Co je vlastně vLAN

 Virtuální sítí (VLAN) se myslí transparentní propojení dvou nebo více lokálních sítí (LAN) na úrovni druhé síťové vrstvy. Lokální sítě mohou být přitom od sebe fyzicky vzdálené a na jejich propojení přitom může být použita i jiná technologie, než je použita v samotných LAN.

 Jiná více specifická definice by mohla znít "Virtuální LAN je logický segment LAN, který spojuje (obsahuje) nody (koncové uzly), které mohou být připojené k různým fyzickým segmentům a mohou spolu komunikovat jako by byly na společné LAN.". Z této definice je zřejmé, že problematika virtuálních sítí je převážně softwarová záležitost - jen podpořená inteligentním hardware.

K čemu je VLAN

Samotná myšlenka virtuálních sítí LAN vychází z konstatování, že v současné době, za použití dnes dostupných síťových technologií, je rozdělení jednotlivých uzlových počítačů do jednotlivých sítí LAN závislé především na jejich fyzickém umístění, a jen velmi málo na jejich významu, smyslu, určení, či obvyklém způsobu využití. V praxi tedy záleží na tom, kde a jak se daný počítač nachází, kam od něj vedou příslušné „dráty" - ke kterému rozbočovači, mostu či směrovači atd. Podle toho je pak daný počítač zařazen do celku představujícího samostatnou síť (na úrovni tzv. síťové vrstvy), což pro něj přináší i jisté technické důsledky - například svou síťovou adresu dostává přidělenu právě na základě své příslušnosti do určité konkrétní sítě, a podle této své příslušnosti také musí být nakonfigurován (jeho síťový software například musí být informován o tom, kudy vede „cesta ven" do jiných sítí). Také nejrůznější bezpečnostní opatření typu zákazu přístupu odněkud někam či poskytování služeb jen určitému okruhu zájemců, je často řešeno právě na úrovni celých sítí. Dále takovýto počítač sdílí tzv. všesměrové vysílání se všemi ostatními počítači, které jsou zařazeny do stejné sítě jako on. Takže když některý jiný počítač dané sítě vznese „do éteru", pomocí všesměrového vysílání dotaz typu „kdo mi poskytne to a to", slyší jeho dotaz opravdu všechny počítače dané sítě, i když se jich dotaz po věcné stránce vůbec netýká.

Z provozního hlediska, a zejména pak z pohledu správy sítě by naopak bylo nejvýhodnější rozdělovat jednotlivé uzlové počítače do konkrétních sítí na základě toho, co mají či nemají „logicky" společné - například počítače sloužící účtárně dát spolu s jejich serverem do jedné sítě, počítače marketingového oddělení do jiné sítě atd. Místo toho se ale musí zařazovat do sítí především podle svého fyzického umístění. Když pak dochází ke změně tohoto umístění, například k přestěhování uživatele i s jeho počítačem z jedné kanceláře do druhé, může to způsobit nemalé komplikace jak správci sítě, který musí vykonat různé konfigurační úpravy, tak i samotnému uživateli. Může se totiž klidně stát, že když se místo v jedné síti náhle ocitne v síti jiné, budou pro něj platit jiná pravidla hry, jiná omezení přístupu k dostupným zdrojům v dané síti i v jiných sítích apod. No a právě tyto nepříjemnosti se snaží napravit virtuální sítě LAN. Snaží se vytvářet sítě vymezené nikoli fyzickými kritérii (zejména umístěním, způsobem vedení přenosových cest atd.), ale především kritérii „logického" charakteru (například příslušností uživatele počítače k určité pracovní skupině). Výsledkem pak budou takové sítě, které mají výrazně „virtuální" povahu, protože jejich existence je dána programovými prostředky (nakonfigurováním existujících aktivních síťových prvků), a nikoli způsobem fyzického zapojení a propojení. Změny v takovýchto virtuálních sítích, jako například přemístění počítače do jiného portu přepínače, pak řeší pouze správce sítě, s pomocí vhodných konfiguračních nástrojů (které mohou vše maximálně zjednodušit).

Bezpečnost a VLAN

VLAN dokáže totiž nezávisle na nastavení ostatních aktivních prvků, stanic a aplikací naprosto izolovat jednotlivé účastníky sítě mezi sebou. Většinou jde o povolení přístupu na společná zařízení všem klientům sítě (servery, routery pro přístup do Internetu a tiskové servery) a zároveň izolaci vlastních pracovních stanic v rámci pracovních skupin. To znamená, že jde o dokonalou izolaci proti neoprávněnému vstupu z jednoho pracovního oddělení na počítače jiného oddělení apod.

Další důvody, které napomohly vznikům VLAN

V průběhu devadesátých let se stal Ethernet nejoblíbenějším způsobem propojení počítačů v lokální síti. Je to jednoduchá technologie, která způsobila, že síťové prvky byly výrazně levnější než konkurenční způsoby zapojení (ikdyž mnohdy výrazně lepší - ale to už je život). V průběhu let se začaly nedostatky Ethernetu postupně projevovat. Zvláště v rozlehlejších lokálních sítích začal být problém s oddělením jednotlivých počítačů do samostatných sítí (ať už z administrativních nebo bezpečnostních důvodů). Existovalo v podstatě jediné řešení: do každého přípojného místa umístit tolik ethernetových přepínačů, kolik zde bylo plánováno oddělených sítí. To je ovšem nehorázné plýtvání. Ideální řešení bylo zapojení, které je na následujícím obrázku. Toto ovšem nebylo s ethernetem možné a je tedy logické, že ethernetové technologie začaly ztrácet dech.

V polovině devadesátých let získalo na popularitě ATM s technologií LANE (LAN emulace - původně navržený způsob pro "bezbolestný" přechod od ethernetu k síti založené výhradně na ATM bez nutnosti "velkého třesku"). LANE celkem dobře řešilo právě oddělení jednotlivých sítí v jednom přepinači a propojení více přepínačů mezi sebou. LANE ale mělo přece jenom několik slabin. Asi hlavní slabinou byla téměř neakceptovatelná cena přepínačů. ATM je výrazně složitější technologie a to se odrazilo i v komplexnosti návrhu takového přepínače. Složitost ATM se také projevila v kvalitě implementace a málokterá firma dokázala předvést dokonale fungující zařízení. Další nevýhodou byla poněkud složitější konfigurace (zkuste si zapamatovat více 20ti bajtových adres). Není tedy divu, že se hledaly alternativy.

Firma cisco přišla se svým vlastním řešením pro ethernet, označovaném jako ISL. To umožnilo budovat rozsáhlejší sítě založené na ethernetu. ISL mělo jednu zásadní nevýhodu - bylo to proprietární řešení jedné firmy. Proto vznikla v červnu 1995 pracovní skupina IEEE 802.1Q Task Force, která měla za úkol připravit standard pro "virtuální přepínané sítě" ve zkratce VLAN. Tato skupina posléze vydala konečnou specifikaci v roce 1998 jako standard 802.1Q.