Zariadenia v jednej LAN sieti by mali nejakým spôsobom logicky patriť k sebe. Delenie siete na podsiete sa realizuje hlavne na zvýšenie bezpečnosti. Zariadenia v jednej sieti sú v spoločnej broadcastovej doméne a teda broadcastové rámce sa dostanú ku všetkým ostatným zariadeniam v sieti. Broadcastom sa napríklad prenášajú informácie o zdieľaných priečinkoch a tlačiarňach systémov Windows. Zariadenie z rovnakej siete je ľahšie odpočúvateľné, analyzovateľné a napadnuteľné.
Delenie a prepojenie sietí v štandardnom prípade realizuje router, ktorý má cez každé rozhranie napojenú inú autonómnu sieť. Z rozhrania routra sa štandardne odvedie jeden kábel do switcha, z ktorého sú už napájané ďalšie stanice a switche lokálnej siete. Toto riešenie je plne funkčné a správne avšak len do chvíle, kým nie je potrebné robiť zmeny – presúvať časti niektorej podsiete na iné poschodie, alebo umožniť mobilitu počítačov v rámci budovy tak, že tieto počítače sú stále v rovnakej sieti, bez ohľadu na to, kde sa napoja. Virtuálne LAN vznikli preto, aby nebolo potrebné meniť kabeláž pri každej zmene zapojenia. Celá zmena sa dá vykonať softvérovo administrátorom, alebo automaticky vhodne nastavenými pravidlami.
Určenie príslušnosti stanice k podsieti je možné určiť rôznymi spôsobmi v závislosti od možností manažovateľného switcha. Do štandardu 802.1Q sa dostali prvé dve. Ostatné sú proprietárne riešenia výrobcov.
- Príslušnosť na základe zásuviek switcha. V tomto riešení sa nastaví cez administrátorské rozhranie, ktorá zásuvka bude patriť ktorej virtuálnej sieti. Ide o najčastejšie riešenie, ktoré sa dá využiť pri občasnej zmene rozloženia koncových staníc.
- Príslušnosť na základe MAC adresy. Toto riešenie zvyšuje mobilitu staníc, no má aj isté bezpečnostné riziko, keďže MAC adresu si môže každý nastaviť podľa ľubovôle.
- Príslušnosť na základe sieťovej adresy. Toto riešenie už vyžaduje čítanie sieťovej vrstvy, teda už nejde o štandardný switch spojovej vrstvy. Ide o riešenie, ktoré ešte viac zvyšuje mobilitu staníc z toho dôvodu, že niektoré dokovacie stanice pre notebooky majú vlastnú MAC adresu, a teda s príchodom nového zariadenia sa v prípade čítania iba spojovej vrstvy nič nemení. Toto riešenie tiež zohľadňuje to, že každá stanica môže mať viac sieťových rozhraní (a teda viac IP adries), z ktorých každé môže patriť do inej podsiete, aj keď s rovnakou MAC adresou. O znížení bezpečnosti sa už asi ani netreba zmieňovať, keďže vytvorenie a zmena viacerých IP adries v stanici je veľmi jednoduchá.
- Riešenie cez multicastové skupiny. V tomto prípade sa uzly pripájajú a odpájajú z virtuálnych sietí cez multicastové požiadavky. Každá stanica, ktorá je v príslušnej multicastovej skupine patrí do príslušnej siete. Aj v tomto prípade sa už pracuje aj na sieťovej vrstve.
- Príslušnosť na základe protokolu a čísla portu transportnej vrstvy, aplikačného protokolu ba aj obsahu správy umožňuje zaslať rámce do tej siete, kde sa nachádzajú stanice, ktoré počúvajú na konkrétnom porte alebo poskytujú konkrétne typy služieb. Týmto spôsobom sa dá riešiť rozloženie záťaže, dochádza aj k rôznym zmenám v hlavičkách rámcov a podobne. Toto riešenie už pracuje na transportnej a aplikačnej vrstve, má teda už veľmi ďaleko od pojmu switch.
5.7.1 IEEE 802.1Q
Štandard 802.1Q umožňuje vytváranie virtuálnych LAN sietí na spojovej vrstve. V bežnom rámci podľa štandardu 802.3, ktorý sa používa v Ethernete, nie je miesto pre dodatočnú informáciu potrebnú pre označenie virtuálnej siete. Pripomeňme ako vyzerá štandardný rámec Ethernetu podľa štandardu 802.3.
| 8 bajtov | 6 bajtov | 6 bajtov | 2 bajty | 46 – 1500 bajtov | 4 bajty |
| preambula | cieľová MAC adresa | zdrojová MAC adresa | typ protokolu vyššej vrstvy | telo rámca | CRC |
Štandard 802.1Q prináša rozšírenie rámca na takzvaný značkovaný rámec (tagged frame) 802.3ac, ktorý dodáva špeciálnu značku 1000000100000000 binárne (t.j. 8100 šestnástkovo – označujeme 0x8100) hneď za zdrojovú adresu, čím označuje, že hlavička bude ešte o 4 bajty dlhšia. Prvé dva extra bajty sú určené na prídavnú informáciu o virtuálnej sieti a ďalšie extra dva bajty označujú typ protokolu vyššej vrstvy. Prídavná informácia o virtuálnej sieti obsahuje 3 bity na určenie priority rámca, 1 bit na určenie typu adries hlavného protokolu a 12 bitov na identifikáciu (značku) virtuálnej siete (VLAN ID).
(značkovaný) rámec 802.3ac:
| 8 bajtov | 6 bajtov | 6 bajtov | 2 bajty | 2 bajty | 2 bajty | 46 – 1500 bajtov | 4 bajty |
| preambula | cieľová MAC adresa | zdrojová MAC adresa | 0x8100 | VLAN info | typ protokolu vyššej vrstvy | telo rámca | CRC |
VLAN info vyzerá nasledovne:
| 3 bity | 1 bit | 12 bitov |
| priorita | typ adries hlavného protokolu | VLAN ID |
Obvykle má každá podsieť, a teda aj stanice v nej, priradené administrátorom jedinečné VLAN ID. Na zistenie príslušnosti k podsieti tak nepotrebujeme čítať hlavičku sieťovej vrstvy a predsa sme schopní nastaviť to, aby počítače v jednej podsieti boli v rovnakej virtuálnej sieti a teda aj rovnakej broadcastovej doméne.
Na značkovaných rámcoch 802.3ac je zaujímavé to, že ich nepozná väčšina sieťových kariet koncových zariadení. Ani nemusí! Veď virtuálna sieť je preto virtuálna, že koncové zariadenia by ani nemali tušiť, že sú v nejakej špeciálnej sieti. Stačí, ak o virtualizácii vedia switche v sieti.
Predstavme si jednoduchú situáciu, že všetky zariadenia sú napojené na jediný switch, pričom niektoré chceme mať v jednej podsieti a niektoré v druhej. Nastavíme si teda vo switchi, ktoré zásuvky patria do ktorej virtuálnej siete. Ak niektoré zariadenie vyšle broadcastový rámec, switch sa pozrie, v ktorej virtuálnej sieti je zásuvka, z ktorej prišiel tento rámec a rozpošle tento rámec iba do tých zásuviek, ktoré prislúchajú danej virtuálnej sieti. Všimnime si, že ani nepotrebujeme značkovaný rámec a všetko funguje.
Situácia sa trochu skomplikuje ak máme v topológii viac switchov. Štandard 802.1Q predpokladá, že switche sú nejako na priamo poprepájané. V týchto priamych prepojeniach medzi switchmi sa už používajú značkované rámce. Opäť si predstavme situáciu, že máme dve virtuálne siete a na každý zo switchov je napojených niekoľko staníc z jednej aj druhej siete. Switch, na ktorý sú tieto stanice pripojené, zistí príslušnosť k sieti podľa zásuvky, v ktorej sú napojené. Keď však niektorá zo staníc pošle broadcastový rámec, pošle tento switch rámec všetkým staniciam danej virtuálnej siete napojeným naňho, ale tiež aj ostatným switchom, aby aj tieto switche poslali rámec všetkým na nich napojeným staniciam v danej virtuálnej sieti. Tieto switche už nemôžu o príslušnosti rámca rozhodovať na základe zásuvky, cez ktorú rámec prišiel, ale iba na základe identifikátora virtuálnej siete v rozšírenom rámci (cez tú istú zásuvku môžu prichádzať aj rámce pre ostatné virtuálne siete). Keďže cieľové stanice nemusia vedieť prijať značkovaný rámec, je pred zaslaním staniciam táto značka opäť odstránená a zaslaný iba obyčajný ethernetový rámec. Značkované rámce sa teda používajú iba medzi switchmi.
Pri virtuálnych sieťach si je potrebné uvedomiť aj to, že aj keby sme poznali MAC adresu zariadenia v inej virtuálnej sieti, switch nám tento rámec neprepošle a musíme túto komunikáciu realizovať cez router, aj keď sme s týmto zariadením napojení cez ten istý switch. Z toho vyplýva ešte jedna vec, a síce, že router pre takéto virtuálne siete musíme tiež nastaviť trochu špecificky. Máme dve možnosti. Prvá možnosť je, že budeme viesť samostatný kábel pre každú podsieť z routra do switcha, čím dosiahneme, že každá zo zásuviek bude venovaná inej podsieti a teda aj inej virtuálnej sieti. Druhá možnosť je napojenie routra iba jedným káblom do switcha pre všetky podsiete. V tom prípade ale router musí vedieť pracovať so značkovanými rámcami a naviac musíme vytvoriť pre danú zásuvku routra niekoľko virtuálnych rozhraní – pre každú podsieť zvlášť – ako to ukazuje nasledujúci obrázok.
