Innenfor telekommunikasjon og informasjonsteknologi indikerer begrepet VLAN ( Virtual Local Area Network ) et sett med teknologier som tillater segmentering av kringkastingsdomenet , som er opprettet i et svitsjbasert lokalt nettverk (typisk IEEE 802.3 ) , i flere logisk ikke-kommuniserende lokale nettverk med hverandre, men som globalt deler den samme fysiske lokale nettverksinfrastrukturen. Applikasjonene til denne teknologien er vanligvis knyttet til behovet for å skille trafikken til arbeidsgrupper eller avdelinger i et selskap, for å bruke forskjellige IT-sikkerhetspolicyer .
De første proprietære versjonene tillot opprettelsen av flere "virtuelle" nettverk (VLAN) på en enkelt svitsj, og tilordnet hver port til ett av disse nettverkene. Vertene koblet til et VLAN-nettverk kunne bare kommunisere med hverandre og ikke med de som er koblet til de andre VLAN-ene, bortsett fra ved hjelp av en ruter koblet til begge VLAN-ene, det vil si gjennom en adressering på nivå 3 av internettarbeid .
La oss for eksempel anta at vi bare har én bryter, og vi må øke sikkerheten slik at brukere av en arbeidsgruppe ikke samhandler med brukere av en annen gruppe. Ved å aktivere, via programvare , administrasjonen av VLAN-ene på svitsjen, er det mulig å sette for eksempel at på 24 tilgjengelige Ethernet -porter er de første 12 en del av gruppe 1 og de andre 12 er en del av gruppe 2. Resultatet er det samme som for ville få ved å bruke to forskjellige "tradisjonelle" brytere, en for hvert nettverk, men med noen fordeler:
Senere ble teknologien utviklet, og la til muligheten for å koble to brytere sammen ved å slå sammen VLAN-ene som er tilstede på dem ( VLAN-trunking ), og dermed muliggjøre opprettelsen av VLAN-er som strekker seg inn i de forskjellige delene av et bedriftsnettverk, selv i geografisk skala. .
Denne teknologien ble deretter standardisert som IEEE 802.1Q slik at nettverksenheter fra forskjellige leverandører kan kobles sammen på en interoperabel måte .
Hvert VLAN identifiseres med et nummer, kalt VID (Vlan ID), som strekker seg fra 1 til 4094 (0 og 4095 er reservert).
For å utføre trunking av VLAN som er tilstede på forskjellige svitsjer, er det nødvendig at det på forbindelsene mellom svitsjer er mulig å identifisere hvilket VLAN hver pakke tilhører . For å gjøre dette, legges et 12-bits felt til i IEEE 802.3 ethernet-rammen mellom destinasjonsadressen og type/lengdefeltet, denne taggen, kalt VLAN TAG eller DOT1Q TAG, inneholder VID som er relatert til den pakken. Switchen som mottar denne pakken må derfor vite at den må tolke disse 12 bitene som en VLAN TAG, og resten av pakken som en vanlig 802.3 pakke.
En port på en svitsj hvor pakker med VLAN TAG reiser kalles en tagget eller trunkport . Omvendt, en tilgangsport som pakker uten VLAN TAG-reiser kalles . Noen svitsjer aksepterer også blandet trafikk av merkede og umerkede pakker, og en port konfigurert på denne måten kalles en hybridport .
Mer generelt kan medlemskapet til en vert i et VLAN defineres i henhold til forskjellige kriterier:
I tilfelle du ønsker å implementere en situasjon der to forskjellige VLAN-er må opprettes (VLAN1 og VLAN2), der det imidlertid må være noen maskiner synlige på begge VLAN-ene, må svitsjen konfigureres som følger:
Vlan1 Vlan2 Dører Type Dører Type 1 Tagged 1 Tagged 2 Umerket 5 Umerket 3 Umerket 6 Umerket 4 Utagget 7 UmerketSom du kan se, er port 1 til stede i begge VLAN-ene (tagget) og er den eneste som vil være synlig på begge undernettene. Naturligvis må nettverkskortet koblet til den porten kunne gjenkjenne IEEE 802.1q-protokollen og ha nødvendig programvare for å kunne konfigurere begge VLAN-ene. Det eneste viktige å huske på er at VID (VLAN ID) må være den samme som er angitt i bryterkonfigurasjonen. Ikke alle nettverkskort har muligheten til å konfigurere VLAN, og det er en god idé å laste ned produsentens offisielle programvare og drivere, da hvis nettverkskortet gjenkjennes av systemet, er det svært sannsynlig at det har lastet de nødvendige driverne for en lav -nivådrift.