VLAN (LAN virtuel)
Un réseau local, ou LAN (Local Area Network), met à disposition des noeuds interconnectés via un accès direct (couche 2). Il se compose généralement d'un ou plusieurs commutateurs Ethernet. Les ordinateurs installés sur des LAN distincts peuvent communiquer au moyen de la couche 3 (couche IP), via un routeur. Un LAN virtuel, ou VLAN, dématérialise la notion de LAN.
Ainsi, le VLAN peut comprendre un sous-ensemble des ports présents sur un seul ou plusieurs commutateurs. Par défaut, sur un même réseau, les systèmes installés sur un VLAN donné n'ont pas accès au trafic associé aux systèmes installés sur d'autres VLAN.
Les VLAN permettent à l'administrateur de partitionner ses réseaux afin de satisfaire aux exigences de fonctionnement et de sécurité des systèmes, et ce sans installer aucun câble supplémentaire, ni apporter de changements majeurs à l'infrastructure réseau courante. La norme IEEE 802.1Q définit les VLAN. Le marqueur ou identificateur VLAN compte 12 bits dans la trame Ethernet, induisant ainsi une limite de 4 096 VLAN sur un même LAN.
Les ports présents sur les commutateurs peuvent être affectés à un ou plusieurs VLAN, ce qui permet la division des systèmes en groupes logiques – par exemple, selon le service de l'entreprise auquel ils sont associés – ainsi que l'établissement de règles relatives à l'intercommunication des systèmes appartenant à des groupes distincts.
Ces règles peuvent aller du cas simple et pratique (l'imprimante d'un VLAN donné est accessible aux ordinateurs compris dans ce VLAN, mais pas à ceux qui n'en font pas partie), à des situations complexes et de portée juridique (par exemple, les ordinateurs du service commercial ne peuvent pas interagir avec ceux des services bancaires).
Qui plus est, les VLAN peuvent faire l'objet d'une tunnellisation pour franchir les limites de la couche 3 (à savoir, franchir un routeur) pour permettre à des systèmes géographiquement dispersés de communiquer comme s'ils étaient installés physiquement sur un même réseau local (LAN).