MikroTik VLAN: Configuração Profissional de Duas Redes Separadas [Guia Completo 2026]
📌 Introdução
VLANs (Virtual Local Area Networks) são a solução profissional para segmentar sua rede sem precisar de múltiplos roteadores físicos. Se você quer separar a rede de funcionários da rede de clientes, ou criar uma rede de segurança isolada, o MikroTik oferece tudo que você precisa.
Neste guia, você vai aprender a:
- ✅ Criar VLANs funcionais no MikroTik
- ✅ Roteamentar tráfego entre VLANs
- ✅ Implementar segurança básica
- ✅ Troubleshooter problemas comuns
🎯 O Que São VLANs e Por Que Usar?
Antes vs Depois
❌ SEM VLAN
- 1 roteador = 1 rede física
- Todos os dispositivos na mesma rede
- Sem isolamento de tráfego
- Difícil gerenciar segurança
✅ COM VLAN
- 1 roteador = múltiplas redes lógicas
- Segmentação de tráfego
- Isolamento de segurança
- Gerenciamento centralizado
Casos de Uso Reais
| Cenário | VLAN 1 | VLAN 2 |
|---|---|---|
| Empresa | Funcionários (192.168.10.0/24) | Visitantes (192.168.20.0/24) |
| Comércio | Estoque (192.168.30.0/24) | Clientes (192.168.40.0/24) |
| Casa Inteligente | Dispositivos IoT (192.168.50.0/24) | Computadores (192.168.60.0/24) |
📋 Pré-Requisitos (5 minutos)
Antes de começar, certifique-se de ter:
✅ Hardware MikroTik
- hEX, RB2011, RB3011 ou superior
- Pelo menos 5 portas Ethernet
✅ Software
- Winbox (download em mikrotik.com)
- Conhecimento básico de IP/subnetting
✅ Acesso
- Conexão com o MikroTik via Ethernet
- Credenciais admin padrão:
admin/ (sem senha)
🚀 Passo 1: Acessar a Interface (Winbox)
Via Winbox (Interface Gráfica - Recomendado)
1. Abra o Winbox
2. Na janela "Connect", selecione seu MikroTik
3. Clique em "Connect"
4. Aguarde carregar o dashboardVia Web Browser
1. Abra o navegador
2. Acesse: http://192.168.88.1
3. Login: admin / (sem senha)🔌 Passo 2: Entender a Estrutura de Portas
Vamos usar o exemplo abaixo:
MikroTik hEX
┌─────────────────────────────────────┐
│ ether1 (WAN - Internet) │
│ ether2 (VLAN 10 - Funcionários) │
│ ether3 (VLAN 10 - Funcionários) │
│ ether4 (VLAN 20 - Visitantes) │
│ ether5 (VLAN 20 - Visitantes) │
└─────────────────────────────────────┘🛠️ Passo 3: Criar as VLANs
Via Winbox:
Caminho: Interfaces → VLAN
Criar VLAN 10 (Funcionários)
- Clique no
+ - Nome:
"VLAN10" - VLAN ID:
10 - Interface:
ether2 - Clique
OK
Criar VLAN 20 (Visitantes)
- Clique no
+ - Nome:
"VLAN20" - VLAN ID:
20 - Interface:
ether4 - Clique
OK
Resultado esperado:
VLAN10 ────→ ether2
VLAN20 ────→ ether4🌐 Passo 4: Atribuir Endereços IP às VLANs
Via Winbox:
Caminho: IP → Addresses
Para VLAN 10:
- Address:
192.168.10.1/24 - Interface:
VLAN10 - Clique
Add
Para VLAN 20:
- Address:
192.168.20.1/24 - Interface:
VLAN20 - Clique
Add
Verificação:
VLAN10 → 192.168.10.1
VLAN20 → 192.168.20.1🔄 Passo 5: Configurar o Roteamento entre VLANs
Por padrão, as VLANs não se comunicam. Para isso, precisamos habilitar o Bridge ou usar Routes estáticas.
Opção A: Bridge (Recomendado)
Caminho: Bridge → Bridges
- Clique no
+ - Nome:
"bridge1" - Clique
Add
Agora, adicione as interfaces ao bridge:
Caminho: Bridge → Ports
- Interface:
ether2 - Bridge:
bridge1
- Interface:
ether4 - Bridge:
bridge1
Opção B: Routes Estáticas
Se preferir não usar bridge:
Caminho: IP → Routes
- Destination:
192.168.20.0/24 - Gateway:
192.168.10.1
- Destination:
192.168.10.0/24 - Gateway:
192.168.20.1
🔐 Passo 6: Implementar Firewall (Segurança Básica)
Aqui vem a mágica: isolar as VLANs para que não se comuniquem sem permissão.
Via Winbox:
Caminho: IP → Firewall → Filter Rules
Regra 1: Bloquear VLAN 10 → VLAN 20
- Chain:
forward - Source Address:
192.168.10.0/24 - Destination Address:
192.168.20.0/24 - Action:
drop - Comment:
"Block Func to Visitors"
Regra 2: Bloquear VLAN 20 → VLAN 10
- Chain:
forward - Source Address:
192.168.20.0/24 - Destination Address:
192.168.10.0/24 - Action:
drop - Comment:
"Block Visitors to Func"
🧪 Passo 7: Testar a Configuração
Teste 1: Ping na Mesma VLAN
Dispositivo A (192.168.10.5) → Dispositivo B (192.168.10.10)
ping 192.168.10.10✅ Esperado: Responde (mesma VLAN)
Teste 2: Ping Entre VLANs
Dispositivo A (192.168.10.5) → Dispositivo C (192.168.20.5)
ping 192.168.20.5❌ Esperado: NÃO responde (VLANs isoladas - firewall bloqueando)
Teste 3: Verificar no MikroTik
Via Winbox: IP → ARP
Você deve ver todos os dispositivos listados com seus IPs.
📊 Tabela de Referência Rápida
| Elemento | VLAN 10 | VLAN 20 |
|---|---|---|
| Nome | Funcionários | Visitantes |
| VLAN ID | 10 | 20 |
| Ports | ether2, ether3 | ether4, ether5 |
| Subnet | 192.168.10.0/24 | 192.168.20.0/24 |
| Gateway | 192.168.10.1 | 192.168.20.1 |
| DHCP Range | 192.168.10.100-200 | 192.168.20.100-200 |
| IP Disponível | 254 | 254 |
⚡ Passo 8: Configurar DHCP (Automático)
Para que os dispositivos peguem IP automaticamente:
Caminho: IP → DHCP Server
Para VLAN 10:
- Name:
DHCP-VLAN10 - Interface:
VLAN10 - Address Pool:
192.168.10.100-200 - Gateway:
192.168.10.1 - DNS Servers:
8.8.8.8, 8.8.4.4
Para VLAN 20:
- Name:
DHCP-VLAN20 - Interface:
VLAN20 - Address Pool:
192.168.20.100-200 - Gateway:
192.168.20.1 - DNS Servers:
8.8.8.8, 8.8.4.4
🎯 Casos de Uso Avançados
Caso 1: Permitir VLAN 10 Acessar VLAN 20 (Um Sentido)
No Firewall, adicione:
- Chain:
forward - Source Address:
192.168.10.0/24 - Destination Address:
192.168.20.0/24 - Action:
accept - Comment:
"Allow Func to Visitors" - (adicione ANTES da regra de drop)
Caso 2: Gateway Externo (Internet)
Se VLAN 10 precisa acessar internet:
Caminho: IP → Routes
- Destination:
0.0.0.0/0 - Gateway:
ether1 (sua WAN)
Caso 3: Monitorar Tráfego por VLAN
Caminho: IP → Firewall → Connection Tracking
Veja todas as conexões ativas por rede.
🐛 Troubleshooting: Problemas Comuns
| Problema | Causa | Solução |
|---|---|---|
| Dispositivos não encontram DHCP | DHCP desativado | Habilitar DHCP Server |
| VLANs não se comunicam | Firewall bloqueando | Adicionar regra accept |
| IP 192.168.88.x após reboot | Configuração não salvou | Menu → System → Backup |
| Conexão lenta entre VLANs | Muitos filtros firewall | Otimizar regras ou usar bridge |
💡 5 Dicas Profissionais
1️⃣ Sempre Faça Backup
Menu → File → Backup
Salve em local seguro!2️⃣ Documente Sua Rede
Mantenha um desenho (diagrama) das VLANs e IPs. Será útil no futuro.
3️⃣ Use DHCP para Simplificar
Evite atribuir IPs estáticos em massa. DHCP + reservas é mais profissional.
4️⃣ Monitore Performance
Caminho: Tools → Bandwidth TestTeste velocidade entre VLANs mensalmente.
5️⃣ Atualize Firmware Regularmente
System → Packages → Check for Updates🎯 Conclusão
Você agora sabe como:
- ✅ Criar VLANs funcionais
- ✅ Segmentar sua rede
- ✅ Implementar segurança
- ✅ Resolver problemas comuns
A segmentação de rede é um passo essencial para qualquer infraestrutura profissional. Com VLANs bem configuradas, você ganha controle, segurança e performance.
Comece hoje mesmo e transforme sua rede em uma infraestrutura profissional! 🚀
💬 Deixe Seu Comentário
Respondemos todos os comentários! 👇