Nello scenario delle moderne infrastrutture di rete, il concetto di segmentazione fisica è stato ampiamente superato grazie all'introduzione delle VLAN (Virtual Local Area Network). Una VLAN è una rete locale realizzata logicamente attraverso lo standard 802.1Q, che definisce le specifiche per permettere la coesistenza di più reti distinte condividendo la medesima infrastruttura fisica. In termini operativi, l'uso delle VLAN consente di suddividere un singolo switch fisico in più switch virtuali completamente isolati tra loro.
Lo scopo principale delle VLAN è l'organizzazione e l'isolamento di gruppi di dispositivi, indipendentemente dalla loro connessione fisica al medesimo hardware. Questa tecnologia offre diversi vantaggi strategici:
Il traffico all'interno di uno switch viene gestito configurando le porte secondo due modalità fondamentali, necessarie per mantenere la separazione logica dei dati.
La Modalità Access è destinata al collegamento dei dispositivi terminali, come PC, stampanti o server. Una porta impostata in modalità access appartiene a una sola VLAN specifica. Ad esempio, configurando una porta in modalità access e assegnandola alla VLAN 200 (es. "Docenti"), qualsiasi dispositivo collegato a essa entrerà a far parte di quel dominio isolato, rimanendo separato da altri reparti (come la VLAN 100 "Studenti") senza richiedere configurazioni aggiuntive lato host.
La Modalità Trunk, invece, è essenziale per l'interconnessione tra dispositivi di rete, come tra due switch o tra uno switch e un router. Una porta trunk è caratterizzata dalla capacità di trasportare il traffico di più VLAN simultaneamente sullo stesso cavo fisico. Questo avviene attraverso un sistema di "etichettatura" (tagging) dei frame, che permette di mantenere l'identità e la separazione dei dati appartenenti a VLAN diverse durante il transito tra i nodi dell'infrastruttura.
Le VLAN operano principalmente al livello Data Link (Livello 2) dello stack ISO/OSI. La loro funzione cruciale è la creazione di domini di broadcast separati: operando a livello di frame Ethernet e indirizzi MAC, lo switch assicura che un messaggio di broadcast generato in una VLAN non venga propagato alle altre. In questo modo, il dominio di broadcast, originariamente definito dall'insieme dei computer che ricevono un messaggio trasmesso da uno di essi, viene limitato logicamente alla singola VLAN, riducendo il traffico complessivo e aumentando la sicurezza della rete.
Per permettere alle porte in modalità trunk di trasportare il traffico di più reti virtuali simultaneamente, è necessario un meccanismo di identificazione. Lo standard più diffuso è l'IEEE 802.1Q, il quale agisce inserendo un'etichetta (tag) di 4 byte nell'intestazione del frame Ethernet. Questo identificativo permette allo switch ricevente di riconoscere in modo univoco l'appartenenza del frame (ad esempio "VLAN 10") e di smistare il traffico correttamente verso la destinazione logica, mantenendo la separazione dei dati anche su un unico cavo fisico.
Le VLAN garantiscono l'isolamento del traffico, ma non la sua crittografia. Questo significa che un dispositivo sulla VLAN 100 non può intercettare i dati della VLAN 200, garantendo una segmentazione robusta; tuttavia, all'interno della medesima VLAN, la comunicazione avviene in chiaro e può essere vulnerabile a intercettazioni interne. Questa tecnologia di segmentazione opera direttamente sopra lo standard IEEE 802.3, ovvero il protocollo Ethernet. Lo standard 802.3 è la base delle reti cablate e definisce sia il livello fisico (cablaggio e segnali) sia il livello di collegamento (indirizzamento MAC e gestione dell'accesso al mezzo), evolvendosi nel tempo per supportare velocità da 10 Mbps fino a centinaia di Gbps.
Poiché le VLAN creano domini di broadcast isolati, la comunicazione tra di esse non è automatica e richiede un processo di instradamento chiamato Inter-VLAN Routing. Esistono tre tecniche principali per implementarlo: