ comment="Limite 10 Mbps para visitantes"
WiFi por VLAN: si usas Access Points gestionados (MikroTik u otros), configura un SSID diferente para cada VLAN. El AP enviará el tráfico con la etiqueta VLAN correcta y los dispositivos quedarán automáticamente en la red segmentada correcta.
Beneficios prácticos de la segmentación
- Contención de malware: un dispositivo infectado en la VLAN IoT no puede comunicarse con las PCs de la red corporativa
- Cumplimiento normativo: regulaciones de protección de datos (cuando aplican) exigen aislamiento de datos sensibles
- Rendimiento: el broadcast de una VLAN no contamina las demás
- Control de ancho de banda: el límite de velocidad por VLAN evita que los visitantes consuman todo el enlace
- Auditoría: los logs de acceso por segmento facilitan la investigación de incidentes
Aplica políticas de VLAN en múltiples sitios simultáneamente
Con el SDN Policy Engine de Mikrosinc, defines una política de segmentación de red una vez y la aplicas en todos los routers de la empresa — garantizando consistencia en sede y sucursales sin editar cada equipo manualmente.
Conocer las Políticas SDN