Wirtualna sieć lokalna (VLAN) służy do tworzenia wielu domen do nadawania. Domyślnie przełącznik posiada jedną domenę do nadawania, ponieważ wszystkie porty są przypisane do domyślnego sieci VLAN – VLAN 1. Domyślnie wszystkie porty są przypisane do sieci VLAN 1 (oznaczonej kolorem niebieskim). W związku z tym wszystkich rodzaje ruchu z komputera PC-1 dotrą do komputera PC-2. Burza broadcast na komputerze PC-1 będzie mieć wpływ na wydajność komputera PC-2 (Rysunek 1 (tylko w języku angielskim)).
Rysunek 1: Rysunek 1: Przedstawienie sieci VLAN w konfiguracji domyślnej.
Przełącznik jest podzielony na dwie sieci VLAN oznaczone jako niebieska sieć VLAN i pomarańczowa sieć VLAN. Komputer PC-1 nie będzie w stanie połączyć się z komputerem PC-2, ponieważ znajdują się one w różnych sieciach VLAN (Rysunek 2 (tylko w języku angielskim)). W związku z tym ruch rozgłoszeniowy z komputera PC-1 dotrze tylko do urządzeń w niebieskiej sieci VLAN i nie dotrze do urządzeń w pomarańczowej sieci VLAN. Rozwiązaniem mogłoby być wdrożenie trasowania między sieciami VLAN, umożliwiającego ruch od komputera PC-1 do PC-2, jednak ruch rozgłoszeniowy nie dotrze do komputera PC-2, ponieważ przekierowujemy ruch między sieciami VLAN, a routery blokują nadawanie. Rysunek 2: Przedstawienie przełącznika po utworzeniu sieci VLAN
Sieć VLAN ułatwia segmentację przełącznika na wiele domen do nadawania. Ponieważ ruch rozgłoszeniowy będzie mieć poważny wpływ na wydajność sieci, sieci VLAN pomagają ograniczać domenę nadawania. Sieci VLAN pozwalają również nakładać ograniczenia dostępu. Przy użyciu sieci VLAN można na przykład wstrzymać komunikację sieciową między osobnymi działami firmy (np. sprzedaży i produkcji).
Poniżej opisano rzeczywisty przypadek użycia sieci VLAN:
Przypadek użycia-1
Sieci VLAN 10 oraz VLAN 20 są skonfigurowane na urządzeniu PC8164 firmy Dell. Porty 1-10 są przypisane do sieci VLAN 10, natomiast porty 11-20 do sieci VLAN 20. Komputer w sieci VLAN 10 został zainfekowany wirusem i wysyła ruch rozgłoszeniowy wpływający na wydajność sieci. Ponieważ skonfigurowano sieci VLAN, ruch rozgłoszeniowy będzie przepływać tylko do urządzeń w sieci VLAN 10 i nie będzie przekazywany do urządzeń w sieci VLAN 20.
W powyższym przypadku użycia podzielenie przełącznika na wiele domen do nadawania zapewniło urządzeniom w sieci VLAN 20 ochronę przed ruchem rozgłoszeniowym napływającym przez sieć VLAN 10.
Sieci VLAN są oznaczane przy użyciu identyfikatorów sieci VLAN (ID sieci VLAN). Identyfikatory sieci VLAN to wartości liczbowe od 1 do 4096 i zostały sklasyfikowane poniżej,
Ponieważ do pola identyfikatora VLAN w nagłówku VLAN w trybie 802.1Q przypisano 12 bitów, zakres sieci VLAN nie może przekraczać wartości 4096. Identyfikatory sieci VLAN o wartościach 1 i 4096 są zarezerwowane i nie można ich używać do przekazywania ruchu.
Poniższe czynności umożliwiają utworzenie sieci VLAN w przełączniku
Domyślnie wszystkie porty w sieci VLAN 1 (Rysunek 3 (tylko w języku angielskim)) wyświetlają wynik polecenia „show vlan” w stanie domyślnym. Aby utworzyć sieć VLAN, można użyć polecenia vlan; jak pokazano na rys. 4 (tylko w języku angielskim), nazwanie sieci VLAN jest opcjonalne. jeśli nazwa nie zostanie nadana, sieci VLAN zostanie przypisana nazwa wygenerowana przez system. Po utworzeniu sieci VLAN 10 system przypisze jej nazwę VLAN0010. Sieci VLAN można nadać nazwę przyjazną dla użytkownika, aby ułatwić jej rozpoznawanie. Rysunek 4 (tylko w języku angielskim) przedstawia instrukcję używania polecenia name w celu opisania sieci VLAN. Aby sprawdzić i wyświetlić listę sieci VLAN obecnych w przełączniku, można zastosować polecenie show vlan, jak pokazano na rys. 5 (tylko w języku angielskim).
Rysunek 3. Rysunek 3: Wynik polecenia show vlan z urządzenia N4032.
Rysunek 4. Nadawanie nazwy VLAN 10 jako sprzedaż
Rysunek 5. Rysunek 5: Wynik polecenia show vlan po utworzeniu sieci VLAN 10
Ostatni i istotny krok tworzenia sieci VLAN to przydzielenie portów do sieci VLAN. Porty można skonfigurować, aby oznaczały informacje z sieci VLAN lub nie. Rysunek 6 (tylko w języku angielskim) przedstawia proces przypisywania portu Tengigabitethernet 1/0/1 do sieci VLAN 10. Port jest skonfigurowany jako port dostępu, co oznacza, że podczas wysyłania ruchu z portu do stacji roboczej przełącznik usunie tag VLAN, natomiast gdy ruch będzie wysyłany ze stacji roboczej do przełącznika, port wstawi tag sieci VLAN o wartości 10.
Rysunek 6: Przypisywanie portów Te1/0/1 do VLAN 10
Przełączniki Layer 3 (L3) umożliwiają przekierowywanie ruchu. Przekierowywanie ruchu między sieciami VLAN polega na przekazywaniu ruchu między dwoma różnymi sieciami VLAN. Ponieważ ruch jest tutaj przekierowywany, a nie przełączany, ruch rozgłoszeniowy nie będzie przekazywany między sieciami VLAN.
Interfejs L3 to interfejs logiczny z identyfikatorem sieci VLAN. Rysunek 7 (tylko w języku angielskim) przedstawia konfigurację interfejsu L3 dla sieci VLAN 10.
Rysunek 7. Tworzenie VLAN o interfejsie 10 L3
Do wyświetlenia skonfigurowanego interfejsu L3 można użyć polecenia „show ip interface”, jak pokazano na rys. 8 (tylko w języku angielskim).
Rysunek 8. Wyjście pokazywania interfejsu IP
Uwaga: Wydajność sieci można przetestować za pomocą Iperfa, ponieważ w celu przetestowania dostępnej przepustowości sieci za pomocą opcji "Iperf"
Urządzenia z systemem FTOS używają polecenia „interface vlan X” do tworzenia sieci VLAN, gdzie X jest identyfikatorem sieci VLAN. Polecenie „untagged switchport X”, gdzie X oznacza numer portu, służy do przypisywania portu do sieci VLAN. Rysunek 9 (tylko w języku angielskim) wyświetla dane wyjściowe konfiguracji sieci VLAN z urządzenia z systemem FTOS.
Rysunek 9. Rysunek 9: Konfiguracja sieci VLAN L2 na urządzeniu z systemem FTOS
Informacje o sieci VLAN znajdują się wewnątrz powłoki 802.1Q ramki. O oznakowaniu ramki identyfikatorem sieci VLAN mówi się, gdy informacje nagłówka 802.1Q znajdują się w ramce. Oznakowane ramki są wysyłane do urządzenia, które mogą odczytać informacje sieci VLAN.
Na przykład łącze między dwoma przełącznikami przenosi oznakowane ramki, ponieważ przełączniki mogą odczytywać oznakowane ramki, natomiast ramka dla stacji roboczej jest nieoznakowana, ponieważ stacje robocza nie odczytują oznakowanych ramek.
Nieoznakowane ramki oznacza usunięcie informacji VLAN przez przełącznik przed wysłaniem ramki z portu, a powłoka 802.1Q nie występuje.