Whatsapp Phone-alt

802 1q VLAN Tagging

802.1Q (802 1q) e VLAN tagging — Guia técnico completo para projetistas e integradores

Introdução

No primeiro parágrafo já deixo claro: este artigo trata de 802.1Q (também escrito 802 1q) e VLAN tagging, explicando o formato do frame, TPID e VLAN ID, diferenças entre portas access e trunk, e impactos no MTU. Vou conectar conceitos de projeto de hardware (ex.: MTBF, PFC em fontes de switches) e normas aplicáveis (ex.: IEEE 802.1Q, IEC/EN 62368-1, IEC 61000), porque a escolha do equipamento físico influencia diretamente a disponibilidade e conformidade da rede.

O texto é dirigido a Engenheiros Eletricistas e de Automação, Projetistas de Produtos (OEMs), Integradores de Sistemas e Gerentes de Manutenção Industrial. Uso linguagem técnica e ofereço checklists, comandos testados (Cisco, Juniper, Linux), casos de uso, troubleshooting e recomendações operacionais para automação e monitoramento.

Se preferir, após a leitura eu transformo esta espinha dorsal em um rascunho completo com exemplos de configuração em formato pronto para revisão ou gero um checklist PDF. Para aprofundar conceitos de rede industrial e soluções IRD.Net consulte https://blog.ird.net.br/ e explore artigos correlatos no blog.

Sessão 1 — O que é 802.1Q e como funciona o VLAN tagging (Fundamentos)

802.1Q é o padrão IEEE que define VLAN tagging para Ethernet: ele insere uma tag de 4 bytes no quadro Ethernet entre o endereço de origem e o campo EtherType/Length. O campo TPID (Tag Protocol Identifier) normalmente é 0x8100 para 802.1Q; o Tag Control Information (TCI) tem 3 bits de PCP (Priority Code Point), 1 bit CFI/DEI e 12 bits para VLAN ID (VID), permitindo 4094 VLANs usuário (0 e 4095 reservados).

A distinção operacional entre porta access e porta trunk é básica: access carrega frames sem tag (untagged) e mapeia o tráfego a uma única VLAN; trunk transporta múltiplas VLANs com tag IEEE 802.1Q. A native VLAN em trunks é tratada como untagged por convenção (padrão Cisco é VLAN 1) e isso pode gerar riscos se não for gerenciada corretamente.

Do ponto de vista de plano de dados, a tag adiciona 4 bytes por frame — efeito direto sobre MTU: interfaces que assumem MTU 1500 podem necessitar MTU 1504 ou configuração de allow jumbo para evitar fragmentação. Em equipamentos industriais verifique se o switch e a pilha de protocolos suportam MTU ampliada; isso também impacta verificações de fragmentação e performance de CPU do equipamento.

Sessão 2 — Por que 802.1Q VLAN tagging importa: benefícios, riscos e casos de uso

Os benefícios operacionais do VLAN tagging 802.1Q são claros: segmentação lógica, isolamento de broadcast, políticas de QoS baseadas em PCP, suporte multi‑tenant e redução de custos de cabeamento ao permitir vários domínios L2 sobre o mesmo backbone físico. Em ambientes industriais, isso permite separar tráfego de controle, HMI/SCADA, engenharia e TI em planos distintos, melhorando segurança e latência.

Riscos e vetores de ataque: VLAN hopping (double tagging e switch spoofing), mismatch de native VLAN, e políticas equivocadas de trunk allowed VLAN podem expor segmentos. Políticas de segurança (BPDU Guard, Root Guard, DHCP Snooping, IP Source Guard e Pruning de VLAN) mitigam esses riscos. Além disso, atenção a VLAN translation mal configurada em bordas de provedores que podem inadvertidamente mapear VLANs entre domínios.

Casos de uso típicos: redes industriais com múltiplos sistemas (SCADA, I/O, CCTV), multi‑tenant em prédios comerciais, separação de tráfego de gerenciamento/out‑of‑band e segmentação para QoS em voz/vídeo. Em datacenters pequenos, 802.1Q é a camada L2 básica; quando a escala aumenta, migramos para overlays (EVPN/VXLAN) — vejo isso na sessão de roadmap.

Para aplicações que exigem essa robustez, a série 802 1q vlan tagging da IRD.Net é a solução ideal. (CTA)

Sessão 3 — Planeje e projete VLANs com 802.1Q: requisitos, topologias e políticas

Checklist inicial de projeto: escolha de IDs de VLAN (evite usar VLAN 1 para serviços críticos), definição de native VLAN consistente, mapeamento de access ports por função, e definição de allowed VLANs em trunks. Documente end‑to‑end: porta física, switch, VLAN e finalidade; isto é essencial para auditoria e troubleshooting. Use convenções de nomeação padronizadas para evitar colisões.

Topologias a considerar:

  • Flat L2 (pequenas instalações) — simples, mas risco de broadcast storms.
  • Hierarquia em 3 camadas (acesso, agregação, core) — ideal para escalabilidade e integração de políticas.
  • Collapsed core/aggregation (ambientes compactos) — economiza hardware, exige STP/RSTP bem projetado.
    Controle e políticas: habilite STP (ou RPVST+/MST) e planeje root priorities; defina roteamento L3 entre VLANs (SVIs, VRFs) e políticas ACL aplicadas em SVI para controle inter‑VLAN.

Parâmetros críticos: MTU e fragmentação (considere tags, QinQ e MPLS), capacidade de TCAM para regras ACL e QoS, e requisitos físicos do equipamento (redundância de PSUs, PFC em fonte para garantir performance em ambientes ruidosos). Verifique conformidade com IEC/EN 62368-1 para segurança elétrica e IEC 61000 para imunidade EMC em ambientes industriais.

Veja também artigos correlatos no blog da IRD.Net para práticas de segurança e projeto de rede industrial: https://blog.ird.net.br/ (link interno). Para automação de provisionamento de VLANs e templates, explore soluções de automação no blog: https://blog.ird.net.br/automacao-industrial (link interno).

Sessão 4 — Como configurar 802.1Q VLAN tagging: comandos e exemplos (Cisco, Juniper, Linux)

Cisco IOS — Exemplo básico:

  • Crie VLAN: vlan 100 / name SCADA
  • Porta access: interface Gi1/0/1 / switchport mode access / switchport access vlan 100
  • Porta trunk: interface Gi1/0/48 / switchport trunk encapsulation dot1q / switchport mode trunk / switchport trunk native vlan 999 / switchport trunk allowed vlan 10,20,100
    Verificações: show vlan brief, show interfaces trunk, show running-config interface Gi1/0/48.

Juniper Junos — Exemplo:

  • Criar VLAN e membros: set vlans SCADA vlan-id 100 e set interfaces ge-0/0/1 unit 0 family ethernet-switching port-mode access / set interfaces ge-0/0/48 unit 0 family ethernet-switching port-mode trunk / set interfaces ge-0/0/48 unit 0 family ethernet-switching vlan members [ 10 20 100 ]
    Verificações: show vlans, show interfaces terse, show ethernet-switching interfaces.

Linux (iproute2) — Exemplo:

  • Criar subinterface VLAN ID 100: ip link add link eth0 name eth0.100 type vlan id 100
  • Ativar: ip link set dev eth0.100 up
  • Verificar: ip -d link show eth0.100 e capturar com tcpdump -i eth0 -e vlan para ver tags 802.1Q.
    Atenção ao MTU: ip link set dev eth0 mtu 1504 se for necessário acomodar a tag.

Para validação cross‑plataforma, use:

  • tcpdump -i -e -n vlan para inspeção de tags.
  • ethtool -S e ip -s link para estatísticas.
  • Testes de interoperabilidade entre vendors: verifique TPID (alguns vendors suportam 0x88a8) e comportamento de native VLAN.

Para aplicações onde a robustez do hardware é crítica em ambientes industriais, conheça os switches industriais da IRD.Net com fontes redundantes e MTBF projetado para 24/7. (CTA)

Sessão 5 — Avançado: QinQ, VLAN translation, problemas comuns e checklist de troubleshooting 802.1Q

QinQ (802.1ad) permite double tagging: a tag externa (S‑TAG, TPID 0x88A8) é usada por provedores para encapsular a tag cliente (C‑TAG, TPID 0x8100), permitindo isolar espaços de VLANs do cliente. Use QinQ para segmentação em provedores e agregação de tráfego multi‑tenant. VLAN translation é útil em bordas para mapear VID entre domínios — importante em redes que atravessam equipamentos heterogêneos.

Erros comuns:

  • native VLAN mismatch: provoca frames untagged sendo interpretados em VLANs diferentes — causa de "ghost" VLAN incidents.
  • MTU insuficiente: tags (4 bytes) e QinQ (8 bytes) podem estourar MTU, gerando fragmentação ou drops.
  • VTP pitfalls (sistemas Cisco): modo server/client mal configurado pode propagar e apagar VLANs inadvertidamente — prefira VTP transparent em ambientes críticos.
    Checklist de troubleshooting:

    1. Verifique flags de trunk e native VLAN (show interfaces trunk, show interfaces switchport).
    2. Capture frames (tcpdump -i -e vlan) para confirmar TPID e tags.
    3. Cheque MTU em toda cadeia: NIC → switch → router.
    4. Confirme políticas STP para evitar loops e reeleição de root inesperada.

Decisão técnica: use QinQ quando precisar de isolamento L2 entre clientes sem NAT; prefira VLAN translation quando for necessário alinhar IDs em bordas regionais. Para soluções escaláveis e multi‑tenant em larga escala, considere overlays como EVPN/VXLAN (ver próxima sessão).

Sessão 6 — Próximos passos e estratégia operacional: automação, monitoramento e alternativas ao 802.1Q (EVPN/VXLAN)

Governança e automação: padronize templates de VLAN, trunk e SVI em repositórios Git; use Ansible (net_vlan, ios_config), Netconf/YANG para aplicar e auditar mudanças. Implementar change control e rollback automático reduz downtime em alterações de VLAN. Documente MTUs, TPIDs e native VLANs como parte do template.

Monitoramento e métricas: use sFlow para visibilidade por fluxo, SNMP para counters (ifInOctets, ifOutOctets, ifOperStatus), e syslog/SIEM para eventos STP e trunk changes. KPI recomendados: porcentagem de portas trunk em conformidade, número de mismatches detectados, latência média por VLAN, taxa de drop relacionada a MTU. Automatize testes de integridade com scripts que verificam show interfaces trunk, show vlan, e alertam desvio.

Quando migrar para overlays: EVPN/VXLAN é indicado quando a escala L2 ultrapassa limites práticos do L2 físico (multi‑tenant datacenters, migração de VMs entre racks), porque permite Layer 2 over Layer 3 com controle via BGP EVPN. Avalie custo operacional, suporte do hardware (MTBF, fontes redundantes, PFC e conformidade com IEC/EN 62368-1) e compatibilidade com ferramentas de orquestração antes de migrar.

Conclusão

802.1Q continua sendo a fundação para segmentação L2 em redes industriais e corporativas. Entender formato do frame, TPID/VID, diferenças entre access e trunk, e impactos no MTU é pré‑requisito para um projeto robusto. Adicione às decisões de rede critérios de seleção de hardware — MTBF, eficiência e PFC da fonte, proteção EMC conforme IEC, e capacidade de TCAM e QoS — para garantir disponibilidade e conformidade.

Aplicando as práticas deste guia — do desenho à automação e monitoramento — você reduz riscos como VLAN hopping e native VLAN mismatch e está pronto para evoluir para overlays quando necessário. Pergunte, comente e compartilhe problemas reais que você enfrenta: tenho interesse em converter seu caso prático em um checklist ou rascunho de configuração específico para sua topologia.

Para mais artigos técnicos consulte: https://blog.ird.net.br/

Foto de Leandro Roisenberg

Leandro Roisenberg

Engenheiro Eletricista, formado pela Universidade Federal do RGS, em 1991. Mestrado em Ciências da Computação, pela Universidade Federal do RGS, em 1993. Fundador da LRI Automação Industrial em 1992. Vários cursos de especialização em Marketing. Projetos diversos na área de engenharia eletrônica com empresas da China e Taiwan. Experiência internacional em comercialização de tecnologia israelense em cybersecurity (segurança cibernética) desde 2018.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *