Віртуальні локальні мережі (VLAN) - це абстракція, яка дозволяє одній фізичній мережі імітувати функціональність декількох паралельних фізичних мереж. Це зручно, оскільки можуть виникнути ситуації, коли вам потрібна функціональність декількох паралельних фізичних мереж, але ви краще не витрачаєте гроші на придбання паралельного обладнання. Я буду говорити про Ethernet VLAN у цій відповіді (навіть незважаючи на те, що інші мережеві технології можуть підтримувати VLAN), і я не буду заглиблюватися в кожен нюанс.
Надуманий приклад і проблема
Як чисто надуманий приклад сценарію, уявіть, що у вас є офісна будівля, яку ви здаєте в оренду орендарям. Як вигода від оренди, кожен орендар отримає живі Ethernet-гнізда у кожній кімнаті офісу. Ви купуєте перемикач Ethernet для кожного поверху, підключаєте їх до гнізда в кожному офісі на цьому поверсі і з'єднуєте всі комутатори разом.
Спочатку ви орендуєте місце для двох орендарів - одного на поверсі 1 та другого на 2. Кожен з цих орендарів налаштовує свої комп’ютери без статичних IPv4-адрес. Обидва орендарі використовують різні підмережі TCP / IP, і, здається, все працює чудово.
Пізніше новий орендар орендує половину поверху 3 та відкриває один із цих новомодних серверів DHCP. Минає час, і орендар 1-го поверху також вирішує стрибати на прокладці DHCP. Це момент, коли все починає піти не так. Орендарі 3 поверху повідомляють, що деякі з їхніх комп'ютерів отримують "смішні" IP-адреси з машини, яка не є їх DHCP-сервером. Незабаром орендарі 1 поверху повідомляють про те саме.
DHCP - це протокол, який використовує можливість широкомовної передачі Ethernet, щоб клієнтські комп'ютери могли динамічно отримувати IP-адреси. Оскільки орендарі діляться однією і тією ж фізичною мережею Ethernet, вони поділяють один і той же домен широкомовної передачі. Пакет широкомовної передачі, надісланий з будь-якого комп'ютера в мережі, перекриє всі порти комутатора на будь-який інший комп'ютер. Сервери DHCP на 1 та 3 поверхах отримуватимуть усі запити на оренду IP-адреси та, фактично, на дуелі, щоб побачити, хто може відповісти першим. Очевидно, це не та поведінка, яку ви маєте намір пережити своїх орендарів. Це, однак, поведінка "плоскої" Ethernet мережі без будь-яких VLAN.
Що ще гірше, орендар на другому поверсі отримує це програмне забезпечення "Wireshark" і повідомляє, що час від часу вони бачать, що трафік виходить зі свого комутатора, на який посилаються комп'ютери та IP-адреси, про які вони ніколи не чули. Один із їх співробітників навіть зрозумів, що він може спілкуватися з цими іншими комп’ютерами, змінивши IP-адресу, призначену його ПК, з 192.168.1.38 на 192.168.0.38! Імовірно, він знаходиться всього в декількох кроках від здійснення "несанкціонованих послуг адміністрування системи pro-bono" для одного з інших орендарів. Не добре.
Потенційні рішення
Вам потрібне рішення! Ви можете просто потягнути пробки між поверхами, і це відріже все небажане спілкування! Ага! Ось квиток ...
Це може спрацювати, за винятком того, що у вас є новий орендар, який здаватиме в оренду половину підвалу та незайняту половину поверху 3. Якщо між комутатором 3 поверху та комутатором підвалу немає зв’язку, новий орендар не буде здатні налагодити зв’язок між своїми комп’ютерами, які будуть розкинуті по обидва поверхи. Витягнення штепсельних вилок не є відповіддю. Що ще гірше, новий мешканець ще чого ще один з цих серверів DHCP!
Ви заграєте з ідеєю придбати фізично окремі набори комутаторів Ethernet для кожного орендаря, але бачите, як ваша будівля має 30 поверхів, будь-який з яких можна розділити до 4-х способів, потенційні щури гніздяться від кабелів від підлоги до підлоги між величезна кількість паралельних комутаторів Ethernet може бути кошмаром, не кажучи вже про дороге. Якби тільки існував спосіб змусити одну фізичну мережу Ethernet діяти так, як це було декілька фізичних мереж Ethernet, кожна з яких має власний домен широкомовної передачі.
VLAN до Rescue
VLAN - це відповідь на цю безладну проблему. VLAN дозволяють розділити комутатор Ethernet на логічно розрізнені віртуальні комутатори Ethernet. Це дозволяє одному перемикачу Ethernet діяти так, ніби це кілька фізичних перемикачів Ethernet. Наприклад, у випадку підрозділеного поверху 3, наприклад, ви можете налаштувати свій 48-портовий комутатор таким чином, щоб нижні 24 порти знаходились у заданій VLAN (яку ми будемо називати VLAN 12), а вищі 24 порти - у заданій VLAN ( яку ми будемо називати VLAN 13). Коли ви створюєте VLAN на своєму комутаторі, вам доведеться призначити їм певний тип імені або номера VLAN. Я використовую тут номери, як правило, довільні, тому не турбуйтеся про те, які конкретні числа я вибираю.
Розділивши перемикач 3 поверху на VLAN 12 та 13, ви виявите, що новий орендар 3-го поверху може підключити свій DHCP-сервер до одного з портів, призначених VLAN 13, а ПК підключений до порту, призначеного VLAN 12, не ' t отримати IP-адресу з нового сервера DHCP. Відмінно! Проблема вирішена!
О, зачекайте ... як ми повернемо ці дані VLAN 13 до підвалу?
VLAN-зв’язок між комутаторами
Ваш орендар напівповерху 3 та напівпідвального приміщення хотів би підключити комп’ютери в підвалі до їх серверів на поверсі 3. Ви можете провести кабель безпосередньо з одного з портів, призначених для їх VLAN, на поверсі 3, переключившись на підвал та життя було б добре, правда?
У перші дні VLAN (стандарт до 802.1Q) ви можете зробити саме це. Фактично, весь комутаційний підвал був би частиною VLAN 13 (VLAN, яку ви вирішили призначити новому орендареві на 3 поверсі та підвалі), оскільки цей комутатор підвалу буде "живити" портом на 3 поверсі, який призначений до VLAN 13.
Це рішення працюватиме до тих пір, поки ви не здасте в оренду другу свою половину підвалу 1 орендареві, який також бажає мати зв'язок між комп'ютерами першого поверху та підвальним приміщенням. Ви можете розділити комутатор підвалу за допомогою VLAN (скажімо, VLANS 2 і 13) і провести кабель від поверху 1 до порту, призначеного VLAN 2 у підвалі, але ви краще вважаєте, що це може швидко стати гніздом щура кабелів (і тільки погіршиться). Розщеплення комутаторів за допомогою VLAN добре, але необхідність провести декілька кабелів від інших комутаторів до портів, які є членами різних VLAN, здається безладним. Безперечно, якщо вам довелося розділити перемикач підвалу на 4 способи між орендарями, які також мали місце на більш високих поверхах, ви використовували б 4 порти на підвальному комутаторі просто для того, щоб припинити "живильні" кабелі від локальних мереж VLAN.
Тепер має бути зрозуміло, що потрібен певний тип узагальненого способу переміщення трафіку з декількох VLAN між комутаторами на одному кабелі. Просто додавання більше кабелів між комутаторами для підтримки з'єднань між різними VLAN-мережами не є масштабною стратегією. Врешті-решт, з достатньою кількістю VLAN, ви з'їсте всі порти ваших комутаторів за допомогою цих з'єднань між VLAN / між комутаторами. Необхідний спосіб перенести пакети з декількох VLAN по одному з'єднанню - це "магістральне" з'єднання між комутаторами.
До цього часу всі порти комутаторів, про які ми говорили, називаються портами "доступу". Тобто ці порти призначені для доступу до однієї VLAN. Пристрої, підключені до цих портів, самі по собі не мають спеціальної конфігурації. Ці пристрої не "знають" про наявність VLAN. Рамки, які клієнтські пристрої надсилають, доставляються до комутатора, який потім переймається тим, що кадр надсилається лише до портів, призначених як члени VLAN, призначені порту, де кадр увійшов до комутатора. Якщо кадр входить до комутатора на порту, призначеному членом VLAN 12, то комутатор буде відправляти цей кадр лише з портів, які є членами VLAN 12. Комутатор "знає" номер VLAN, призначений порту, з якого він отримує фрейм і якимось чином знає лише доставити цей кадр з портів тієї ж VLAN.
Якщо для комутатора існував якийсь спосіб поділити номер VLAN, пов'язаний із заданим кадром, на інші комутатори, то інший комутатор міг би правильно обробляти доставку цього кадру лише у відповідні порти призначення. Це те, що робить протокол тегів 802.1Q VLAN. (Варто відзначити, що до початку 802.1Q деякі постачальники складали свої власні стандарти щодо маркування VLAN та транкінгування між комутаторами. Здебільшого ці стандартні методи були замінені 802.1Q.)
Якщо у вас є два комутатори, відомі VLAN, підключені один до одного, і ви хочете, щоб ці комутатори доставляли кадри між собою до належної VLAN, ви підключаєте ці комутатори за допомогою "магістральних" портів. Це передбачає зміну конфігурації порту на кожному перемиканні з режиму «доступу» в режим «магістраль» (у дуже базовій конфігурації).
Коли порт налаштований в режимі магістралі, кожен кадр, який комутатор надсилає, буде мати в кадрі "тег VLAN". Цей "тег VLAN" не був частиною оригінального кадру, який надіслав клієнт. Швидше за все, цей тег додається передавальним комутатором перед відправкою кадру з порту магістралі. Цей тег позначає номер VLAN, пов'язаний з портом, з якого походить кадр.
Перемикач прийому може подивитися на тег, щоб визначити, з якої VLAN походить кадр, і, виходячи з цієї інформації, пересилати кадр тільки на порти, призначені вихідній VLAN. Оскільки пристрої, підключені до портів "доступу", не знають, що використовуються VLAN, інформація "тег" повинна бути знята з кадру, перш ніж надсилається порт, налаштований у режимі доступу. Ця зачистка інформації про теги призводить до того, що весь процес транкінгу VLAN буде прихований від клієнтських пристроїв, оскільки кадр, який вони отримують, не буде містити жодної інформації тегів VLAN.
Перш ніж налаштувати VLAN в реальному житті, я рекомендую налаштувати порт для режиму магістралі на тестовому комутаторі та стежити за тим, як трафік надсилається на цей порт за допомогою sniffer (наприклад, Wireshark). Ви можете створити деякий зразок трафіку з іншого комп’ютера, підключеного до порту доступу, і побачити, що кадри, що залишають порт магістралі, насправді будуть більшими, ніж кадри, що надсилаються вашим тестовим комп'ютером. Інформацію про теги VLAN ви побачите в кадрах Wireshark. Я вважаю, що варто насправді побачити те, що відбувається в нюху. Читання стандарту тегування 802.1Q також є гідною справою на даний момент (тим більше, що я не говорю про такі речі, як "рідні VLAN" або подвійне позначення).
Кошмари та рішення для налаштування VLAN
Коли ви орендуєте все більше місця у вашому будинку, кількість VLAN зростає. Кожного разу, коли ви додаєте нову VLAN, ви виявляєте, що вам доведеться входити у все більше комутаторів Ethernet і додавати цю VLAN до списку. Чи не було б чудово, якби був якийсь метод, за допомогою якого ви могли б додати цю VLAN до маніфесту єдиної конфігурації і автоматично заповнити конфігурацію VLAN кожного перемикача?
Протоколи на зразок фірмового Cisco "VLAN Trunking Protocol" (VTP) або на основі стандартів "Кілька протоколів реєстрації VLAN" (MVRP - раніше написаний GVRP) виконують цю функцію. У мережі, що використовує ці протоколи, єдине створення VLAN створення або видалення призводить до того, що повідомлення протоколів надсилаються на всі комутатори в мережі. Це протокольне повідомлення повідомляє про зміну конфігурації VLAN решті комутаторів, які, у свою чергу, змінюють їх конфігурації VLAN. VTP і MVRP не стосуються того, які конкретні порти налаштовані як порти доступу для конкретних VLAN, а скоріше корисні для передачі повідомлень про створення або видалення VLAN для всіх комутаторів.
Коли вам буде комфортно з VLAN, ви, ймовірно, захочете повернутися назад і прочитати про "обрізку VLAN", яка пов'язана з такими протоколами, як VTP та MVRP. Наразі це надзвичайно хвилюється. (Стаття VTP у Вікіпедії має приємну схему, яка пояснює обрізку VLAN та користь від цього.)
Коли ви використовуєте VLAN в реальному житті?
Перш ніж піти набагато далі, важливо подумати про реальне життя, а не надумані приклади. Замість дублювання тексту іншої відповіді тут я посилаюсь на свою відповідь: коли створити VLAN . Це не обов'язково "початковий рівень", але варто поглянути на це зараз, оскільки я коротко звернусь до нього, перш ніж повернутися до надуманого прикладу.
Для натовпу "tl; dr" (який, напевно, все-таки перестали читати з цього моменту), суть цього посилання вище: Створіть VLAN, щоб зменшити домен мовлення або зменшити трафік з певної причини (безпека , політика тощо). Інших вагомих причин використовувати VLAN не існує насправді.
У нашому прикладі ми використовуємо VLAN для обмеження доменів трансляції (щоб протоколи, як DHCP, працювали правильно), і, по-друге, тому, що ми хочемо ізолювати між різними мережами орендарів.
Інше: IP підмережі та VLAN
Взагалі кажучи, для зручності ізоляції та того, як працює протокол ARP, як правило, існує взаємозв'язок між локальними мережами VLAN та IP-підмережами.
Як ми бачили на початку цієї відповіді, дві різні підмережі IP можуть без проблем використовуватись на одній фізичній Ethernet. Якщо ви використовуєте VLAN для зменшення доменів широкомовної передачі, вам не захочеться спільно використовувати одну і ту ж VLAN з двома різними IP-підмережами, оскільки ви будете поєднувати їхній ARP та інший трансляційний трафік.
Якщо ви використовуєте VLAN для поділу трафіку з міркувань безпеки чи політики, ви, ймовірно, не захочете комбінувати кілька підмереж в одній VLAN, оскільки ви переможете мета ізоляції.
IP використовує протокол на основі широкомовної інформації, протокол роздільної здатності адреси (ARP), для картографування IP-адрес на фізичні (Ethernet MAC) адреси. Оскільки ARP заснований на широкомовному мовленні, призначення різних частин однієї підмережі IP різним VLAN буде проблематичним, оскільки хости в одній VLAN не зможуть отримувати відповіді ARP від хостів в іншій VLAN, оскільки трансляції не передаються між VLAN. Ви можете вирішити цю "проблему", використовуючи proxy-ARP, але, в кінцевому підсумку, якщо у вас немає дійсно вагомих причин потрібно розділити IP-підмережу на кілька VLAN, краще цього не робити.
Останнє вбік: VLAN та безпека
Нарешті, варто зазначити, що VLAN - це не чудовий пристрій безпеки. У багатьох Ethernet комутаторах є помилки, які дозволяють кадрам, що походять з однієї VLAN, надсилати порти, призначені іншій VLAN. Виробники Ethernet комутаторів наполегливо працювали над виправленням цих помилок, але сумнівно, що коли-небудь буде повністю безкоштовна реалізація.
У випадку нашого надуманого прикладу працівник 2 поверху, який знаходиться в декількох хвилинах від надання безкоштовних «системних систем адміністрування» іншому орендареві, може бути зупинений від цього, виділивши його трафік у мережу VLAN. Він також може з'ясувати, як використовувати помилки в прошивці комутатора, щоб дозволити його трафіку "просочитися" і на VLAN іншого орендаря.
Провайдери Metro Ethernet все частіше покладаються на функціональність тегів VLAN та ізоляцію, яку надають комутатори. Це не справедливо сказати , що немає ні безпеки , пропонованої за допомогою мереж VLAN. Хоча справедливо сказати, що в ситуаціях з недовірливими підключеннями до Інтернету або мережами DMZ, ймовірно, краще використовувати фізично окремі комутатори для здійснення цього "чутливого" трафіку, а не VLAN на комутаторах, які також переносять ваш надійний "позаду брандмауера" трафік.
Введення рівня 3 в малюнок
Поки все, про що йдеться у цій відповіді, стосується шарів 2-- кадрів Ethernet. Що станеться, якщо ми почнемо вносити в це шар 3?
Повернемося до надуманого прикладу будівлі. Ви прийняли локальні мережі VLAN, які налаштували порти кожного орендаря як членів окремих VLAN. Ви налаштували магістральні порти таким чином, що комутатор кожного поверху може обмінюватися кадрами, позначеними вихідним номером VLAN, на комутатори на поверсі зверху та знизу. Один орендар може мати комп’ютери, розповсюджені на декількох поверхах, але, завдяки вашим вмілим налаштуванням VLAN, усі ці фізично розподілені комп'ютери можуть бути частиною однієї фізичної локальної мережі.
Ви настільки сповнені своїх ІТ-досягнень, що вирішили почати пропонувати підключення до Інтернету своїм орендарям. Ви купуєте жирну Інтернет-трубу та роутер. Ви передаєте цю ідею всім своїм орендарям, і двоє з них негайно купуються. На щастя для вашого маршрутизатора є три порти Ethernet. Ви підключаєте один порт до жирової мережі Інтернет, інший - до порту комутатора, призначеного для доступу до VLAN першого мешканця, а другий - до порту, призначеного для доступу до VLAN другого орендатора. Ви налаштовуєте порти свого маршрутизатора з IP-адресами в мережі кожного орендаря, і орендарі починають доступ до Інтернету через вашу послугу! Дохід збільшується, і ви щасливі.
Однак незабаром інший орендар вирішує потрапити на вашу Інтернет-пропозицію. Однак у вас немає портів на маршрутизаторі. Що робити?
На щастя, ви купили маршрутизатор, який підтримує налаштування "віртуальних підінтерфейсів" на своїх портах Ethernet. Коротше кажучи, ця функціональність дозволяє маршрутизатору приймати та інтерпретувати кадри, позначені похідними номерами VLAN, та мати віртуальний (тобто нефізичний) інтерфейс, налаштований з IP-адресами, відповідними для кожної VLAN, з якою він буде спілкуватися. По суті це дозволяє вам "мультиплексувати" один порт Ethernet на маршрутизаторі, таким чином, він, здається, функціонує як кілька фізичних портів Ethernet.
Ви приєднаєте свій маршрутизатор до магістрального порту на одному з комутаторів і налаштовуєте віртуальні підінтерфейси, що відповідають схемі IP-адреса кожного орендатора. Кожен віртуальний підінтерфейс налаштовується за номером VLAN, призначеним кожному Клієнту. Коли кадр залишає магістральний порт на комутаторі, прив’язаному до маршрутизатора, він буде нести тег із вихідним номером VLAN (оскільки це порт магістралі). Маршрутизатор буде інтерпретувати цей тег і буде обробляти пакет так, ніби він надходив на спеціальний фізичний інтерфейс, відповідний цій VLAN. Так само, коли маршрутизатор відправляє кадр комутатору у відповідь на запит, він додасть до кадру VLAN тег, щоб комутатор знав, до якого VLAN повинен бути доставлений кадр відповіді. Насправді ви налаштували маршрутизатор на "показ"
Маршрутизатори на паличках та комутаторах рівня 3
Використовуючи віртуальні підінтерфейси, ви змогли продати підключення до Інтернету всім своїм орендарям, не купуючи маршрутизатор, який має 25+ інтерфейсів Ethernet. Ви досить задоволені своїми досягненнями в галузі ІТ, тому ви позитивно реагуєте, коли двоє ваших орендарів приходять до вас з новим запитом.
Ці орендарі вибрали "партнера" в проекті і хочуть дозволити доступ з клієнтських комп'ютерів в одному офісі орендаря (одному дано VLAN) до серверного комп'ютера в офісі другого орендаря (іншого VLAN). Оскільки вони обидва Клієнта вашого Інтернет-сервісу, це досить проста зміна ACL у вашому базовому інтернет-маршрутизаторі (на якому є віртуальний підінтерфейс, налаштований для кожної з локальних мереж орендаря), щоб дозволити трафіку протікати між їх VLAN як а також до Інтернету зі своїх VLAN. Ви вносите зміни і відправляєте орендарів у дорогу.
Наступного дня ви отримуєте скарги від обох орендарів, що доступ між клієнтськими комп'ютерами в одному офісі до сервера в другому офісі відбувається дуже повільно. І сервер, і клієнтські комп'ютери мають гігабітні Ethernet-з'єднання до ваших комутаторів, але файли передаються лише зі швидкістю 45 Мбіт / с, що, навпаки, становить приблизно половину швидкості, з якою ваш основний маршрутизатор підключається до свого комутатора. Очевидно, що трафік, що протікає від вихідної VLAN до маршрутизатора і назад від маршрутизатора до цільової VLAN, обмежується підключенням маршрутизатора до комутатора.
Те, що ви зробили з вашим основним маршрутизатором, дозволяючи йому здійснювати маршрутизацію трафіку між VLAN, зазвичай називають "маршрутизатором на палиці" (напевно тупо примхливий евфемізм). Ця стратегія може працювати добре, але трафік може протікати лише між локальними мережами VLAN аж до ємності з'єднання маршрутизатора з комутатором. Якщо якимось чином маршрутизатор міг би поєднуватися з «кишками» самого перемикача Ethernet, він міг би маршрутизувати трафік ще швидше (оскільки сам комутатор Ethernet, відповідно до специфікацій виробника, здатний переключати більше 2 Гбіт / с трафіку).
"Перемикач рівня 3" - це перемикач Ethernet, який, логічно кажучи, містить маршрутизатор, закопаний всередині себе. Мені здається надзвичайно корисним думати про перемикач шару 3 як про крихітний і швидкий маршрутизатор, який ховається всередині комутатора. Далі я б порадив подумати про функціональність маршрутизації як про чітко окрему функцію від функції комутації Ethernet, яку надає перемикач рівня 3. Перемикач рівня 3 - це для всіх цілей і цілей два різних пристрою, згорнутих в одне шасі.
Вбудований маршрутизатор у перемикачі шару 3 підключений до внутрішньої тканини комутатора зі швидкістю, яка, як правило, дозволяє здійснювати маршрутизацію пакетів між VLAN на швидкості дроту або поблизу. Аналогічно віртуальним підінтерфейсам, які ви налаштували на "маршрутизаторі на палиці", цей вбудований маршрутизатор всередині перемикача рівня 3 може бути налаштований з віртуальними інтерфейсами, які "видаються" з'єднаннями "доступу" до кожної VLAN. Замість того, щоб їх називати віртуальними підінтерфейсами, ці логічні з'єднання від VLAN до вбудованого маршрутизатора всередині комутатора рівня 3 називаються віртуальними інтерфейсами Switch (SVI). Насправді вбудований маршрутизатор всередині комутатора шару 3 містить деяку кількість "віртуальних портів", які можна "підключити" до будь-якої з VLAN в комутаторі.
Вбудований маршрутизатор виконує так само, як і фізичний маршрутизатор, за винятком того, що він, як правило, не має всіх однакових динамічних протоколів маршрутизації або списку контролю доступу (ACL), як фізичний маршрутизатор (якщо ви не придбали дійсно гарний рівень 3 перемикач). Однак вбудований маршрутизатор має перевагу в тому, що він дуже швидкий і не має вузького місця, пов’язаного з фізичним портом комутатора, до якого він підключений.
У випадку нашого прикладу з орендарями-партнерами, які ви можете вирішити, щоб отримати комутатор рівня 3, підключіть його до портів магістралі таким чином, щоб трафік обох клієнтів VLAN доходив до нього, а потім налаштуйте SVI з IP-адресами та членством VLAN таким чином, щоб він "з'являється" в обох клієнтах VLAN. Після того, як ви зробите це лише за допомогою налаштування таблиці маршрутизації на вашому основному маршрутизаторі та вбудованому маршрутизаторі в перемикачі шару 3, таким чином, що трафік, що протікає між VLAN-орендарями, перенаправляється вбудованим маршрутизатором всередині перемикача шару 3 проти "роутер на палиці".
Використання перемикача 3 рівня не означає, що досі не буде вузьких місць, пов’язаних із пропускною здатністю портів магістралі, які з'єднують ваші комутатори. Однак це стосується ортогональних питань для тих, до яких звертаються VLAN. VLAN не мають нічого спільного з проблемами пропускної здатності. Зазвичай проблеми з пропускною здатністю вирішуються або отриманням швидкісних з'єднань між комутаторами, або використанням протоколів агрегації ліній для "з'єднання" декількох низькошвидкісних з'єднань разом у віртуальне високошвидкісне з'єднання. Якщо всі пристрої, що створюють кадри, які повинні бути направлені вбудованим маршрутизатором всередині наступного 3 перемикача, самі підключаються до портів безпосередньо на перемикачі шару 3, вам все одно потрібно турбуватися про пропускну здатність магістралей між комутаторами. Перемикач рівня 3 не є панацеєю, але, як правило, швидше, ніж "
Динамічні VLAN
Нарешті, в деяких комутаторах є функція для забезпечення динамічного членства в VLAN. Замість того, щоб призначити даний порт портом доступу для даної VLAN, конфігурацію порту (доступу або магістралі та для якої VLAN) можна динамічно змінювати при підключенні пристрою. Динамічні VLAN - це більш досконала тема, але знаючи, що функціонал існує, може бути корисним.
Функціонал залежить від постачальників, але зазвичай ви можете налаштувати динамічне членство VLAN на основі MAC-адреси підключеного пристрою, статусу аутентифікації 802.1X пристрою, власницьких протоколів та протоколів, заснованих на стандартах (CDP та LLDP, наприклад, щоб дозволити IP-телефонам "виявити" номер VLAN для голосового трафіку), підмережу IP, призначену клієнтському пристрою, або тип протоколу Ethernet.