Un LAN virtuel (ou VLAN) est un groupe de services réseau qui ne sont pas limités à un segment physique ou à un commutateur LAN. 

Les VLAN segmentent les réseaux commutés de manière logique sur la base des fonctions, des équipes de projet ou des applications de l’entreprise, quel que soit l’emplacement physique ou les connexions au réseau. L’ensemble des stations de travail et des serveurs utilisés par un groupe de travail partagent le même VLAN, indépendamment de l’emplacement ou de la connexion physique. 

La configuration ou la reconfiguration des VLAN est effectuée par l’intermédiaire d’un logiciel. La configuration d’un VLAN ne nécessite pas de connecter ou de déplacer physiquement des câbles et des équipements. 

La communication d’une station de travail appartenant à un groupe VLAN est limitée aux serveurs de fichiers de ce groupe. Les LAN virtuels segmentent logiquement le réseau en différents domaines de broadcast, afin que les paquets soient commutés uniquement entre les ports d’un même VLAN. Les VLAN sont composés d’ordinateurs hôte ou d’équipements réseau connectés par un même domaine de pontage. Le domaine de pontage est pris en charge sur différents équipements de réseau. Les commutateurs LAN utilisent des protocoles de pontage avec un groupe de ponts distinct pour chaque VLAN. 

Les VLAN sont créés pour fournir des services de segmentation habituellement fournis par les routeurs physiques dans les configurations LAN. Les VLAN répondent aux problèmes d’évolutivité, de sécurité et de gestion des réseaux. Les routeurs dans les topologies VLAN offrent des services de filtrage des broadcasts, de sécurité et de gestion du flux du trafic. Les commutateurs ne peuvent pas acheminer de paquets entre des VLAN par le biais de ponts, car cela pourrait violer l’intégrité du domaine de broadcast VLAN. Le trafic doit uniquement être routé entre les VLAN.

Un VLAN est un domaine de broadcast créé par un ou plusieurs commutateurs.

2. Fonctionnement d’un VLAN 

Chaque port de commutateur peut être attribué à un LAN virtuel différent. Les ports affectés au même LAN virtuel partagent les broadcasts. Les ports qui n’appartiennent pas à ce LAN virtuel ne partagent pas ces broadcasts. Cela améliore les performances globales du réseau. 

Les VLAN statiques sont dits «axés sur le port». Lorsqu'un équipement accède au réseau, il adopte automatiquement le VLAN d'appartenance du port auquel il est connecté. 

Les utilisateurs connectés au même segment partagé partagent la bande passante de ce segment. Chaque utilisateur supplémentaire connecté au support partagé implique une réduction de la bande passante et une détérioration des performances du réseau. Les LAN virtuels offrent aux utilisateurs une bande passante plus large qu’un réseau partagé. Le VLAN par défaut de chaque port du commutateur est le VLAN de gestion. Par défaut, le VLAN 1 est toujours le VLAN de gestion et ne peut pas être supprimé. Au moins un des ports doit être dans le VLAN 1 pour être en mesure de gérer le commutateur à distance. Tous les autres ports du commutateur peuvent être réaffectés à d’autres VLAN. 

Les VLAN dynamiques sont créés par l’intermédiaire du logiciel d’administration réseau. CiscoWorks 2000 ou CiscoWorks for Switched Internetworks est utilisé pour créer des VLAN dynamiques. Les VLAN dynamiques permettent une appartenance axée sur l’adresse MAC de l’unité connectée au port du commutateur. Quand un appareil arrive sur un réseau, le commutateur auquel il est connecté questionne une base de données sur le serveur de configuration de VLAN pour déterminer son appartenance à un VLAN.

Le principal avantage des VLAN est qu’ils permettent à l’administrateur réseau d’organiser le LAN de manière logique et non physique. Cela signifie qu’un administrateur peut effectuer toutes les opérations suivantes: 

• Déplacer facilement des stations de travail sur le LAN 
• Ajouter facilement des stations de travail au LAN 
• Modifier facilement la configuration LAN 
• Contrôler facilement le trafic réseau 
• Améliorer la sécurité 

Il existe trois types d’appartenance à un VLAN permettant de déterminer et de contrôler le mode d’affectation d’une trame : 

L’en-tête d’une trame est encapsulé ou modifié pour inclure un ID de VLAN avant que la trame ne soit envoyée sur la liaison entre les commutateurs. Avant le transfert de la trame vers l’unité de destination, le format d’origine de son en-tête est rétabli. 

Le nombre de VLAN dans un commutateur varie en fonction des facteurs suivants: 

Le système d’adressage IP est également un facteur important à prendre en compte lors de la définition de la taille du commutateur et du nombre de VLAN. 

Par exemple, un réseau utilisant un masque sur 24 bits pour définir un sous-réseau dispose d’un total de 254 adresses hôte autorisées sur un seul sous-réseau. Étant donné qu’une correspondance bi-univoque entre les VLAN et les sous-réseaux IP est fortement recommandée, il ne peut y avoir plus de 254 hôtes dans un des VLAN. Il est également recommandé de ne pas étendre les VLAN au-delà du domaine de couche 2 du commutateur de distribution. Il existe deux méthodes principales d’étiquetage de trames: ISL (Inter-Switch Link) et 802.1Q. L’étiquetage de trames ISL, un protocole propriétaire Cisco, était autrefois très courant. Il est aujourd'hui remplacé progressivement par le standard 802.1Q d’étiquetage de trames.