Konfiguracja VLAN jest możliwa z wykorzystaniem urządzeń sieciowych wspierających standard IEEE 802.1Q. Mechanizm VLAN w ogólnym znaczeniu służy do przesyłania informacji pochodzących z różnych sieci za pomocą jednego połączenia fizycznego. Poszczególne sieci pomimo transmisji w jednym medium fizycznym są wzajemnie odseparowane. Uzupełnieniem 802.1Q jest specyfikacja 802.1v, która określa możliwość przypisania ramki do określonego VLAN na podstawie protokołu oraz portu, a także 802.1ad umożliwiająca realizację mechanizmu QinQ.

Podstawy

Urządzenia wspierające standard 802.11Q stosują specjalne oznaczenia ramek Ethernet określane nazwą identyfikatorów (tag). Ramki oznaczone tym samym identyfikatorem należą do jednej sieci. Ramka Ethernet zawiera 12-bitowe pole VLAN ID (VID) określające VLAN, do którego należy dana ramka. Identyfikator VID jest 12-bitową liczbą w zakresie od 0 do 4095. Wartości 0 oraz 4095 są zarezerwowane i nie powinny być wykorzystywane. Pierwszy identyfikator VID oznaczony liczbą 1 jest domyślnym VLAN (określanym także jako natywny), do którego należą wszystkie porty przełącznika, zanim nie zostaną skonfigurowane inaczej. Dobrym zwyczajem jest pozostawienie domyślnego VID do zarządzania urządzeniem, natomiast dla ruchu danych przeznaczenie innych numerów VID. Kolejność numerów VID nie ma znaczenia, ale maksymalna liczba do wykorzystania to 4096.

Zobacz również:

• Testy penetracyjne systemów IT - czy warto w nie zainwestować?
• AI jak obosieczny miecz
• Demokratyzacja ransomware – znak naszych czasów

Istnieją dwa sposoby statycznego przywiązania sprzętu sieciowego do przełącznika z wykorzystaniem 802.1Q. Pierwszym z nich jest funkcja portu dostępowego (access port), w której przełącznik oznacza określonym VID, nieoznakowany ruch przychodzący na dany port z urządzenia sieciowego. Drugim sposobem jest wykorzystanie funkcjonalności portu (trunk port) o nazwie trunk, gdzie przydział identyfikatorów jest realizowany przez urządzenie sieciowe, przyłączające się do portu przełącznika. Istnieje także opcja, w której port pracuje w funkcjonalności hybrydowej, stając się portem dostępowym dla przychodzącego ruchu nieoznaczonego VID oraz portem typu trunk dla pozostałego ruchu przychodzącego i oznaczonego VID. W konfiguracji każdego przełącznika możemy określić, jakie ramki przyjmujemy na określonym porcie – oznaczone, nieoznaczone czy wszystkie.

Implementacja VLAN w sieci oznacza w rzeczywistości podział na kilka niezależnych i odseparowanych sieci. Urządzenia pracujące w danej sieci VLAN nie mają możliwości komunikacji z urządzeniami z innej sieci VLAN nawet w przypadku, gdy przyłączone są do tego samego przełącznika. Jeżeli pomiędzy sieciami VLAN ma istnieć komunikacja, może zostać zrealizowana z wykorzystaniem rutera, który potrafi trasować pomiędzy sieciami znajdującymi się w różnych VLAN-ach. W tej sytuacji ruter z przełącznikiem musi być połączony za pomocą funkcjonalności trunk, która transmituje w jednym fizycznym połączeniu odseparowany ruch z poszczególnych VLAN-ach. Ruch rozgłoszeniowy (broadcast) nie propaguje się pomiędzy poszczególnymi VLAN-ami i rozprzestrzenia się wyłącznie w ramach VLAN-u, do którego jest adresowany.

Wykorzystanie VLAN jest szczególnie dobrą praktyką w przypadku odseparowania poszczególnych sieci IP, pracujących w jednej infrastrukturze fizycznej. Zapobiega to możliwości zmiany sieci poprzez zmianę adresu IP, a także konieczności przetwarzania ruchu rozgłoszeniowego pochodzącego z innych podsieci.