Una rete Ethernet rappresenta al proprio interno un singolo dominio di collisione, cioè qualsiasi pacchetto trasmesso viene ricevuto da tutti e chiunque trasmetta in contemporanea a un altro genera una collisione che viene propagata a tutti i nodi del segmento. L'uso di ripetitori (hub) consente di ampliare le dimensioni fisiche della rete, aggiungendo altri segmenti che tuttavia rimangono un singolo dominio di collisione e perciò arrivano rapidamente a saturare la propria capacità trasmissiva.

L'inserimento di un bridge o di uno switch tra due segmenti permette di creare diversi domini di collisione, riducendo il traffico spurio e aumentando l'efficienza dell'impianto nel suo complesso. Un ulteriore aumento di efficienza è possibile suddividendo i domini di broadcasting. E questo ha efficacia su qualsiasi tipo di lan, poiché laddove le collisioni sono unicamente una prerogativa delle reti Ethernet, l'eccesso di broadcasting affligge allo stesso modo anche Token Ring, fddi e qualsiasi altra tecnologia. La costruzione di una vlan passa per l'assegnazione delle porte di uno switch. Ad esempio le porte 2, 4 e 6 potrebbero far parte della vlan numero uno e le porte 3, 4 e 8 appartenere alla vlan numero due. La porta 4, comune a entrambe, sarebbe magari quella di un server condiviso.

Il gruppo di lavoro può essere liberamente disperso all'interno dell'azienda, ma ciò nonostante conservare la propria identità. Inoltre i singoli membri manterranno l'affiliazione alla vlan indipendentemente dai propri spostamenti fisici, come quando la persona trasloca di ufficio oppure usa il portatile passando da una stanza all'altra.

Il primo elemento centrale è di nuovo lo switch, senza di esso il concetto di vlan non potrebbe nemmeno esistere. Il raggruppamento non avviene a livello fisico, poiché la struttura interna dello switch non viene modificata e non viene nemmeno cambiata la disposizione delle connessioni fisiche (il doppino) sulle sue porte.

Quel che cambia è il modo il cui le trame sono inoltrate sulla rete e il modo in cui queste sono filtrate così che non si propaghino all'esterno del gruppo di lavoro. Le due tecniche primarie in questo ambito sono il packet filtering (filtraggio dei pacchetti) e la packet identification (idendificazione del pacchetto). Nel primo caso si esamina ciascun pacchetto in arrivo per vedere se possiede le caratteristiche idonee per essere spedito su una data porta.

I parametri di filtro vengono definiti in una tabella all'interno dello switch e possono agire sia sull'indirizzo fisico contenuto nella trama (bloccando broadcast e multicast e qualsiasi pacchetto indirizzato a una macchina non elencata nel gruppo) sia sul contenuto interno di questa, cioè riconoscendo un tipo di traffico da un altro (potrebbe esserci una vlan per la videoconferenza e una diversa vlan per l'accesso al server aziendale). Lo svantaggio del filtro è che rallenta le operazioni di switching. Infatti bisogna soffermarsi a esaminare la trama. La tecnica d'identificazione del pacchetto (detta anche packet tagging - etichettare il pacchetto) è invece relativamente nuova e consiste nell'aggiungere una speciale etichetta all'inizio della trama prima di farla proseguire all'interno del tessuto di commutazione che compone la vlan (switching fabric).

Qualsiasi switch che la riceve deve semplicemente leggerne l'identificatore e decidere come comportarsi. Prima che la trama esca dall'ultimo switch e venga consegnata al destinatario, l'etichetta viene rimossa così da ricostruire il formato originale. In questo caso la commutazione è rapida, ma possono esistere problemi nel collegare switch di produttori diversi poiché non tutti ancora aderiscono allo stesso standard per la costruzione dell'etichetta. Il primo documento ufficiale in materia è stato pubblicato nel 1992 e dall'IEEE con il numero 802.10 e definisce un'aggiunta alla trama che va posizionata tra la parte riservata all'indirizzo fisico (mac address) e la parte riservata ai dati.

Questa aggiunta si divide in due parti. La prima, chiamata Clear Header (intestazione trasmessa in chiaro), non viene mai cifrata e la seconda, chiamata Protected Header, può essere cifrata. Il Protected Header contiene semplicemente una replica dell'indirizzo fisico di chi ha trasmesso la trama. Viene cifrato per impedire a qualche altra stazione d'insinuarsi nella vlan e presentarsi come autrice del pacchetto. Il suo contenuto, una volta decifrato, deve essere identico all'indirizzo di provenienza indicato nella trama originale.

Non è obbligatorio e serve unicamente in quelle reti dove si vogliono impostare filtri di sicurezza rigorosi. Il Clear Header è invece indispensabile al rapido smistamento del pacchetto. Al suo interno troviamo tre campi. Il Security Association Identifier (said) contiene l'etichetta che definisce a quale vlan il pacchetto appartiene. Questa etichetta viene tecnicamente definita vlan ID (identità di lan virtuale) e costituisce la parte essenziale della trama 802.10. Leggendo semplicemente il contenuto di questo campo, lo switch riconosce immediatamente a quale vlan appartiene.

Il campo lsap (Link Service Access Point) indica semplicemente che si tratta di una trama 802.10, mentre il campo mdf (Management Data Field) contiene informazioni facoltative che possono sveltire l'elaborazione della trama. L'ultimo campo aggiunto in fondo (icv - Integrity Check Value) viene usato anch'esso a fini di sicurezza e serve a verificare che i dati interni non siano stati modificati da qualche agente esterno. Anche questo è facoltativo. La trama 802.10 non nasceva, in origine, per servire le vlan, bensì per garantire sicurezza in ambiente lan/man. Cisco ne ha fatto il proprio cavallo di battaglia, ma altri fornitori importanti si sono dimostrati tiepidi a riguardo.

Perciò all'inizio del 1996, su invito di 3Com, Bay Networks, Cabletron, Fore, IBM e della stessa Cisco, l'ieee ha avviato un nuovo processo di standardizzazione con il numero 802.1Q. La bozza di queste nuove specifiche è stata pubblicata nel luglio del 1996 e non ha ancora completato il proprio iter di approvazione. Il titolo del documento è "Virtual Bridged Local Area Networks" e definisce due nuovi metodi di tagging (identificazione). Nel primo metodo, chiamato tagging monostrato, si aggiunge all'intestazione della trama di base un'ulteriore intestazione da 4 byte che indica a quale vlan il pacchetto appartiene.

Ricalcando in sostanza il modello già adottato con l'802.10. Nel secondo metodo, chiamato tagging a due strati, l'intera trama originale viene incapsulata all'interno di una nuova trama che contiene come indirizzo di provenienza quello dello switch di partenza e come indirizzo di destinazione quello dello switch a cui è collegata la stazione che deve ricevere il pacchetto. In questo modo si riducono le dimensioni delle tabelle d'indirizzamento all'interno degli switch, il che significa ridurre la memoria e la capacità di elaborazione di cui ciascuno switch deve disporre.

Inoltre, poiché questa informazione d'incapsulamento viene aggiunta all'inizio del pacchetto (e non dopo l'intestazione della trama originale) risulta immediatamente disponibile allo switch che perciò esegue lo smistamento con maggiore rapidità. Non è ancora chiaro, quando l'802.1Q diventerà effettivamente uno standard di fatto. Con molta probabilità ciascun produttore continuerà ad offrire versioni proprietarie di vlan, con la prerogativa di dialogare con altre vlan mediante le procedure definite nell'802.1Q. L'obiettivo di ciascuno è naturalmente quello di favorire la diffusione dei propri switch quale asse portante dell'infrastruttura di commutazione all'interno dell'azienda.

Qualunque sia la tecnologia impiegata, in ogni caso, la vlan offre il beneficio di costruire una separazione arbitraria tra diversi nodi senza alterare la natura di questi ultimi o delle applicazioni che vi funzionano sopra. Tutto avviene all'interno degli switch che compongono l'ossatura della rete (il tessuto di commutazione o switching fabric). Esistono almeno quattro modalità per costruirla, ma per esplorarle tutte dovremo prima conoscere alcuni aspetti di livello superiore che saranno il soggetto della quarta e ultima parte di questa miniserie.