Le LAN virtuali (VLAN) sono un'astrazione per consentire a una singola rete fisica di emulare la funzionalità di più reti fisiche parallele. Ciò è utile perché potrebbero esserci situazioni in cui è necessaria la funzionalità di più reti fisiche parallele ma si preferisce non spendere i soldi per l'acquisto di hardware parallelo. Parlerò di VLAN Ethernet in questa risposta (anche se altre tecnologie di rete possono supportare VLAN) e non mi immergerò profondamente in ogni sfumatura.
Un esempio contrastato e un problema
Come scenario di esempio puramente inventato, immagina di possedere un edificio per uffici che affitta a inquilini. Come vantaggio del contratto di locazione, ogni inquilino riceverà prese Ethernet live in ogni stanza dell'ufficio. Si acquista uno switch Ethernet per ogni piano, li si collega ai jack in ogni ufficio su quel piano e si collegano tutti gli switch.
Inizialmente, si affitta spazio a due diversi inquilini: uno al primo piano e uno al secondo. Ciascuno di questi inquilini configura i propri computer con indirizzi IPv4 statici. Entrambi i tenant utilizzano diverse subnet TCP / IP e tutto sembra funzionare correttamente.
Più tardi, un nuovo inquilino affitta metà del terzo piano e porta in primo piano uno di questi server DHCP. Il tempo passa e l'inquilino del 1 ° piano decide di saltare anche sul carrozzone DHCP. Questo è il punto in cui le cose iniziano a andare male. Gli inquilini del terzo piano riportano che alcuni dei loro computer ricevono indirizzi IP "divertenti" da una macchina che non è il loro server DHCP. Presto, gli inquilini del primo piano riportano la stessa cosa.
DHCP è un protocollo che sfrutta la capacità di trasmissione di Ethernet per consentire ai computer client di ottenere indirizzi IP in modo dinamico. Poiché tutti gli inquilini condividono la stessa rete Ethernet fisica condividono lo stesso dominio di trasmissione. Un pacchetto di trasmissione inviato da qualsiasi computer della rete inonderà tutte le porte dello switch su ogni altro computer. I server DHCP ai piani 1 e 3 riceveranno tutte le richieste di contratti di locazione di indirizzi IP e, di fatto, duelleranno per vedere chi può rispondere per primo. Questo chiaramente non è il comportamento che intendete provare per i vostri inquilini. Questo è il comportamento, tuttavia, di una rete Ethernet "piatta" senza VLAN.
Peggio ancora, un inquilino al secondo piano acquisisce questo software "Wireshark" e riferisce che, di tanto in tanto, vedono il traffico uscire dal loro switch che fa riferimento a computer e indirizzi IP di cui non hanno mai sentito parlare. Uno dei loro dipendenti ha persino capito che può comunicare con questi altri computer modificando l'indirizzo IP assegnato al suo PC da 192.168.1.38 a 192.168.0.38! Presumibilmente, è a pochi passi dall'esecuzione di "servizi di amministrazione del sistema pro-bono non autorizzati" per uno degli altri inquilini. Non bene.
Soluzioni potenziali
Hai bisogno di una soluzione! Potresti semplicemente staccare le spine tra i piani e ciò interromperebbe tutte le comunicazioni indesiderate! Si! Questo è il biglietto ...
Potrebbe funzionare, tranne per il fatto che hai un nuovo inquilino che affitterà metà del seminterrato e la metà non occupata del piano 3. Se non c'è una connessione tra l'interruttore del piano 3 e l'interruttore del seminterrato, il nuovo inquilino non sarà in grado di ottenere la comunicazione tra i loro computer che si diffonderanno su entrambi i piani. Staccare la spina non è la risposta. Peggio ancora, il nuovo inquilino sta portando ancora un altro di questi server DHCP!
Flirti con l'idea di acquistare set di switch Ethernet fisicamente separati per ogni inquilino, ma visto che il tuo edificio ha 30 piani, ognuno dei quali può essere suddiviso in 4 modi, i potenziali ratti nidificano di cavi da pavimento a pavimento tra un numero enorme di switch Ethernet paralleli potrebbe essere un incubo, per non dire costoso. Se solo ci fosse un modo per far funzionare una singola rete Ethernet fisica come se fosse più reti Ethernet fisiche, ognuna con il proprio dominio di trasmissione.
VLAN per il salvataggio
Le VLAN sono una risposta a questo problema disordinato. Le VLAN consentono di suddividere uno switch Ethernet in switch Ethernet virtuali logicamente diversi. Ciò consente a un singolo switch Ethernet di agire come se fosse più switch Ethernet fisici. Nel caso del piano 3 suddiviso, ad esempio, è possibile configurare lo switch a 48 porte in modo tale che le 24 porte inferiori si trovino in una determinata VLAN (che chiameremo VLAN 12) e le 24 porte più alte si trovino in una determinata VLAN ( che chiameremo VLAN 13). Quando crei le VLAN sul tuo switch, dovrai assegnare loro un tipo di nome o numero VLAN. I numeri che sto usando qui sono per lo più arbitrari, quindi non preoccuparti di quali numeri specifici scelgo.
Dopo aver diviso l'interruttore del piano 3 in VLAN 12 e 13, il nuovo inquilino del piano 3 può collegare il proprio server DHCP a una delle porte assegnate alla VLAN 13 e un PC collegato a una porta assegnata alla VLAN 12 non funziona t ottenere un indirizzo IP dal nuovo server DHCP. Eccellente! Problema risolto!
Oh, aspetta ... come portiamo quei dati VLAN 13 nel seminterrato?
Comunicazione VLAN tra switch
Il tuo inquilino del mezzo piano e del seminterrato vorrebbe collegare i computer nel seminterrato ai loro server al terzo piano. Potresti far passare un cavo direttamente da una delle porte assegnate alla loro VLAN nello switch del terzo piano al seminterrato e alla vita andrebbe bene, vero?
All'inizio delle VLAN (standard pre-802.1Q) potresti fare proprio questo. L'intero interruttore del seminterrato sarebbe, in effetti, parte della VLAN 13 (la VLAN che hai deciso di assegnare al nuovo inquilino al piano 3 e al piano interrato) perché tale interruttore del seminterrato sarebbe "alimentato" da una porta al piano 3 assegnata alla VLAN 13.
Questa soluzione funzionerebbe fino a quando non affitterai l'altra metà del seminterrato al tuo inquilino del primo piano che desidera anche comunicare tra i computer del primo piano e del seminterrato. Puoi dividere l'interruttore del seminterrato usando VLAN (in, diciamo, VLANS 2 e 13) e far passare un cavo dal primo piano ad una porta assegnata alla VLAN 2 nel seminterrato, ma è meglio che tu ti dica che questo potrebbe rapidamente diventare un nido di topo di cavi (e peggiorerà solo). Dividere gli switch usando VLAN è buono, ma dover far passare più cavi da altri switch a porte che sono membri di diverse VLAN sembra disordinato. Indubbiamente, se dovessi dividere l'interruttore del seminterrato in 4 modi tra gli inquilini che avevano anche spazio ai piani superiori, useresti 4 porte sullo switch del seminterrato solo per terminare i cavi "feeder" dalle VLAN al piano superiore.
Ora dovrebbe essere chiaro che è necessario un tipo di metodo generalizzato per spostare il traffico da più VLAN tra switch su un singolo cavo. L'aggiunta di più cavi tra switch per supportare connessioni tra VLAN diverse non è una strategia scalabile. Alla fine, con abbastanza VLAN, consumerai tutte le porte degli switch con queste connessioni inter-VLAN / inter-switch. Ciò che serve è un modo per trasportare i pacchetti da più VLAN lungo una singola connessione: una connessione "trunk" tra switch.
Fino a questo punto, tutte le porte degli switch di cui abbiamo parlato sono chiamate porte di "accesso". Cioè, queste porte sono dedicate all'accesso a una singola VLAN. I dispositivi collegati a queste porte non hanno alcuna configurazione speciale. Questi dispositivi non "sanno" che sono presenti VLAN. I frame che i dispositivi client inviano vengono consegnati allo switch che si occupa quindi di assicurarsi che il frame venga inviato solo alle porte assegnate come membri della VLAN assegnate alla porta in cui il frame è entrato nello switch. Se un frame entra nello switch su una porta assegnata come membro della VLAN 12, lo switch invierà solo quel frame out porte che sono membri della VLAN 12. Lo switch "conosce" il numero VLAN assegnato a una porta dalla quale riceve un frame e in qualche modo sa consegnare questo frame solo alle porte della stessa VLAN.
Se esistesse un modo per uno switch di condividere il numero VLAN associato a un determinato frame con altri switch, l'altro switch potrebbe gestire correttamente la consegna di quel frame solo alle porte di destinazione appropriate. Questo è ciò che fa il protocollo di tagging VLAN 802.1Q. (Vale la pena notare che, prima dell'802.1Q, alcuni fornitori stabilivano i propri standard per il tagging VLAN e il trunking inter-switch. Per la maggior parte, questi metodi pre-standard sono stati tutti soppiantati dall'802.1Q.)
Quando si hanno due switch compatibili con VLAN collegati tra loro e si desidera che questi switch trasmettano i frame tra loro alla VLAN corretta, si collegano tali switch utilizzando le porte "trunk". Ciò comporta la modifica della configurazione di una porta su ogni switch dalla modalità "access" alla modalità "trunk" (in una configurazione molto semplice).
Quando una porta è configurata in modalità trunk, ogni frame che lo switch invia a quella porta avrà un "tag VLAN" incluso nel frame. Questo "tag VLAN" non faceva parte del frame originale inviato dal client. Piuttosto, questo tag viene aggiunto dallo switch di invio prima di inviare il frame dalla porta trunk. Questo tag indica il numero VLAN associato alla porta da cui ha avuto origine il frame.
Lo switch di ricezione può esaminare il tag per determinare da quale VLAN ha origine il frame e, in base a tali informazioni, inoltrare il frame solo alle porte assegnate alla VLAN di origine. Poiché i dispositivi collegati alle porte di "accesso" non sono consapevoli del fatto che le VLAN vengono utilizzate, le informazioni sul "tag" devono essere rimosse dal frame prima che vengano inviate una porta configurata in modalità di accesso. Questo strippaggio delle informazioni sui tag fa sì che l'intero processo di trunking VLAN venga nascosto dai dispositivi client poiché il frame che ricevono non recherà alcuna informazione sui tag VLAN.
Prima di configurare le VLAN nella vita reale, consiglierei di configurare una porta per la modalità trunk su uno switch di prova e di monitorare il traffico inviato su quella porta utilizzando uno sniffer (come Wireshark). È possibile creare un po 'di traffico di esempio da un altro computer, collegato a una porta di accesso e vedere che i frame che escono dalla porta trunk saranno, di fatto, più grandi dei frame inviati dal computer di prova. Vedrai le informazioni del tag VLAN nei frame in Wireshark. Trovo che valga davvero la pena vedere cosa succede in uno sniffer. Leggere sullo standard di codifica 802.1Q è anche una cosa decente da fare a questo punto (soprattutto perché non sto parlando di cose come "VLAN native" o doppia codifica).
Incubi di configurazione VLAN e la soluzione
Man mano che affittate sempre più spazio nel vostro edificio, aumenta il numero di VLAN. Ogni volta che aggiungi una nuova VLAN, scopri che devi accedere a sempre più switch Ethernet e aggiungere quella VLAN all'elenco. Non sarebbe bello se ci fosse un metodo con cui è possibile aggiungere quella VLAN a un singolo manifest di configurazione e farlo popolare automaticamente nella configurazione VLAN di ogni switch?
Protocolli come il "VLAN Trunking Protocol" (VTP) di proprietà di Cisco o il "Multiple VLAN Registration Protocol" (MVRP - GVRP) precedentemente basato su standard soddisfano questa funzione. In una rete che utilizza questi protocolli, una singola creazione della VLAN o una voce di eliminazione comportano l'invio di messaggi di protocollo a tutti gli switch della rete. Tale messaggio di protocollo comunica la modifica della configurazione VLAN al resto degli switch che, a loro volta, modificano le loro configurazioni VLAN. VTP e MVRP non si preoccupano di quali porte specifiche sono configurate come porte di accesso per VLAN specifiche, ma piuttosto sono utili nel comunicare la creazione o la cancellazione di VLAN a tutti gli switch.
Quando ti sarai abituato alle VLAN, probabilmente vorrai tornare indietro e leggere "Potatura VLAN", che è associata a protocolli come VTP e MVRP. Per ora non c'è nulla di cui preoccuparsi tremendamente. (L' articolo VTP su Wikipedia ha un bel diagramma che spiega la potatura VLAN e i suoi benefici.)
Quando usi le VLAN nella vita reale?
Prima di andare molto oltre è importante pensare alla vita reale piuttosto che a esempi inventati. Invece di duplicare qui il testo di un'altra risposta, ti rimando alla mia risposta riguardo a: quando creare le VLAN . Non è necessariamente un "livello per principianti", ma vale la pena darci un'occhiata ora, perché farò brevemente riferimento ad esso prima di tornare ad un esempio inventato.
Per la folla "tl; dr" (che sicuramente ha smesso di leggere a questo punto, comunque), l'essenza di quel link sopra è: creare VLAN per ridurre i domini di trasmissione o quando si desidera separare il traffico per qualche motivo particolare (sicurezza , politica, ecc.). Non ci sono davvero altri buoni motivi per usare le VLAN.
Nel nostro esempio stiamo usando le VLAN per limitare i domini broadcast (per far funzionare correttamente protocolli come DHCP) e, in secondo luogo, perché vogliamo l'isolamento tra le reti dei vari tenant.
A parte re: sottoreti IP e VLAN
In generale, esiste una relazione uno a uno in genere tra VLAN e sottoreti IP per praticità, per facilitare l'isolamento e per il funzionamento del protocollo ARP.
Come abbiamo visto all'inizio di questa risposta, due diverse sottoreti IP possono essere utilizzate senza problemi sulla stessa Ethernet fisica. Se stai utilizzando VLAN per ridurre i domini di trasmissione, non vorrai condividere la stessa VLAN con due diverse sottoreti IP poiché combinerai il loro ARP e altro traffico di trasmissione.
Se stai utilizzando VLAN per separare il traffico per motivi di sicurezza o di criteri, probabilmente non vorrai combinare più sottoreti nella stessa VLAN poiché vanificherai lo scopo dell'isolamento.
L'IP utilizza un protocollo basato sulla trasmissione, Address Resolution Protocol (ARP), per mappare gli indirizzi IP su indirizzi fisici (Ethernet MAC). Poiché l'ARP è basato sulla trasmissione, l'assegnazione di parti diverse della stessa sottorete IP a VLAN diverse sarebbe problematica poiché gli host in una VLAN non sarebbero in grado di ricevere risposte ARP dagli host nell'altra VLAN, poiché le trasmissioni non vengono inoltrate tra VLAN. È possibile risolvere questo "problema" utilizzando proxy-ARP ma, alla fine, a meno che non si disponga di una ragione davvero valida per dividere una sottorete IP su più VLAN, è meglio non farlo.
Un'ultima parte: VLAN e sicurezza
Infine, vale la pena notare che le VLAN non sono un ottimo dispositivo di sicurezza. Molti switch Ethernet hanno dei bug che consentono ai frame provenienti da una VLAN di inviare porte assegnate a un'altra VLAN. I produttori di switch Ethernet hanno lavorato duramente per correggere questi bug, ma è dubbio che ci sarà mai un'implementazione completamente priva di bug.
Nel caso del nostro esempio inventato, il dipendente del secondo piano che è a pochi minuti dalla fornitura di "servizi" di amministrazione di sistemi gratuiti a un altro inquilino potrebbe essere impedito isolando il suo traffico in una VLAN. Potrebbe anche capire come sfruttare i bug nel firmware dello switch, tuttavia, per consentire al suo traffico di "fuoriuscire" anche sulla VLAN di un altro tenant.
I provider Metro Ethernet fanno sempre più affidamento sulla funzionalità di tagging VLAN e sull'isolamento fornito dagli switch. Non è corretto affermare che non esiste sicurezza offerta dall'utilizzo delle VLAN. È giusto dire, tuttavia, che in situazioni con connessioni Internet non fidate o reti DMZ è probabilmente meglio usare switch fisicamente separati per trasportare questo traffico "permaloso" piuttosto che VLAN su switch che trasportano anche il traffico "dietro il firewall" di fiducia.
Porta il livello 3 nell'immagine
Finora tutto ciò di cui questa risposta ha parlato si riferisce ai layer 2 - frame Ethernet. Cosa succede se iniziamo a portare il livello 3 in questo?
Torniamo all'esempio costruttivo inventato. Sono state accettate le VLAN che hanno scelto di configurare le porte di ciascun tenant come membri di VLAN separate. Sono state configurate le porte trunk in modo tale che lo switch di ogni piano possa scambiare i frame contrassegnati con il numero VLAN di origine con gli switch sul piano sopra e sotto. Un inquilino può disporre di computer distribuiti su più piani ma, a causa delle tue abili capacità di configurazione della VLAN, questi computer distribuiti fisicamente possono sembrare tutti parte della stessa LAN fisica.
Sei così pieno di risultati IT che decidi di iniziare a offrire connettività Internet ai tuoi inquilini. Compra una grossa pipa per Internet e un router. Trasmetti l'idea a tutti i tuoi inquilini e due di loro acquistano immediatamente. Fortunatamente per te il tuo router ha tre porte Ethernet. Connetti una porta alla tua fat pipe Internet, un'altra porta a una porta switch assegnata per l'accesso alla VLAN del primo tenant e l'altra a una porta assegnata per l'accesso alla VLAN del secondo tenant. Configura le porte del tuo router con indirizzi IP nella rete di ciascun inquilino e gli inquilini iniziano ad accedere a Internet tramite il tuo servizio! Le entrate aumentano e tu sei felice.
Presto, tuttavia, un altro inquilino decide di accedere alla tua offerta Internet. Tuttavia, non hai più porte sul tuo router. Cosa fare?
Fortunatamente hai acquistato un router che supporta la configurazione di "interfacce secondarie virtuali" sulle sue porte Ethernet. In breve, questa funzionalità consente al router di ricevere e interpretare i frame taggati con numeri VLAN di origine e di avere interfacce virtuali (ovvero non fisiche) configurate con indirizzi IP appropriati per ciascuna VLAN con cui comunicherà. In effetti, ciò consente di "multiplexare" una singola porta Ethernet sul router in modo che sembri funzionare come più porte Ethernet fisiche.
Collega il router a una porta trunk su uno dei tuoi switch e configura interfacce secondarie virtuali corrispondenti allo schema di indirizzamento IP di ciascun tenant. Ogni interfaccia secondaria virtuale è configurata con il numero VLAN assegnato a ciascun cliente. Quando un frame lascia la porta trunk sullo switch, associato al router, trasporterà un tag con il numero VLAN di origine (poiché è una porta trunk). Il router interpreterà questo tag e tratterà il pacchetto come se fosse arrivato su un'interfaccia fisica dedicata corrispondente a quella VLAN. Allo stesso modo, quando il router invia un frame allo switch in risposta a una richiesta, aggiungerà un tag VLAN al frame in modo tale che lo switch sappia a quale VLAN deve essere consegnato il frame di risposta. In effetti, hai configurato il router per "apparire"
Router su stick e switch di livello 3
Utilizzando interfacce secondarie virtuali sei stato in grado di vendere la connettività Internet a tutti i tuoi inquilini senza dover acquistare un router con oltre 25 interfacce Ethernet. Sei abbastanza soddisfatto dei tuoi risultati IT, quindi rispondi positivamente quando due dei tuoi inquilini vengono da te con una nuova richiesta.
Questi inquilini hanno scelto di "collaborare" a un progetto e desiderano consentire l'accesso dai computer client nell'ufficio di un inquilino (uno dato VLAN) a un computer server nell'ufficio dell'altro inquilino (un altro VLAN). Dal momento che entrambi sono clienti del tuo servizio Internet, è una modifica abbastanza semplice di un ACL nel tuo router Internet principale (su cui esiste una sotto-interfaccia virtuale configurata per ciascuna delle VLAN di questi inquilini) per consentire al traffico di fluire tra le loro VLAN come nonché su Internet dalle loro VLAN. Apportare la modifica e inviare gli inquilini sulla loro strada.
Il giorno successivo si ricevono reclami da entrambi i tenant che l'accesso tra i computer client in un ufficio al server nel secondo ufficio è molto lento. I server e i computer client dispongono entrambi di connessioni Gigabit Ethernet ai tuoi switch, ma i file vengono trasferiti solo a circa 45 Mbps che, per coincidenza, è circa la metà della velocità con cui il tuo core router si connette al suo switch. Chiaramente, il traffico che fluisce dalla VLAN di origine al router e viceversa dal router alla VLAN di destinazione viene strozzato dalla connessione del router allo switch.
Quello che hai fatto con il tuo router principale, permettendogli di instradare il traffico tra VLAN, è comunemente noto come "router on a stick" (probabilmente un eufemismo stupidamente stravagante). Questa strategia può funzionare bene, ma il traffico può fluire solo tra le VLAN fino alla capacità della connessione del router allo switch. Se, in qualche modo, il router potesse essere congiunto con le "viscere" dello stesso switch Ethernet, potrebbe indirizzare il traffico ancora più velocemente (poiché lo stesso switch Ethernet, secondo la scheda tecnica del produttore, è in grado di passare oltre 2 Gbps di traffico).
Uno "switch di livello 3" è uno switch Ethernet che, logicamente parlando, contiene un router sepolto al suo interno. Trovo tremendamente utile pensare a uno switch di livello 3 come se un router piccolo e veloce si nascondesse all'interno dello switch. Inoltre, ti consiglio di pensare alla funzionalità di routing come una funzione distintamente separata dalla funzione di commutazione Ethernet fornita dallo switch di livello 3. Uno switch di livello 3 è, a tutti gli effetti, due dispositivi distinti racchiusi in un singolo chassis.
Il router incorporato in uno switch di livello 3 è collegato alla struttura di commutazione interna dello switch a una velocità che, in genere, consente l'instradamento di pacchetti tra VLAN alla velocità del filo o quasi. Analogamente alle interfacce secondarie virtuali configurate sul "router on a stick", questo router incorporato all'interno dello switch di livello 3 può essere configurato con interfacce virtuali che "sembrano" essere connessioni di "accesso" in ciascuna VLAN. Invece di essere chiamate interfacce secondarie virtuali, queste connessioni logiche dalle VLAN al router incorporato all'interno di uno switch di livello 3 sono chiamate Switch Virtual Interfaces (SVI). In effetti, il router incorporato all'interno di uno switch di livello 3 ha una certa quantità di "porte virtuali" che possono essere "collegate" a una qualsiasi delle VLAN sullo switch.
Il router incorporato funziona allo stesso modo di un router fisico, tranne per il fatto che in genere non ha tutti gli stessi protocolli di routing dinamico o le liste di controllo degli accessi (ACL) di un router fisico (a meno che non abbiate acquistato un livello 3 davvero bello interruttore). Il router incorporato presenta tuttavia il vantaggio di essere molto veloce e di non avere un collo di bottiglia associato a una porta dello switch fisica a cui è collegato.
Nel caso del nostro esempio qui con gli inquilini "partner" potresti scegliere di ottenere uno switch di livello 3, collegarlo a porte trunk in modo che il traffico proveniente da entrambe le VLAN dei clienti raggiunga, quindi configurare SVI con indirizzi IP e appartenenze VLAN in modo tale che "appare" in entrambe le VLAN dei clienti. Una volta fatto, si tratta solo di modificare la tabella di routing sul router principale e il router incorporato nello switch di livello 3 in modo tale che il traffico che scorre tra le VLAN degli inquilini sia instradato dal router incorporato all'interno dello switch di livello 3 rispetto al "router on a stick".
L'uso di uno switch di livello 3 non significa che non ci saranno ancora colli di bottiglia associati alla larghezza di banda delle porte trunk che interconnettono gli switch. Questa è una preoccupazione ortogonale a coloro a cui si rivolgono le VLAN. Le VLAN non hanno nulla a che fare con i problemi di larghezza di banda. In genere i problemi di larghezza di banda vengono risolti ottenendo connessioni inter-switch a velocità più elevata o utilizzando protocolli di aggregazione dei collegamenti per "collegare" più connessioni a velocità inferiore in una connessione virtuale a velocità superiore. A meno che tutti i dispositivi che creano frame che devono essere instradati dal router incorporato all'interno dello switch 3 successivo siano, essi stessi, collegati alle porte direttamente sullo switch layer 3, è comunque necessario preoccuparsi della larghezza di banda dei trunk tra gli switch. Un interruttore di livello 3 non è una panacea, ma in genere è più veloce di un "
VLAN dinamiche
Infine, esiste una funzione in alcuni switch per fornire l'appartenenza dinamica alla VLAN. Anziché assegnare una determinata porta come porta di accesso per una determinata VLAN, la configurazione della porta (accesso o trunk e per le quali VLAN) può essere modificata in modo dinamico quando un dispositivo è collegato. Le VLAN dinamiche sono un argomento più avanzato, ma sapere che esiste la funzionalità può essere utile.
La funzionalità varia tra i fornitori ma in genere è possibile configurare l'appartenenza VLAN dinamica in base all'indirizzo MAC del dispositivo collegato, allo stato di autenticazione 802.1X del dispositivo, ai protocolli proprietari e basati su standard (CDP e LLDP, ad esempio, per consentire ai telefoni IP di "scopri" il numero VLAN per il traffico vocale), la sottorete IP assegnata al dispositivo client o il tipo di protocollo Ethernet.