Một tính năng rất thú vị và thông minh khác Hỗ trợ VLAN động là VLAN FALLBACK (VLAN dự phòng). Tính năng gọn gàng này cho phép ta tự động cấu hình một cổng tới một VLAN được tạo đặc biệt cho các máy trạm có địa chỉ MAC không có trong máy chủ VMPS. Giả sử khách hàng yêu cầu quyền truy cập cụ thể hoặc bị hạn chế vào mạng của chúng ta, họ có thể tự do kết nối với mạng và truy cập Internet, cùng với các quyền hạn chế trên các thư mục công cộng.
Trong trường hợp VLAN dự phòng chưa được định cấu hình và địa chỉ MAC kết nối với cổng của bộ chuyển mạch không xác định, máy chủ VMPS sẽ gửi phản hồi 'bị từ chối truy cập', chặn truy cập vào mạng, nhưng cổng sẽ vẫn hoạt động. Nếu máy chủ VMPS đang chạy ở 'chế độ bảo mật', nó sẽ tiến hành và tắt cổng như một biện pháp bảo mật bổ sung.
Hình 21
Sơ đồ trên đại diện cho một phần của mạng quy mô lớn sử dụng Cisco 6500 Catalyst làm bộ chuyển mạch cốt lõi. Công tắc đã được cấu hình để hỗ trợ VLAN động, do đó một máy chủ VMPS đã được cấu hình bên trong công tắc, cùng với máy chủ DHCP cho mỗi VLAN được tạo. Người quản trị đã gán địa chỉ MAC 3 máy trạm cho các VLAN được hiển thị và cũng tạo VLAN dự phòng cho bất kỳ địa chỉ MAC nào không tồn tại trong cơ sở dữ liệu.
Bây giờ hãy xem xét kịch bản thú vị này: Một buổi sáng, một vị khách đến văn phòng và yêu cầu kết nối Internet để anh ta có thể giới thiệu một sản phẩm mới cho ban giám đốc. Với tư cách là quản trị viên, ta đã định cấu hình VLAN dự phòng với máy chủ DHCP được kích hoạt cho VLAN, đẩy các cài đặt cần thiết cho máy khách để họ có thể nhận được các dịch vụ truy cập Internet.
Khách truy cập tìm thấy một ổ cắm RJ-45 miễn phí trên tường, ổ cắm này kết nối với công tắc Catalyst 3550 gần đó và cắm vào máy tính xách tay của anh ta. Trước khi người dùng được phép truy cập mạng, bộ chuyển mạch Cisco 3550 sẽ kiểm tra địa chỉ MAC của máy tính xách tay và đọc 4B: 63: 3F: A2: 3E: F9. Tại thời điểm này, cổng bị chặn, không cho phép máy tính xách tay gửi hoặc nhận dữ liệu. Công tắc Cisco 3550 gửi địa chỉ MAC đến công tắc 6500 Catalyst đang hoạt động như máy chủ VMPS và nó kiểm tra mục nhập khớp với địa chỉ MAC được chỉ định nhưng không thể tìm thấy địa chỉ này. Đương nhiên, nó xác định đây là khách truy cập, vì vậy nó tạo một mục nhập cho địa chỉ MAC đó vào VLAN dự phòng và gửi thông tin trở lại switch Cisco 3550. Sau đó, công tắc sẽ cho phép truy cập vào cổng mà khách truy cập của chúng tôi được kết nối bằng cách định cấu hình cổng thành VLAN dự phòng.
Nếu máy tính của khách truy cập được định cấu hình để lấy Địa chỉ IP tự động, nó sẽ làm như vậy, sau khi hệ điều hành khởi động. Khi điều này xảy ra, yêu cầu DHCP của khách truy cập sẽ đến công tắc 6500 Catalyst và máy chủ DHCP của nó sẽ gửi thông tin được yêu cầu, cho phép máy khách (khách của chúng tôi) tự cấu hình với tất cả các tham số cần thiết để truy cập VLAN. Điều này cũng có nghĩa là khách truy cập của chúng tôi hiện có thể truy cập Internet!
Kết thúc, nếu máy tính không được cấu hình cho DHCP, khách hàng phải được thông báo về cài đặt mạng chính xác hoặc được yêu cầu bật cấu hình IP tự động trong thuộc tính mạng của họ.