Capítulo 10 – Configurar VLAN no Switch (Cisco IOL)
Introdução
Após criar as VLANs no OPNsense, é necessário configurar também os switches da infraestrutura para que possam transportar corretamente o tráfego dessas redes virtuais.
Essa etapa garante que a segmentação configurada no firewall se propague fisicamente pela rede local, permitindo a comunicação entre dispositivos de cada VLAN e o isolamento entre os diferentes segmentos.
A boa notícia é que não é necessário um switch Layer 3: switches Layer 2 já são suficientes para criar VLANs e controlar o tráfego entre departamentos.
O uso de VLANs é uma das práticas mais importantes de organização e segurança em redes modernas. Elas atuam como “barreiras virtuais”, separando grupos de dispositivos e limitando a comunicação apenas ao que for necessário.
Com isso, uma rede corporativa deixa de ser um ambiente único e aberto, tornando-se estruturada, isolada e mais resiliente a incidentes.
Por exemplo, em casos de ransomware, uma rede não segmentada permite a propagação rápida do malware.
Já uma rede organizada por VLANs restringe o impacto à área afetada, protegendo o restante da infraestrutura.
Neste capítulo, você aprenderá a configurar VLANs em switches Cisco Layer 2 (IOL), integrando-os ao OPNsense e estabelecendo a base para as políticas de firewall e QoS que serão abordadas nos próximos capítulos.
Configuração de VLANs no Switch (Layer 2)
1. Criar as VLANs no switch
Comece criando as VLANs correspondentes às redes definidas no OPNsense.
Acesse a interface console do switch e execute os comandos abaixo:
enable
configure terminal
vlan 10
name servidores
exit
vlan 20
name corporativo
exit
vlan 30
name wifi
exit
vlan 40
name convidados
exit
end
wr
Esses comandos criam quatro VLANs, compatíveis com as redes configuradas no firewall.
2. Configurar a porta de conexão com o firewall como porta tronco (trunk)
Com as VLANs criadas, o próximo passo é configurar a porta que conecta o switch ao firewall para transportar o tráfego de todas elas.
Supondo que o firewall esteja conectado à interface et0/0, utilize os comandos a seguir:
enable
configure terminal
interface et0/0
switchport trunk encapsulation dot1q
switchport mode trunk
exit
end
wr
A configuração acima define a porta et0/0 como trunk, permitindo que todas as VLANs trafeguem por ela em direção ao OPNsense.
3. Definir portas de acesso para cada VLAN
Agora, associe as demais portas do switch às VLANs específicas de cada rede.
Por exemplo, para configurar a porta et0/1 na VLAN 20 (Rede Corporativa):
enable
configure terminal
interface et0/1
switchport mode access
switchport access vlan 20
exit
end
wr
Repita o processo para as demais VLANs, adaptando conforme necessário:
| VLAN | Função | Porta de Exemplo |
|---|---|---|
| 10 | Servidores | et0/2 |
| 20 | Corporativo | et0/1 |
| 30 | Wi-Fi Corporativo | et0/3 |
| 40 | Wi-Fi Convidados | et0/4 |
4. Testar a conectividade
Após aplicar as configurações:
- Conecte um computador à porta
et0/1(VLAN 20 – Corporativo). - Reinicie a máquina.
- Ela deve receber um endereço IP no intervalo
192.168.20.0/24. - Teste a conectividade com o firewall (
ping 192.168.20.1) e também o acesso à Internet.
Repita o mesmo procedimento para as demais VLANs, validando cada segmento criado.
Resultado Esperado
Ao concluir as configurações:
- O switch transporta todas as VLANs criadas até o firewall via porta trunk;
- Cada porta de acesso está isolada em sua respectiva VLAN;
- O ambiente passa a ter segmentação funcional, replicando o comportamento de uma rede corporativa real;
- Essa base permitirá a aplicação de políticas de firewall, NAT e QoS de forma granular e independente entre as VLANs.
Conclusão
O switch agora está configurado para trabalhar em conjunto com o OPNsense, garantindo o transporte e o isolamento corretos das VLANs. A partir desta configuração, será possível aplicar regras de segurança, controle de tráfego e priorização por segmento, aprimorando a eficiência e a proteção da rede.