Implementé en GNS3: Bridge VLAN Filtering con MikroTik

Diseño de la red

La idea fue crear una red con tres departamentos: Técnica, Ventas y Administración. Cada uno cuenta con dos computadoras conectadas a su switch departamental. Estos switches se unen a un switch central (SW-CORE), el cual se conecta a un router principal que actúa como cliente DHCP para los tres departamentos. Finalmente, este router se enlaza con un router de frontera (RT-BORDER) que conecta con el ISP.

Para separar el tráfico, configuré tres VLAN:

• VLAN 10 (Técnica): 192.168.10.0/24
• VLAN 20 (Ventas): 192.168.20.0/24
• VLAN 30 (Administración): 192.168.30.0/24

En el router central (SW-CORE), las VLAN se routean para permitir la comunicación entre departamentos, manteniendo la segmentación y seguridad.

Configuración de los switches departamentales

Cada switch departamental (SW-TECNICA, SW-VENTAS y SW-ADMINISTRACION) se configura con un bridge que habilita el filtrado de VLAN. Así se asigna el puerto correcto (con el pvid correspondiente) a cada departamento y se establece el etiquetado de los frames. Por ejemplo, en el switch de Técnica:

################################

################################

El mismo enfoque se repite en Ventas y Administración, asignando los pvids 20 y 30, respectivamente. Con esto, garantizamos que solo el tráfico autorizado entre VLAN se propague correctamente.

Rol del switch central

En el SW-CORE, se unen los enlaces etiquetados de cada departamento. Se asignan los puertos para cada VLAN:

• VLAN 10 via ether1 y ether5.
• VLAN 20 via ether1 y ether4.
• VLAN 30 via ether1 y ether3.

Esta configuración permite que el tráfico de cada departamento se transmita de manera correcta hacia el router principal, que se encarga de brindar los servicios DHCP.

Rol y configuración del RT-CORE

El RT-CORE es el corazón de la red. Aquí se realiza el routeo inter-VLAN y se configuran los servidores DHCP para cada departamento. Este dispositivo crea interfaces virtuales para cada VLAN y asigna las direcciones IP de gateway para cada segmento. Además, se configura el NAT para la salida a internet.

La configuración es la siguiente:

################################

# Creación de la interfaz VLAN para la VLAN 30

add interface=bridge1 name=vlan30 vlan-id=30

/ip address

add address=192.168.10.254/24 interface=vlan10

add address=192.168.20.254/24 interface=vlan20

add address=192.168.30.254/24 interface=vlan30

add address=10.0.0.2/30 interface=ether1

/ip pool

add name=dhcp_pool1 ranges=192.168.10.1-192.168.10.150

add name=dhcp_pool2 ranges=192.168.20.1-192.168.20.150

add name=dhcp_pool3 ranges=192.168.30.1-192.168.30.150

/ip dhcp-server

add address-pool=dhcp_pool1 disabled=no interface=vlan10 name=dhcp1 

add address-pool=dhcp_pool2 disabled=no interface=vlan20 name=dhcp2 

add address-pool=dhcp_pool3 disabled=no interface=vlan30 name=dhcp3 

/ip dhcp-server network

add address=192.168.10.0/24 dns-server=8.8.8.8 gateway=192.168.10.254

add address=192.168.20.0/24 dns-server=8.8.8.8 gateway=192.168.20.254

add address=192.168.30.0/24 dns-server=8.8.8.8 gateway=192.168.30.254 

/ip firewall nat 

add action=masquerade chain=srcnat out-interface=ether1

/ip route

add dst-address=0.0.0.0/0 gateway=10.0.0.1

/ip dhcp-client

set disabled=yes

/tool romon

set enabled=yes

/system identity

set name=RT-CORE

Con este setup, el RT-CORE no solo enruta el tráfico entre VLAN, sino que también administra la asignación de IPs a través de sus DHCP servers, asegurando que cada departamento reciba la configuración correcta.

Rol del RT-BORDER

Por último, el RT-BORDER conecta la red simulada con el ISP. Se le asignan direcciones IP en sus interfaces, se configura NAT (masquerade) para salir a internet, y se establece la ruta por defecto. Todo esto se logra con la siguiente parte del script: