Wirtualne sieci lokalne (VLAN)

Wirtualne sieci lokalne (VLAN) umożliwiają logiczny podział sieci fizycznej.

Sieć VLAN umożliwia logiczny podział sieci fizycznej, co polega na ograniczeniu połączeń warstwy 2 do elementów tej samej sieci VLAN. Podział osiąga się poprzez umieszczanie w pakietach Ethernet znaczników zawierających informacje o ich przynależności do konkretnej sieci VLAN, a następnie ograniczenie dostarczania tak oznaczonych pakietów tylko do członków tej sieci. Sieci VLAN zostały opisane w standardzie IEEE 802.1Q.

Informacja zawarta w znaczniku sieci VLAN jest nazywana identyfikatorem VLAN (VID). Porty przełącznika są skonfigurowane jako należące do sieci VLAN określonej przez identyfikator VID danego portu. Domyślny identyfikator VID przypisany do portu jest nazywany identyfikatorem VID portu (PVID). Identyfikator VID może zostać dołączony do pakietu Ethernet przez host obsługujący sieć VLAN albo, w przypadku hostów nieobsługujących sieci VLAN, przez przełącznik. Z tego względu porty przełącznika Ethernet muszą zostać skonfigurowane w sposób uwzględniający informację o obsłudze lub braku obsługi sieci VLAN przez podłączony host.

W przypadku hostów nieobsługujących sieci VLAN port jest skonfigurowany jako nieoznakowany. Przełącznik będzie znakował identyfikatorem PVID wszystkie pakiety wchodzące przez ten port. Przełącznik będzie również usuwał znacznik ze wszystkich pakietów wychodzących przez ten port przed dostarczeniem ich do hostów nieobsługujących sieci VLAN. Port używany do podłączania hostów nieobsługujących sieci VLAN nosi nazwę portu nieoznakowanego i może należeć tylko do jednej sieci VLAN identyfikowanej przez identyfikator PVID tego portu. Hosty obsługujące sieć VLAN mogą dodawać i usuwać własne znaczniki oraz mogą należeć do więcej niż jednej sieci VLAN. Zazwyczaj hosty takie są podłączone do portów, które nie usuwają znaczników przed dostarczeniem pakietów do hosta. Porty takie dodają jednak znacznik PVID, kiedy do portu dociera nieoznakowany pakiet. Port zezwala na ruch jedynie nieoznakowanych pakietów lub pakietów ze znacznikiem jednej z sieci VLAN, do których należy. Opisywane reguły sieci VLAN są uwzględniane przez przełącznik dodatkowo, wraz ze zwykłymi regułami przekazywania opartymi na adresach MAC. W związku z tym pakiet z docelowym adresem MAC rozgłaszania lub rozsyłania grupowego jest również dostarczany do portów należących do sieci VLAN identyfikowanej przez znaczniki dołączone do pakietu. Zapewnia to logiczny podział sieci fizycznej na podstawie przynależności do sieci VLAN.