Технология Virtual Local Area Network применяется для того, чтобы разделить единый Ethernet'ный сегмент на несколько частей, каждая из которых для конечных пользователей будет выглядеть как обособленный Ethernet'ный сегмент не имеющий ничего общего с остальными.
Например, в организации есть несколько отделов, трафик между которыми должен быть строго регламентирован (бухгалтерия, дирекция,…). Фильтрацию трафика легко и просто можно выполнить на стороне маршрутизатора, но даже если разнести эти отделы по разным IP-сетям, мы не решаем нашу задачу:
- При наличии единого Ethernet'ного сегмента любой компьютер будет получать широковещательный трафик, за счёт чего можно собрать информацию о компьютерах, подключённых к сети, а так же об используемой IP-адресации.
- Используя эту информацию и изменив вручную сетевые настройки можно попробовать подобрать ключики к компьютеру ген. директора или главбуха.
Ещё один пример. Если есть сеть с количеством компьютеров порядка 500-700, то величина широковещательного трафика будет составлять от 5 до 50-70 Кбайт/с. Без использования VLAN нет никакой возможности существенно уменьшить его объем.
При использовании VLAN каждый порт коммутатора можно настроить на работу в одном из двух режимов: маркированного и немаркированного трафика. (tagged и untagged в терминологии компании HP, tagged и access в терминологии Cisco) Не все, но многие коммутаторы поддерживают смешанный режим работы, когда через один и тот же порт может идти и маркированный и немаркированный трафик. Использование смешанного режима работы порта оправдано только при переводе уже имеющейся сети на работу с VLAN'ами.
untagged порт предназначен для подключения пользовательских компьютеров и прочего подобного оконечного оборудования. Между таким портом и компьютером идёт немаркированный трафик, точно такой же, как и в сети без VLAN. На каждый входящий пакет коммутатор вешает специальную бирку с номером того VLAN'а, к которому относится данный untagged порт. Технически это выглядит как прописывание нужного числа в заголовке пакета. При посылке исходящего пакета, соответствующая бирка снимается. Именно по этой причине в режиме untagged порт может принадлежать только одному VLAN'у.
tagged порт принимает и передаёт маркированный трафик. Как следствие, порт может принадлежать нескольким VLAN'ам, но руководствуясь соображениями производительности и безопасности не следует добавлять порт к VLAN'ам свыше минимально необходимых. Такой режим работы используется на портах соединяющих сетевые устройства между собой.
Количество VLAN'ов в сети ограничено разрядностью соответствующего поля в Ethernet пакете и составляет 4K.