Introdução
A comparação entre VLANs em switches L2 e roteamento em L3 é tema crítico para engenheiros eletricistas, projetistas OEM, integradores de sistemas e gerentes de manutenção industrial. Neste artigo abordamos, desde os princípios (802.1Q, domínio de broadcast, ARP e tabelas MAC) até critérios práticos de decisão, comandos de configuração (Cisco IOS/IOS‑XE) e métricas de desempenho (latência, TCAM, MTBF). A intenção é entregar um guia técnico e acionável para projetar redes industriais robustas e escaláveis.
Usaremos terminologia técnica precisa — VLAN L2, roteamento L3, SVI, trunk 802.1Q, router‑on‑a‑stick — e citaremos normas e conceitos relevantes como IEEE 802.1Q, recomendações de segurança elétrica (ex.: IEC/EN 62368‑1) e métricas de confiabilidade (MTBF). Há analogias pontuais para facilitar entendimento sem perder a acurácia elétrica e de redes.
Ao longo do texto encontrará exemplos de configuração, checklists de verificação (show vlan, show mac address‑table, show ip route, show ip arp), e recomendações de produtos para ambientes industriais. Para mais artigos técnicos consulte: https://blog.ird.net.br/.
1. Entenda o básico: O que são VLANs em switches L2 e o que é roteamento em L3
Definição clara dos conceitos
Uma VLAN (Virtual LAN) em um switch L2 é um agrupamento lógico que delimita um domínio de broadcast; frames com destino a broadcast ficam confinados à VLAN. A etiquetagem 802.1Q insere um tag de 4 bytes no cabeçalho Ethernet para identificar a VLAN atravessando links trunk. Em contraste, roteamento L3 usa endereços IP e tabela de roteamento para encaminhar pacotes entre sub‑redes distintas; o encaminhamento L3 normalmente envolve lookup na tabela de roteamento e, se necessário, processamento pela CPU do roteador ou do SVI no switch L3.
Como o tráfego flui em L2 vs L3
Em L2 o switch aprende endereços MAC pela observação (learning) e popula a tabela MAC; quando não conhece o destino, o switch faz flooding para a VLAN. Em L3, o pacote com destino a outra sub‑rede é submetido a um processo de ARP para resolução de MAC e então encaminhado com base na tabela de roteamento. Analogia: pense no switch L2 como um porteiro que conhece apenas rostos (MAC) dentro de uma sala (VLAN), enquanto o roteador L3 é um central de correio que entrega entre bairros (sub‑redes/IP).
Evidências técnicas e fluxo do mesmo pacote
Tecnicamente, um pacote IP que permanece na mesma VLAN é comutado com base em MAC; não há encaminhamento IP. Se o destino estiver em outra VLAN, a camada L3 atua: o host envia ARP para gateway, o SVI ou router responde, e o pacote é roteado. Em termos de onde ocorrem resoluções, MAC vs IP são resolvidos separadamente: ARP resolve IP→MAC antes que o forwarding L2/L3 ocorra. Diagramas simples (ASCII) ajudam visualizar:
- L2: Host A (MAC1) → Switch L2 (tabela MAC) → Host B (MAC2)
- L3: Host A (IP1) → SVI/Router (ARP → MACGateway) → Roteamento → Host B (IP2)
Com esses conceitos claros, você avaliará por que escolher manter tráfego em VLAN L2 ou impor fronteira via roteamento L3; isso guia a análise de benefícios e limites na seção seguinte.
2. Por que isso importa: Benefícios, limites e quando escolher VLAN L2 vs Roteamento L3
Critérios objetivos para decisão
A escolha entre L2 e L3 depende de isolamento, performance, escalabilidade e segurança. VLANs L2 oferecem isolamento rápido e simples para segregar tráfego por função (ex.: PLCs vs SCADA), mas ampliam domínios de broadcast, que podem impactar CPU do switch e latência. Roteamento L3 reduz broadcast domains e facilita políticas de segurança (ACLs, VRF), porém adiciona complexidade operacional e possivelmente latência por processamento adicional.
Impacto em broadcast, latência e convergência
Em topologias L2 extensas, flooding e STP podem gerar instabilidade e maior tempo de convergência; em redes industriais, isso afeta determinismo. L3 melhora convergência usando protocolos de roteamento (OSPF, EIGRP), reduzindo o alcance de broadcasts. Entretanto, o salto a mais (lookup L3) pode introduzir microsegundos adicionais — relevante em aplicações determinísticas (telemetria de alta frequência). Repare nos trade‑offs: simplicidade e baixa latência local vs. controle granular e escalabilidade.
Casos de uso práticos e recomendações
- LAN campus: use roteamento L3 entre prédios, VLANs L2 localmente para segmentação de segurança.
- Datacenter: microsegmentation L2+L3 (SVI, VRF); considerar EVPN‑VXLAN para mobilidade e escala.
- Filial: routers com SVI ou router‑on‑a‑stick quando espaço/ hardware limitados.
- Rede industrial: mantenha VLANs L2 para segmentos críticos com requisitos determinísticos; imponha L3 em fronteiras entre células de produção para controle de blast radius.
Essas recomendações guiam a implementação passo a passo na próxima seção, onde mostramos comandos e verificações práticas.
3. Implemente na prática: Configurando VLANs em switches L2 e inter‑VLAN routing em L3 passo a passo
Criar VLANs, portas access e trunk 802.1Q (comandos Cisco)
Exemplo básico Cisco IOS:
- Criar VLAN e nome:
- vlan 10
- name PRODUTORES
- Atribuir porta como access:
- interface GigabitEthernet1/0/1
- switchport mode access
- switchport access vlan 10
- Configurar trunk 802.1Q:
- interface GigabitEthernet1/0/48
- switchport trunk encapsulation dot1q
- switchport mode trunk
- switchport trunk native vlan 999
Sempre documente a native VLAN e evite usar VLAN 1 como nativa em ambientes industriais para reduzir riscos de VLAN hopping.
Configurar SVI e router‑on‑a‑stick (subinterfaces)
SVI em switch L3 (Cisco):
- interface Vlan10
- ip address 10.10.10.1 255.255.255.0
- no shutdown
Router‑on‑a‑stick (quando usar roteador externo): - interface GigabitEthernet0/0.10
- encapsulation dot1Q 10
- ip address 10.10.10.254 255.255.255.0
Atenção a MTU: 802.1Q adiciona 4 bytes; quando usar tunelamento (VXLAN/EVPN) ajuste MTU para evitar fragmentação.
Verificação e troubleshooting padrão
Comandos essenciais:
- show vlan brief
- show mac address‑table
- show interfaces trunk
- show ip route
- show ip arp
Checklist de validação: - Validar VLANs e portas access/trunk
- Confirmar SVI UP e IPs
- Ping entre hosts na mesma VLAN; ping contra gateway SVI
- Captura: tcpdump/port mirroring para checar tags 802.1Q
Em caso de falha: verifique native VLAN mismatch, trunking encapsulation, e ACLs aplicadas. Para aplicações industriais críticas, considere switches com suporte a MTBF elevado e certificações (IEC/EN 62368‑1 para segurança do equipamento).
Para aplicações que exigem alta robustez em ambientes industriais, confira as opções em https://www.ird.net.br/produtos/switches-industriais. Se precisa de roteamento avançado com SLAs, veja também https://www.ird.net.br/produtos/roteadores-industriais.
4. Compare tecnicamente: Latência, tabela MAC/ARP, broadcast, forwarding e escalabilidade entre L2 VLANs e roteamento L3
Análise do caminho do pacote e processamento
Em switches L2 com ASICs de switching, o forwarding é realizado em hardware com latências em microssegundos; o lookup é feito por tabela MAC. Quando o lookup falha ou frames de controle chegam, o tráfego pode subir para a CPU. Em roteadores L3 (ou SVI), o pacote pode exigir processamento de encapsulação/decapsulação, ACLs e lookup IP — cargas que dependem de hardware offload (TCAM) ou CPU. Escolher hardware com offload adequado reduz impacto.
Custos de ARP, tabelas e broadcast
ARP gera tráfego de broadcast que, em ambientes L2 extensos, aumenta significativamente a taxa de broadcast e consumo de CPU. L3 limita esse escopo, reduzindo flooding. Em termos de capacidade, switches têm limites práticos de entradas MAC (por exemplo 8k–64k); roteadores têm limites de rotas (dependem de TCAM/DRAM). Monitorar número de entradas MAC e tabelas de roteamento é essencial para evitar saturação.
Métricas, limites e testes recomendados
KPIs recomendados:
- Latência média e p95 em microssegundos
- Uso de CPU do switch/roteador
- Taxa de broadcast por segundo
- Número de entradas MAC e rotas
Ferramentas: iPerf/OSTinato para tráfego, SNMP/NetFlow/IPFIX para métricas, testes de failover para medir convergência. Considere limites de TCAM para ACLs em ambientes com regras granuladas; design L3 pode distribuir esta carga.
5. Erros comuns e práticas recomendadas: Evite armadilhas em VLANs L2 e roteamento L3
Erros recorrentes que causam downtime
Erro clássico: native VLAN mismatch em trunks causando perda de conectividade e risco de VLAN hopping. Trunks mal configurados (encapsulation mismatch) e dependência excessiva de STP sem redundância correta podem criar loops. ACLs aplicadas de forma inadequada no lugar errado (por exemplo, no switch errado ou sem ordem correta) podem bloquear tráfego legítimo. Roteamento assimétrico e falta de sincronização de rotas causam problemas de conectividade inter‑site.
Boas práticas operacionais
- Naming conventions claras para VLANs e SVI (ex.: VLAN10_PROD)
- Documentação e diagrama de topologia versionados
- Segmentação por função (OT/IT separadas) e aplicação de ACLs no limite L3
- Uso de VRFs para isolar contextos de roteamento
- Redundância: HSRP/VRRP/GLBP para gateways e MLAG para switches em topologia redundante
Implemente testes automatizados e playbooks com Ansible/Netconf/YANG para deploys controlados.
Checklists e playbooks de mitigação
Deploy checklist:
- Backup de configuração e plano de rollback
- Validação de trunk/native VLAN e MTU
- Testes de connectivity (ping/gw, traceroute) e capture
- Teste de failover (simular queda de link)
Playbook de troubleshoot rápido: - Verificar show interfaces trunk → native mismatch
- show mac address‑table → learning issues
- show ip route/arp → roteamento e resolução
Esses controles reduzem risco operacional e aumentam MTBF e confiabilidade do ambiente.
6. Estratégia e futuro: Migração L2→L3, automação e tendências (EVPN‑VXLAN, SDN)
Quando migrar e roteiro de migração
Migre de L2 para L3 quando enfrentar limites de escala (número de entradas MAC, broadcast excessivo) ou necessidade de políticas de segurança granulares. Roteiro básico: inventário e baseline de tráfego → piloto em segmento não crítico → validar KPIs (latência, broadcast) → rollout faseado com rollback definido. Considere impacto em serviços (DHCP scopes, VPNs) e sincronize endereçamento IP para minimizar downtime.
Tendências tecnológicas práticas
EVPN‑VXLAN resolve limitações de VLANs (4k IDs) oferecendo overlays que suportam mobilidade de endpoints e escala no datacenter/distributed fabrics. SDN com controller facilita políticas centralizadas; EVPN sobre fabric permite isolamento multi‑tenant. Automação com Ansible/Netconf/YANG reduz erros humanos e acelera mudanças, além de possibilitar testes repetíveis e integração com CMDB.
Resultados esperados e KPIs executivos
Objetivos de migração: redução de broadcast, aumento de escala (número de endpoints suportados), tempos de convergência menores e política de segurança aplicável por contexto. KPIs executivos a monitorar: redução percentual de broadcast, tempo médio de restauração (MTTR), crescimento de entradas MAC/route e custo operacional (OPEX). Recomendação: iniciar POC em uma célula de produção e medir antes/ depois.
Conclusão
A decisão entre manter tráfego em VLANs L2 ou aplicar roteamento L3 deve ser orientada por critérios mensuráveis: isolamento, escalabilidade, latência e segurança operacional. Use VLANs L2 para segmentação simples e desempenho local; imponha L3 nas fronteiras para controle e redução de broadcast. Em ambientes industriais, a combinação ponderada (SVI, routed access, router‑on‑a‑stick) costuma ser a solução prática.
Adote verificações e métricas: monitorar latência (μs), uso de CPU, taxa de broadcast e entradas MAC/route evita surpresas. Planeje migrações faseadas e considere tecnologias como EVPN‑VXLAN e automação (Ansible, YANG) para ganhar escala e reduzir risco humano. Consulte normas e requisitos de confiabilidade (ex.: IEC/EN 62368‑1 para segurança do equipamento e métricas como MTBF para disponibilidade).
Temos artigos e ferramentas que complementam este guia — visite https://blog.ird.net.br/ para materiais adicionais. Comente abaixo suas dúvidas, traga um cenário real (topologia e requisitos) e podemos sugerir um plano de migração ou um POC com configurações detalhadas.
Para mais artigos técnicos consulte: https://blog.ird.net.br/
