Imagine um galpão grande, totalmente aberto, sem nenhuma parede interna. Dentro dele, ao mesmo tempo, estão: o caixa com o dinheiro, as câmeras de segurança, os computadores do escritório, os servidores e uma mesa onde qualquer visitante senta para usar o Wi-Fi. Todos no mesmo ambiente, todos se enxergando, todos ouvindo o mesmo barulho. É exatamente assim que funciona a rede da maioria das empresas, e é exatamente por isso que ela é mais lenta e mais frágil do que deveria.

A VLAN é a forma de levantar paredes nesse galpão, transformando um espaço único em salas separadas, sem precisar derrubar nada nem trocar de prédio. Este artigo explica o que é, a parte técnica por trás (a etiqueta 802.1Q), por que ela melhora ao mesmo tempo a segurança e a velocidade, e como dar os primeiros passos com equipamentos MikroTik.

O problema da rede "plana"

Quando uma rede não tem nenhuma divisão interna, dizemos que ela é plana: todos os dispositivos ficam no mesmo espaço lógico e podem falar diretamente uns com os outros. O notebook do financeiro, a câmera do corredor, o computador do caixa, a impressora, o celular do visitante e o servidor de arquivos compartilham o mesmo ambiente, e os mesmos riscos.

Isso traz dois problemas que andam juntos. O primeiro é de segurança: se um único dispositivo for invadido ou estiver infectado, ele tem caminho livre para alcançar todos os outros. O segundo é de desempenho: como veremos adiante, numa rede plana certos avisos são gritados para todo mundo ao mesmo tempo, e quanto mais gente no mesmo espaço, mais barulho todos precisam ouvir.

É o galpão aberto: cômodo de montar, mas qualquer um anda até qualquer lugar, e um grito é ouvido por todos.

O que é uma VLAN

VLAN significa Virtual Local Area Network, ou rede local virtual. A ideia é simples: dentro do mesmo equipamento físico (o switch e o roteador), criamos várias redes separadas que não se enxergam, como se cada uma tivesse seu próprio cabeamento e seu próprio mundo, mesmo passando pelos mesmos fios.

Voltando ao galpão: a VLAN é a parede que você levanta para transformar aquele espaço único em salas separadas. A sala das câmeras, a sala do caixa, a sala dos visitantes, a sala dos servidores. Cada uma tem sua porta, e quem está numa sala não vê nem ouve o que acontece na outra, a menos que você abra uma passagem de propósito. O prédio é o mesmo, o equipamento é o mesmo, mas a organização interna mudou completamente.

O ganho é que essa divisão é lógica, não física. Você não precisa puxar cabos novos nem comprar um switch para cada setor: o mesmo equipamento sustenta várias VLANs ao mesmo tempo, e mover um dispositivo de uma "sala" para outra é uma questão de configuração, não de obra.

Switch gerenciável dividindo a rede em VLAN 10 administrativo, VLAN 20 servidores, VLAN 30 telefonia IP, VLAN 40 CFTV e VLAN 50 Wi-Fi corporativo
Cada setor ganha sua própria VLAN, identificada por um número (VLAN ID): administrativo, servidores, telefonia IP, CFTV e Wi-Fi corporativo. Um único switch gerenciável sustenta todas ao mesmo tempo, isoladas umas das outras.
O que diz a norma

A segmentação por VLAN é definida pelo padrão IEEE 802.1Q, mantido pelo IEEE e revisado ao longo dos anos (a edição atual é a 802.1Q-2022). É ele que padroniza como a rede marca a qual VLAN cada quadro de dados pertence, garantindo que equipamentos de fabricantes diferentes "falem a mesma língua" na hora de separar o tráfego.

A parte técnica: a etiqueta 802.1Q por dentro

Aqui vamos abrir a "caixa-preta" sem complicar. Para que os dados de várias salas viajem juntos pelo mesmo corredor sem se misturar, cada quadro de dados (o frame Ethernet) recebe uma etiqueta, a famosa tag 802.1Q. Ela é pequena, apenas 4 bytes (32 bits) inseridos no cabeçalho do quadro, e carrega quatro informações:

  • TPID (16 bits, valor 0x8100) — é o "selo" que avisa: "atenção, este quadro está etiquetado com VLAN". É como o equipamento reconhece que há uma tag ali.
  • PCP (3 bits) — a prioridade, definida pelo padrão IEEE 802.1p. Permite oito níveis (0 a 7) para dizer o que é mais urgente. É por aqui que a voz (VoIP) e o vídeo ganham preferência sobre um download comum.
  • DEI (1 bit) — indica se o quadro pode ser descartado primeiro em caso de congestionamento (antes chamado de CFI).
  • VID (12 bits) — o VLAN Identifier, o número da "sala". É o coração da etiqueta.

Esse VID de 12 bits é o que define quantas VLANs existem: 12 bits permitem 4096 combinações, das quais os valores 0 e 4095 são reservados, sobrando VLAN 1 até 4094 para uso. A VLAN 1 costuma ser a padrão de fábrica. Por convenção, muitos projetos numeram as VLANs por setor (10 = administrativo, 20 = servidores, 30 = telefonia, 40 = CFTV, 50 = visitantes), o que deixa a rede fácil de ler.

Em resumo técnico

Tag 802.1Q = 4 bytes: TPID 0x8100 + PCP (prioridade 802.1p, 3 bits) + DEI (1 bit) + VID (12 bits → 4094 VLANs utilizáveis). Um quadro sem tag é dito "untagged" e pertence à VLAN nativa da porta; um quadro com tag é "tagged" e viaja identificado pelo trunk.

Por que deixa mais seguro

A segurança vem do isolamento. Quando cada setor está na sua própria VLAN, um dispositivo só consegue alcançar quem está na mesma "sala" que ele. Tudo o que cruza de uma VLAN para outra passa obrigatoriamente pelo roteador ou firewall, onde você decide o que pode e o que não pode.

Na prática, isso muda o jogo em três frentes:

  • Conter um problema antes que ele se espalhe. Se uma câmera barata for comprometida ou um computador pegar um ransomware, o estrago fica preso à VLAN daquele dispositivo. Ele não consegue "andar" até o servidor de arquivos ou até o caixa, porque a parede está lá.
  • Separar quem não é de casa. A rede de visitantes vira uma VLAN própria, com saída só para a internet e nenhum acesso à rede interna. O cliente usa o Wi-Fi sem nunca tocar nos seus dados, nas câmeras ou nos sistemas.
  • Dar a cada setor o acesso certo. O financeiro não precisa enxergar as câmeras; o CFTV não precisa enxergar o servidor de arquivos. Separar reduz a "superfície" exposta, ou seja, há menos caminhos por onde um ataque pode passar.

É a diferença entre um ladrão que entra por uma porta e tem o galpão inteiro à disposição, e um que entra numa sala trancada e encontra outra porta fechada logo à frente. Esse isolamento é especialmente importante para o CFTV: muitas câmeras baratas trazem riscos sérios de segurança, e mantê-las numa VLAN fechada limita o estrago.

VLAN trazendo mais segurança, mais desempenho, mais organização e menos custos, com rack e switch ao fundo
Os quatro ganhos diretos da segmentação por VLAN: mais segurança (isola o tráfego entre setores), mais desempenho (menos congestionamento), mais organização (gestão simplificada) e menos custos (melhor aproveitamento da infraestrutura).

Por que deixa mais rápido

Aqui entra um conceito que parece técnico, mas tem uma analogia direta: o domínio de broadcast. Numa rede, alguns avisos precisam ser enviados para "todo mundo de uma vez", o equivalente a alguém gritar no meio do galpão: "alguém viu o computador tal?". Esse grito é chamado de broadcast, e todos os dispositivos da rede precisam parar para ouvir, mesmo que o aviso não tenha nada a ver com eles.

Numa rede plana, há um único galpão gigante: cada grito é ouvido por todos. Quanto mais dispositivos, mais gritos, e mais tempo todo mundo gasta processando barulho que não interessa. Isso consome banda e capacidade de processamento à toa.

Quando você separa a rede em VLANs, cada uma vira seu próprio domínio de broadcast, uma sala fechada. Um grito dentro da sala das câmeras fica na sala das câmeras; ninguém no escritório precisa ouvir. Com domínios menores, há menos barulho para cada dispositivo processar, e a rede respira melhor, principalmente quando há muitos equipamentos (câmeras, sensores, IoT) gerando tráfego o tempo todo.

Soma-se a isso a prioridade (lembra dos 3 bits de PCP na etiqueta?): a voz do VoIP pode ser marcada como mais urgente que um download, e atravessar a rede na frente da fila. O resultado é uma rede não só mais segura, mas mais previsível.

Resumindo: a VLAN aumenta a segurança porque isola, e aumenta o desempenho porque silencia o barulho que cada parte da rede precisaria ouvir, e ainda dá prioridade ao que importa.

Access, trunk e o roteamento entre VLANs

Para que tudo isso funcione, a rede precisa saber a qual VLAN cada coisa pertence. Isso é feito nas portas do switch, de duas formas:

  • Porta "access" (de acesso). É a porta onde se liga um dispositivo final, um computador, uma câmera, um telefone IP. Ela pertence a uma única VLAN e entrega o tráfego sem etiqueta (untagged). É como uma porta que dá para uma sala específica: tudo o que entra ali já sabe em qual sala está.
  • Porta "trunk" (de tronco). É a porta que conecta os equipamentos entre si (switch a switch, ou switch ao roteador) e carrega o tráfego de várias VLANs ao mesmo tempo pelo mesmo cabo, cada quadro com sua etiqueta 802.1Q. É o corredor central do prédio, por onde passam pessoas de todas as salas, cada uma com seu crachá.

Mas e quando uma sala precisa falar com a outra, por exemplo, o computador do escritório acessando um sistema no servidor? Aí entra o roteamento entre VLANs. Como as VLANs são isoladas por padrão, a comunicação entre elas só acontece passando por um roteador (ou por um switch de camada 3), onde você define exatamente o que pode cruzar a parede. Esse desenho clássico, um roteador controlando o trânsito entre todas as VLANs por um único trunk, é apelidado de "router on a stick".

Por isso a VLAN exige equipamento à altura: é preciso um switch gerenciável (que entenda e respeite as etiquetas) e um roteador que suporte VLAN. E é exatamente aqui que o equipamento doméstico fica para trás: o roteador da operadora não oferece VLAN de forma utilizável, ele só conhece o galpão aberto.

Começando bem com MikroTik

Se você vai dar os primeiros passos em segmentação, a MikroTik é uma das formas mais acessíveis de aprender e implantar VLANs com qualidade profissional, sem o custo das marcas premium. Não à toa, é a marca por trás de boa parte dos pequenos provedores do Brasil (entenda por que o MikroTik é tão amado). Uma combinação simples e robusta para começar:

  • Roteador para o trânsito entre VLANs. O hEX (RB750Gr3) é o ponto de partida clássico: faz o roteamento entre as VLANs e as regras de firewall com folga para uma rede pequena. Para mais desempenho, o RB5009 ou o L009 sobem o nível (veja como escolher no nosso guia de modelos MikroTik).
  • Switch gerenciável para a segmentação. O CSS610-8G-2S+IN é um ótimo começo: roda o SwOS (configuração simples pelo navegador) e já entrega VLANs, controle de broadcast e filtros. Precisa de mais portas, velocidade ou recursos avançados? O CRS310-8G+2S+IN roda RouterOS v7, tem portas 2,5G e 10G (SFP+) e o moderno bridge VLAN filtering, ideal para sustentar uplinks Wi-Fi 6/7.
  • Wi-Fi com VLAN por SSID. Access points como o cAP ax ou o hAP ax² permitem amarrar cada rede sem fio (SSID) a uma VLAN, por exemplo, "Visitantes" caindo direto na VLAN isolada, sem acesso à rede interna.

No RouterOS v7, a forma recomendada de configurar VLANs é o bridge VLAN filtering, em que você cria uma bridge, define quais portas são tagged (trunk) e untagged (access) para cada VLAN ID, e deixa o equipamento fazer o resto. É um modelo padronizado e alinhado ao 802.1Q, o que facilita integrar com switches e APs de outras marcas. Vale começar com poucas VLANs (administrativo, visitantes e CFTV já resolvem muita coisa) e crescer conforme a necessidade.

Boa prática

Evite usar a VLAN 1 (padrão de fábrica) para tráfego real e não deixe portas "soltas" nela. Numere as VLANs por setor, isole sempre a rede de visitantes e o CFTV, e libere a comunicação entre VLANs apenas onde houver necessidade real, o famoso "negar por padrão, permitir o necessário".

Exemplos reais

No dia a dia de uma empresa, a segmentação por VLAN costuma seguir os setores que têm necessidades, e riscos, diferentes:

  • CFTV (câmeras). Geram tráfego constante e são alvos fáceis quando mal protegidas. Numa VLAN própria, o vídeo flui sem incomodar o resto da rede e uma câmera comprometida não alcança os sistemas internos.
  • VoIP (telefonia). A voz é sensível a atraso. Isolada na sua VLAN e com prioridade (PCP), ela fica mais previsível, sem disputar espaço com downloads do escritório.
  • Wi-Fi de visitantes. Uma VLAN com saída só para a internet. O visitante navega à vontade e nunca toca na rede interna, nos arquivos ou nas câmeras.
  • PDV / caixa. Onde passa dinheiro e dados de pagamento, o isolamento não é luxo, é requisito. Manter o caixa numa VLAN separada reduz a exposição e ajuda na conformidade.
  • Servidores. O coração da operação fica numa VLAN restrita, acessível só por quem realmente precisa, e nunca diretamente pela rede de visitantes ou pelo CFTV.
AspectoRede sem VLAN (plana)Rede com VLAN
Segurança entre setoresTodos se enxergamIsolados por padrão
Desempenho (broadcast)Barulho para todosDomínios menores
Prioridade de voz/vídeoTudo igualPor PCP (802.1p)
Isolamento de visitantesMesma rede internaVLAN separada
Conter incidenteEspalha pela redePreso ao setor
Conformidade (ex.: PDV)DifícilFacilitada

A boa notícia é que nada disso exige reconstruir a rede do zero. Com o equipamento certo e um projeto bem feito, a segmentação por VLAN é aplicada sobre a estrutura que já existe, e o ganho em estabilidade e segurança aparece logo. É parte do que a SHIRO entrega quando assume a infraestrutura de rede de uma empresa, e uma das primeiras coisas que olhamos num projeto de segurança.

Perguntas frequentes

O que é uma VLAN?

VLAN (Virtual Local Area Network) é uma rede local virtual: dentro do mesmo equipamento físico (switch e roteador) criam-se várias redes separadas que não se enxergam, como se cada uma tivesse seu próprio cabeamento. É uma divisão lógica, não física: o mesmo switch sustenta várias VLANs ao mesmo tempo e mover um dispositivo de uma para outra é questão de configuração, não de obra. A segmentação é padronizada pela norma IEEE 802.1Q.

Como funciona a etiqueta 802.1Q da VLAN?

O padrão 802.1Q adiciona uma etiqueta (tag) de 4 bytes ao quadro Ethernet. Dentro dela, o campo VID (VLAN Identifier) tem 12 bits, o que permite identificar até 4094 VLANs (de 1 a 4094; os valores 0 e 4095 são reservados). A etiqueta também carrega 3 bits de prioridade (PCP, do 802.1p), úteis para priorizar voz e vídeo. É essa marca que permite o tráfego de várias VLANs viajar pelo mesmo cabo (trunk) sem se misturar.

Qual a diferença entre porta access e porta trunk?

A porta access conecta um dispositivo final (computador, câmera, telefone IP) e pertence a uma única VLAN, sem etiqueta. A porta trunk conecta equipamentos entre si (switch a switch, ou switch ao roteador) e carrega várias VLANs ao mesmo tempo pelo mesmo cabo, cada quadro com sua etiqueta 802.1Q. É o corredor por onde passam pessoas de todas as salas, cada uma com seu crachá.

Preciso de qual equipamento para usar VLAN?

É preciso um switch gerenciável (que entenda as etiquetas 802.1Q) e um roteador que suporte VLAN para fazer a comunicação controlada entre elas. O roteador da operadora não oferece VLAN de forma utilizável. Para começar com bom custo-benefício, a linha MikroTik é uma escolha comum: um roteador hEX para o roteamento entre VLANs e um switch gerenciável como o CSS610 (SwOS) ou o CRS310 (RouterOS, com portas 2,5G/10G) para a segmentação.

VLAN deixa a rede mais rápida?

Sim, de forma indireta. Cada VLAN vira seu próprio domínio de broadcast, ou seja, os avisos enviados para "todo mundo" (broadcast) ficam contidos dentro da VLAN, em vez de serem ouvidos por toda a rede. Com domínios menores, há menos barulho para cada dispositivo processar e a rede respira melhor, principalmente quando há muitas câmeras, sensores e dispositivos de IoT gerando tráfego o tempo todo.

Leitura recomendada

Referências e leitura técnica

  1. IEEE 802.1Q-2022 — Bridges and Bridged Networks (VLAN tagging). standards.ieee.org/ieee/802.1Q
  2. IEEE 802.1p — Priority Code Point (parte do 802.1Q, prioridade de tráfego). standards.ieee.org/ieee/802.1Q
  3. MikroTik — CSS610-8G-2S+IN (Cloud Smart Switch, SwOS). mikrotik.com/product/css610_8g_2s_in
  4. MikroTik — CRS310-8G+2S+IN (Cloud Router Switch, RouterOS v7). mikrotik.com/product/crs310_8g_2s_in
  5. MikroTik — Documentação oficial (Bridge VLAN Filtering). help.mikrotik.com/docs
  6. Cisco — Conceitos de domínio de broadcast e segmentação por VLAN. cisco.com — Configuring VLANs