Do tworzenia VLAN-ów wykorzystuje się konfigurowalne lub zarządzalne przełączniki, umożliwiające podział jednego fizycznego urządzenia na większą liczbę urządzeń logicznych, przez separację ruchu między określonymi grupami portów.
Komunikacja między VLAN-ami jest możliwa, gdy w VLAN-ach tych partycypuje port należący do routera lub z wykorzystaniem przełączników warstwy trzeciej.
W przełącznikach konfigurowalnych zwykle spotyka się tylko najprostszą formę VLAN-ów, wykorzystującą separację grup portów.
W przełącznikach zarządzalnych zgodnych z IEEE 802.1Q możliwe jest znakowanie ramek (tagowanie) poprzez doklejenie do nich informacji o VLAN-ie, do którego należą.
Dzięki temu możliwe jest transmitowanie ramek należących do wielu różnych VLAN-ów poprzez jedno fizyczne połączenie (trunking).
W przypadku urządzeń zgodnych z ISL ramki są kapsułkowane w całości.
Niektóre nowe karty sieciowe komputerów klasy PC (w tym również interfejsy sieciowe laptopów) umożliwiają skonfigurowanie trybu pracy na tryb zgodny z IEEE 802.1Q.
Możliwe jest wtedy bezpośrednie podłączenie komputera do portu przełącznika, na którym jest skonfigurowana sieć VLAN.
Na takiej karcie można również ustawić korzystanie z wielu VLAN-ów jednocześnie (tzw. trunku).
Protokoły: IEEE 802.1Q, Inter-Switch Link (ISL), rozwiązanie Cisco.
Wstęp
W przypadku prostych konfiguracji sieciowych (jak na przykład sieć domowa) najczęściej mamy do czynienia z jedną siecią lokalną, zwaną siecią LAN, oraz siecią publiczną – WAN.
Typowy router realizuje funkcjonalność zwaną NAT (PAT, SRC-NAT, MASQUERADE), czyli mechanizmem translacji adresów, portów wychodzących z sieci LAN do sieci zewnętrznej.
Zasadniczo, aby zrealizować taki schemat konieczne są dwa fizyczne porty (ethernet’owe) w routerze oraz przełącznik (sieć LAN).
Co jednak gdy sieć wymaga podziału na więcej niż WAN i jedną sieć LAN? Wyobraźmy sobie, iż posiadamy firmę, a w niej kilka działów.
Dodatkowo mamy też kilka serwerów, które dostępne są z zewnątrz.
Każdy dział posiada osobną adresację IP. Serwery, które są dostępne z zewnątrz powinny być w osobnej sieci (DMZ).

Schemat takiej sieci, bez zastosowania mechanizmu VLAN, przedstawia się następująco.

vlan konfiguracja
Rozwiązanie to nie jest optymalne z kilku powodów:
router potrzebuje wielu portów fizycznych (tyle ile sieci będzie uruchomionych)
potrzeba użycia dużej liczby przełączników, oraz ich nieoptymalne wykorzystanie
nieoptymalne wykorzystanie tras kablowych
mało skalowalne rozwiązanie
trudne w utrzymaniu, gdy wykorzystywanych jest wiele sieci/podsieci
brak wsparcia dla niektórych konfiguracji (access point rozgłaszający wiele SSID, serwer wirtualizacji)
VLAN (Virtual Local Area Network)
Mechanizm, który stanowi rozwiązanie wcześniej wspomnianych problemów to VLAN. W skrócie, jest to wsparcie dla obsługi segmentacji sieci ethernet w ramach tego samego urządzenia (np przełącznik, access point). Aby móc wykorzystać VLAN należy upewnić się, że sprzęt sieciowy wspiera ten mechanizm. Zanim wdrożymy obsługę VLAN należy odpowiedzieć na pytanie jakie urządzenia zostaną wykorzystane w budowie sieci, oraz które z nich posiadają funkcjonalność VLAN.
Urządzenia pracujące z konfiguracją VLAN:
router
switch
access point
serwer maszyn wirtualnych
Urządzenia nieświadome VLAN:
komputer klasy PC
drukarka sieciowa
telefon IP
smartphone
żarówka WiFi
Oczywiście przedstawione powyżej podejście nie jest w 100% precyzyjne np: komputer PC w rękach osoby zaawansowanej może pracować z technologią VLAN.
Istnieją również telefony IP obsługujące VLAN.
Z drugiej strony prosty router może nie obsługiwać VLAN, itd. Powyższe rozważania stanowią jedynie uogólnienie i pozwalają na wprowadzenie koncepcji konfiguracji VLAN w sieciach ethernet. Vlanob>