Sanal yerel alan ağı (VLAN - Virtual Local Area Network), bir yerel alan ağı (LAN) üzerindeki ağ kullanıcılarının ve kaynakların mantıksal olarak gruplandırılması ve anahtarlayıcı (switch) üzerindeki bağlantı noktalarına (port) atanmasıyla oluşturulur. VLAN kullanılmasıyla her VLAN sadece kendisiyle ilgili yayınları (broadcast) alacağından, yayın trafiği azaltılarak bant genişliği artırılmış olur. VLAN tanımlamaları bulunulan yere, bölüme, kişilere, kullanılan uygulamaya ya da protokole göre yapılabilir. VLAN kullanımının avantajları 3 ana başlıkta toplanabilir:
- Kontrol ve performans: VLAN uygulanmamış anahtarlayıcılarda gelen yayın paketi uçtaki cihazların alıp almayacağına bakılmaksızın anahtarlayıcının bütün bağlantı noktalarına gönderilir. Bu da gereksiz paket gönderimine yol açacağından performans sorunlarına neden olur. Bir ağ VLAN'lar kullanılarak bölümlere ayrıldığı takdirde gereksiz yayın trafiği de engellenmiş olur.
- Güvenlik: VLAN'lar kullanılarak bir ağ üzerinde birbirleriyle ilgisi olmayan grupların birbirleriyle iletişim halinde olması engellenerek olası bir dış tehdite karşı önlem alınmış olunur. Anahtarlayıcı üzerindeki cihazlar VLAN'lara ayrıldığında bir kötü niyetli bir kullanıcının ağ üzerinde herhangi bir uca bağlanarak tüm ağı dinleme ve bilgiyi ele geçirme şansı olmayacaktır. Kullanıcı sadece bağlanacağı VLAN üzerinde işlem yapabilecektir.
- Ölçeklenebilirlik: VLAN'lar yaratılarak oluşturulmuş bir ağ üzerinde aslında yayın grupları oluşturulmuştur. Anahtarlayıcı üzerinde fiziksel konumu neresi olursa olsun bir kullanıcıyı istenilen VLAN'a atama esnekliğine sahip olunur. Aynı şekilde zaman içerisinde büyüyen bir VLAN yeni oluşturulan VLAN'lara aktarılabilir. Bu işlem anahtarlayıcı üzerinde yapılacak yeni bir bağlantı noktası tanımıyla mümkün olmaktadır. Aynı işlem VLAN desteğini kullanmadan yapılmaya kalkıldığında, yeni oluşturulacak alt ağ (network) için bağlantı merkezi yönlendiriciye (router) kadar fiziksel olarak sağlanmalıdır.
Belli başlı VLAN türleri şunlardır:
- Veri VLAN'ı ( Data VLAN )
Veri VLAN'ı özelleşmemiş standart trafiği taşımak üzere yapılandırılmış VLAN'dır. Kullanıcı kaynaklı İnternet trafiği buna örnek olarak gösterilebilir. Ayrıca bir VLAN aynı anda ses ya da video temelli trafik de taşıyabilir. Veri VLAN'ının bir diğer adı da Kullanıcı VLAN'ıdır (User VLAN). - Varsayılan VLAN ( Default VLAN )
Anahtarlayıcıdaki bütün bağlantı noktaları anahtarlayıcı başlatıldığında otomatik olarak Varsayılan VLAN'a dahil olur. Anahtarlayıcının bütün bağlantı noktalarının Varsayılan VLAN'a bağlı olması bu bağlantı noktalarını aynı yayın etki alanına (broadcast domain) dahil eder. Bu durum anahtarlayıcıya bağlanan bütün cihazların birbirleriyle iletişim kurmasına olanak sağlar. Cisco cihazlar için Varsayılan VLAN “VLAN 1” dir. VLAN 1 yeniden adlandırılamaması ve silinememesi dışında diğer VLAN'larla aynı özelliklere sahiptir. - Yerel VLAN ( Native VLAN)
Yerel VLAN "Trunk" bağlantı noktasına atanmış VLAN'dır. Bir "Trunk" bağlantı noktası herhangi bir VLAN etiketi olmayan trafiği (untagged traffic) olduğu gibi, çok sayıda VLAN tarafından oluşturulan trafiği de (tagged traffic) destekler. "Trunk" bağlantı noktası herhangi bir VLAN'dan gelmeyen trafiği Yerel VLAN'a yönlendirir. Bir cihaz tarafından oluşturulan ve herhangi bir VLAN'dan gelmeyen trafik anahtarlayıcının Yerel VLAN olarak yapılandırılmış olan vlan üzerinden iletilir.
- Yönetim VLAN'ı ( Management VLAN )
Yönetim VLAN'ı anahtarlayıcıyı yönetmek üzere yapılandırılmış herhangi bir VLAN olabilir. Eğer Yönetim VLAN'ı olarak özel bir VLAN yapılandırılmamışsa "VLAN 1" Yönetim VLAN'ı olarak hizmet verir. Yönetim VLAN'ına bir IP adresi ve alt ağ maskesi (subnet mask) atandığında bu anahtarlayıcıya HTTP, Telnet, SSH ya da SNMP gibi yollarla bağlanılabilir. Cisco cihazlarda "VLAN 1" Varsayılan VLAN olduğundan, Yönetim VLAN'ı ile Varsayılan VLAN'ı ayırmak güvenlik açısından tercih edilir.
- Ses VLAN'ı ( Voice VLAN )
Ses VLAN'ı, üzerinden sadece ses trafiğinin geçirilmesi yönünde yapılandırılan VLAN'dır. Ses iletimi kişiler ve kurumlar için hayati bir öneme sahip olduğundan Ses VLAN'ı sıklıkla kullanılmaktadır. Ses VLAN'ında ses iletimi için IP telefonu kullanılır. Anahtarlayıcı üzerindeki bir bağlantı noktasında Ses VLAN'ı yapılandırabilmek için öncelikle ses ve veri için iki ayrı VLAN yapılandırılması gerekir. Bir IP telefon anahtarlayıcının ilgili bağlantı noktasına ilk defa bağlandığında anahtarlayıcının bağlantı noktası IP telefona daha önceden yapılandırılmış VLAN'ın adını ve konfigürasyonu yollar. IP telefon bu bilgileri aldıktan sonra ses "frame"lerini etiketleyerek tüm ses trafiğini Ses VLAN'ı üzerinden gönderir.