Jeżeli do interfejsu zostanie dołączone więcej niż jedno urządzenie (poprzez kolejny przełącznik lub koncentrator),
wszystkie znajdą się w tej samej sieci VLAN.
Port dynamicznego dostępu (ang. dynamic-access) również należy do
jednej sieci VLAN. Przypisanie jest realizowane (inaczej niż w przypadku
statycznych portów dostępowych) na podstawie informacji uzyskanych z ser-
wera VMPS (ang. VLAN Management Policy Server). Przypisanie portu do
sieci VLAN odbywa się na podstawie adresu MAC dołączonego hosta (który
można łatwo sfałszować) lub zgodnie z procedurami uwierzytelniania 802.1x.
Mechanizm ten zwalnia administratora z obowiązku zmiany przypisań por-
tów do sieci VLAN w razie przemieszczania komputerów (jak w przypadku
statycznych portów dostępowych). Wymaga jednak odpowiedniego sprzętu,
oprogramowania i dodatkowych czynności na etapie początkowej konfigura-
cji. To rozwiązanie jest zalecane dla dużych sieci.
Port może też zostać przeznaczony do obsługi specjalnej sieci VLAN, słu-
żącej do transmisji głosu (VoIP) [16]. Obsługuje wówczas dwie sieci VLAN
– “głosową” (ang. voice VLAN), umożliwiającą dołączenie telefonu IP, oraz kolejną – zwykłą, do podłączenia komputera. Schemat połączeń jest przedstawiony na rys. 3.11. Dzięki takiej konfiguracji, VoIP jest obsługiwany
przez dedykowaną sieć VLAN, a do stanowiska użytkownika (z komputerem
i telefonem IP) doprowadzony jest tylko jeden kabel. Telefon posiada dwa
interfejsy sieciowe i odpowiednie układy rozdzielające ruch.
Interfejs typu trunk (w odróżnieniu od portu dostępowego) domyślnie
obsługuje wszystkie sieci VLAN. Można też samodzielnie określić listę sieci
VLAN, z których ruch będzie przesyłany.
30
3. Wirtualne sieci LAN (VLAN)
Rysunek 3.11. Wykorzystanie sieci VLAN dla VoIP
Aby statycznie przypisać interfejs do sieci VLAN o identyfikatorze vlan-id, należy w trybie konfiguracji globalnej wydać następujące polecenia:
i
n
t
e
r
f
a
e
nazwa-interfejsu
s
w
i
t
h
p
o
r
t
m
o
d
e
a
e
s
s
s
w
i
t
h
p
o
r
t
a
e
s
s
v
l
a
n
vlan-id
e
n
d
Aby jednocześnie w identyczny sposób skonfigurować wiele interfejsów, moż-
na użyć polecenia interface range. Polecenie switchport mode access
konfiguruje interfejs jako statyczny port dostępowy. Uniemożliwia to zesta-
wienie poprzez niego połączenia typu trunk, podnosząc poziom bezpieczeń-
stwa. W większości współczesnych systemów IOS, próba przypisania inter-
fejsu do nieistniejącej sieci VLAN spowoduje automatyczne jej stworzenie.
Problem może wystąpić w razie usunięcia sieci VLAN, ponieważ skutkuje
to wyłączeniem przypisanych do niej interfejsów, aż do czasu gdy zostanie
odtworzona, lub interfejsy zostaną przypisane do innej sieci VLAN.
Podstawowym poleceniem do weryfikacji konfiguracji VLAN jest
s
h
o
w
v
l
a
n
Fragment generowanej informacji przedstawia poniższy listing.
Listing 3.1. Fragment informacji wyświetlanej w wyniku działania
polecenia show vlan
1 VLAN
N
a
m
e
S
t
a
t
u
s
P
o
r
t
s
−−−− −−−−−−−−−−−−−−−−−−−− −−−−−−−−− −−−−−−−−−−−−−−−−−−−−−−−
3
1
d
e
f
a
u
l
t
a
t
i
v
e
F
a
0
/
1
2
,
F
a
0
/
1
3
,
F
a
0
/
1
4
,
F
a
0
/
1
6
,
F
a
0
/
1
7
,
F
a
0
/
1
8
,
5
F
a
0
/
2
0
,
F
a
0
/
2
1
,
F
a
0
/
2
2
,
F
a
0
/
2
4
,
G
i
g
1
/
1
,
G
i
g
1
/
2
7
1
0
k
s
i
e
g
o
w
o
s
a
t
i
v
e
F
a
0
/
1
,
F
a
0
/
2
,
F
a
0
/
3
,
3.3. Konfiguracja sieci VLAN
31
2
0
k
a
d
r
y
a
t
i
v
e
F
a
0
/
5
,
F
a
0
/
6
,
F
a
0
/
7
9
2
5
d
y
r
e
k
j
a
a
t
i
v
e
F
a
0
/
8
,
F
a
0
/
9
,
F
a
0
/
1
0
,
7
0
V
L
A
N
0
0
7
0
a
t
i
v
e
11
−
1
0
0
2
f
d
d
i
d
e
f
a
u
l
t
a
t
/
u
n
s
u
p
−
−
1
0
0
3
t
o
k
e
n
r
i
n
g
d
e
f
a
u
l
t
a
t
/
u
n
s
u
p
13
−
1
0
0
4
f
d
d
i
n
e
t
d
e
f
a
u
l
t
a
t
/
u
n
s
u
p
−
1
0
0
5
t
r
n
e
t
d
e
f
a
u
l
t
a
t
/
u
n
s
u
p
Uzyskujemy tu informacje o sieciach VLAN dostępnych na przełączniku,
ich nazwach oraz o przypisaniu interfejsów. Dodatkowe, opcjonalne para-