Een virtueel LAN (Local Area Network) is een logisch subnetwerk dat een verzameling apparaten van verschillende fysieke LAN's kan groeperen. Grotere bedrijfscomputernetwerken zetten dikwijls VLAN's op om hun netwerk opnieuw te partitioneren voor verbeterd verkeersbeheer.
Verschillende soorten fysieke netwerken ondersteunen virtuele LAN's, waaronder zowel Ethernet als Wi-Fi.
Voordelen van een VLAN
Bij correcte installatie kunnen virtuele LAN's de algehele prestaties van bezette netwerken verbeteren. VLAN's zijn bedoeld om clientapparaten te groeperen die het vaakst met elkaar communiceren. Het verkeer tussen apparaten verdeeld over twee of meer fysieke netwerken moet normaal worden afgehandeld door de kernrouters van een netwerk, maar met een VLAN kan verkeer in plaats daarvan efficiënter worden beheerd door netwerkswitches.
VLAN's bieden ook extra beveiligingsvoordelen op grotere netwerken doordat ze meer controle hebben over welke apparaten lokaal toegang hebben tot elkaar. Wi-Fi-gastnetwerken worden vaak geïmplementeerd met behulp van draadloze toegangspunten die VLAN's ondersteunen.
Statische en dynamische VLAN's
Netwerkbeheerders verwijzen vaak naar statische VLAN's als "poortgebaseerde VLAN's". Een statisch VLAN vereist dat een beheerder afzonderlijke poorten op de netwerkswitch toewijst aan een virtueel netwerk. Ongeacht welk apparaat plus in die poort, het wordt een lid van datzelfde vooraf toegewezen virtuele netwerk.
Dankzij de dynamische VLAN-configuratie kan een beheerder het netwerklidmaatschap definiëren op basis van kenmerken van de apparaten zelf in plaats van de locatie van de switchpoort. Een dynamisch VLAN kan bijvoorbeeld worden gedefinieerd met een lijst met fysieke adressen (MAC-adressen) of netwerkaccountnamen.
VLAN-tagging en standaard VLAN's
VLAN-tags voor Ethernet-netwerken voldoen aan de IEEE 802.1Q-industriestandaard. Een 802.1Q-tag bestaat uit 32 bits (4 bytes) aan gegevens ingevoegd in de Ethernet-framekaart. De eerste 16 bits van dit veld bevatten het hardgecodeerde nummer 0x8100 dat ervoor zorgt dat Ethernet-apparaten het frame herkennen als behorende tot een 802.1Q VLAN. De laatste 12 bits van dit veld bevatten het VLAN-nummer, een getal tussen 1 en 4094.
Best practices van VLAN-beheer definiëren verschillende standaardtypen van virtuele netwerken:
- Native LAN: Ethernet VLAN-apparaten behandelen standaard alle niet-gecodeerde frames als behorend tot het native LAN. Het native LAN is VLAN 1, hoewel beheerders dit standaardnummer kunnen wijzigen.
- Beheer VLAN: wordt gebruikt om externe verbindingen van netwerkbeheerders te ondersteunen. Sommige netwerken gebruiken VLAN 1 als beheer VLAN terwijl anderen speciaal voor dit doel een speciaal nummer instellen (om conflicten met ander netwerkverkeer te voorkomen).
Een VLAN opzetten
Op hoog niveau hebben netwerkbeheerders nieuwe VLAN's ingesteld als volgt:
-
Kies een geldig VLAN-nummer.
-
Kies een particulier IP-adresbereik voor apparaten op dat VLAN die u wilt gebruiken.
-
Configureer het schakelapparaat met statische of dynamische instellingen. Voor statische configuraties moet de beheerder een VLAN-nummer toewijzen aan elke switchpoort, terwijl voor dynamische configuraties een lijst met MAC-adressen of gebruikersnamen aan een VLAN-nummer moet worden toegewezen.
-
Configureer de routering tussen VLAN's indien nodig. Het configureren van twee of meer VLAN's om met elkaar te communiceren vereist het gebruik van een VLAN-bewuste router of een Layer 3-switch.
De gebruikte administratieve hulpmiddelen en interfaces variëren sterk, afhankelijk van de betrokken apparatuur.
