¿Por qué segmentar tu red Wi-Fi?
Una red Wi-Fi sin segmentación es como una oficina sin paredes: cualquiera puede ver y acceder a todo. La segmentación de red es una de las prácticas más importantes para mantener tu infraestructura segura y eficiente.
Cuando todos los dispositivos comparten el mismo segmento de red — laptops de empleados, teléfonos personales, cámaras IP, impresoras y servidores — creas un riesgo de seguridad significativo y problemas de rendimiento.
VLANs: la base de la segmentación
Las VLANs (Virtual Local Area Networks) permiten dividir una red física en múltiples redes lógicas independientes. Cada VLAN actúa como su propia red, con su propio rango de IPs y reglas de tráfico.
Diseño recomendado de VLANs
Para una empresa típica de 50-200 empleados, recomendamos esta estructura:
| VLAN | Nombre | Uso | Rango IP |
|---|---|---|---|
| 10 | Corporativa | Laptops y estaciones de trabajo | 10.10.10.0/24 |
| 20 | Servidores | Servidores internos y servicios | 10.10.20.0/24 |
| 30 | VoIP | Teléfonos IP | 10.10.30.0/24 |
| 40 | IoT/CCTV | Cámaras, sensores, impresoras | 10.10.40.0/24 |
| 50 | Invitados | Red de invitados con portal cautivo | 10.10.50.0/24 |
| 99 | Gestión | Switches, APs, routers | 10.10.99.0/24 |
SSIDs y su relación con VLANs
Cada SSID (nombre de red Wi-Fi) debe mapearse a una VLAN específica. No crees más SSIDs de los necesarios — cada SSID adicional consume airtime y reduce el rendimiento.
Buenas prácticas para SSIDs
- Máximo 3-4 SSIDs por AP: Más que eso degrada el rendimiento wireless.
- Nombres claros:
EMPRESA-Corp,EMPRESA-Invitados,EMPRESA-IoT. - Ocultar SSIDs de gestión: La red de administración no necesita ser visible.
- WPA3-Enterprise para corporativa: Autenticación con RADIUS y certificados.
- WPA2/WPA3-Personal para invitados: Con portal cautivo y límite de ancho de banda.
Reglas de firewall entre VLANs
La segmentación sin reglas de firewall no sirve de nada. Debes controlar qué tráfico puede fluir entre VLANs:
Reglas esenciales
- Invitados → Internet: Permitir solo HTTP/HTTPS. Bloquear acceso a cualquier red interna.
- Corporativa → Servidores: Permitir protocolos necesarios (SMB, RDP, HTTP).
- IoT → Internet: Solo las conexiones necesarias (NTP, actualizaciones, cloud del fabricante).
- IoT → Corporativa: Bloqueado completamente.
- Gestión → Todo: Acceso administrativo desde la VLAN de gestión únicamente.
Implementación en MikroTik
Si usas equipos MikroTik (como recomendamos), la configuración básica de VLANs en un CRS o CCR incluye:
- Crear las interfaces VLAN en el bridge principal.
- Asignar puertos a las VLANs correspondientes (tagged/untagged).
- Configurar DHCP Server por cada VLAN con su pool de IPs.
- Crear reglas de firewall en la cadena
forwardpara controlar el tráfico inter-VLAN. - Configurar los APs (Cambium, MikroTik) para mapear SSIDs a VLANs.
Portal cautivo para invitados
Un portal cautivo en la red de invitados te permite:
- Términos de uso: Protección legal al ofrecer acceso a internet.
- Límite de tiempo y ancho de banda: Evitar abuso de recursos.
- Registro: Saber quién se conectó y cuándo.
- Branding: Mostrar tu marca y promociones.
Monitoreo post-implementación
Después de segmentar tu red, monitorea:
- Tráfico inter-VLAN: Detectar intentos de acceso no autorizado.
- Uso de ancho de banda por VLAN: Identificar cuellos de botella.
- Dispositivos desconocidos: Alertas cuando un dispositivo nuevo se conecta.
- Logs de firewall: Revisar regularmente las reglas que bloquean tráfico.
Conclusión
La segmentación de red no es un lujo — es una necesidad para cualquier empresa que tome en serio su seguridad y rendimiento. Con VLANs bien diseñadas, SSIDs controlados y reglas de firewall estrictas, reduces drásticamente tu superficie de ataque y mejoras la experiencia de todos los usuarios.
¿Necesitas ayuda para segmentar tu red? En Monarc diseñamos e implementamos soluciones de red completas, desde el site survey hasta la configuración y monitoreo continuo. Contáctanos para una evaluación gratuita de tu infraestructura.