A segmentação de rede por VLANs (Virtual Local Area Networks) é uma das medidas de segurança mais eficazes e menos implementadas em PME portuguesas. Separar servidores de estações de trabalho, WiFi de convidados da rede interna, e impressoras de equipamentos críticos reduz drasticamente o raio de propagação de um ransomware e limita o acesso lateral de um atacante que comprometa um dispositivo.
Este artigo cobre os conceitos fundamentais de VLANs, a configuração em switches geridos (com exemplos genéricos e para switches Cisco/HP Procurve), e como integrar com a firewall para encaminhar tráfego entre VLANs de forma controlada.
Neste artigo
- O que são VLANs e porquê usá-las
- Portas Access vs Trunk — a distinção fundamental
- Design de VLANs para PME — exemplo prático
- Configuração em Cisco IOS
- Configuração em HP ProCurve / Aruba
- Roteamento entre VLANs — Router-on-a-Stick e L3 Switch
- VLANs com firewall FortiGate
- Diagnóstico e troubleshooting de VLANs
1. O que são VLANs e porquê usá-las
Uma VLAN é uma rede lógica criada sobre infraestrutura física partilhada — vários switches físicos podem suportar múltiplas redes separadas sem necessitar de cablagem dedicada para cada uma. O tráfego de VLANs diferentes não se mistura ao nível Layer 2, mesmo que passe pelo mesmo cabo ou porta trunk.
| Benefício | Descrição | Exemplo PME |
|---|---|---|
| Isolamento de segurança | Limita propagação de malware e acesso lateral | PC comprometido em VLAN_USERS não alcança servidores em VLAN_SERVERS |
| Isolamento de convidados | Visitas acedem à Internet sem ver a rede interna | WiFi_Convidados em VLAN separada com acesso só à Internet |
| Redução de broadcast | Cada VLAN é um domínio de broadcast separado | Rede de 200 dispositivos dividida em VLANs de ~50 reduz tráfego de broadcast |
| Conformidade NIS2/RGPD | Separação de sistemas com dados sensíveis | VLAN de servidores de contabilidade separada da rede geral |
2. Portas Access vs Trunk — a distinção fundamental
| Tipo de porta | Função | Ligada a | VLAN tagging |
|---|---|---|---|
| Access | Porta de utilizador final — pertence a uma única VLAN | PC, impressora, telefone IP, AP sem VLAN tagging | Sem tag (untagged) — o dispositivo não sabe que está numa VLAN |
| Trunk | Porta de uplink — transporta múltiplas VLANs simultaneamente com tag 802.1Q | Outro switch, Access Point (com VLANs), firewall, router | Com tag 802.1Q — cada frame tem o ID da VLAN no cabeçalho Ethernet |
ℹ Native VLAN em portas Trunk: Uma porta trunk pode ter uma “native VLAN” — o tráfego desta VLAN passa sem tag (untagged). Por segurança, a native VLAN de uma porta trunk nunca deve ser a VLAN 1 (padrão) e nunca deve ser uma VLAN com utilizadores. Usar uma VLAN dedicada (ex: VLAN 999) como native para garantir isolamento.
3. Design de VLANs para PME — exemplo prático
| VLAN ID | Nome | Subnet | O que inclui | Acesso a outras VLANs |
|---|---|---|---|---|
| 10 | VLAN_SERVERS | 10.10.10.0/24 | DCs, servidores de ficheiros, NAS, ERP | Pode iniciar para qualquer VLAN; restrito para entrada |
| 20 | VLAN_USERS | 10.10.20.0/24 | PCs de utilizadores, portáteis com fio | Servidores (controlado), Internet. Não acede a VLAN_IOT |
| 30 | VLAN_WIFI | 10.10.30.0/24 | Portáteis e telemóveis em WiFi corporativo | Mesmas permissões que VLAN_USERS |
| 40 | VLAN_GUEST | 10.10.40.0/24 | WiFi de convidados, visitas | Apenas Internet — completamente isolado de VLANs internas |
| 50 | VLAN_IOT | 10.10.50.0/24 | Impressoras, câmeras IP, controlos de acesso | Muito restrito — apenas serviços essenciais (impressão, NTP) |
| 99 | VLAN_MGMT | 10.10.99.0/24 | IPs de gestão de switches, APs, firewall | Apenas para administradores — bloqueado a utilizadores |
4. Configuração em Cisco IOS
# Criar VLANs vlan 10 name SERVERS vlan 20 name USERS vlan 40 name GUEST exit # Configurar porta Access (utilizador final — uma VLAN) interface FastEthernet0/1 switchport mode access switchport access vlan 20 # Porta na VLAN de utilizadores spanning-tree portfast # Activar PortFast em portas de utilizador exit # Configurar porta Trunk (uplink para firewall ou outro switch) interface GigabitEthernet0/1 switchport mode trunk switchport trunk allowed vlan 10,20,30,40,50,99 switchport trunk native vlan 999 # Native VLAN isolada (não usar VLAN 1) exit # Verificar VLANs configuradas show vlan brief show interfaces trunk show interfaces FastEthernet0/1 switchport
5. Configuração em HP ProCurve / Aruba
# Criar VLANs em HP ProCurve vlan 10 name "SERVERS" untagged 1-5 # Portas 1-5 em Access mode na VLAN 10 tagged 25 # Porta 25 em Trunk mode (tagged) vlan 20 name "USERS" untagged 6-20 tagged 25 vlan 40 name "GUEST" untagged 21-23 tagged 25 # Verificar configuração show vlan show vlan 20 show interfaces brief
6. Roteamento entre VLANs — Router-on-a-Stick e L3 Switch
Dispositivos em VLANs diferentes não comunicam por defeito — para comunicarem é necessário um router (ou firewall) que faça o roteamento entre as sub-redes. Há dois modelos comuns em PME:
| Modelo | Como funciona | Vantagens | Limitações |
|---|---|---|---|
| Router-on-a-Stick (Firewall) | Firewall (FortiGate) recebe trunk do switch e tem sub-interfaces para cada VLAN. Roteia e filtra tráfego entre VLANs | Controlo total de tráfego inter-VLAN via políticas de firewall; logging | Tráfego inter-VLAN passa pela firewall — pode criar bottleneck em volumes elevados |
| Switch Layer 3 (SVI) | Switch L3 tem interfaces virtuais (SVI) para cada VLAN e roteia localmente sem passar pela firewall | Performance muito superior para tráfego interno (wire speed) | Sem filtragem de tráfego inter-VLAN (ou filtragem limitada) — adequado para VLANs de confiança, não para isolamento de segurança rigoroso |
7. VLANs com firewall FortiGate
# Criar sub-interfaces VLAN no FortiGate (interface trunk vinda do switch) config system interface edit "internal.10" # Sub-interface para VLAN 10 set interface "internal" # Interface física onde chega o trunk set vlanid 10 set ip 10.10.10.1 255.255.255.0 set role lan next edit "internal.20" set interface "internal" set vlanid 20 set ip 10.10.20.1 255.255.255.0 set role lan next edit "internal.40" # VLAN Convidados — isolada set interface "internal" set vlanid 40 set ip 10.10.40.1 255.255.255.0 set role dmz next end # Política: VLAN_GUEST só pode aceder à Internet (WAN), nunca às VLANs internas config firewall policy edit 30 set name "GUEST-to-WAN-only" set srcintf "internal.40" set dstintf "wan1" set srcaddr "all" set dstaddr "all" set action accept set service "ALL" set nat enable next end # NOTA: Não criar política GUEST → VLANs internas — o tráfego é bloqueado por defeito
8. Diagnóstico e troubleshooting de VLANs
| Sintoma | Causa | Verificação |
|---|---|---|
| PC não recebe IP via DHCP | Porta switch em VLAN errada; DHCP não configurado para essa VLAN; DHCP relay em falta | show interfaces [porta] switchport — confirmar a VLAN access. Verificar DHCP server ou relay |
| PC em VLAN_USERS não acede a servidor em VLAN_SERVERS | Política de firewall inter-VLAN em falta; rota em falta; VLAN não permitida no trunk | show interfaces trunk — confirmar VLANs permitidas. Verificar políticas de firewall |
| VLAN nova não funciona após configuração | VLAN não adicionada à porta trunk; sub-interface na firewall não criada | Verificar se a nova VLAN foi adicionada a todos os trunks no caminho (switch de distribuição → switch de acesso → firewall) |
| Convidados acedem a recursos internos | VLAN convidados não isolada; política inter-VLAN permissiva | Confirmar que não existe política Firewall de GUEST → VLANs internas. Testar com ping de dispositivo na VLAN_GUEST |
