VLAN Basics

 Introduction

  The IEEE's 802.1Q standard was developed to address the problem of how to break large networks into smaller parts so 
broadcast and multicast traffic wouldn't grab more bandwidth than necessary. The standard also helps provide a higher level 
of security between segments of internal networks.

  A VLAN is an administratively configured LAN or broadcast domain. Instead of going to the wiring closet to move a cable 
to a different LAN, network administrators can accomplish this task remotely by configuring a port on an 802.1Q­compliant 
switch to belong to a different VLAN. The ability to move endstations to different broadcast domains by setting membership 
profiles for each port on centrally managed switches is one of the main advantages of 802.1Q VLANs.

  It acts like an ordinary LAN, but connected devices don't have to be physically connected to the same segment. While 
clients and servers may be located anywhere on a network, they are grouped together by VLAN technology, and broadcasts 
are sent to devices within the VLAN. 

 Description

  The switch acts as an intelligent traffic forwarder and a simple network security device. Frames get sent only to the ports 
where the destination device is attached. Broadcast and multicast frames are constrained by VLAN boundaries so only 
stations whose ports are members of the same VLAN see those frames. This way, bandwidth is optimized and network 
security is enhanced.

  802.1Q VLANs aren't limited to one switch. VLANs can span many switches, even across WAN links. Sharing VLANs 
between switches is achieved by inserting a tag with a VLAN identifier (VID) between one and 4,094 into each frame. A 
VID must be assigned for each VLAN. By assigning the same VID to VLANs on many switches, one or more VLAN 
(broadcast domain) can be extended across a large network.

  The secret to performing this magic is in the tags. 802.1Q­compliant switch ports can be configured to transmit tagged or 
untagged frames. A tag field containing VLAN (and/or 802.1p priority) information can be inserted into an Ethernet frame. 
If a port has an 802.1Q­compliant device attached (such as another switch), these tagged frames can carry VLAN 
membership information between switches, thus letting a VLAN span multiple switches.

  There is one important caveat: Network administrators must ensure ports with non­802.1Q­compliant devices attached are 
configured to transmit untagged frames. Many network interface cards for PCs and printers are not 802.1Q­compliant. If 
they receive a tagged frame, they will not understand the VLAN tag and will drop the frame. Also, the maximum legal 
Ethernet frame size for tagged frames was increased in 802.1Q (and its companion, 802.3ac) from 1,518 to 1,522 bytes. This 
could cause network interface cards and older switches to drop tagged frames as "oversized."

In the case of a network with an ATM WAN, Ethernet switches with ATM uplinks can have a VLAN­to­emulated­LAN 
(ELAN) mapping feature that matches 802.1Q VIDs to ATM ELAN names. This lets the benefits of VLAN bandwidth 
optimization and security be extended between campus buildings or even between remote sites.

 Trunking

  In the context of VLANs, the term "trunk" denotes a network link carrying multiple VLANs, which are identified by labels 
(or "tags") inserted into their packets. Such trunks must run between "tagged ports" of VLAN­aware devices, so they are 
often switch­to­switch or switch­to­router links rather than links to hosts. (Confusingly, the term 'trunk' is also used for what 
Cisco calls "channels" : Link Aggregation or Port Trunking). A router (Layer 3 switch) serves as the backbone for network 
traffic going across different VLANs.

 Hybrid Link

  Note that a Bridge can transmit a mix of VLAN­tagged frames and untagged frames but they must be for different VLANs. 
In Figure D­2 all the frames for VLANs A and B are tagged on the hybrid link. All frames for VLAN C on the hybrid link 
are untagged.

 Assigning VLAN Memberships

  The four methods of assigning VLAN memberships that are in use are:

    * Port­based: A switch port is manually configured to be a member of a VLAN. In order to place port to several VLANs 
(for example, a link with VLANs spanning over several switches) the port has to be member of trunk. Only one VLAN on a 
port can be set untagged; the switch will add this VLAN's tags to untagged received frames and remove this VLAN's tag 
from transmitted frames.
    * MAC­based: VLAN membership is based on the MAC address of the workstation. The switch has a table listing the 
MAC address of each machine, along with the VLAN to which it belongs.
    * Protocol­based: Layer 3 data within the frame is used to determine VLAN membership. For example, IP machines can 
be classified as the first VLAN, and AppleTalk machines as the second. The major disadvantage of this method is that it 
violates the independence of the layers, so an upgrade from IPv4 to IPv6, for example, will cause the switch to fail.
    * Authentication based: Devices can be automatically placed into VLANs based on the authentication credentials of a 
user or device using the 802.1x protocol.
 Untagged and Tagged VLANs

  When setting up VLANs you need to understand when to use untagged and tagged VLANs. Quite simply, if a port is in a 
single VLAN it can be untagged but if the port needs to be a member of multiple VLANs it must be tagged.

  The IEEE 802.1Q standard defines how VLANs operate within an open packet­switched network. An 802.1Q compliant 
packet carries additional information that allows a switch to determine to which VLAN the port belongs. If a frame is 
carrying the additional data, it is known as tagged.

  To carry multiple VLANs across a single physical (backbone) link, each packet must be tagged with a VLAN identifier so 
that the switches can identify which packets belong in which VLANs. Routers interconnect VLANs, so they must also 
understand 802.1Q tagging, so that they do not become bottlenecks for inter­VLAN traffic.

Simple Example: Using Untagged Connections

  The example illustrates a single Switch 1100 connected to endstations and servers using untagged connections. Ports 1, 3 
and 13 of the Switch belong to VLAN 1, ports 10, 12 and 24 belong to VLAN 2. VLANs 1 and 2 are completely separate 
and cannot communicate with each other.

Simple Example: Untagged Connections with Hubs

  The example bellow illustrates a Dual Speed Hub 500 and a Switch 3300 connected using 
untagged connections. The Switch 3300 has a SuperStack Switch Layer 3 Module installed, 
which allows it to provide Layer 3 switching which means that traffic can be passed between 
VLAN 1 and VLAN 2. On the Switch 3300, ports 1 and 14 belong to VLAN 1, and ports 2, 
6 and 24 belong to VLAN 2. VLANs 1 and 2 can communicate using the Layer 3 Module.

Simple Example: 802.1Q Tagged Connections

  The example bellow illustrates two Switch 1100 units. Each switch has endstations in both 
VLAN 1 and VLAN 2 and each switch has a server for a VLAN. All endstations in VLAN 1 
need to be able to connect to the server attached to Switch 1 and all endstations in VLAN 2 
need to connect to the server attached to Switch 2.
Acronyms / Definitions

    * Port Based VLAN ­ Define VLAN based on port number of the switch. Port based VLAN is easy to configure but 
often limited to one single switch.
    * 802.1Q Tag VLAN ­ In 802.1Q VLAN, the VLAN information is written into the Ethernet packet itself. Each packet 
carries a VLAN ID (called Tag) as it traveled across the network. Therefore, the VLAN configuration can be configured 
across multiple switches.
    * VID (VLAN ID) ­ VID defines the member ports of a group. A packet can only travel inside a member port when the 
member port is part of the VID group. Take for example, when a packet's VLAN ID is 100, it can travel to Port 3 only if the 
port 3 is a member port of VLAN 100.
    * Tagged vs. Untagged ­ An Ethernet packet that has VLAN ID information already written is called Tag packet. 
Conversely, an Ethernet packet that has no VLAN ID is called untagged packet. All packets begin as an untagged packet 
unless being written by an adapter or switch.
    * PVID (Port VID) ­ For an Ethernet packet to have a VLAN ID, the Tag must be written by an Ethernet adapter or 
Switch. A switch's function to write a VLAN ID into a packet is called PVID (Port VID). When a port VID is defined, a 
packet without VLAN ID (called Untagged packet) enter the port, the switch will write VLAN ID (VID) into the packet 
according to the PVID definition.
    * Ingress Filtering ­ Ingress Filtering is the controlling rule for Untagged packet when entering the switch's port. For 
example, the filtering rule can be defined to dropped untagged packet or to forced writing PVID to Tagged packet. Ingress 
filtering is important to prevent the VLAN security being tempered by users.

Standards

Standard Date Description

802.1Q 1998, 2003 Virtual LANs
802.1s merged into 802.1Q ­ 2003  Multiple Spanning Trees
802.1v merged into 802.1Q ­ 2003  VLAN Classification by Protocol and Port