[6]Una soluzione è la segmentazione della rete, con la sua suddivisione in sottoreti. Un criterio, ormai poco proponibile, è la suddivisione in sottoreti IP fisicamente distinte in zone. L’area amministrazione una sottorete, l’area di produzione una differente sottorete e così via. Questa ripartizione si presta anche a considerazione di sicurezza.

Gli ultimi sviluppi rendono questo frazionamento inefficiente. Le nuove applicazioni, specie quelle multimediali, come telefonia, videosorveglianza o teleconferenza hanno una estensione che interessa tutti i ruoli e i luoghi aziendali rendendo inefficiente e improponibile una suddivisione per area. Queste applicazioni, inoltre, richiedono 'garanzie' in termini di prestazioni e generano un discreto traffico non facilmente gestibile come broadcasting e multicasting.

La diffusione 'orizzontale' di queste applicazioni, richiede che le sottoreti, per essere efficienti, siano accessibili in ogni parte dell’azienda ed eventualmente anche all’esterno della stessa  nelle sue filiali remote.

Attraverso le VLAN (Virtual Local Area Network), uno switch può mettere a disposizione più sottoreti logiche isolate ed indipendenti. Attraverso una ‘etichetta’, il TAG, associata ad ogni pacchetto ethernet, lo switch identifica la VLAN di appartenenza del pacchetto consentendone l’inoltro verso le porte designate per la VLAN. Lo standard che regola tale meccanismo è l'802.1Q [8].

I dispositivi che implementano le VLAN possono gestire correttamente il TAG e i relativi meccanismi, mentre i dispositivi che non supportando le VLAN devono essere abbinati a porte dello switch che provvedono ad aggiungere o rimuovere gli opportuni TAG.

[9]In questo modo diverse sottoreti (VLAN) possono essere distribuite sulle porte di un unico switch consentendo di separare il traffico in base alla tipologia, ad esempio separare il traffico dati, dalla telefonia. Si può anche destinare una sottorete per fornire l’accesso ad internet per gli ospiti.

La suddivisione consente di separare in più domini di collisione l’infrastruttura di rete aziendale, migliorando l’efficienza e porre le basi per implementare una migliore politica di sicurezza, isolando, come nell’esempio, traffico destinato a diverse aree aziendali o ad utenti non aziendali.

Nella struttura proposta le varie VLAN non sono in grado di scambiare traffico. Se ad esempio l’accesso ad internet è inglobato nella VLAN dati (A), la VLAN ospiti (B) non potrà accedere ad internet, cosa non sempre desiderata.

Le VLAN, per interagire fra di loro, necessitano di un meccanismo di routing. Le VLAN, tipicamente, individuano sottoreti IP differenti. Il routing implementa le regole di interconnessione fra le varie VLAN e i meccanismi di sicurezza. Ad esempio si può consentire al traffico ospiti di accedere ad internet ma non ai server aziendali.

Due sono le principali soluzioni di routing: la prima tradizionale, che vede un router dedicato (magari in grado di supportare le VLAN). La seconda vede l’impiego di una switch layer 3. Di fatto uno switch un grado di indirizzare correttamente il traffico IP.

[11]Un router tradizionale, in genere è in gradodi gestire porte eterogenee, ad esempio ethernet, ADSL, ATM o altro, e il relativo traffico, anche il software e l’hardware del router sono ottimizzati per la conseguente gestione. Le VLAN sono implementate su ethernet ed ottimizzate per il traffico ethernet, mentre un router classico è ottimizzato a smistare non solo traffico ethernet. Per il traffico interno all'azienda è bene preferire uno switch layer 3.
Un router che supporta le VLAN, consentendo porte di tipo trunk (il supporto per il protocollo 802.1Q), può anche consentire l'estensione della VLAN a sedi remote.

[13]Uno switch layer 3 è dotato di sole porte ethernet ed ottimizzato per gestire il solo traffico ethernet, ne consegue che nel coordinare i pacchetti è molto efficiente ed efficace,  pur dovendo gestire IP, routing, access list ed altro. Generalmente molte operazioni sono svolte non dalla CPU dell’apparato, ma direttamente da chip ASIC (Aplication Specific Integrated Circuit) che controllano le porte permettendo velocità di gestione pacchetti molto elevate.

La capacità di manipolare grosse quantità di pacchetti al secondo (ha meno senso parlare di bit/S, quello che più importa è la gestione del pacchetto e non del singolo bit) è fondamentale per garantire buone le prestazioni delle reti attuali, che sono interessate da molto traffico e di diversa tipologia

Il dominio di collisione è quell’area di rete interessata da traffico di broadcasting (l’unico traffico che in uno switch  interessa, contemporaneamente, tutti i dispositivi connessi alla rete).

Il boadcasting genera collisioni e obbliga tutti i dispositivi di rete ad attività di gestione del pacchetto.

Suddividere le aree interessate al broadcasting migliora sensibilmente l’efficienza dell’intera rete ed è questo uno dei motivi tecnici della validità delle VLAN.

Separare le tipologie di traffico, pone le basi per una maggiore sicurezza: il routing può filtrare per decidere chi accede a cosa.

L’amministrazione della rete viene in parte semplificata, consentendo ad uno switch di gestire più sottoreti riducendo quindi il numero di dispositivi dedicati al networking.

Quindi:

• isolamento di traffico
• migliori prestazioni
• presupposti per la sicurezza della rete
• più facile amministrazione