M2 · Switching e LAN

VLANs Parte 2: Trunks, 802.1Q e Roteamento Inter-VLAN

O que é

Uma trunk port é uma interface de switch configurada para transportar tráfego de múltiplas VLANs ao mesmo tempo por um único cabo físico. Diferente da access port — que pertence a uma única VLAN e envia frames sem marcação —, a trunk port rotula cada frame com a identidade da VLAN de origem antes de enviá-lo. Por isso, trunk ports também são chamadas de portas tagged e access ports de portas untagged.

Imagine dois andares de um escritório de tecnologia em São Paulo: no térreo ficam os servidores (VLAN 10) e na cobertura ficam as estações dos desenvolvedores (VLAN 10 também) e o time financeiro (VLAN 30). Em vez de passar um cabo por andar por VLAN — o que esgotaria rapidamente as interfaces do switch —, você conecta os dois switches com um único cabo trunk e tudo flui por ele.

O protocolo padrão de marcação é o IEEE 802.1Q (pronunciado "dot one Q"). O antigo ISL (Inter-Switch Link), proprietário Cisco, caiu em desuso e não é mais suportado em equipamentos modernos. Para o exame CCNA, foque exclusivamente no 802.1Q.

Como funciona

A tag 802.1Q

Quando um switch envia um frame por um trunk, ele insere um campo extra de 4 bytes no cabeçalho Ethernet, entre o campo Source MAC e o campo Type/Length. Esse campo é a tag 802.1Q e possui quatro subcampos:

SubcampoTamanhoFunção
TPID16 bitsValor fixo 0x8100 — identifica o frame como tagged
PCP3 bitsPriority Code Point — usado para QoS (Class of Service)
DEI1 bitDrop Eligible Indicator — indica frames descartáveis em congestionamento
VID12 bitsVLAN ID — o número da VLAN (1 a 4094)

O campo VID de 12 bits suporta 2¹² = 4096 valores, mas as VLANs 0 e 4095 são reservadas. O range utilizável é 1 a 4094, dividido em:

  • VLANs normais: 1 a 1005
  • VLANs estendidas: 1006 a 4094

Quando o switch receptor lê a tag, sabe exatamente para qual VLAN encaminhar o frame. Depois de processar, o switch de destino remove a tag antes de entregar o frame à access port do dispositivo final — o PC não vê a tag 802.1Q.

Native VLAN

O 802.1Q tem um conceito chamado native VLAN: a VLAN cujos frames trafegam pelo trunk sem tag. Por padrão é a VLAN 1. Quando um switch recebe um frame sem tag em uma trunk port, ele assume que pertence à native VLAN configurada naquela porta.

Isso cria um requisito crítico: a native VLAN precisa ser igual nos dois lados do trunk. Se SW1 acha que a native VLAN é 10 e SW2 acha que é 30, frames sem tag serão colocados na VLAN errada e descartados ou, pior, encaminhados para hosts incorretos. Como boa prática de segurança, configure a native VLAN como uma VLAN dedicada sem hosts (por exemplo, VLAN 999) e sem roteamento.

VLANs permitidas no trunk

Por padrão, todas as VLANs (1–4094) são permitidas em um trunk. Para reduzir tráfego desnecessário e limitar a superfície de ataque, restrinja o trunk apenas às VLANs realmente necessárias naquele segmento.

Na prática

Configurando um trunk em switches Cisco

Em switches modernos (plataforma Catalyst 9000, IOS-XE), basta:

SW1(config)# interface GigabitEthernet0/0
SW1(config-if)# switchport mode trunk
SW1(config-if)# switchport trunk allowed vlan 10,30
SW1(config-if)# switchport trunk native vlan 999

Em switches mais antigos que suportam tanto 802.1Q quanto ISL, é necessário especificar a encapsulação antes:

SW1(config-if)# switchport trunk encapsulation dot1q
SW1(config-if)# switchport mode trunk

Gerenciando as VLANs permitidas:

! Substituir lista inteira
switchport trunk allowed vlan 10,20,30

! Adicionar VLAN sem remover as existentes
switchport trunk allowed vlan add 40

! Remover uma VLAN específica
switchport trunk allowed vlan remove 40

! Restaurar padrão (todas)
switchport trunk allowed vlan all

! Bloquear tudo (útil para descomissionar o link)
switchport trunk allowed vlan none

Verificação:

SW1# show interfaces trunk
SW1# show vlan brief        ! exibe access ports — trunks NÃO aparecem aqui

Router-on-a-Stick (ROAS)

Quando não há switch Layer 3 disponível, o roteamento entre VLANs pode ser feito com um único link físico entre o roteador e o switch, usando subinterfaces no roteador. O nome "router-on-a-stick" vem justamente da aparência do diagrama: um único cabo ("graveto") conectando roteador e switch.

Cenário: empresa de logística em Campinas com três VLANs (Operacional/10, Financeiro/20, TI/30) conectadas a um único roteador via interface G0/0.

No switch: configure a porta conectada ao roteador como trunk normal, permitindo as VLANs necessárias.

No roteador:

R1(config)# interface GigabitEthernet0/0
R1(config-if)# no shutdown

R1(config)# interface GigabitEthernet0/0.10
R1(config-subif)# encapsulation dot1q 10
R1(config-subif)# ip address 192.168.10.254 255.255.255.0

R1(config)# interface GigabitEthernet0/0.20
R1(config-subif)# encapsulation dot1q 20
R1(config-subif)# ip address 192.168.20.254 255.255.255.0

R1(config)# interface GigabitEthernet0/0.30
R1(config-subif)# encapsulation dot1q 30
R1(config-subif)# ip address 192.168.30.254 255.255.255.0

O número da subinterface (G0/0.10) não precisa ser igual ao número da VLAN, mas é uma convenção fortemente recomendada para facilitar leitura e troubleshooting.

Como funciona o fluxo de dados:

  1. PC da VLAN 10 envia frame com destino na VLAN 30 — endereço MAC de destino é o roteador (default gateway).
  2. SW2 recebe o frame, adiciona tag VLAN 10 e envia pelo trunk ao roteador.
  3. O roteador recebe na G0/0.10, faz o roteamento IP, e envia pela G0/0.30.
  4. O frame sai com tag VLAN 30. O switch encaminha ao destino e remove a tag antes da entrega.

Verificação:

R1# show ip interface brief    ! confirma subinterfaces e status
R1# show ip route              ! rotas connected e local para cada subinterface

Alternativa moderna: SVIs em switches Layer 3

Em redes corporativas atuais, switches Layer 3 (como Catalyst 3850, 9300) realizam o roteamento inter-VLAN internamente via Switch Virtual Interfaces (SVIs), eliminando o gargalo de um único link físico. O ROAS continua relevante em redes menores ou onde o orçamento não permite switch L3.

Por que cai no exame

O tema VLANs Parte 2 é frequente no CCNA 200-301 porque combina múltiplos conceitos que o candidato precisa aplicar — não apenas memorizar:

  • Native VLAN mismatch é uma armadilha clássica: o switch não emite erro, mas o tráfego some. Questões de troubleshooting apresentam esse cenário com frequência.
  • show vlan brief não mostra trunks — candidatos que usam esse comando para verificar trunk levam zero ponto. O comando correto é show interfaces trunk.
  • Subinterface x número de VLAN: o exame testa se você sabe que o número da subinterface pode ser diferente do VID no encapsulation dot1q. A configuração funciona, mas viola a convenção.
  • switchport trunk allowed vlan sem add substitui a lista inteira. Esquecer o add é um erro clássico que derruba VLANs existentes.
  • VID = 12 bits = 4096 VLANs possíveis (1–4094 utilizáveis): número cobrado em questões de múltipla escolha sobre capacidade do protocolo 802.1Q.
  • TPID = 0x8100: valor identificador do frame 802.1Q — aparece em questões sobre o formato do cabeçalho Ethernet.

Resumo em uma linha

Trunk ports transportam múltiplas VLANs em um único link usando tags 802.1Q; o Router-on-a-Stick aproveita essa capacidade para rotear entre VLANs com uma única interface física no roteador.

Access Port vs Trunk Port — Tag 802.1Q Diagrama mostrando como frames Ethernet trafegam sem tag em access ports e com tag 802.1Q (TPID+PCP+DEI+VID) em trunk ports, ilustrando também o conceito de native VLAN e Router-on-a-Stick. VLANs Parte 2 — Access Port vs Trunk Port & Tag 802.1Q ACCESS PORT (untagged) Pertence a uma única VLAN — frames sem tag PC VLAN 10 SW access PC VLAN 10 Frame Ethernet (sem tag) DST SRC Type Data... FCS Switch conhece a VLAN pela porta — sem tag necessária TRUNK PORT (tagged) Transporta múltiplas VLANs — tag 802.1Q inserida SW1 trunk +tag -tag SW2 trunk 10 20 30 Frame com Tag 802.1Q inserida DST SRC 802.1Q TAG 4 bytes Type Data FCS Tag identifica a VLAN — switch receptor encaminha corretamente Estrutura da Tag 802.1Q (32 bits) TPID 0x8100 16 bits TCI (Tag Control Information) PCP 3b DEI 1b VID (VLAN ID) 12 bits | 1–4094 TPID: identifica frame como .1Q tagged PCP: Class of Service / QoS DEI: descarte em congestionamento VID: número da VLAN (12 bits = 4096 valores) Native VLAN: tráfego enviado SEM tag (padrão VLAN 1) Atenção: native VLAN deve ser igual nos dois lados! Router-on-a-Stick (ROAS) ROTEADOR G0/0.10 G0/0.20 G0/0.30 1 cabo SW trunk V10 V20 V30 interface G0/0.10 encapsulation dot1q 10 ip address 192.168.10.254 /24 Subinterface = interface lógica por VLAN Roteamento inter-VLAN sem switch L3

Lab Interativo — VLANs Parte 2: Trunks e Router-on-a-Stick

Cenário: NexusBR Tecnologia — 3 departamentos, 2 switches e 1 roteador. Você vai configurar o trunk e o roteamento inter-VLAN.

Progresso: 0 / 3 etapas
Topologia do Cenário
[PC-TI-01] G0/0 ─┐ [PC-TI-02] G0/1 ─┤ SW1 ── G0/24 ═══ G0/24 ── SW2 [PC-FIN-01] G0/4 ─┤ │ G0/0 (trunk ao R1) [PC-OPS-01] G0/7 ─┘ [R1] G0/0 (router-on-a-stick) Subnets: TI → 192.168.10.0/24 (VLAN 10) GW: 192.168.10.254 Financeiro → 192.168.20.0/24 (VLAN 20) GW: 192.168.20.254 Operações → 192.168.30.0/24 (VLAN 30) GW: 192.168.30.254 Native VLAN: 999 (sem hosts) | VLANs permitidas no trunk: 10,20,30

Missão em 3 etapas: 1) configurar o trunk entre SW1 e SW2, 2) configurar o Router-on-a-Stick no R1 e 3) verificar com show interfaces trunk.

1 Etapa 1 — Configurar trunk entre SW1 e SW2

Configure a interface GigabitEthernet0/24 do SW1 como trunk 802.1Q. Permita apenas as VLANs 10, 20 e 30 e defina a native VLAN como 999. Comandos: switchport mode trunk, switchport trunk allowed vlan 10,20,30, switchport trunk native vlan 999.

SW1 — IOS CLI Simulado
SW1# configure terminal Enter configuration commands, one per line. End with CNTL/Z. SW1(config)#
SW1(config)#
  • 1. interface GigabitEthernet0/24
  • 2. switchport mode trunk
  • 3. switchport trunk allowed vlan 10,20,30
  • 4. switchport trunk native vlan 999
2 Etapa 2 — Configurar Router-on-a-Stick no R1

No R1, ative a interface física G0/0 e crie as subinterfaces G0/0.10, G0/0.20 e G0/0.30. Para cada uma: encapsulation dot1q <vlan-id> e o IP de gateway da respectiva subnet. IPs: .10 → 192.168.10.254/24 | .20 → 192.168.20.254/24 | .30 → 192.168.30.254/24.

R1 — IOS CLI Simulado
R1# configure terminal Enter configuration commands, one per line. End with CNTL/Z. R1(config)#
R1(config)#
  • 1. interface GigabitEthernet0/0 → no shutdown
  • 2. interface GigabitEthernet0/0.10
  • 3. encapsulation dot1q 10 → ip address 192.168.10.254 255.255.255.0
  • 4. Repita para G0/0.20 (dot1q 20, .20.254) e G0/0.30 (dot1q 30, .30.254)
  • 5. O número da subinterface deve casar com o VID do encapsulation dot1q
3 Etapa 3 — Verificar trunk com show interfaces trunk

De volta ao SW1, execute os comandos de verificação. Lembre-se: show vlan brief NÃO mostra trunks. Use show interfaces trunk para ver as trunk ports. Também experimente show interfaces GigabitEthernet0/24 switchport.

SW1 — IOS CLI Simulado
SW1#
SW1#
  • 1. show interfaces trunk — lista todas as trunk ports e VLANs permitidas
  • 2. show interfaces GigabitEthernet0/24 switchport — detalha o modo trunk
  • 3. show vlan brief NÃO lista trunk ports — essa é uma armadilha clássica do CCNA
✓ Lab Concluído!

Parabéns — Trunk e Router-on-a-Stick configurados!

Você configurou o trunk 802.1Q entre SW1 e SW2, as subinterfaces do R1 para roteamento inter-VLAN e verificou a configuração com os comandos corretos na NexusBR Tecnologia.

Próximo passo: Spanning Tree Protocol (STP Parte 1)