VLAN: O que é, Tipos, Configuração e Uso em Redes Corporativas

Redes corporativas sem segmentação tratam todo o tráfego como igual. O notebook do estagiário, o servidor de pagamentos e o sistema de câmeras de segurança compartilham o mesmo domínio de broadcast — o mesmo espaço lógico onde qualquer pacote pode ser interceptado por qualquer dispositivo conectado. Isso cria um risco de segurança real e um problema de performance mensurável.

A VLAN (Virtual Local Area Network) resolve esse problema sem exigir infraestrutura física adicional. Com um switch gerenciável e a configuração correta, é possível segmentar a rede em domínios lógicos completamente isolados, com políticas de acesso independentes para cada segmento.

Este artigo cobre o que é VLAN, como funciona o mecanismo de segmentação, os tipos utilizados em ambientes corporativos, os conceitos de porta Access e Trunk com o protocolo 802.1Q, um exemplo de configuração em switches Cisco e as boas práticas de segurança e monitoramento do tráfego de redes segmentadas.

O que é VLAN

VLAN é uma tecnologia que permite criar redes locais virtuais sobre uma infraestrutura física compartilhada. Dispositivos em VLANs diferentes não conseguem se comunicar diretamente — mesmo que estejam plugados no mesmo switch físico — sem que o tráfego passe por um roteador ou firewall configurado para permitir essa comunicação.

O mecanismo central é a segmentação de domínios de broadcast. Em uma rede plana sem VLANs, um broadcast enviado por qualquer dispositivo alcança todos os outros conectados ao mesmo switch. Em redes com VLAN, o broadcast é confinado ao segmento — dispositivos de outras VLANs nunca recebem esses pacotes.

VLAN vs LAN — a diferença fundamental

Uma LAN tradicional agrupa dispositivos pela localização física: estão na mesma rede porque estão no mesmo cabo ou switch. Uma VLAN agrupa dispositivos por critério lógico: departamento, função, tipo de tráfego ou nível de segurança — independente de onde estão fisicamente conectados.

Isso significa que dois dispositivos no mesmo andar podem estar em VLANs diferentes e dois dispositivos em andares distintos podem estar na mesma VLAN. A topologia lógica se descola da topologia física, o que traz flexibilidade operacional e reduz o custo de reorganização da rede.

Tipos de VLAN em Ambientes Corporativos

A classificação das VLANs pode seguir dois critérios: o método de atribuição dos dispositivos (porta ou MAC) ou a função do tráfego transportado. Na prática corporativa, ambas as classificações são usadas de forma complementar.

VLAN por Porta (Estática)

É o modelo mais comum em ambientes corporativos. O administrador atribui manualmente cada porta do switch a uma VLAN específica. Todo dispositivo conectado àquela porta automaticamente pertence àquela VLAN — independente de qual dispositivo seja.

A configuração é simples e previsível. A desvantagem é que mover um usuário fisicamente exige reconfiguração manual da porta de destino. Em ambientes estáveis com pouca movimentação de equipamentos, isso raramente é um problema prático.

VLAN por MAC (Dinâmica)

Neste modelo, a VLAN é atribuída com base no endereço MAC do dispositivo conectado, consultado em uma base de dados central. O dispositivo recebe a VLAN correta independente de qual porta física ele está conectado.

É utilizado em ambientes com alta mobilidade de dispositivos ou implementações de NAC (Network Access Control). Exige maior complexidade de configuração e manutenção da base de dados de MACs.

VLAN de Dados, Voz e Gerenciamento

Classificando pelo tipo de tráfego, as três VLANs mais comuns em infraestruturas corporativas são: a VLAN de dados para o tráfego dos usuários finais, a VLAN de voz para isolar o tráfego VoIP com prioridade de QoS e a VLAN de gerenciamento para acesso administrativo a switches e roteadores via SSH ou SNMP.

A VLAN de gerenciamento é especialmente importante do ponto de vista de segurança. Mantê-la separada evita que usuários comuns tentem acessar a interface de administração dos equipamentos de rede. A coleta via SNMP para monitoramento também deve ser restrita a essa VLAN.

Como Funciona a VLAN na Prática

O funcionamento da VLAN depende de dois conceitos operacionais fundamentais: o tipo de porta configurada no switch e o protocolo de marcação de pacotes que permite que múltiplas VLANs trafeguem pelo mesmo cabo físico.

Portas Access e Trunk

Uma porta Access conecta um dispositivo final — computador, impressora, telefone IP — e pertence a uma única VLAN. O dispositivo final não precisa saber nada sobre VLANs: ele envia e recebe pacotes normalmente. O switch é responsável por classificar esse tráfego na VLAN correta.

Uma porta Trunk conecta dois switches entre si, ou um switch a um roteador, e transporta o tráfego de múltiplas VLANs simultaneamente. É o link que permite que uma VLAN se estenda por vários switches distribuídos pelo prédio sem perder a segmentação lógica.

Tagged e Untagged — o papel do protocolo 802.1Q

O padrão IEEE 802.1Q define como o tráfego de múltiplas VLANs é diferenciado em uma porta Trunk. Quando um pacote sai de uma porta Access para uma porta Trunk, o switch insere uma tag de 4 bytes no cabeçalho Ethernet que contém o VLAN ID — um número entre 1 e 4094.

O switch de destino lê essa tag e encaminha o pacote para a porta Access correta. Ao entregar o pacote ao dispositivo final, a tag é removida. O conceito de tagged (com marcação) se aplica ao tráfego nas portas Trunk. O conceito de untagged se aplica ao tráfego nas portas Access — o dispositivo final recebe o pacote sem a tag.

A VLAN nativa é a VLAN utilizada para tráfego não marcado em uma porta Trunk. Por padrão nos switches Cisco, é a VLAN 1. Por razões de segurança, a VLAN 1 não deve ser usada como VLAN de dados de produção.

Como Configurar VLAN em Switches — Exemplo Cisco

A configuração básica de VLANs em switches Cisco IOS envolve três etapas: criar as VLANs, configurar as portas Access e configurar as portas Trunk. O exemplo abaixo cria duas VLANs — uma para dados (VLAN 10) e uma para voz (VLAN 20) — e as aplica às interfaces:

! Criar as VLANs
vlan 10
name DADOS
vlan 20
name VOZ

! Configurar porta Access para estação de trabalho
interface FastEthernet0/1
switchport mode access
switchport access vlan 10

! Configurar porta com VLAN de dados e voz (para telefone IP)
interface FastEthernet0/2
switchport mode access
switchport access vlan 10
switchport voice vlan 20

! Configurar porta Trunk entre switches
interface GigabitEthernet0/1
switchport mode trunk
switchport trunk allowed vlan 10,20
switchport trunk native vlan 999

O comando switchport trunk native vlan 999 define a VLAN 999 (não utilizada) como VLAN nativa, evitando que a VLAN 1 padrão seja usada. Isso é uma prática recomendada pela própria Cisco para reduzir a superfície de ataque por VLAN hopping.

Para verificar as VLANs configuradas e as portas associadas, o comando show vlan brief exibe o status de todas as VLANs ativas no switch.

Boas Práticas de Segurança e Monitoramento de VLANs

Segmentar a rede em VLANs é o primeiro passo. Operar essa segmentação com segurança e visibilidade operacional é o que transforma a VLAN em um controle efetivo de segurança.

➡️ Nunca use a VLAN 1 para tráfego de produção. A VLAN 1 é a padrão em todos os switches e é alvo do ataque VLAN hopping. Atribua todas as portas de produção a VLANs numeradas explicitamente e mude a VLAN nativa das portas Trunk para uma VLAN sem uso.

➡️ Desative as portas não utilizadas. Portas sem dispositivo conectado devem ser administrativamente desativadas (shutdown) e atribuídas a uma VLAN isolada. Porta ativa sem dispositivo é um vetor de ataque físico.

➡️ Implemente roteamento inter-VLAN com firewall. A comunicação entre VLANs deve passar obrigatoriamente por um firewall com regras explícitas. O roteamento direto entre VLANs sem filtragem anula o isolamento de segurança que a segmentação oferece.

➡️ Monitore o tráfego entre VLANs. Picos de tráfego inter-VLAN inesperados podem indicar movimentação lateral de ameaças ou misconfiguration. O NOC deve monitorar os volumes de tráfego por segmento e alertar sobre desvios do baseline. A coleta via NetFlow nos roteadores que fazem inter-VLAN routing entrega visibilidade granular por par de VLANs origem-destino.

➡️ Padronize a nomenclatura. VLANs com IDs e nomes padronizados (ex: VLAN10-FINANCEIRO) reduzem erros operacionais e facilitam auditorias. Documente o mapa de VLANs e mantenha essa documentação atualizada com o backup automático das configurações dos switches.

Conclusão

A VLAN é um dos controles de segurança e performance mais fundamentais em redes corporativas. Ela elimina o domínio de broadcast único que expõe todo o tráfego a todos os dispositivos, substitui cabeamento adicional por configuração lógica e cria a base para políticas de acesso granular entre segmentos.

A implementação correta passa pela escolha entre VLANs por porta ou por MAC conforme a mobilidade do ambiente, pela configuração adequada das portas Access e Trunk com o protocolo 802.1Q e pela aplicação de boas práticas de segurança que evitam ataques de VLAN hopping.

Nenhuma segmentação é efetiva sem monitoramento contínuo. A visibilidade do tráfego inter-VLAN é o que permite detectar desvios de comportamento antes que se tornem incidentes de segurança.

Por fim, somos especializados em monitoramento de redes e sistemas. Caso deseje obter métricas completas do uso da rede corporativa, fale com nossos especialistas.