M2 · Switching e LAN

VLANs Parte 1 — Conceitos e Configuração em Switches Cisco

O que é uma VLAN

Uma rede local (LAN) é definida, na prática, como um domínio de broadcast: o conjunto de dispositivos que recebe um quadro enviado ao endereço MAC de destino FF:FF:FF:FF:FF:FF. Roteadores delimitam esses domínios — eles recebem broadcasts mas não os repassam para outras interfaces.

Uma VLAN (Virtual LAN) é uma técnica que divide um único switch físico em múltiplos domínios de broadcast lógicos, sem precisar de hardware adicional. Cada VLAN funciona como uma LAN independente: dispositivos em VLANs diferentes não se comunicam diretamente, mesmo estando no mesmo switch.

O padrão IEEE 802.1Q é o mecanismo usado para identificar VLANs em quadros Ethernet — você verá isso em detalhes na próxima aula, quando abordarmos trunk ports.

Como funciona

Domínios de broadcast e o problema da rede plana

Imagine uma empresa como a Rota Soluções de TI, com três departamentos — RH, Financeiro e TI — todos conectados ao mesmo switch. Sem VLANs:

  • Um broadcast enviado por qualquer máquina chega a todos os dispositivos da rede.
  • Um PC do setor de TI pode alcançar diretamente um servidor do Financeiro, sem passar pelo roteador, tornando ineficazes qualquer política de segurança aplicada nele.
  • Tráfego desnecessário consome banda e aumenta a latência em todos os hosts.

A solução: VLANs por porta de acesso

VLANs são configuradas por interface no switch. Cada porta de acesso (access port) pertence a exatamente uma VLAN. O switch mantém tabelas de encaminhamento separadas por VLAN e nunca encaminha tráfego diretamente entre elas.

  • VLAN 10 → departamento de TI
  • VLAN 20 → departamento de RH
  • VLAN 30 → departamento de Financeiro

Se um host da VLAN 10 envia um broadcast, o switch entrega o quadro apenas às portas configuradas na VLAN 10. Os outros departamentos não recebem nada.

Inter-VLAN routing

Para que hosts de VLANs diferentes se comuniquem, o tráfego obrigatoriamente passa por um roteador (ou por um switch de camada 3). O switch encaminha o quadro até o roteador, que aplica as políticas de segurança configuradas (ACLs, firewall) e, se permitido, roteia o pacote de volta ao switch para entrega ao destino.

VLANs padrão no IOS

Todo switch Cisco sai de fábrica com as seguintes VLANs:

VLANNomeObservação
1defaultTodas as portas pertencem a ela inicialmente
1002–1005fddi-default, etc.Legado (FDDI/Token Ring); não deletáveis; irrelevantes hoje

VLANs 1 e 1002–1005 não podem ser removidas.

Na prática

Verificando o estado inicial

Switch# show vlan brief

A saída mostra todas as VLANs existentes e quais portas pertencem a cada uma. Antes de qualquer configuração, todas as interfaces aparecem na VLAN 1.

Criando VLANs e atribuindo portas

Switch# configure terminal

! Configurar portas do departamento de TI (ex.: G0/0 a G0/3)
Switch(config)# interface range GigabitEthernet0/0 - 3
Switch(config-if-range)# switchport mode access
Switch(config-if-range)# switchport access vlan 10
! Mensagem: "Access VLAN does not exist, creating VLAN 10"

! Portas do RH (ex.: G0/4 a G0/6)
Switch(config)# interface range GigabitEthernet0/4 - 6
Switch(config-if-range)# switchport mode access
Switch(config-if-range)# switchport access vlan 20

! Portas do Financeiro (ex.: G0/7 a G0/9)
Switch(config)# interface range GigabitEthernet0/7 - 9
Switch(config-if-range)# switchport mode access
Switch(config-if-range)# switchport access vlan 30

O comando switchport access vlan <id> cria a VLAN automaticamente se ela ainda não existir.

Nomeando as VLANs

Switch(config)# vlan 10
Switch(config-vlan)# name TI

Switch(config)# vlan 20
Switch(config-vlan)# name RH

Switch(config)# vlan 30
Switch(config-vlan)# name Financeiro

Confirmando a configuração

Switch# show vlan brief

A saída deve exibir as VLANs 1, 10, 20, 30 e 1002–1005, com as portas corretamente distribuídas.

Por que isso cai no exame

O tema VLANs é um dos mais recorrentes no CCNA 200-301. Pontos cobertos com frequência:

  1. Definição de domínio de broadcast — saber que roteadores delimitam domínios e switches (sem VLANs) não.
  2. Contagem de domínios de broadcast — questões de diagrama pedem que você identifique quantos existem numa topologia; cada VLAN em cada switch configura um domínio separado; a conexão ponto a ponto entre dois roteadores também forma um.
  3. O que acontece ao atribuir uma porta a uma VLAN inexistente — o switch cria a VLAN automaticamente (alternativa correta em questões de múltipla escolha).
  4. Diferença entre access port e trunk port — access port carrega uma única VLAN; trunk port carrega múltiplas (coberto em detalhes na próxima aula).
  5. VLANs que existem por padrão e não podem ser deletadas — VLAN 1 e 1002–1005.
  6. Quantidade de VLANs no show vlan brief — com VLANs 10, 20 e 30 criadas, o total exibido é 8 (1 + 1002 + 1003 + 1004 + 1005 + 10 + 20 + 30).
  7. Inter-VLAN routing é função do roteador, não do switch de camada 2.

Resumo em uma linha

VLANs segmentam logicamente um switch em múltiplos domínios de broadcast independentes, melhorando segurança e desempenho sem exigir hardware adicional — e a comunicação entre VLANs sempre exige um roteador.

VLANs — Segmentação Lógica de Rede Um switch físico → três domínios de broadcast independentes SW-CORE Cisco Catalyst R1 Router inter-VLAN VLAN 10 — TI 192.168.10.0/24 PC-TI-01 .10 PC-TI-02 .11 G0/0 G0/1 VLAN 20 — RH 192.168.20.0/24 PC-RH-01 .20 PC-RH-02 .21 VLAN 30 — Financeiro 192.168.30.0/24 PC-FIN-01 .30 PC-FIN-02 .31 LEGENDA VLAN 10 — TI VLAN 20 — RH VLAN 30 — Financeiro Inter-VLAN (via Router) Broadcasts ficam restritos à própria VLAN — switches não roteiam entre VLANs

Lab Interativo — VLANs Parte 1

Cenário: Rota Soluções de TI — 3 departamentos, 1 switch Cisco, nenhuma segmentação ainda.

Progresso: 0 / 3 etapas
Topologia do Cenário
[PC-TI-01] G0/0 ─┐ [PC-TI-02] G0/1 ─┤ [PC-RH-01] G0/4 ─┤ [SW-CORE] ── G0/8 ── [R1] [PC-RH-02] G0/5 ─┤ [PC-FIN-01]G0/7 ─┤ [PC-FIN-02]G0/8 ─┘ Subnets: TI → 192.168.10.0/24 (VLAN 10) RH → 192.168.20.0/24 (VLAN 20) FIN → 192.168.30.0/24 (VLAN 30)

Sua missão: segmentar a rede em 3 VLANs, atribuir as portas corretamente e verificar a configuração com os comandos apropriados.

1 Etapa 1 — Criar as VLANs e dar nomes

No SW-CORE, crie as VLANs 10 (TI), 20 (RH) e 30 (Financeiro) e atribua nomes a elas. Use os comandos: vlan <id> e name <nome>.

SW-CORE — IOS CLI Simulado
SW-CORE# configure terminal Enter configuration commands, one per line. End with CNTL/Z. SW-CORE(config)#
SW-CORE(config)#
  • 1. Entre no modo de configuração global: configure terminal
  • 2. Crie cada VLAN: vlan 10 → name TI → exit
  • 3. Repita para vlan 20 (name RH) e vlan 30 (name Financeiro)
2 Etapa 2 — Atribuir portas às VLANs (access ports)

Configure as interfaces de acordo com a topologia: G0/0–G0/1 → VLAN 10, G0/4–G0/5 → VLAN 20, G0/7 → VLAN 30. Use interface range, switchport mode access e switchport access vlan <id>.

SW-CORE — IOS CLI Simulado
SW-CORE(config)#
SW-CORE(config)#
  • 1. interface range GigabitEthernet0/0 - 1
  • 2. switchport mode access
  • 3. switchport access vlan 10
  • 4. Repita o processo para G0/4-5 (VLAN 20) e G0/7 (VLAN 30)
3 Etapa 3 — Verificar a configuração

Use os comandos de verificação para confirmar que as VLANs foram criadas corretamente e que as portas estão nos grupos certos. Tente: show vlan brief e show interfaces GigabitEthernet0/0 switchport.

SW-CORE — IOS CLI Simulado
SW-CORE#
SW-CORE#
  • 1. show vlan brief — lista todas as VLANs e suas portas
  • 2. show interfaces GigabitEthernet0/0 switchport — detalha o modo de uma porta específica
✓ Lab Concluído!

Parabéns — Configuração de VLANs dominada

Você criou 3 VLANs, configurou access ports e verificou a segmentação no SW-CORE da Rota Soluções de TI.

Próximo passo: Trunk Ports e 802.1Q (VLANs Parte 2)