A számítógép-hálózatok körében a virtuális helyi hálózat vagy látszólagos helyi hálózat (rövidebben virtuális LAN, virtual LAN, azaz VLAN) hálózati eszközök egy olyan csoportja, aminek tagjai úgy kommunikálnak, mintha ugyanabba a szórási tartományba tartoznának, fizikai elhelyezkedésüktől függetlenül. Egy VLAN ugyanazokkal a jellemzőkkel bír, mint egy fizikai helyi hálózat (LAN), de lehetővé teszi az eszközök együtt kezelését még akkor is, ha nem ugyanarra a hálózati kapcsolóra csatlakoznak. A hálózat átkonfigurálása az eszközök fizikai áthelyezése helyett szoftveresen is végrehajtható.

A VLAN-ok azokat a szegmentációs szolgáltatásokat nyújtják, amiket hagyományosan routerek biztosítanak LAN környezetekben. A VLAN-ok a skálázhatóság, biztonság és hálózati menedzsment területén jelentenek előrelépést. VLAN környezetben a routerek feladata a broadcast üzenetek szűrése, a hálózatbiztonság, a címösszegzés és a hálózati terheléselosztás biztosítása. A hálózati kapcsolók definíció szerint nem végezhetik el az IP-forgalom áthidalását VLAN-ok között, hiszen ez megsértené a VLAN szórási tartomány integritását.

Akkor is hasznos lehet a VLAN technológia, ha több 3. rétegbeli (Layer 3) hálózatot kell létrehozni ugyanazon a 2. rétegbeli hálózati kapcsolón. Például egy DHCP-kiszolgálót (ami broadcast üzenettel jelenti be a létezését) egy switchhez csatlakoztatva az bármely ügyfélgépet kiszolgálhat a switchen. VLAN-ok alkalmazásával a hálózat felosztható olyan módon, hogy egyes ügyfélgépek ne használják a DHCP szervert, hanem például kézi konfigurálással kapjanak címet.

A virtuális helyi hálózatok lényegében 2. rétegbeli konstrukciók, összehasonlítva az IP-alhálózatokkal (subnet), amik a 3. rétegben foglalnak helyet. A gyakorlatban legtöbbször a VLAN-ok és az IP-alhálózatok között 1:1 megfeleltetés van. Ennek ellenére egy VLAN-on létezhet több alhálózat, és egy alhálózat is keresztülnyúlhat több VLAN-on. A VLAN-ok és az IP-alhálózatok egymástól független 2. és 3. rétegbeli konstrukciók, kapcsolatuk mégis fontos tényező, amit nem lehet figyelmen kívül hagyni a hálózat megtervezésekor.

Virtuális helyi hálózatok használatával kézben tartható a hálózati terhelés, gyorsan lehet reagálni gépek áthelyezésére. A VLAN-ok rugalmassága, a hálózat változásaihoz való gyors alkalmazkodás egyszerűsített adminisztrációt tesz lehetővé.

Egy hagyományos hálózatban a felhasználók fizikai elhelyezkedésük szerint tartoznak egy-egy hálózathoz (pl.: egyik emelet egyik hálózat, másik emelet egy másik hálózat), a lehetőségeket behatárolja a fizikai topológia és a távolság.

A virtuális LAN-okkal lehetőség nyílik a hálózatok összefogására úgy, hogy a felhasználókat nem köti szorosan fizikai elhelyezkedésük. VLAN-t lehet használni a következő technológiák bármelyike fölött:

• Asynchronous Transfer Mode (ATM)
• Fiber Distributed Data Interface (FDDI)
• Ethernet
• Fast Ethernet
• Gigabit Ethernet
• 10 gigabites Ethernet
• HiperSockets

Napjainkban VLAN-ok konfigurálása során leggyakrabban használt protokoll az IEEE 802.1Q. A VLAN-ok multiplexálására alkalmas módszert az IEEE bizottság azzal a céllal definiálta, hogy a gyártók VLAN-megoldásai egymással kompatibilisek lehessenek. A 802.1Q szabvány előtt több egyedi protokollt használtak, köztük a Cisco ISL-jét (Inter-Switch Link, az IEEE 802.10 egy változata) és a 3Com VLT-jét (Virtual LAN Trunk).

Az ISL és az IEEE 802.1Q egyaránt explicit címkézésű (explicit tagging) – azaz magát a keretet címkézik meg a VLAN-információval. Az ISL külső címkézési módszere nem változtatja meg az eredeti Ethernet-keretet, hanem mintegy 30 bájtot ad hozzá. A 802.1Q a keret egyik mezőjét használja a címkézésre, vagyis módosítja az eredeti keretet. Ez a belső címkézés teszi lehetővé, hogy az IEEE 802.1Q működhessen hálózati végpontokon és trönkölt kapcsolatokon egyaránt: a keretek az Ethernet-szabványnak megfelelnek, így a korábbi hardverrel is képes együttműködni a technológia.

Az IEEE 802.1Q 4 bájtos extra fejléce egy 2 bájtos címkeprotokoll-azonosítóból (tag protocol identifier, TPID) és egy 2 bájtos címkekontroll-információból (tag control information, TCI) áll. A TPID értéke fixen 0x8100, ami azt jelenti, hogy a keret 802.1Q/802.1p címkeinformációt hordoz. A TCI következő részekből áll:

• 3 bit felhasználói prioritás
• 1 bit kanonikus formátumjelző (canonical format indicator, CFI)
• 12 bit VLAN-azonosító (VLAN identifier, VID) – kifejezi, hogy a keret melyik VLAN-ba tartozik

A 802.1Q szabvány sajátos helyzetet hozhat létre a hálózaton. Emlékezve arra, hogy az IEEE 802.3 szerint definiált maximális Ethernet keretméret 1518 bájt, ha egy maximális méretű keret címkézésre kerül, a keret már 1522 bájtos lesz, ami megsérti az IEEE 802.3 szabványt. Ennek feloldására a 802.3-as bizottság létrehozott egy alcsoportot 802.3ac néven, a maximális keretméretet 1522 bájtig kiterjesztve. Lehetséges egy keret dupla, vagy tripla címkézése is. Egyes hálózati eszközök, amik nem támogatják a nagyobb keretméretet, képesek ugyan feldolgozni ezeket a kereteket, de hibásnak jelentik le őket („bébi óriás keretek”, „baby giant”).^[1]

Az Inter-Switch Link (ISL) a Cisco egy saját protokollja több switch összekötésére oly módon, hogy a VLAN-információ megőrződjön a switchek közötti trönkölt vonalakon való áthaladáskor. Ez egy lehetséges módszer hálózatihíd-csoportok (VLAN-ok) nagy sebességű gerinchálózaton történő multiplexelésére. Az IEEE 802.1Q-hoz hasonlóan Fast Ethernet és Gigabit Ethernet hálózaton működik. Az ISL a Cisco routerein a Cisco IOS Software Release 11.1-es verzió óta elérhető.

Az ISL esetében az Ethernet-keretet becsomagolják, hozzáadnak egy fejlécet a VLAN ID átviteléhez. A fejléc 26 bájtos, ami tartalmaz a 10 bites VLAN azonosító mellett minden keret végén egy 4 bájtos CRC-t is – ez az Ethernet-kerethez tartozó egyéb ellenőrzéseken kívül értendő. A VLAN ID csak akkor adódik a kerethez, ha olyan port felé továbbítódik, ami trönkölt linkként van beállítva. Ha sima („access”) link felé továbbítódik a keret, az ISL-csomagolás eltávolításra kerül.

Kezdetben a hálózatokban azért hoztak létre VLAN-okat, hogy egy-egy nagyobb Ethetnet-szegmensben csökkentsék az ütközési tartomány méretét, és ezzel növeljék a teljesítményt. Amikor a hálózati kapcsolók elterjedése ezt a problémát megszüntette (mivel minden switchport egy ütközési tartomány), a tervezők figyelme a szórási tartomány méretének csökkentésére irányult a MAC-rétegben (az adatkapcsolati réteg alrétege). A virtuális helyi hálózatok szolgálhatják az egyes hálózati erőforrásokhoz való hozzáférés korlátozását is, a hálózati fizikai topológiájától függetlenül, de ennek a módszernek a biztonságosságát megkérdőjelezi a VLAN hopping technika alkalmazása,^[2] ami az ilyen korlátok megkerülésének egy módszere.

A virtuális helyi hálózatok az OSI modell szerinti 2. szinten (Layer 2, adatkapcsolati réteg) üzemelnek. A rendszergazdák gyakran konfigurálják úgy a hálózatot, hogy egy VLAN és egy IP hálózat vagy alhálózat között kölcsönösen egyértelmű legyen a megfeleltetés, ami azt a benyomást keltheti, mintha a VLAN-nak köze lenne a 3. szinthez (Layer 3, a hálózati réteghez). A VLAN-ok kontextusában a trönk olyan hálózati kapcsolatot jelent, ami több, csomagszinten címkékkel (tag-ekkel) azonosított VLAN forgalmát viszi át. Az ilyen trönkök VLAN-tudatos eszközök címkézett (tagged) portjai között hozhatók létre, így legtöbbször nem felhasználói eszközök felé mennek, hanem switch-switch vagy switch-router közötti kapcsolatok. (A „trönk” kifejezés használatos a Cisco-terminológia szerinti csatornákra is: ez az IEEE 802.1AX-2008 szabvány szerint több link összefogásáról szól.) Útválasztó, azaz Layer 3-as eszköz szolgál a különböző VLAN-ok közötti hálózati forgalom gerinchálózataként.

Cisco hálózati eszközökön a VTP (VLAN Trunking Protocol, „VLAN-trönkölési protokoll”) biztosítja a VLAN-konfiguráció egységességét a teljes hálózat területén. A VTP 2. rétegbeli trönkkereteket használ a VLAN-ok hozzáadásának, törlésének, átnevezésének kezelésére az egész hálózaton belül; a műveleteket egy központi, VTP-kiszolgálói üzemmódban működő switchen kell végrehajtani, majd a VTP gondoskodik a VLAN-információ szinkronizálásáról a VTP-tartományon belül, így csökkenti a switcheken történő egyéni konfigurálási munkák mennyiségét.

A VTP minimalizálja a változtatások végrehajtásakor a konfigurációs inkonzisztencia lehetőségét. Ezek az inkonzisztenciák biztonsági határsértéseket is okozhatnak, pl. azonos nevű VLAN-ok nemkívánatos összekötésével. Az is megtörténhet, hogy szétesnek a VLAN-ok, amikor különböző típusú LAN-okban találhatók, pl. Ethernet és ATM LANE ELAN-ok vagy FDDI 802.10 VLAN-ok összekapcsolásakor. A VTP olyan megfeleltetési eljárást biztosít, amivel többfajta átviteli közegben is biztonsággal végrehajtható a trönkölés.

A VTP használata a következő előnyökkel jár:

• Konzisztens VLAN-konfiguráció az egész hálózatban
• VLAN-trönkölés különböző típusú átviteli közegeken keresztül
• A VLAN-ok pontos nyomon követése, monitorozása
• Dinamikus jelentés a hálózathoz hozzáadott VLAN-okról
• Újonnan hozzáadott VLAN-ok Plug-and-play konfigurációja

A Cisco switchei minden VLAN-hoz külön példányt futtatnak a feszítőfa-protokollból (Spanning Tree Protocol, STP).

Mielőtt el lehetne kezdeni a switcheken VLAN-okat létrehozni, amik aztán VTP-vel a hálózaton továbbterjednek, először egy VTP-tartományt (VTP domain, management domain) kell létrehozni. Egy VTP tartomány olyan, folytonosan trönkölt switchekből áll, melyek VTP-tartományneve megegyezik. Az ugyanabban VTP-tartományban lévő switchek közösen menedzselik a VLAN-nal kapcsolatos információkat. Egy switch csak egyetlen VTP-tartományhoz tartozhat, és a különböző tartományhoz tartozó switchek nem osztanak meg egymással VTP-információkat.

A VTP használatával a Catalyst osztályba tartozó hálózati kapcsolók a következőket hirdetik magukról a trönkölt portjaikon:

• Menedzsment-domain
• A konfiguráció állapotának a verziószáma (revision number)
• Az ismert VLAN-ok és azok paraméterei

Két fő megközelítés létezik egy hálózati csomópont VLAN-tagságának meghatározására:

• Statikus VLAN-ok
• Dinamikus VLAN-ok.

A statikus VLAN-okat port-alapú VLAN-oknak is nevezik. A statikus VLAN-hozzárendelés úgy történik, hogy a switch portjait VLAN-okhoz rendelik. Egy port több VLAN-hoz is tartozhat. Ahogy a végponti eszköz belép a hálózatba, automatikusan a porthoz tartozó (egyik) VLAN-ba kerül. Ha a felhasználó egy másik portra kerül, szükség esetén a hálózati rendszergazdának kell a switch manuális konfigurálásával biztosítania, hogy a megfelelő VLAN-ba kerüljön.

A dinamikus VLAN-okat szoftvercsomagokkal (pl. CiscoWorks 2000) hozzák létre. Egy VLAN Management Policy Server (VMPS) segítségével a rendszergazda dinamikusan rendelheti hozzá a switchportokat egy-egy VLAN-hoz a portra csatlakoztatott eszköz MAC-címe, az eszközbe belépő felhasználói fiók vagy más hasonló információ alapján. Ahogy az eszköz belép a hálózatra, a szoftvercsomag lekérdez egy adatbázist, hogy megállapítsa a VLAN-tagságát. Ingyenes, nyílt forrású VMPS kiszolgálóra példa a FreeNAC csomag.

A portok alapján kiosztott VLAN-tagság esetén a port egy adott VLAN-hoz van hozzárendelve, függetlenül attól, hogy milyen felhasználó vagy eszköz csatlakozik a porthoz. Ez azt is jelenti, hogy minden, a portra csatlakoztatott eszköznek ugyanabba a VLAN-ba kell tartoznia. Jellemzően a hálózati rendszergazda végzi el a VLAN-hozzárendelést. A port hozzárendelése statikus, és kézi újrakonfigurálás nélkül nem változtatható meg.

Ahogy az más VLAN-alapú megközelítéseknél is elmondható, ennél a módszerrel is igaz, hogy ha a port hozzá van rendelve egy VLAN-hoz, akkor abból nem jutnak át csomagok a hálózat más VLAN-tartományaiba, illetve nem képes azokból csomagokat fogadni – legalábbis egy 3. rétegbeli eszköz közreműködése nélkül.

Leggyakoribb esetben a portra csatlakoztatott eszköznek nincs tudomása arról, hogy egy VLAN-ban van. Az eszköz csak annyit tud, hogy egy alhálózat tagja, és hogy képes az alhálózat többi gépével kommunikálni egyszerűen, az adott kábelszegmensben adatok küldésével. A hálózati kapcsoló feladata annak észlelése, hogy az adatok adott VLAN-ból érkeznek és hogy biztosítsa azok elküldését a VLAN többi tagja számára. Feladata továbbá annak biztosítása, hogy a más VLAN-ba tartozó eszközök ne kapják meg a csomagokat.

Ez a megközelítés igen egyszerű, gyors, könnyen menedzselhető, mivel nem igényel bonyolult hozzárendelési táblázatokat a VLAN-ok elkülönítéséhez. Ha a portok és a VLAN-ok egymáshoz rendelését ASIC végzi, a teljesítmény igen jó lehet, hiszen a port-VLAN összerendelés hardverszinten megtörténik.

A protokollalapú VLAN-ok kezelésére képes hálózati kapcsolón a portok hálózati forgalma protokollok szerint szétválasztva kerül továbbításra. Jellemzően az adminisztrátor egy-egy hálózati protokoll forgalmát igyekszik elkülöníteni, vagy ellenkezőleg, továbbítani a hálózat többi része felé.

• Privát VLAN

• Ez a szócikk részben vagy egészben a Virtual LAN című angol Wikipédia-szócikk ezen változatának fordításán alapul. Az eredeti cikk szerkesztőit annak laptörténete sorolja fel. Ez a jelzés csupán a megfogalmazás eredetét és a szerzői jogokat jelzi, nem szolgál a cikkben szereplő információk forrásmegjelöléseként.

• Andrew S. Tanenbaum, 2003, "Computer Networks", Pearson Education International, New Jersey

• IEEE's 802.1Q standard 1998 version (2003 version)(2005 version)
• Cisco's Overview of Routing between Virtual LANs
• Cisco's Bridging Between IEEE 802.1Q VLANs white paper Archiválva 2009. június 9-i dátummal a Wayback Machine-ben
• University of California's VLAN Information
• OpenWRT guide to VLANs: Provides a beginners' guide to VLANs
• Study of VLAN usage in Purdue University's Campus Network
• Towards Systematic Design of Enterprise Networks: Demonstrates how to systematically produce a VLAN design
• Some FAQ Archiválva 2009. december 26-i dátummal a Wayback Machine-ben about VLANs
• VLAN: Virtual Local Area Network and IEEE 802.1Q
• VLAN-ok biztonsága (magyarul)