VLAN (от англ. Virtual Local Area Network), VLAN могут являться частью большего LAN, имея определенные правила взаимодействия с другими VLAN, либо быть полностью изолированными от них.

Простейший механизм изоляции различных подсетей, работающих через общие свитчи и роутеры. Известна как 802.1Q.

Преимущества VLAN
увеличивает число широковещательных доменов, но уменьшает размер каждого широковещательного домена, которые в свою очередь уменьшают сетевой трафик и увеличивают безопасность сети (оба следствия связаны вместе из-за единого большого широковещательного домена);
уменьшает усилия администраторов на создание подсетей;
уменьшает количество оборудования, так как сети могут быть разделены логически, а не физически;
улучшает управление различными типами трафика.

Протоколы и принцип работы

Наиболее простой вариант использования VLAN заключается в отнесении каждого порта одного свича конкретному VLAN, что позволяет разделить физический коммутатор на несколько логических. (Например, порты 1-5,7 — это VLAN № 3, порты 6,9-12 — VLAN № 2). При этом пакеты из одного VLAN не передаются в другой VLAN.

VLAN № 1 (Native VLAN, Default VLAN) используется по умолчанию и не может быть удален. Весь трафик (не тегированный или не направленный явно в конкретный VLAN) переходит, по умолчанию, в VLAN № 1. Имеется ограничение на число VLAN в одной сети.

Наиболее распространен сейчас VLAN, основанный на протоколе тегирования IEEE 802.1Q. Этому предшествовали другие протоколы, такие как Cisco ISL (Inter-Switch Link, вариант IEEE 802.10) и VLT (Virtual LAN Trunk), предложенный 3Com. ISL больше не поддерживается Cisco.

Изначально VLAN применяли с целью уменьшения коллизий в большом цельном сегменте сети Ethernet, и тем самым увеличивали производительность. Появление Ethernet-коммутаторов решало проблему коллизий, и VLAN стали использовать для ограничения широковещательного домена на канальном уровне (по MAC-адресам). Виртуальные сети также могут служить для ограничения доступа к сетевым ресурсам не влияя на топологию сети, хотя надежность этого метода остается предметом обсуждения и известна как «шаманство над VLANами» ( VLAN Hopping) и часто означает упростить мероприятия по обеспечению безопасности.

Виртуальные сети работают на канальном (2-ом) уровне модели OSI. Но VLAN часто настраивают для непосредственной работы с IP-сетями или подсетями, вовлекая сетевой уровень. В частности, на некоторых коммутаторах возможно направление пакетов в различные VLAN’ы в зависимости от адресов получателя/отправителя, портов и общей загруженности канала (англ. Policy based VLAN).

Транк VLAN — это физический канал, по которому передается несколько VLAN каналов, которые различаются тегами (метками, добавляемыми в пакеты). Транки обычно создаются между «тегированными портами» VLAN-устройств: свитч-свитч или свитч-маршрутизатор. (В документах Cisco термином «транк» также называют объединение нескольких физических каналов в один логический: Link Aggregation, Port Trunking). Маршрутизатор (свитч третьего уровня) выступает в роли магистрального ядра сети (backbone) для сетевого трафика разных VLAN.

На устройствах Cisco, протокол VTP (VLAN Trunking Protocol) предусматривает VLAN-домены для упрощения администрирования. VTP также выполняет «чистку» трафика, направляя VLAN трафик только на те коммутаторы, которые имеют целевые VLAN-порты.

Native VLAN — каждый порт имеет параметр, названный постоянный виртуальный идентификацией (Native VLAN), который определяет VLAN, назначенный получить нетеговые кадры.

Обозначение членства в VLANе

Для этого существуют следующие решения:
по порту (Port-based, 802.1Q): порту коммутатора вручную назначается один VLAN. В случае, если одному порту должны соответствовать несколько VLAN (например, если соединение VLAN проходит через несколько свитчей), то этот порт должен быть членом транка. Только один VLAN может получать все пакеты, не отнесённые ни к одному VLAN (в терминологии 3Com - untagged, в терминологии Cisco - access mode). Свитч будет добавлять метки данного VLAN ко всем принятым кадрам не имеющих никаких меток. VLAN построенные на базе портов имеют некоторые ограничения. Они очень просты в установке, но позволяют поддерживать для каждого порта только одну VLAN. Следовательно, такое решение малоприемлемо при использовании концентраторов или в сетях с мощными серверами, к которым обращается много пользователей (сервер не удастся включить в разные VLAN). Кроме того, вносить изменения в VLAN на основе портов достаточно сложно, поскольку при каждом изменении требуется физическое переключение устройств.
по MAC-адресу (MAC-based): членство в VLANе основывается на MAC-адресе рабочей станции. В таком случае свитч имеет таблицу MAC-адресов всех устройств вместе с VLANами, к которым они принадлежат.
по протоколу (Protocol-based): данные 3 уровня в заголовке пакета используются чтобы определить членство в VLANe. Например, IP машины могут быть переведены в первый VLAN, а машины AppleTalk во второй. Основной недостаток этого метода в том, что он нарушает независимость уровней, поэтому, например, переход с IPv4 на IPv6 приведет к падению свитча.
методом аутентификации (Authentication based): Устройства могут быть автоматически перемещены в VLAN основываясь на данных аутентификации пользователя или устройства при использовании протокола 802.1x

статья