En Mikrotik, la configuración de VLANs puede realizarse directamente sobre las interfaces físicas o dentro de un bridge, y la diferencia radica en cómo el equipo procesa el etiquetado y el reenvío del tráfico. Cuando las VLANs se crean directamente sobre una interfaz física, el etiquetado y desacapsulamiento se realiza a nivel de hardware o software según el modelo, generando subinterfaces dedicadas que simplifican el manejo de troncales en routers y pueden ofrecer mayor rendimiento en equipos con aceleración por puerto. En cambio, al configurar VLANs dentro de un bridge con VLAN Filtering, todo el control del etiquetado se centraliza en la tabla del bridge, permitiendo definir qué puertos operan como tagged o untagged y habilitando un procesamiento más eficiente en switches que utilizan el switch-chip, además de brindar un control granular del tráfico en capa 2. En resumen, configurar VLANs directamente en interfaces es un método adecuado para enrutadores o enlaces específicos, mientras que el uso del bridge es el enfoque recomendado en switches Mikrotik, ya que proporciona mayor flexibilidad, compatibilidad y control en redes con múltiples puertos.

La validación de una configuración correcta de tráfico tagged y untagged se basa en comprobar que cada VLAN recibe únicamente el tráfico correspondiente y que los dispositivos en puertos untagged obtienen conectividad sin etiquetas, mientras que los enlaces troncales transportan varias VLAN con su etiquetado correcto; esto se puede verificar mediante herramientas como /interface bridge vlan print, captura de tráfico, pruebas de DHCP por VLAN y pings segmentados. Un puerto híbrido debe utilizarse cuando un mismo puerto necesita transportar simultáneamente tráfico tagged hacia otros switches o routers y tráfico untagged hacia un host final, asegurando que el PVID sea coherente con la VLAN nativa asignada. La recomendación técnica es utilizar puertos híbridos solo cuando exista una necesidad real de mezclar tráfico de usuario y troncal en el mismo puerto, mantener una asignación estricta de VLANs tagged, evitar PVID inconsistentes y estandarizar la VLAN nativa para prevenir fugas de tráfico o desincronización entre switches.

La VLAN nativa no debe configurarse en todos los puertos, sino únicamente en aquellos donde se requiera transportar tráfico untagged, ya sea hacia hosts finales o en enlaces troncales que utilicen una VLAN específica como PVID para manejar tráfico sin etiquetar. En un diseño adecuado, la VLAN nativa se asigna de forma selectiva y coherente, evitando su uso indiscriminado en todos los puertos, ya que una configuración incorrecta puede generar fugas de tráfico, inconsistencias en el etiquetado y problemas de seguridad. Lo recomendable es que los puertos de acceso tengan un PVID correspondiente a su VLAN untagged, mientras que los troncales mantengan sus VLANs tagged y solo utilicen VLAN nativa si existe un requerimiento explícito de interoperabilidad; en muchos casos, incluso se recomienda minimizar o evitar su uso en enlaces troncales para reducir riesgos operativos.

El concepto de VLAN nativa es similar en Cisco y Mikrotik, ya que ambas transportan tráfico sin etiqueta (untagged) en un enlace troncal, aunque la implementación difiere. En Cisco, la VLAN nativa forma parte del estándar 802.1Q y se configura explícitamente en los puertos troncales, usando normalmente la VLAN 1 por defecto; además, genera alertas si no coincide entre los extremos del enlace. En Mikrotik, este concepto se maneja mediante el PVID asignado a un puerto dentro del bridge VLAN filtering, que determina la VLAN de los paquetes untagged. Así, Cisco trata la VLAN nativa como una característica del troncal, mientras que Mikrotik lo hace desde el PVID, cumpliendo ambos la misma función.

Una VLAN troncal transporta múltiples VLAN etiquetadas, permitiendo que varios dominios de broadcast compartan un puerto. En cambio, una VLAN de acceso lleva solo una VLAN sin etiqueta, conectando dispositivos finales. La VLAN nativa o PVID asigna todo el tráfico untagged que ingresa al puerto, funcionando como la VLAN por defecto. En Mikrotik CCR, se aplican mediante subinterfaces VLAN o bridge VLAN filtering, definiendo puertos tagged, untagged y PVID según su rol. En CSS, la configuración es más directa, asignando los puertos como Access, Trunk o Hybrid y definiendo las VLANs etiquetadas, sin etiquetar y su PVID. Esta separación asegura tráfico ordenado y evita fugas, manteniendo la interoperabilidad entre switches y routers.

Las VLANs deben configurarse en varios puntos porque su funcionamiento implica distintas capas del procesamiento del tráfico dentro de un switch o router, y cada uno de esos niveles requiere información coherente sobre el etiquetado para garantizar que el reenvío sea correcto. En Mikrotik, por ejemplo, una VLAN puede definirse en el bridge VLAN filtering para determinar qué puertos son tagged o untagged, pero también es necesario crear las interfaces VLAN cuando el router debe enrutar, asignar direcciones IP o aplicar servicios como DHCP y firewall, ya que esas funciones operan en capa 3 y requieren una interfaz lógica asociada a la VLAN. De la misma manera, en equipos que utilizan switch-chip, se necesita declarar la VLAN tanto en la tabla del switch como en el bridge para habilitar el procesamiento por hardware. En resumen, las VLANs aparecen configuradas en múltiples ubicaciones porque cada sección del dispositivo cumple un rol distinto en la cadena de procesamiento: conmutación, etiquetado, enrutamiento y servicios de capa 3, garantizando así segmentación, rendimiento y consistencia operativa.

Sí, es posible aplicar control de tráfico y segmentación de VLANs en este escenario, pero requiere una configuración coherente de VLANs tanto en el RouterBOARD como en cada switch NG conectado. En el RB, cada VLAN debe crearse como sub-interface asociada al bridge o mediante bridge VLAN filtering, asignando PVID y puertos tagged/untagged según corresponda. Los switches NG deben configurarse para reconocer las mismas VLANs y mantener consistencia en el etiquetado en los puertos troncales que conectan con el RB y entre ellos, mientras que los puertos de acceso que conectan dispositivos finales deben asignarse a la VLAN correspondiente sin etiquetar (untagged). Este enfoque asegura que el tráfico de cada VLAN permanezca aislado, que los servicios como VoIP y CCTV tengan la prioridad y segmentación adecuadas, y que las VLANs de invitados o Wi-Fi estén correctamente separadas, evitando fugas de tráfico entre redes y manteniendo un control eficiente de la red.

La filtración de tráfico ocurre cuando la configuración de VLANs es inconsistente entre dispositivos o puertos, permitiendo que paquetes etiquetados o no etiquetados se mezclen inadvertidamente entre VLANs diferentes. Esto puede suceder, por ejemplo, si los puertos troncales no tienen correctamente definido qué VLANs son tagged, si los puertos de acceso tienen un PVID incorrecto, o si la VLAN nativa no coincide en ambos extremos del enlace troncal. En Mikrotik, un error en bridge VLAN filtering o en la asignación de subinterfaces VLAN puede derivar en que tráfico untagged de una VLAN se propague hacia otra, comprometiendo la segmentación de la red y la seguridad. Por ello, es crítico mantener consistencia en el etiquetado, PVID y asignación de puertos, verificando mediante pruebas de conectividad y captura de tráfico que cada VLAN permanezca aislada según su diseño.

El balanceo de tráfico en enlaces múltiples depende del tipo de agregación y del diseño de VLANs en el switch. En un link aggregation (por ejemplo, LACP) los enlaces se combinan para aumentar la capacidad, pero el tráfico se distribuye típicamente según un hash que considera parámetros como MAC de origen/destino, IP o puerto TCP/UDP, lo que significa que cada flujo se mantiene consistente para evitar reordenamiento de paquetes. Por lo tanto, incluso si existen varias VLANs, el balanceo no ocurre de manera completamente global entre todos los enlaces, sino que se aplica a nivel de flujo, lo que puede implicar que algunas VLANs ocupen más un enlace que otro. Para un control más fino, se puede ajustar la política de balanceo por VLAN o segmentar el tráfico de manera que cada VLAN tenga su propia distribución, garantizando que no se saturen enlaces específicos y que la segmentación de la red se mantenga intacta.