Implementatie van een layer 3 bedrijfsnetwerk

Implementatie van een layer 3 bedrijfsnetwerk
Project aangeboden door
Van Hove Tommie
voor het behalen van de graad van Bachelor in
de
New Media and Communication Technology
Academiejaar 2013-2014
Stageplaats
: Scheppersinstituut Wetteren
Stagementor
: Heyse Pieterjan
Stagebegeleider : Ameel Hans
Implementatie van een layer 3 bedrijfsnetwerk
Project aangeboden door
Van Hove Tommie
voor het behalen van de graad van Bachelor in
de
New Media and Communication Technology
Academiejaar 2013-2014
Stageplaats
: Scheppersinstituut Wetteren
Stagementor
: Heyse Pieterjan
Stagebegeleider : Ameel Hans
Woord vooraf
Informatica is altijd al mijn passie geweest. Zozeer zelfs dat dit ondertussen al mijn tweede
informatica gerelateerde hogere studies zijn. In het brede vakgebied dat bekend staat als de
informatica interesseren netwerken en het beheer ervan mij het meest. Het is dan ook niet onlogisch
dat ik in mijn opleiding vooral netwerken als keuzevakken heb gekozen.
Als afsluiter van de New Media and Communication Technology(NMCT) opleiding is er een stage met
bijhorende bachelor proef ingepland. Als stageplaats heb ik gekozen voor Het Scheppersinstituut,
een secundaire school te Wetteren waar ik de opdracht kreeg een layer 3 netwerk te implementeren.
Als Scriptieonderwerp heb ik ervoor gekozen een document te schrijven dat stap voor stap de
implementatie van zo een layer 3 netwerk bespreekt. Dit document kan geraadpleegd worden door
zowel de ervaren informaticus als door een student met geen tot weinig ervaring in het
netwerkbeheer en kan gebruikt worden om een implementatie uit te voeren, om specifieke
problemen op te lossen of om een theoretische kennis op te bouwen betreffende layer 3 netwerken
en hoe ze werken.
Tijdens mijn stage en het schrijven van deze scriptie heb ik uiteraard hulp gekregen van tal van
mensen. Deze wil ik alvast nu bedanken.
Ten eerste wil ik mijn stagementor en collega’s Pieterjan Heyse, Frank De La Marche en Benoit
Goemanne bedanken omdat ze mijn stage in goede banen hebben geleid en gezorgd hebben voor
een aangename werksfeer.
Als tweede wil ik mijn stagebegeleider van Howest Hans Ameel en lector Tom Decavele bedanken om
mij te helpen bij problemen tijdens de stage en voor hun begeleiding bij deze scriptie.
Als laatste wil ik ook Ann Deraedt bedanken voor alle feedback die ze mij gegeven heeft inzake een
goede structuur en opbouw van mijn scriptie.
Zonder al deze personen zou mijn stage en het schrijven van deze scriptie niet zo vlot zijn verlopen.
Abstract
In deze scriptie wordt de implementatie van een layer 3 bedrijfsnetwerk besproken en uitgelegd. Er
wordt rekening gehouden met de verschillende moeilijkheden en problemen die hiermee gepaard
gaan in organisch gegroeide bedrijfsnetwerken waar een duidelijke structuur en planning vaak
ontbreekt.
Het doel van dit document is om een gids te schrijven die bedrijven kan helpen bij de implementatie,
de uitbreiding of aanpassing van hun layer 3 netwerk in de mate dat dit mogelijk is gezien de grote
variëteit aan producten en technologieën. Tevens wordt ook een theoretische basis inzake layer 3
netwerken en bijhorende terminologieën en richtlijnen verschaft.
Om dit te bewerkstelligen worden eerst enkele basistermen inzake netwerken uitgelegd en
besproken. Vervolgens wordt een layer 3 netwerk gedefinieerd en worden de voordelen, nadelen en
het nut hiervan besproken. Het theoretische luik wordt afgesloten met de problematiek rond
organische bedrijfsnetwerken en hun oplossingen. Het praktische luik begint met de voorbereiding
van het bestaande netwerk en inplannen van de implementatie gevolgd door de uitvoering hiervan.
Achteraf worden ook enkele veel voorkomende problemen apart bekeken en behandeld.
Als resultaat levert dit een document dat gebruikt kan worden om de basis van een layer 3
implementatie stap voor stap te begeleiden en in goede banen te leiden of om specifieke problemen
te onderzoeken en tot een oplossing te komen. Het document behandelt slechts enkele onderdelen
die in een layer 3 netwerk geconfigureerd kunnen worden. Dit onderwerp is namelijk zo breed en
biedt zo veel mogelijkheden dat het onmogelijk is deze allemaal in 1 document samen te brengen
zonder dat dit onduidelijk en te technisch wordt.
De conclusie is dan ook dat ieder bedrijfsnetwerk anders is en dus ook een licht andere
implementatie zal kennen. Sommige zullen meer features implementeren, anderen zullen bepaalde
features laten vallen. Het is nagenoeg onmogelijk een gids te schrijven die iedere mogelijke feature
implementeert of ieder mogelijk probleem dat zich kan voordoen behandelt. Een goede basis is
echter de sleutel tot het bouwen van een functioneel layer 3 netwerk. Als de basis correct
geïmplementeerd is kunnen op een vlotte en eenvoudige manier extra opties toegevoegd worden.
Tevens worden de mogelijke problemen die zich kunnen voordoen hiermee ook beperkt wat leidt tot
een functioneel en rendabel bedrijfsnetwerk dat zich vlot laat beheren en uitbreiden.
Inhoudsopgave
Woord vooraf.................................................................................................................................
Abstract .........................................................................................................................................
Inhoudsopgave...............................................................................................................................
Figurenlijst .....................................................................................................................................
Lijst met afkortingen ......................................................................................................................
Verklarende woordenlijst ...............................................................................................................
Inleiding .........................................................................................................................................
1 Types Bedrijfsnetwerken en layers ............................................................................................... 13
1.1
2
Open Systems Interconnect model ................................................................................... 13
1.1.1
Laag 1: Fysieke laag ................................................................................................... 14
1.1.2
Laag 2: Data link laag ................................................................................................. 14
1.1.3
Laag 3: Netwerk laag ................................................................................................. 15
1.2
Organische en anorganische bedrijfsnetwerken ............................................................... 16
1.2.1
Anorganische bedrijfsnetwerken .............................................................................. 16
1.2.2
Organische bedrijfsnetwerken .................................................................................. 16
1.3
Hiërarchische bedrijfsnetwerken ...................................................................................... 17
1.3.1
Core niveau................................................................................................................ 18
1.3.2
Distribution niveau .................................................................................................... 18
1.3.3
Access niveau ............................................................................................................ 19
Definiëring en voordelen layer 3 netwerk..................................................................................... 20
2.1
2.2
Een Layer 3 bedrijfsnetwerk .............................................................................................. 20
Wanneer een layer 3 netwerk implementeren ................................................................. 21
2.2.1
Bedrijfsomvang .......................................................................................................... 21
2.2.2
Beveiliging.................................................................................................................. 21
2.2.3
Performance .............................................................................................................. 22
2.3
Vereisten layer 3 netwerk ................................................................................................. 23
3
2.3.1
Beheerde switches .................................................................................................... 23
2.3.2
vlans ........................................................................................................................... 23
2.3.3
Budget en tijd ............................................................................................................ 23
2.4
voordelen van een Layer 3 bedrijfsnetwerk ...................................................................... 24
2.4.1
Beveiliging.................................................................................................................. 24
2.4.2
Snellere en uitgebreide interne routering................................................................. 24
2.4.3
Schaalbaarheid .......................................................................................................... 24
2.4.4
Hiërarchische structuur ............................................................................................. 25
2.4.5
Eerste stap naar een redundant netwerk ................................................................. 25
Problemen met implementatie in een organisch bedrijfsnetwerk ............................................... 26
3.1
Upgrade in een organisch gegroeid bedrijf ....................................................................... 26
3.1.1
3.1.2
3.1.3
Situatieschets organisch bedrijf ................................................................................ 26
Problematiek ............................................................................................................. 27
Oplossingen ............................................................................................................... 27
1
4
Benodigde documentatie .............................................................................................................. 30
5
4.1
Netwerktopologie.............................................................................................................. 30
4.2
Fysiek plan ......................................................................................................................... 31
4.3
IP-plan................................................................................................................................ 32
4.4
Kabelidentificatie ............................................................................................................... 33
Configureren van het layer 3 apparaat ......................................................................................... 34
5.1
Toegang en beveiliging ...................................................................................................... 34
5.1.1
Access Control Lists ................................................................................................... 34
5.1.2
Toegang tot apparaat ................................................................................................ 35
5.2
vlans en routering.............................................................................................................. 38
5.2.1
vlans aanmaken en configureren .............................................................................. 38
5.2.2
vlan routering en default route instellen .................................................................. 38
5.2.3
Routering beperken ................................................................................................... 39
5.3
Interfaces ........................................................................................................................... 41
6
5.3.1
Access interfaces ....................................................................................................... 41
5.3.2
Trunk interfaces......................................................................................................... 42
5.3.3
Port-channels............................................................................................................. 42
implementatie van het layer 3 netwerk ........................................................................................ 44
6.1
Implementatie voorbereiden ............................................................................................ 44
6.1.1
Bekabeling en bestaande apparatuur ....................................................................... 44
6.1.2
Aanpassen van de layer 2 switches ........................................................................... 45
6.1.3
DHCP server ............................................................................................................... 46
6.2
Fysieke Implementatie In het netwerk.............................................................................. 51
6.2.1
Fysieke en logische locatie van het apparaat ............................................................ 51
6.2.2
Tijdelijke instellingen ter bereikbaarheid van het apparaat. .................................... 52
6.3
Netwerkvernieuwingen configureren en in gebruik nemen ............................................. 53
7
6.3.1
Nieuwe vlans in gebruik nemen ................................................................................ 53
6.3.2
Spanning tree ............................................................................................................ 55
Frequente problemen en troubleshooting ................................................................................... 58
7.1
Algemene problemen ........................................................................................................ 58
7.1.1
Foutieve en verouderde default gateways................................................................ 58
7.1.2
Configuratiefouten in nieuwe ACL’S.......................................................................... 59
7.2
Specifieke problemen ........................................................................................................ 60
7.2.1
Virtual Desktops en jumbo frames ............................................................................ 60
7.2.2
Allied Telesis webinterface ........................................................................................ 60
7.2.3
Virtual Private Network tunnel ................................................................................. 61
Besluit............................................................................................................................................
literatuurlijst ..................................................................................................................................
Bijlagen ..........................................................................................................................................
2
Figurenlijst
Figuur 1: OSI-MODEL(Arisar, 2011) ___________________________________________________ 13
Figuur 2: HUB(Hub, z.d.) ___________________________________________________________ 14
Figuur 3: Switch (Switch, z.d.) _______________________________________________________ 14
Figuur 4: Datgramfields.(Microsoft, 2001) _____________________________________________ 14
Figuur 6: The IP datagram(ching chang, 2010) __________________________________________ 15
Figuur 7: Wiring nightmares (Oksnevad, 2013)__________________________________________ 16
Figuur 8: Cisco's 3 layer architecture model (Robinson, 2011) ______________________________ 17
Figuur 9: layer 2 core (Allied Telesis z.d.) ______________________________________________ 17
Figuur 10: core layer switch features (Cisco, 2012) ______________________________________ 18
Figuur 11: Distribution layer switch features(Cisco, 2012) _________________________________ 18
Figuur 12: Access layer switch features (Cisco, 2012) _____________________________________ 19
Figuur 13: Organic company network _________________________________________________ 26
Figuur 14: Network topology diagram(Cinergix Pty. Ltd., 2013) _____________________________ 30
Figuur 15: Ethernet lan layout floorplan(CS odessa corp, 2014) ____________________________ 31
Figuur 16: IP-plan voorbeeld ________________________________________________________ 32
Figuur 17: Kabelidentificatietabel ____________________________________________________ 33
Figuur 18: IP ACL _________________________________________________________________ 35
Figuur 19: Admin user en enable paswoord ____________________________________________ 35
Figuur 20: RSA keys _______________________________________________________________ 36
Figuur 21: Toegang beveiligen en beperken ____________________________________________ 37
Figuur 22: Namen vlan ____________________________________________________________ 38
Figuur 23: vlan IP-adres en helper-address _____________________________________________ 38
Figuur 24: IP-routing ______________________________________________________________ 39
Figuur 25: IP-route________________________________________________________________ 39
Figuur 26: Named ACL WIFI _________________________________________________________ 39
Figuur 27: ACL in _________________________________________________________________ 40
Figuur 28: Access poorten __________________________________________________________ 41
Figuur 29: Trunk poorten __________________________________________________________ 42
Figuur 30: Port-channel ____________________________________________________________ 43
Figuur 31: Switch VLANS ___________________________________________________________ 45
Figuur 32: Configuratie upload/download _____________________________________________ 45
Figuur 33: IP-range DHCP scope _____________________________________________________ 46
3
Figuur 34: manuele DHCP scope _____________________________________________________ 46
Figuur 35: Een batch file uitvoeren ___________________________________________________ 48
Figuur 36: Batchfile scopes _________________________________________________________ 49
Figuur 37: Powershell Script ________________________________________________________ 49
Figuur 38: CSV files _______________________________________________________________ 49
Figuur 39:Powershell Script(Bokelman S, 2012__________________________________________ 50
Figuur 40: completed server room project (Robert Camp, 2003) ____________________________ 51
Figuur 41: Site blocked (Slainte mhath, 2012) __________________________________________ 52
Figuur 42: Untagged vlan __________________________________________________________ 53
Figuur 43: Default PVID ____________________________________________________________ 54
Figuur 44: PVID configuratie file _____________________________________________________ 54
Figuur 45: STP running configuratie __________________________________________________ 56
Figuur 46: STP vlan 1 ______________________________________________________________ 56
Figuur 47: RSTP Allied Telesis _______________________________________________________ 57
4
Lijst met afkortingen
ACL: Access Control List
CAM: Content Addressable Memory
EoL: End of Life
POE: Power Over Ethernet
PVID: Port vlan IDentifier
QoS: Quality of Service
SSH: Secure SHell
STP: Spanning Tree Protocol
RSTP: Rapid Spanning Tree Protocol
VDI: Virtual Desktop Infrastructure
VPN: Virtual Private Network
5
6
Verklarende woordenlijst
Backbone: De backbone van een bedrijfsnetwerk is een beetje te zien als de snelweg van een
bedrijfsnetwerk. Een bedrijfsnetwerk zal vaak vertakken naar verschillende afdelingen en locaties
maar uiteindelijk zal heel veel data terechtkomen op 1 snel, zeer zwaar netwerksegment dat veelal
ook naar het internet gaat. Dit onderdeel noemt men de backbone
Benchmark: Dit is een term die gebruikt wordt in de wereld van kwaliteitsbewaking. Een benchmark
is een standaard afgeleid uit het testen van systemen en de onderliggende processen. Deze
benchmark kan vervolgens gebruikt worden om bijvoorbeeld de minimale vereiste kwaliteiten en
eigenschappen van systemen vast te leggen of om de gemiddelde performance van een netwerk vast
te leggen en deze zo systematisch te verbeteren.
Broadcast domain: Een broadcast domain is een verzameling van netwerkapparaten en end-devices
naar waar 1 broadcast allemaal gestuurd wordt. Dit kan bestaan uit 1 vlan of 1 gehele LAN
afhankelijk van hoe het bedrijfsnetwerk geïmplementeerd is.
Broadcaststorm: Dit is een fenomeen dat zich voordoet in grote layer 2 netwerken. In zo een
netwerk worden broadcasts gebruikt door switches om ongekende mac-adressen te achterhalen. In
grote netwerken kan het echter gebeuren dat switches de hoeveelheid mac-adressen niet meer
kunnen bijhouden. Het broadcastverkeer neemt hierdoor toe wat uiteindelijk de performance van
het netwerk verlaagt.
Soms kan een broadcaststorm ook opzettelijk gelanceerd worden door personen met interne
toegang tot het netwerk
Collision: Een collision is wanneer 2 of meerdere internet pakketten met elkaar botsen. Dit gebeurt
bij oudere netwerkapparaten die niet tegelijkertijd data kunnen zenden en ontvangen. Als 2 zulke
apparaten tegelijkertijd een pakket naar elkaar verzenden zal er een collision plaatsvinden
Collision-domain: Een collision-domain is een verzameling van netwerkapparaten waartussen
collisions kunnen plaatsvinden.
Dataframe: Een dataframe is het pakket dat samengesteld wordt op de 2de lag van het OSI-model.
Het bevat onder andere de data, het mac-adres van de bestemming en het mac-adres van de
verzender.
Datagram: Een datagram is het pakket dat op de netwerklaag wordt samengesteld. Het bevat onder
andere een dataveld, het IP-adres van de bestemming en het IP-adres van de verzender. Het
datagram wordt alvorens over het netwerk verzonden te kunnen worden ondergebracht in het
dataveld van een dataframe.
Default vlan: De default vlan is altijd vlan 1. Deze staat altijd standaard geconfigureerd op iedere
switch. Indien deze configuratie niet aangepast wordt gaat alle verkeer standaard over vlan 1 naar
alle andere apparaten.
7
Edge-device: Een edge-device is een apparaat data aan de rand van een netwerk staat. In een bedrijf
is dit bijvoorbeeld de router(s) die aan 1 kant verbonden zijn met het interne bedrijfsnetwerk en aan
de andere kant met het publieke internet( al dan niet met nog een firewall tussen als beveiliging)
End-device: Een end-device is een apparaat aan het uiteinde van een netwerk. Het gaat hier vooral
om client devices zoals IP-telefoons, printers en PC’s.
Flood: Een flood in een bedrijfsnetwerk gebeurt wanneer een netwerk apparaat een overvloed aan
een bepaald soort pakket of een bepaald soort gegevens krijgt waardoor het de werking vertraagd of
stopzet. Dit kan gebeuren zowel doordat het apparaat de gegevens niet snel genoeg kan verwerken
of doordat bepaalde tabellen in het apparaat die de gegevens bijhouden vol komen te zitten
Hashen: Hashen is het omvormen van data naar een sleutelwaarde(vaak van vaste lengte) die het
originele bericht voorstelt. Bij het hashen wordt gebruik gemaakt van wiskundige formules waarbij
de originele bewerking niet kan afgeleid worden uit de waarde. Dit maakt het onmogelijk het
originele bericht af te leiden uit de hash. Hashen wordt vaak gebruikt om de integriteit van
verstuurde data te controleren.
High availability: Dit is een term die inhoudt dat een system een zekere mate van redundantie heeft.
Een systeem is available als het bereikt en gebruikt kan worden. High availability houdt in dat een
systeem of dienst beschikbaar blijft ook als 1 of meerdere componenten falen. Dit wordt over het
algemeen bewerkstelligd door het inbouwen van redundante componenten of het uitvoeren van een
back-up van de configuratie.
IP-exclusions: IP-exclusions horen bij het DHCP gebeuren. Een exclusion in een DHCP pool of scope is
1 of meerdere adressen die binnen de DHCP scope vallen maar niet mogen uitgedeeld worden via
DHCP. Vaak is dit omdat deze adressen al statisch gebruikt worden en dit niet kan of mag veranderd
worden.
IP-reservations: Een IP-reservation hoort bij het DHCP gebeuren. Een reservation is een speciale
regel in een bepaalde scope die ervoor zorgt dat een bepaald apparaat altijd hetzelfde IP-adres via
DHCP zal verkrijgen. Dit gebeurt doordat het mac-adres van dit apparaat gekend is op de DHCP
server en een bepaald IP-adres gekoppeld is aan dit mac-adres.
Interne routering: Routering is het verzenden van pakketjes tussen verschillende subnets of lans.
Deze netwerken zijn in theorie gescheiden doordat ze in een ander subnet zitten. Bij interne
routering blijft de data op het interne bedrijfsnetwerk maar is dit netwerk gesegmenteerd in
verschillende lan/subnets.
Leasetime: De leasetime is een optie die geconfigureerd kan worden op een DHCP scope. Het is de
duratie dat een IP-adres verschaft wordt aan een client die de DHCP server gecontacteerd heeft voor
een IP-adres.
Poortdichtheid: Poortdichtheid is een term die gebruikt wordt om de hoeveelheid ethernetpoorten
op een netwerkapparaat te omschrijven. Apparaten met een hoge poortdichtheid zijn dus apparaten
die heel veel netwerkpoorten hebben zoals switches en hubs.
8
Powershell: Dit is een nieuwe scripttaal van Microsoft gebaseerd op het .net framework en speciaal
ontworpen voor het beheer van systemen. Deze scripttaal is uit te breiden met modules genaamd
CMDlets die de gebruiker toestaat zijn eigen toevoegingen aan de scripttaal te maken waardoor deze
zich er uitermate goed toe leent het beheer van microsoft systemen gedeeltelijk te automatiseren.
Rainbowtable: Rainbowtables zijn tabellen waarin veel gebruikte paswoorden en gebruikersnamen
terug te vinden samen met hoe de verschillende hashes van deze data eruit kan zien. Op die manier
is het mogelijk een paswoord heel snel te achterhalen gebaseerd op zijn hashwaarde zolang dat
specifieke paswoord in de rainbowtable staat.
Trunk-link: Trunk-link is een technologie die toestaat 2 netwerkapparaten door middel van meerdere
fysieke kabels met elkaar te verbinden. De apparaten zien deze meerdere fysieke kabels dan als 1
virtuele kabel namelijk de trunk-link. Dit zorgt ervoor dat de capaciteit aan verkeer tussen deze 2
apparaten groter wordt.
Uplink: Uplinks zijn poorten op netwerk apparatuur die bedoeld zijn om te verbinden met andere
netwerkapparatuur. bij oudere switches zullen deze poorten een gigabit-poort zijn in tegenstelling
tot de andere poorten die slechts 100megabit aankunnen. Bij nieuwere switches zijn vaak alle
poorten minimaal 1 gigabit. Het is dan ook mogelijk dat de uplinks dan 10 gigabit aankunnen.
9
10
Inleiding
Computernetwerken zijn bijna niet meer weg te denken uit onze maatschappij. Ieder apparaat moet
met ieder ander apparaat kunnen communiceren. Dit geldt ook voor apparaten in een
bedrijfsnetwerk met als gevolg dat deze steeds groter en complexer worden. Zelfs in kleinere
bedrijven stevenen we af op het punt waarbij een simpel layer 2 netwerk niet langer volstaat om het
verkeer vlot af te handelen. Deze bedrijven zijn vaak echter niet voorbereid, of bezitten niet de
nodige capaciteiten en kennis om een upgrade naar een layer 3 netwerk te implementeren.
Het omschakelen van een layer 2 netwerk naar een layer 3 netwerk kan heel wat problemen met zich
meebrengen. Bedrijven gespecialiseerd in netwerkinfrastructuren zoals Cisco en Allied Telesis
hebben hierover elk hun eigen documentatie en werkwijze maar richten zich vooral op geheel
nieuwe installaties gebruik makend van enkel hun technologieën. Documenten die een omvorming
van een bestaand netwerk bespreken of die er rekening mee houden dat niet alle apparaten in een
bedrijf van eenzelfde fabrikant komen zijn schaars en vaak gebonden aan 1 specifieke situatie.
Dit probleem treft dan vooral organisch of historisch gegroeide bedrijven van wie het netwerk vaak
bestaat uit een grote hoeveelheid verschillende merken en technologieën. Een duidelijke en simpele
layer 3 implemenatie wordt hierdoor bemoeilijkt.
In deze scriptie wordt beschreven hoe een layer 3 netwerk kan geïmplementeerd worden, welke
voorbereidingen hiervoor getroffen dienen te worden en welke functies minimaal geconfigureerd
dienen te worden opdat er voordeel uit de layer 3 implementatie gehaald kan worden. Hierbij wordt
nog steeds rekening gehouden met de suggesties en terminologieën van voorgenoemde fabrikanten
zodat later ook hun documentatie gebruikt kan worden in het onderhoud of de uitbreiding van het
netwerk maar er wordt niet van uit gegaan dat alle apparatuur van 1 fabrikant afkomstig is.
De scriptie is gebaseerd op een effectieve implementatie van een layer 3 netwerk in het
Scheppersinstituut, een middelbare school in Wetteren. De voorbereiding, uitvoering en problemen
die zich voordeden bij deze opdracht zijn dan ook opgenomen in dit document evenals een korte
situering van de belangrijkste terminologieën die gekend dienen te zijn. Hierdoor kan de scriptie
gebruikt worden als handleiding bij een implementatie, als leidraad bij het oplossen van problemen
of om een theoretische kennis op te doen inzake layer 3 netwerken en hoe deze praktisch werken.
11
12
1 Types Bedrijfsnetwerken en layers
Het is belangrijk te weten wat een layer in het netwerk is, wat bedoeld wordt met een organisch
gegroeid bedrijfsnetwerk en een hiërarchisch netwerk. In dit hoofdstuk worden deze termen
gesitueerd en verduidelijkt opdat de lezer een duidelijk begrip heeft van deze terminologieën
1.1 Open Systems Interconnect model
Het Open Systems Interconnect model of OSI-model is de basis van het netwerk. Het is daarom
belangrijk dit model te begrijpen en te kennen alvorens uit te weiden over de verschillen
tussen een layer2 en een layer3 netwerk of welk ander onderdeel in een bedrijfsnetwerk.
Het OSI model is een standaard in de datacommunicatie die ervoor zorgt dat netwerken vlot
met elkaar kunnen communiceren en is best te begrijpen in een schema.
Figuur 1: OSI-MODEL(Arisar, 2011)
Zoals duidelijk te zien is in het schema bestaat het OSI model uit 7 lagen. Deze zijn
genummerd in aflopende volgorde. De bovenste 4 lagen van dit model zullen veeleer
afgehandeld worden door end-devices en de applicaties aanwezig op deze apparaten.
Vandaar dat deze lagen ook de “host layers” genoemd worden. Deze lagen vallen buiten de
omvang van deze scriptie. De onderste 3 lagen(zijnde de fysieke, datalink en netwerk laag)
dienen echter van dichterbij bekeken te worden. Deze 3 lagen worden zowel door enddevices als andere netwerkapparatuur gebruikt om data naar de juiste bestemming te
sturen. Zoals de naam al doet vermoeden zal een layer 3 netwerk naast de fysieke en datalink
laag ook intensief gebruik gaan maken van de netwerk laag.
13
1.1.1 Laag 1: Fysieke laag
Laag 1 is in termen van snelheid de snelste laag. Dit komt omdat er geen logica of
rekenkracht bij vereist is. Deze laag staat simpelweg in voor de verzending van data door
middel van digitale binaire signalen( 1 of 0). De fysieke laag kan voorgesteld worden door de
kabels die netwerkapparaten met elkaar verbindt en wordt enkel gelimiteerd in snelheid
door de maximale snelheid die data kan bereiken over deze
kabels.
Er zijn ook netwerkapparaten die op deze laag werken genaamd
hubs. Hoewel deze steeds minder gebruikt worden en geleidelijk
aan vervangen worden door switches is het interessant deze nog
even in beschouwing te nemen om een algemeen beeld te
vormen van hoe een netwerk werkt.
Figuur 2: HUB(Hub, z.d.)
Een hub is een “dom” apparaat. Het werkt op laag 1 en gebruikt dus geen rekenkracht. Het
ontvangt data en zendt deze vervolgens over al zijn poorten naar buiten. Dit brengt enkele
grote nadelen met zich mee die de snelheid van laag 1 teniet doen. Zo kan een hub enkel
zenden of ontvangen en deze 2 functies niet tegelijk uitvoeren. Verder zal het naarmate een
computernetwerk met hubs groter wordt steeds meer te maken krijgen met collisions. Een
collision zal ervoor zorgen dat de betrokken apparaten een willekeurige tijd wachten
alvorens de data opnieuw proberen te verzenden wat het netwerk algemeen trager maakt
1.1.2 Laag 2: Data link laag
De 2de laag bevat de eerste “intelligente” apparaten die dus intern geheugen gaan gebruiken
om efficiënter data door te sturen. In theorie is deze laag trager dan laag 1 maar in de
praktijk zal door de eerder vermelde nadelen van layer 1
netwerkapparatuur het verschil nauwelijks te merken zijn.
Uiterlijk is er weinig verschil tussen een hub en een switch.
Het grote verschil tussen deze 2 apparaten zit hem in de
manier waarop ze data ontvangen en verzenden.
Ieder apparaat in een netwerk
heeft een fysiek adres
Figuur 3: Switch (Switch, z.d.)
genaamd het mac-adres. Dit
adres is uniek voor elk apparaat en wordt door layer 2
apparaten zoals switches gebruikt om bestemmingen van
dataframes te identificeren. Een layer 2 switch linkt namelijk
mac-adressen aan zijn verschillende poorten zodat het weet
door welke poort het een pakket moet sturen. Deze macadressen leert het door frames met een onbekend
bestemmings mac-adres te flooden en de respons erop in een
Content Addressable Memory (CAM) tabel op te slaan.
Figuur 4:
Datgramfields.(Microsoft, 2001)
14
De beperkingen van Layer 2 apparaten worden vooral duidelijk als een bedrijfsnetwerk
groter wordt. Een layer 2 device kijkt namelijk zoals de naam doet vermoeden enkel naar de
2de laag, het komt nooit toe aan de derde laag waarin het IP-adres wordt opgeslagen. Dit
zorgt ervoor dat layer 2 apparaten geen pakketten kunnen sturen naar apparaten in een
ander subnet. Hiervoor hebben ze de hulp nodig van een router of layer 3 switch. In kleine
bedrijven is het echter vaak niet nodig meerdere subnets te beheren en zal intern een layer 2
netwerk voldoende zijn.
1.1.3 Laag 3: Netwerk laag
In de netwerk laag worden het IP-adres en subnet bekeken en afgehandeld. Ieder netwerk
van een klein thuisnetwerk met 2 pc’s tot een groot bedrijfsnetwerk met meerdere locaties
dient een layer 3 capabel apparaat te gebruiken om op het internet te komen. Thuis is dat
een modem of router die met het internet verbonden is en soms ook een beetje interne
routering doet, in grote bedrijven gaat dit meestal om Layer 3 switches, die de snelheid en
poortdichtheid van een switch combineren met de routering van een router en dus zeer
geschikt zijn om interne routering in het bedrijf af te handelen, of een router. In vele gevallen
zelfs beide. Dit apparaat is nodig voor de internetconnectie omdat eens op het internet
tussen verschillende subnets gerouteerd wat enkel kan met layer 3 capabele apparaten.
Figuur 5: The IP datagram(ching chang, 2010)
Een layer 3 apparaat gaat de inhoud van
het datagram bekijken. Hieruit kan het
afleiden of het pakket lokaal moet
blijven of naar een ander subnet dient
gerouteerd te worden. Dit betekent
echter wel dat layer 3 apparaten trager
werken dan layer 2 apparaten. Ze
moeten namelijk de info uit het
dataframe halen, deze analyseren en
vervolgens weer in een dataframe
stoppen en verzenden.
15
1.2 Organische en anorganische bedrijfsnetwerken
Inzake bedrijfsnetwerken wordt er ook een onderscheid gemaakt tussen enerzijds organisch
gegroeide bedrijfsnetwerken en anderzijds anorganisch gecreëerde bedrijfsnetwerken.
1.2.1 Anorganische bedrijfsnetwerken
Deze bedrijfsnetwerken worden zo genoemd omdat ze tijdens het uitbouwen van hun ITinfrastructuur ofwel een duidelijke policy gevolgd hebben of ze hebben hun IT-infrastructuur
in één keer uitgebouwd tot wat het nu is waardoor er dus een duidelijk structuur,
documentatie en policy is.
Kenmerken van deze soorten netwerken zijn

Heel homogeen netwerk

Alle apparatuur is vaak van eenzelfde leeftijd/technologie

Documentatie van het netwerk is heel duidelijk en wordt up to date gehouden

Er zijn duidelijk policies en richtlijnen om verdere netwerkuitbreiding vlot te laten
verlopen
Anorganische bedrijven zijn vaak:

Recent opgerichte bedrijven

Bedrijven met een groot budget om grote netwerken in 1 maal te implementeren

Bedrijven met een grote afhankelijkheid van IT-infrastructuur

Bedrijven waar de implementatie van de IT-infrastructuur uitbesteedt wordt naar
een gespecialiseerd bedrijf

Bedrijven waarbij de verwachte groei heel nauwkeurig benaderd en ingepland kan
worden.
1.2.2 Organische bedrijfsnetwerken
Deze netwerken zijn dan weer gegroeid uit de noden met slechts een beperkte blik naar de
toekomst. Het netwerk wordt uitgebreid als daar nood aan is en zal dan vaak uitgebreid
worden met de meest budgetvriendelijke oplossing van dat moment.
Kenmerken van deze soorten netwerken zijn
 Netwerken samengesteld met apparatuur van
verschillende fabrikanten
 Oude apparatuur wordt gecombineerd met
gloednieuwe apparatuur
 De documentatie bevat gaten, is niet opgesteld
AHV duidelijke policies
 Netwerkuitbreidingen worden van moment tot
moment bekeken en zijn dus niet geleid door
policies en best practices
 Bekabeling is soms chaotisch en veeleer niet of
incorrect gelabeld
Figuur 6: Wiring nightmares (Oksnevad,
2013)
.
16
1.3 Hiërarchische bedrijfsnetwerken
Tijdens de implementatie van een nieuw layer 3 netwerk wordt vaak gesproken over de 3
niveaus waar een bedrijfsnetwerk dient in opgedeeld te worden. Dit creëert een hiërarchisch
model dat zich er ideaal toekent om op redundante en efficiënte manier een netwerk te
implementeren en of uit te breiden. Onderstaande afbeelding toont deze hiërarchie.



Core
Distribution
Access
Figuur 7: Cisco's 3 layer architecture model (Robinson, 2011)
Het is belangrijk hierbij te vermelden dat dit schema een voorstelling is van de ideale situatie
met volledige redundantie en duidelijk gesplitste niveau. Veel bedrijven zullen geen
redundantie over het volledige netwerk kunnen inbouwen en kleinere bedrijven zullen vaak
ook het distribution en core niveau combineren in één geheel zoals op onderstaande
afbeelding.
Figuur 8: layer 2 core (Allied Telesis z.d.)
17
1.3.1 Core niveau
Het core niveau is de backbone van het
bedrijfsnetwerk. De netwerkapparatuur op dit
niveau zijn meestal high end-devices zoals
layer 3 switches en routers en zijn onderling
met elkaar verbonden met redundante snelle
verbindingen zoals glasvezelkabels en 10gigabit koperen kabels.
Figuur 9: core layer switch features (Cisco, 2012)
In dit niveau bevindt zich ook de router die
uiteindelijk naar het internet leidt en het
edge-device van het netwerk vormt.
Naast deze netwerkapparatuur host dit niveau
ook de centrale diensten zoals servers die over het hele netwerk beschikbaar moeten zijn, de
centrale die het interne IP-telefoonverkeer afhandelt, en andere apparaten die men logisch
gezien centraal in het netwerk plaatst.
Over deze apparaten komt over het algemeen enkel data die niet lokaal is. Data die naar het
internet moet of tussen verschillende netwerksegmenten (gesplitst door locatie en/of vlans)
in het bedrijf dient gerouteerd te worden.
Redundantie en snelheid zijn in dit niveau de sleutel gezien een bottleneck of hardware falen
op dit niveau gevolgen heeft voor het hele netwerk.
1.3.2 Distribution niveau
Het niveau dat het core met het access
niveau verbindt, is het distribution niveau. In
kleinere bedrijven wordt dit echter vaak
samengevoegd met het core niveau.
De apparatuur op dit niveau kan bestaan uit
layer 2 switches maar vaak ook uit layer 3
switches afhankelijk van de grootte van het
bedrijfsnetwerk en de implementatie van dit
niveau.
Figuur 10: Distribution layer switch features(Cisco,
2012)
Ook servers die slechts door bepaalde
netwerksegmenten gebruikt dienen te
worden kunnen zich op dit niveau bevinden
Op dit niveau wordt interne routering en toegang afgehandeld. Het distribution niveau staat
dus voor een groot deel in voor interne beveiliging maar ook routering tussen vlans en
netwerksegmenten wordt hier nog steeds afgehandeld.
Redundantie en snelheid zijn hier nog steeds belangrijk maar in iets mindere mate. Cisco
raadt echter nog steeds aan dit niveau volledig redundant te houden.
18
1.3.3 Access niveau
Als laatste is er het Access niveau. Dit is het
niveau waar clients zoals pc’s en printers
maar ook draadloze access points uiteindelijk
verbinding mee zullen maken.
Dit niveau bestaat over het algemeen uit
goedkopere switches en Power Over
Ethernet(POE) apparaten.
Figuur 11: Access layer switch features (Cisco, 2012)
Het access niveau zal beveiliging implementeren op poortniveau zodat niemand een
willekeurig apparaat kan inpluggen en op het netwerk kan surfen. Van alle niveaus bevindt
het zich het dichtst bij de eindgebruiker. Er moet dan ook rekening mee gehouden worden
dat deze eind gebruiker vaak ook fysieke toegang tot de apparaten heeft.
Redundantie en snelheid zijn hier niet langer de prioriteit gezien dit niveau zeer breed
verspreid is door het gehele netwerk en het meeste apparaten bevat. High availability is
enkel aan te raden voor bepaalde segmenten die cruciaal zijn voor de werking van het bedrijf
of die zich geen down time kunnen veroorloven.
19
2 Definiëring en voordelen layer 3 netwerk
Er is een onderscheid tussen de term “layer 3” in het OSI-model en een layer 3 netwerk. Een
layer 3 netwerk zal intensief gebruik maken van de functies die aangeboden worden in de derde
laag van het OSI-model. Ieder netwerk gebruikt deze 3de laag op een gegeven punt in de
communicatie. Wat bedoeld wordt met een layer 3 bedrijfsnetwerk en wat de vereisten,
gevolgen en voordelen hiervan zijn wordt in dit hoofdstuk uitgelicht.
2.1 Een Layer 3 bedrijfsnetwerk
Een layer 3 capabel apparaat is nodig voor iedereen die op het internet wil gaan. Er kan echter
slechts van een volwaardig layer 3 bedrijfsnetwerk gesproken worden als er ook layer 3
capabele apparaten op andere locaties worden toegepast dan juist het eindpunt waar het
bedrijfsnetwerk over gaat naar het internet. Vaak bevindt zich in deze bedrijven naast de
Router als edge-device ook minstens één layer 3 switch die layer 3 functies in het
bedrijfsnetwerk lokaal gaat afhandelen zoals interne routering en het beter beveiligen van het
interne netwerk.
Dit zijn zowat de minimale vereisten om van een layer 3 netwerk te praten. Grotere bedrijven
kunnen ook nog van een layer 3 netwerk spreken als er gescheiden locaties gaande van 2
gebouwen in eenzelfde stratenblok tot verschillende takken van een multinational bedrijf
efficiënt met elkaar verbonden dienen te worden. Om dit te doen moet data gerouteerd
worden over het internet zonder dat deze data logisch gezien buiten het bedrijfsnetwerk gaat.
de data wordt over het publieke internet gestuurd maar beginpunt en eindpunt bevinden zich
binnen hetzelfde bedrijf.
Een layer 3 netwerk zal dus naast het edge-device minimaal 1 ander layer 3 capabel apparaat
bevatten en zal intensief gebruik gaan maken van interne routering.
Een bedrijf kan hiervoor opteren voor een tal van redenen maar de meest voorkomende
redenen zijn:




Betere security
Betere performance
Splitsing van diensten op het netwerk
Meerdere fysieke sites met elkaar verbinden
20
2.2 Wanneer een layer 3 netwerk implementeren
Het is onmogelijk in absolute cijfers of met duidelijke policies te bepalen wanneer een bedrijf
zijn netwerk moet upgraden naar een volwaardig layer 3 netwerk. Deze beslissing hangt af van
heel wat bedrijfsspecifieke details zoals de aard van het bedrijf, de omvang, de interne
diensten en de diensten die mogelijk uitbesteed worden.
Deze details allemaal behandelen en duidelijk definiëren valt buiten de omvang van dit
document. Er zijn echter wel enkele sleutelpunten die gebruikt kunnen worden om te
beslissen of een upgrade van het netwerk nodig is of niet.
2.2.1 Bedrijfsomvang
Hoewel het onmogelijk is met vaste cijfers een regel te bepalen wanneer een layer 3 netwerk
nodig is kunnen bepaalde gegevens over de IT-infrastructuur wel meehelpen in de beslissing
om al dan niet over te schakelen:



Netwerkdiameter groter dan 7
Actieve gebruikers op piekmoment groter dan 150
Meerdere fysiek gescheiden sites voor het bedrijf
2.2.2 Beveiliging
Heel wat zaken betreffende beveiliging van het netwerk gebeuren op layer 2. Het gaat hier
meestal om vrij algemene beveiligingsmaatregelen. Met een layer 3 apparaat kunnen deze
beveiligingen echter verfijnd worden en ook verder uitgebreid met layer 3 technologie zoals
subnet en IP-adres beveiliging.
Om te voorkomen dat bepaalde vlans niet in bepaalde netwerksegmenten of aan bepaalde
resources kunnen maar andere vlans dan weer wel is een layer 3 netwerk de efficiëntste
manier om dit vlot en flexibel te doen.
Verder is het ook interessant het beheer van het netwerk vanuit 1 vlan te doen die alle
apparaten kan bereiken terwijl andere vlans beperkt moeten blijven tot hun eigen lokale
segment.
21
2.2.3 Performance
2.2.3.1 Broadcast
Een layer 2 switch zal in een te groot netwerk heel wat broadcastverkeer genereren. Dit
verkeer is nodig voor layer 2 apparaten om de verschillende apparaten in één
netwerksegment te vinden maar kan bij grote netwerken heel wat verkeer genereren wat
voor extra belasting van het netwerk zorgt.
2.2.3.2 Inter-vlan routing
Indien in een bedrijf al gebruik gemaakt wordt van vlans en subnets maar veel van deze
aparte segmenten nog steeds met elkaar dienen te communiceren is het ook interessant te
upgraden naar een layer 3 netwerk.
Indien het hier maar om sporadische communicatie gaat kan de layer 3 routering gebeuren
door een router op het einde van het netwerk. Dit zorgt er echter wel voor dat alle
communicatie tussen verschillende subnets eerst helemaal naar de router moet, daar
behandeld wordt( een router is een trager werkend apparaat) alvorens het terug in het
eigen netwerk gestuurd wordt.
Indien dit niet gewenst is of dit verkeer te groot wordt om door een end-point router
afgehandeld te worden zorgt een upgrade naar een volwaardig layer 3 netwerk met layer 3
switches voor een vlotte en snellere oplossing.
2.2.3.3 De 20-80 regel
De 20-80 regel is een idee van Cisco in een poging toch een algemeen model voor te stellen
wanneer het aan te raden is een layer 3 netwerk te implementeren. Met deze regel stellen
ze dat in een modern bedrijf ongeveer 20% van het verkeer lokaal blijft. Dit wil zeggen in
hetzelfde subnet. In vele gevallen zelfs lokaal op 1 of 2 switches. Het gaat hier bijvoorbeeld
over het aansturen van een printer, een document naar een collega op dezelfde dienst
sturen of zelfs IP-telefoons gebruiken. 80% van het verkeer blijft echter niet lokaal. Het gaat
omhoog in het netwerk. Hier gaat het over 2 gescheiden diensten die met elkaar praten.
Bestanden die afgehaald worden van een fileserver, mails die verstuurd worden en
natuurlijk ook alle communicatie die naar buiten gaat zoals surfen op het web.
Als een bedrijf ziet dat het aan deze regel voldoet wil dit zeggen dat zonder een layer 2
netwerk de router 80% van het verkeer ziet voorbijkomen en dient te behandelen ook al zal
slechts een fractie daarvan effectief naar buiten naar het internet gestuurd worden. In dit
geval is het dus aan te raden layer 3 apparaten in het netwerk op te nemen die zoveel
mogelijk het interne verkeer routeren zodat de router enkel belast wordt met verkeer dat
effectief naar buiten gestuurd moet worden.
22
2.3 Vereisten layer 3 netwerk
De vereisten om een volwaardig layer 3 netwerk te implementeren hangen grotendeels af van
bedrijf tot bedrijf. Echter zijn er wel enkele technologieën die aanwezig zijn of gelijktijdig
worden geïmplementeerd om te kunnen genieten van de voordelen van een layer 3 netwerk.
2.3.1 Beheerde switches
Een beheerde switch is een switch die via een IP-adres wordt beheerd. Bepaalde features
kunnen ingesteld en geconfigureerd worden. Sommige switches (vooral oudere modellen en
goedkopere switches) zijn nog onbeheerd. Dit zijn een soort “plug and play” switches. Eens in
het netwerk leren ze de mac-adressen die ermee verbonden zijn en doen dus aan gericht
verzenden van data. Extra opties zoals beveiliging per poort op basis van een mac-adres,
verschillende vlans definiëren, enzovoort. kunnen op deze switches echter niet waardoor
veel van de voordelen die een layer 3 netwerk biedt niet kunnen worden toegepast op dit
segment in het netwerk of alle onderliggende apparaten.
Het is daarom belangrijk dat het volledige of toch minimaal het core en distribution niveau
en een deel van het access niveau bestaat uit beheerde switches. Het is mogelijk een layer 3
netwerk te implementeren met nog enkele onbeheerde switches maar dan moet de planning
en implementatie rekening houden met deze apparaten en kunnen deze best zo snel
mogelijk vervangen worden.
2.3.2 vlans
vlans worden gebruikt om een netwerk bestaande uit layer 2 apparaten te segmenteren
zonder dat daar een layer 3 capabel apparaat voor nodig is. Om tussen segmenten te
routeren is echter wel een layer 3 apparaat nodig. vlans op zich zijn echter volledig
configureerbaar op bijna elke beheerde layer 2 switch. vlans bieden in een layer 2 netwerk al
vele voordelen maar kunnen nog beter en verfijnder gebruikt gaan worden in een layer 3
netwerk. Het niet gebruiken van vlans in een modern bedrijfsnetwerk is al bijna onmogelijk
en zal bij een layer 3 netwerk ervoor zorgen dat het layer 3 apparaat bijna geen enkele
meerwaarde bied. Het gebruik van vlans is dus essentieel in het uitbouwen van een layer 3
netwerk
2.3.3 Budget en tijd
Het is een beetje voor de hand liggend dat een upgrade van een bedrijfsnetwerk geld en tijd
zal kosten. Toch wordt dit vaak volledig of gedeeltelijk over het hoofd gezien. Layer 3
switches en professionele routers zitten namelijk een prijsklasse hoger dan de normale
switches in een bedrijf en ook de planning vooraf, tijdens en na de upgrade, wordt vaak
onderschat.
Het is belangrijk dat een bedrijf goed inziet welke omvang de layer 3 upgrade heeft en wat
ervoor nodig zal zijn. Een budget en extra tijd voor de IT-dienst zijn dus zeker vereist. Ook
een goede analyse van de bestaande infrastructuur en planning van de nieuwe infrastructuur
is nodig om een layer 3 implementatie vlot en efficiënt te laten verlopen
23
2.4 voordelen van een Layer 3 bedrijfsnetwerk
2.4.1 Beveiliging
Zoals eerder vermeld biedt een layer 3 netwerk heel wat extra opties rond beveiliging. Er kan
heel ver gegaan worden met deze opties. Kleinere bedrijven zullen slechts minimaal van de
nieuwe opties gebruik maken. Maar zelfs een klein bedrijf met een heel simpel layer 3
netwerk zal op zijn minst enkele extra security features gaan gebruiken en dus de algemene
veiligheid van zijn netwerk verbeteren.
Enkele basis security features van layer 3 apparaten zijn:



Inter-vlan routing
AccessControl-Lists(ACL)-beveiliging op vlan niveau
Intern verkeer Fysiek scheiden van Edge-devices
2.4.2 Snellere en uitgebreide interne routering
Hoewel het mogelijk is verschillende vlans te gebruiken om een bedrijfsnetwerk te
segmenteren en de interne routering te laten afhandelen door een edge-router beperkt dit
het aantal vlans dat gebruikt kan worden en zal de algehele performance van het netwerk al
snel afnemen naarmate er meerdere vlans gebruikt worden. Verder zal het edge-device
onnodig belast worden met interne routering.
Volgens Syed Balal Rumy(2013) bestaan layer 3 switches in netwerken omdat ze de routering
zeer snel kunnen verwerken en heel flexibel kunnen werken door de hogere poortdichtheid.
Met een volwaardig layer 3 netwerk wordt de interne routering door een apart apparaat
afgehandeld. Veelal is dit een layer 3 switch in het core niveau. Niet alleen ontlast dit de
edge-router van interne routering, ook kan een layer 3 switch dit sneller uitvoeren. De
hogere poortdichtheid van switches zorgt ervoor dat bepaalde segmenten hogere
capaciteiten bedeeld kunnen krijgen door middel van Trunk-links alsook dat meer vlans
geconfigureerd kunnen worden doordat niet alle data over 1 tot 4 fysieke lijnen moet gaan.
Dit alles zorgt ervoor dat een layer 3 netwerk meer aparte segmenten(vlans) aankan zonder
verlies van performance. De interne routering tussen deze segmenten kan dan ook nog eens
sneller afgehandeld worden dan met een router.
2.4.3 Schaalbaarheid
Een bedrijfsnetwerk bestaande uit layer 2 switches kan heel groot uitgroeien maar oneindig
groot kan zo een netwerk niet worden. Dit komt doordat layer 2 switches gebruik maken van
een tabel met mac-adressen om te weten uit welke poort ze bepaalde data dienen te sturen
om het zijn bestemming te laten bereiken. Als een switch een pakket met een onbekend
mac-adres krijgt zal het dit pakket uit al zijn poorten broadcasten om zo de uiteindelijke
bestemming te achterhalen en in zijn tabel op te slaan. Bij hele grote netwerken kan deze
tabel echter te klein worden voor alle apparaten. De switch zal dan automatisch de oudste
waardes verwijderen met als gevolg dat indien de switch een pakket ontvangt met als
bestemming 1 van de verwijderde apparaten het opnieuw een broadcast zal uitzenden om
het apparaat opnieuw te ontdekken.
24
Uiteindelijk zal bij een heel groot netwerk dit ertoe leiden dat de layer 2 switches continu
waarden uit hun tabel zullen verwijderen en deze iets later opnieuw zullen moeten leren. Dit
zorgt ervoor dat het netwerk steeds meer broadcast verkeer zal genereren tot op het punt
dat dit de performance van het netwerk zal beginnen verlagen. Dit probleem is een
broadcaststorm.
Broadcaststorms kunnen voorkomen worden door het bedrijfsnetwerk te segmenteren. Zoals
eerder vermeld gebeurd dit in een layer 3 netwerk door middel van vlans.
Een layer 3 netwerk kan dus in tegenstelling tot een puur layer 2 netwerk wel oneindig groot
worden zonder dat de performance van het netwerk afneemt zolang er voldoende
apparatuur met voldoende verwerkingskracht voorzien wordt.
2.4.4 Hiërarchische structuur
Heel veel oudere bedrijfsnetwerken, of netwerken die heel organisch gegroeid, zijn bestaan
uit een soort losse ketting van aaneengesloten apparaten. Bij deze netwerken is het zeer
moeilijk een overzicht te behouden. Dit maakt configuratie, netwerk-onderhoud en uitbreiding zeer moeilijk. De meeste bedrijven houden echter vast aan deze losse
kettingstructuur omdat het omvormen hiervan heel wat tijd vergt en de initiële configuratie
ook iets moeilijker is en gepaard gaat met down time. In de omvorming naar een layer 3
netwerk wordt vaak overgegaan naar een hiërarchische structuur met verschillende niveaus
omdat dit kostenbesparend kan werken tijdens de upgrade. Als toegevoegde bonus zorgt dit
er ook voor dat onderhoud, uitbreiding en configuratie van de nieuwe netwerkstructuur,
eenmaal geïmplementeerd, vlotter en efficiënter kan gebeuren.
2.4.5 Eerste stap naar een redundant netwerk
In het ideale bedrijfsnetwerk zou iedere machine redundant verbonden moeten zijn met het
netwerk en zou ook het gehele netwerk redundant moeten zijn. Deze ideale situatie komt
echter zeer weinig tot niet voor in de praktijk. Een van de grootste redenen hiervoor is de
kostprijs. Om zelfs een klein bedrijfsnetwerk grotendeels redundant te maken spreken gaat
het al snel over enkele duizenden euro’s. Een layer 3 netwerk maken kan hierom de eerste
stap zijn om redundantie geleidelijk en betaalbaar in het netwerk te implementeren. Een
layer 3 netwerk verplicht de gebruiker een hiërarchische structuur te gaan gebruiken. de 3
niveaus( zijnde access, distribution en core) kunnen vervolgens gebruikt worden om de
meeste kritieke diensten in het netwerk te onderscheiden van de minder belangrijke
onderdelen. Apparatuur en servers in het core niveau zijn het belangrijkst gezien het hele
bedrijf hier op moet kunnen werken. De apparatuur in het distribution niveau is iets minder
belangrijk maar kan nog steeds instaan voor grote onderdelen van het bedrijf. Het is dan ook
duidelijk dat bij het implementeren van redundantie het core niveau eerst aan bod komt,
vervolgens distribution en als laatste access.
25
3 Problemen met implementatie in een organisch bedrijfsnetwerk
Welke problemen en moeilijkheden een organisch bedrijfsnetwerk biedt hangt af van bedrijf tot
bedrijf. In dit hoofdstuk worden de meest algemene problemen uitgelicht samen met enkele
mogelijke oplossingen.
3.1 Upgrade in een organisch gegroeid bedrijf
Zoals eerder aangehaald is de upgrade van een netwerk in een anorganisch bedrijf heel simpel.
Per bedrijf verschilt dit echter. Het goede nieuws is dat in deze bedrijven de policies en best
practices ervoor zorgen dat een upgrade vlot kan gebeuren en begeleid wordt door de
gebruikte policies. In dit hoofdstuk wordt echter een organisch bedrijf behandeld gezien dit
type bedrijven iets meer problemen kennen bij de implementatie.
3.1.1 Situatieschets organisch bedrijf
Figuur 12 is een simpel voorbeeld van een organisch gegroeid bedrijfsnetwerk. Het zou al
snel duidelijk moeten zijn dat deze bedrijfssituatie niet ideaal is.
Inzake verschillende technologieën gebruikt dit bedrijf zowel professionele apparatuur zoals
kopieermachines en draadloze toegangspunten, als simpele apparatuur zoals een printer die
meer gericht is naar particulier gebruik.
De leeftijd van de verschillende gebruikte technologieën is ook zeer divers. Ultramoderne
apparatuur werkt in dit geval samen met oudere apparatuur waardoor veel van de extra’s
die deze moderne apparatuur bieden teniet gedaan worden.
Het netwerk bestaat ook nog eens uit apparatuur van verschillende leveranciers en merken
wat de configuratie en het onderhoud bemoeilijkt. In dit simpel schema zijn bijvoorbeeld al
apparaten van zowel HP als Cisco als Allied Telesis opgenomen. Verder zorgt dit ervoor dat
merk specifieke technologieën niet gebruikt kunnen worden.
Figuur 12: Organic company network
26
3.1.2 Problematiek
Het probleem met organisch gegroeide bedrijven is dat er vaak geen duidelijke planning of
budget is betreffende de groei van het bedrijf. Er wordt pas uitgebreid als de nood ervoor
zich aandient en op dat moment wordt veelal naar de meest budgetvriendelijke of de snelste
oplossing gezocht zonder rekening te houden met voorgaande beslissingen, huidige
apparatuur of toekomstvisies. Uiteindelijk ontstaat een netwerk dat zo gediversifieerd is in
technologieën en merken dat geen van de aanwezige apparaten zijn volle functionaliteiten
kan gebruiken.
Een 2de probleem met deze bedrijven is dat door de hoeveelheid aan technologieën en
merken er een toename is in het aantal problemen die zich voordoen op het netwerk. Het
oplossen van deze problemen wordt dan ook nog eens verder bemoeilijkt doordat de ITdienst kennis moet hebben van alle technologieën. Dit zorgt ervoor dat het netwerk traag
maar zeker steeds moeilijker te beheren wordt.
Als 3de vaak voorkomend probleem zijn er de verschillende leeftijden in het netwerk. Het
komt vaak voor dat gehele segmenten van een netwerk verouderd zijn maar door gebrek aan
duidelijke policies en best-practices worden deze segmenten vergeten tot zich een probleem
voordoet( door de ouderdom van de apparatuur of tijdens een netwerkupgrade). Op dit punt
moet dan alweer snel of goedkoop een oplossing of vervanging gezocht worden wat ons
terug naar het 1ste probleem leidt.
De IT-dienst loopt dan als het ware achter de problemen aan in plaats van deze proactief te
kunnen identificeren en voorkomen.
3.1.3 Oplossingen
Voorgenoemde problemen kunnen beter voorkomen worden door duidelijke policies en
practices op te zetten dan dat ze opgelost kunnen worden. Ook al is de groei en/of het
budget hiervoor niet te voorspellen of vast te bepalen.
In een organisch gegroeid bedrijf kunnen nog steeds policies opgesteld worden. Deze zullen
echter niet zo strikt kunnen worden nageleefd als in een anorganisch bedrijf. Toch kunnen ze
de problemen die zich voordoen grotendeels beperken.
Om een organisch bedrijfsnetwerk zo vlot mogelijk te laten lopen dienen volgende
problemen aangepakt te worden:




De diversiteit in merken
De diversiteit in technologieën
Het wegwerken van verouderede technologieën
Het gebrek aan een planning van het netwerk
Om deze problemen op te lossen kan een bedrijf policies en richtlijnen in gebruik gaan
nemen. Deze richtlijnen zullen van bedrijf tot bedrijf verschillen maar omvatten altijd enkele
algemene zaken.
27
Om de diversiteit in merken aan te pakken kan een richtlijn opgesteld worden bij 1 fabrikant
te blijven voor een bepaald type apparaat. Zo kan bijvoorbeeld gesteld worden dat alle
switches bij voorkeur van het merk Allied Telesis dienen te zijn.
Het voordeel hiervan is dat de prijs van nieuwe apparatuur redelijk accuraat geschat zal
kunnen worden, dat de ICT dienst slechts kennis nodig heeft van dit merk. Verder zullen ook
de merk-specifieke technologieën op deze apparaten gebruikt kunnen worden.
Terminologieën en interfaces zijn op deze manier consistent doorheen het hele netwerk
Het nadeel is dan weer dat indien een concurrent goedkopere producten aanbiedt of
producten met extra features het door deze richtlijn moeilijk is snel over te stappen. Het is
niet onmogelijk maar er moet goed en lang nagedacht worden over deze beslissing om de
voordelen die de policy brengt niet teniet te doen.
De diversiteit aan technologieën zal door bovenstaande richtlijn gedeeltelijk weggewerkt
worden. Binnen 1 merk zijn er echter nog heel veel keuzemogelijkheden. Duurdere
apparaten zullen over het algemeen meer features bieden maar deze zijn niet altijd nodig.
Om dit op te lossen worden in het ideale geval alle apparaten in het netwerk vervangen door
eenzelfde model. In de praktijk is dit echter zelden mogelijk.
Oudere modellen die vaak het goedkoopst zijn worden best niet langer aangekocht gezien
deze hoogstwaarschijnlijk heel snel uit het gamma van de leverancier zullen verdwijnen tenzij
deze leverancier een duidelijk jarenplan voor het model heeft en de End Of Life(EOL) nog ver
in de toekomst ligt. De nieuwste modellen bieden de beste features maar hebben meestal
ook het hoogste prijskaartje. Als bedrijf is het daarom interessant eerst te analyseren welke
technologieën allemaal vereist zijn in het bedrijfsnetwerk. Hierbij kan het bedrijfsnetwerk in
zijn geheel bekeken worden of het kan in segmenten worden opgedeeld als er een groot
onderscheid is tussen welke afdelingen welke technologieën gebruiken.
Eenmaal een bedrijf deze info heeft kan heel vlot een standaard worden samengesteld
waaraan ieder nieuw aangekocht apparaat minimaal moet voldoen. Dit wordt dan de
benchmark voor nieuwe aankopen. Op deze manier worden oudere technologieën traag
maar zeker uit het netwerk gewerkt en bezit het gehele netwerk minimaal de verwachte
technologie.
28
De 2 laatste problemen zijnde het wegwerken van verouderde technologie en het gebrek aan
een planning van het netwerk kunnen samen behandeld worden.
om het eerste probleem op te lossen dient er namelijk een planning rond het netwerk te zijn.
Op deze planning, die overigens niet heel gedetailleerd hoeft te zijn, kan aangeduid worden
welke apparaten/systemen onmiddellijk, op korte termijn(minder dan 1jaar), op middellange
termijn(tussen 1 en 3 jaar) en op lange termijn(langer dan 3 jaar) dienen vervangen te
worden.
Als vervolgens 1 maal per maand bekeken wordt of er een budget beschikbaar is en welke
apparaten het dringendst vervangen dienen te worden lost het probleem inzake verouderde
technologie zich na verloop van tijd zelf op. De planning die hiervoor dient bijgehouden te
worden kan dan verder gebruikt worden als een rudimentaire planning of deze kan
uitgebreid worden om een volwaardig onderdeel van de netwerkdocumentatie te worden.
Het spreekt voor zich dat de problemen die gepaard gaan met een organisch bedrijfsnetwerk
niet op één dag op te lossen zijn tenzij er een heel groot budget beschikbaar is. Een
budgetvriendelijkere oplossing is dan ook om systematisch en trapsgewijs het netwerk aan te
passen door middel van het invoeren van duidelijke richtlijnen en policies.
29
4 Benodigde documentatie
Ieder bedrijfsnetwerk dat ietwat vlot werkt dient gedocumenteerd te zijn. Deze documentatie
up to date en volledig houden vereist echter continu aandacht. Het is dan ook niet ondenkbaar
dat deze documentatie soms niet volledig is. Vooraleer een netwerkupgrade geïmplementeerd
kan worden moet volgende documentatie gecontroleerd te worden.
4.1 Netwerktopologie
De netwerktopologie is een logisch en fysiek schema van het netwerk. In grote bedrijven zal
het al snel onoverzichtelijk worden om iedere pc, telefoon, printer, enzovoort. in dit schema
op te nemen. Vele bedrijven delen hun netwerktopologie dan ook op in meerdere kleinere
schema’s of houden de details van ieder apparaat in het schema bij in een apart bestand.
Figuur 13 is een voorbeeld van een heel
simpel netwerk. Het spreekt voor zich dat
hoe ingewikkelder het netwerk hoe
ingewikkelder en uitgebreider het schema
ook zal worden.
In een netwerktopologie bevindt zich heel
wat info inzake de logische-, fysiekestructuur en verbinding van het netwerk.
Het schema bestaat meestal uit 2 delen. Het
logische gedeelte en de fysieke structuur. In
deze onderdelen bevindt zich minimaal:
Figuur 13: Network topology diagram(Cinergix Pty. Ltd., 2013)
Logische gedeelte



De verschillende subnets/vlans
netwerkapparatuur en hun functie
eventueel IP-adressering
Fysieke structuur



netwerkapparatuur en hun naam
verbinding tussen deze netwerkapparatuur
types kabels, snelheden, poorten, enzovoort
Zoals eerder aangehaald zullen in een groot bedrijf deze schema’s echter opgedeeld worden
in meerdere schema’s en tabellen om tegelijkertijd een duidelijk simpel overzicht te
behouden met een aparte tabel om in detail bepaalde zaken te kunnen uitzoeken.
30
4.2 Fysiek plan
Het fysieke plan van het netwerk handelt meer over de praktische implementatie in het
bedrijf. Dit plan kan gebruikt worden om eventueel kabellengtes en opties te bekijken alsook
te bepalen wat fysiek mogelijk is. Soms worden kabels ook omgeleid en gepatched. Dit zorgt
ervoor dat de kabel logisch gezien van punt A naar punt B loopt maar fysiek gezien maakt deze
een tussenstop in punt C. Al deze info is wordt ondergebracht in een fysiek plan. Vaak wordt
het netwerk hierbij over een grondplan getekend. Op deze manieren zijn lengtematen al
aanwezig en kloppen deze gegevens ook waarlijk met de fysieke locaties.
Soms is een digitale versie van een grondplan echter niet beschikbaar in dat geval kunnen de
gebouwen en blokken nog steeds geschetst worden. Het enige dat dan ontbreekt, zijn de
exacte gedetailleerde
afmetingen.
Het fysieke plan kan een
heel gebouwencomplex
bevatten of handelen
over één specifiek
gebouw dat vervolgens
verdieping per verdieping
wordt afgehandeld.
Figuur 14: Ethernet lan layout floorplan(CS odessa corp, 2014)
31
4.3 IP-plan
Het IP-plan kan wel eens het belangrijkste document zijn tijdens een netwerkupgrade. Op dit
plan is te zien welke subnets in gebruik zijn en welke functie ze hebben zoals vlans, dhcp, etc.
een IP-plan is dan ook een handig document om te hebben. Voor de upgrade van het netwerk
kan het gebruikt worden om te zien welke subnets er al gebruikt worden en waarom, welke
vlans gebruikt worden, enzovoort. tijdens de upgrade kan een 2de versie gemaakt worden
waarop de nieuwe structuur aangeduid wordt. Nieuwe vlans, subnets en hun functies worden
hierin weergegeven waardoor het eenvoudig wordt te bepalen naar waar welke vlans exact
moeten leiden.
In het IP-plan dat vaak in een tabelvorm gegoten wordt bevindt zich onder andere volgende
zaken terug:





De verschillende vlans met het vlan id en vlan naam.
Het subnet bij iedere vlan bestaande uit het IP-adres aan het begin en aan het einde
van dit subnet en eventueel het subnetmasker.
De functie van dit vlan/subnet paar.
Afhankelijk van hoe vlans gebruikt worden ook de locatie van iedere vlan als
bijvoorbeeld vlans gebruikt worden om verschillende lokalen of bedrijfsafdelingen
aan te duiden.
Vrije IP-adres blokken voor latere uitbreidingen.
Figuur 15: IP-plan voorbeeld
32
4.4 Kabelidentificatie
De kabelidentificatie is een laatste belangrijk document. Het kan samengesteld worden
gebaseerd op de netwerktopologie en het IP-plan. Dit document in tabelvorm bevat heel wat
gedetailleerde informatie over de bekabeling van het netwerk. De kabelidentificatie bevat 2
belangrijke onderdelen.
Enerzijds de bekabeling tussen netwerkapparatuur. De zogenaamde uplinks en hoe deze
bekabeld zijn. Deze informatie bestaat uit:



Zijn er trunk-links? tussen welke apparaten lopen deze en welke poorten gebruiken
ze.
Welke poorten op de switches dienen als uplink poorten naar de andere switches,
hubs en routers.
Welk type kabel wordt gebruikt? Is er glasvezel aanwezig in het netwerk, enzovoort.
Anderzijds is er de bekabeling naar speciale end-devices. Een bedrijfsnetwerk bestaat niet
enkel uit PC’s en servers. Vaak zijn er ook nog IP-telefoons, netwerkprinters, IP-camera’s en
netwerk gestuurde machines. In vele gevallen zullen enkele van deze apparaten op zijn minst
in een apart vlan zitten. Dit vereist enige extra configuratie van de switches waar zeker ook
rekening mee gehouden dient te worden als tijdens de netwerkupgrade. Het 2de onderdeel
van de kabelidentificatie bevat deze gegevens.





Welke switches hebben speciale vlans nodig(zoals een telefonie vlan).
Welke poorten worden gebruikt om printers, telefoons, enzovoort te verbinden.
Worden de juiste vlans doorgegeven op de uplink poorten indien dit nodig is
Zijn de switches hiervoor correct geconfigureerd
Hoeveel poorten heeft iedere switch en indien de documentatie heel geregeld up to
date wordt gebracht welke poorten zijn nog vrij, welke zijn gebruikt, welke snelheid
hebben ze, enzovoort.
Figuur 16: Kabelidentificatietabel
33
5 Configureren van het layer 3 apparaat
Het configureren van het layer 3 apparaat kan nagenoeg volledig gebeuren voor dat het
apparaat effectief in het netwerk dient toegevoegd te worden. Bij grote bedrijven kan de
configuratie al eens heel uitgebreid worden. Dit onderdeel behandelt enkel de basis om een
layer 3 netwerk te kunnen implementeren. Voor kleine bedrijven bestaande uit hooguit één
fysieke site met maximaal 500 actieve gebruikers op het netwerk zal deze configuratie vaak
voldoende zijn. Een bedrijf van deze omvang heeft ook voldoende met 1 layer 3 switch om een
werkend layer 3 netwerk te hebben. Voor grotere bedrijven zullen echter nog extra opties
geconfigureerd dienen te worden die buiten de omvang van deze scriptie vallen. Deze bedrijven
zullen vaak ook meerdere layer 3 switches moeten implementeren om trage knooppunten in
het netwerk te vermijden.
Voor dit onderdeel is gebruik gemaakt van een Cisco Catalyst 3560X switch met layer 3
mogelijkheden. De voorbeelden van configuraties en commando’s zijn dan ook gebaseerd op dit
model.
5.1 Toegang en beveiliging
De eerste stap bij het implementeren van een nieuw apparaat is altijd het beveiligen van dit
apparaat. Om een nieuw apparaat te beveiligen moet het standaard wachtwoord en
gebruikersaccount verandert worden. Ook de toegang tot het apparaat moet beperkt worden
zodat enkel bevoegde personen het apparaat vanop afstand kunnen benaderen om de
configuratie aan te passen. Voor ons nieuw layer 3 apparaat geldt dezelfde regel.
5.1.1 Access Control Lists
Een ACL is de sleutel tot het beveiligen van een tal van functies in netwerkapparaten. Een
ACL werkt met een systeem gelijkaardig aan de meeste firewalls en hun policies. Een ACL
bestaat uit regels die gecreëerd zijn door de gebruiker. Iedere regel wordt voorafgegaan door
een nummer. Als de ACL aangesproken wordt loopt deze iedere regel van laagste nummer
tot hoogste nummer af. Als hij een regel vindt die hij kan toepassen wordt het doorlopen
beëindigt en de regel toegepast. Aan het einde van iedere ACL volgt automatisch een “deny
any” regel. Deze zorgt ervoor dat iedere situatie die niet beschreven is in de voorgaande
regels van de ACL geweigerd wordt.
ACL’S kunnen onderverdeeld worden in 3 types:



Standard ACL
Extended ACL
Named ACL
Een standard ACL is herkenbaar aan het nummer. Dit ligt tussen 0 en 101. Standard ACL’S
kunnen gebruikt worden om simpele toegangsregels te maken. De commando’s worden in
de correcte volgorde ingevoerd. Ze beginnen met een permit of deny gevolgd door het IPadres of netwerk-adres dat toegelaten of geweigerd moet worden en het wildcardmasker dat
het inverse van het subnetmasker is. Verder kan dit type ACL niet geconfigureerd worden.
34
Een extended ACL kan dan weer de nummers tussen 100 en 199 Hebben. Dit type ACL kan
veel fijner geconfigureerd worden en wordt dus gebruikt voor meer ingewikkelde regels. Dit
type ACL wordt vaak gebruikt om interne routering te beperken wat later in dit hoofdstuk
behandeld word. Deze ACL’S kunnen naast het bron-adres (dat gebruikt wordt in standard
ACL’S) ook een restrictie toepassen op de bestemming en welke protocollen/poorten
gebruikt mogen worden. Dit maakt de extended ACL veel veelzijdiger maar ook veel
ingewikkelder om te configureren.
Als laatste hebben we de named ACL. Dit type is er gekomen omdat ACL’S met een nummer
al heel snel onoverzichtelijk worden in de configuratie. Named ACL’S verschillen in syntax
niet van extended ACL maar bij het aanmaken krijgen ze een tekst als naam in plaats van een
nummer. Deze naam kan gebruikt worden om te beschrijven waar de ACL voor dient.
Vervolgens komt deze naam ook terug in de configuratie file waardoor deze veel
overzichtelijker is en het werken met ACL’S duidelijker en vlotter wordt.
Om de toegang tot het layer 3 apparaat te beperken en beveiligen volstaat het gebruik van
een standard ACL:
Figuur 17: IP ACL
Bovenstaand resultaat kan bekomen worden door volgende commando’s in te geven in de
configure terminal:
Ip access-list standard 99
10 permit 172.16.30.0 0.0.1.255
20 permit 172.16.8.0 0.0.3.255
5.1.2 Toegang tot apparaat
Het gemiddelde netwerkapparaat kan op meerdere manieren benaderd worden. Iedere
methode heeft zo zijn voor- en nadelen. Voor de Cisco switch zijn er 4 courante
toegangsmethodes:




Toegang via SSH sessie
Toegang via de console poort met gebruik van een console kabel
Toegang via de ethernet management interface
Toegang via de Web interface
Om eender welke van deze methodes te implementeren is het belangrijk dat er eerst
paswoorden en gebruikers worden ingesteld. Voor een klein bedrijf is het gebruik van de
lokale databank in de switch voldoende.
Figuur 18: Admin user en enable paswoord
35
Om deze configuratie te verkrijgen dienen volgende commando’s ingegeven te worden:
enable secret “paswoord”
username “username” secret “paswoord”
aaa new-model
aaa authentication login default local
Om toegang via SSH te verplichten worden ook RSA-keys aangemaakt.
Figuur 19: RSA keys
Crypto key generate rsa
Vervolgens wordt de lengte van de key ingegeven. De standaard lengte volstaat meestal.
Indien de key korter wordt gemaakt vergt deze minder rekenkracht en werkt deze dus sneller
maar is deze minder veilig. Bij een langere key is er meer rekenkracht en tijd vereist maar is
de graad van beveiliging hoger.
Alle toegangsmethodes kunnen in één stap en met enkele commando’s ingesteld worden. In
de configuratie zullen de aangemaakte paswoorden niet te zien zijn. Deze worden gehashed
zodat iemand met toegang tot een back-up van de configuratiefile deze niet eenvoudigweg
kan lezen in de configuratiefile. Het is wel mogelijk met het gebruik van rainbowtables het
paswoord te achterhalen gebaseerd op de hash. Dit vereist echter iets meer werk dan
simpelweg de configuratiefile van het apparaat te bemachtigen.
36
Figuur 20: Toegang beveiligen en beperken
Volgende commando’s dienen hiervoor ingegeven te worden
Ip http access-class 99
no ip http secure-server
line con 0
password 7 “password”
access-list 99 in
exit
line vty 0 15
access-class 99 in
transport input ssh
exit
banner motd !authorized Users only!
Deze configuratie zorgt ervoor dat om succesvol te kunnen inloggen via SecureShell(SSH),
consolekabel of ethernetkabel de gebruiker toegang dient te hebben tot een apparaat met
de correcte netwerkinstellingen en een gebruikersnaam en paswoord moet kennen. Het
“enable” paswoord is vervolgens ook vereist alvorens wijzigingen in de configuratie kunnen
worden gemaakt. Indien er ingelogd wordt via de web interface is het enable paswoord
voldoende. Deze methode wordt echter afgeraden gezien de web interface heel traag werkt
en deze ook niet het veiligste is. Toegang via web interface kan uitgezet worden via het
commando:
No ip http
no ip http secure-server
37
5.2 vlans en routering
Het layer 3 apparaat zal in een klein layer 3 netwerk vooral instaan voor interne routering
tussen bestaande en nieuwe vlans. Het is dan ook belangrijk alle vlans en de gewenste
routering daartussen correct in te stellen
5.2.1 vlans aanmaken en configureren
Op een layer 3 apparaat dienen eerste de gebruikte vlans aangemaakt te worden. Geef deze
vlans een betekenisvolle naam want deze komen terug in de configuratiefiles. Per vlan
dienen volgende commando’s ingegeven te worden:
vlan 1031
name MANAGEMENT
Dit levert volgend resultaat op:
Figuur 21: Namen vlan
Na het aanmaken van de vlans kunnen deze ook nog geconfigureerd worden met een IPadres en eventueel een ip-helper-adress dat verwijst naar de dhcp server.
Figuur 22: vlan IP-adres en helper-address
dit wordt bewerkstelligd met volgende commando’s:
Interface vlan 1031
ip address 172.16.31.1 255.255.254.0
ip helper-adress 172.16.10.24
5.2.2 vlan routering en default route instellen
Om verschillende vlans toe te staan met elkaar te communiceren dient IP-routering ingesteld
te worden. Volgende commando’s zorgen ervoor dat deze routering mogelijk wordt en dat
tevens ook een route naar het internet wordt aangemaakt:
38
Ip routing
Ip route 0.0.0.0 0.0.0.0 “IP-adres van router naar internet toe”
Figuur 23: IP-routing
Figuur 24: IP-route
5.2.3 Routering beperken
Het grote voordeel van een layer 3 netwerk is dat het gesegmenteerd kan worden en ieder
apart segment nog met elkaar kan praten zonder al teveel vertraging of verlies van
performance. Soms is het echter gewenst dat bepaalde segmenten juist niet benaderd
kunnen worden door andere segmenten of deze geen andere segmenten kunnen benaderen.
Een ACL biedt hier opnieuw de oplossing. Dit keer wordt best gebruik gemaakt van extended
of named ACL’S gezien het hier vaak om routering gaat tussen verschillende netwerken en er
dan zowel nood is aan een duidelijk gedefinieerd bronadres en de bestemming. Verder kan
nog gedetailleerder gewerkt worden door ook specifieke protocollen en poorten toe te staan
of te blokkeren.
Een ACL om WIFI gebruikers af te schermen van het interne netwerk afgezien van de servers
die ze wel moeten kunnen bereiken zoals DHCP en DNS servers kan er bijvoorbeeld zo
uitzien:
Figuur 25: Named ACL WIFI
Deze ACL zorgt ervoor dat bepaalde servers in het interne netwerk bereikt kunnen worden
(in het bijzonder de DHCP en DNS server op 172.16.10.24, de firewall naar buiten toe op
172.16.1.2 en een speciale server op 172.16.10.15. en 172.16.10.125) verder zorgt deze
ervoor dat een broadcast om een IP-adres via DHCP te verkrijgen toegestaan wordt, dat
communicatie tussen WIFI gebruikers mogelijk is en dat publieke IP-adressen die zich dus
39
buiten het interne netwerk bevinden bereikt kunnen worden. Alle andere private IP-adressen
worden geblokkeerd. Ook clients die een foutief IP-adres en subnet willen gebruiken worden
geblokkeerd.
Een ACL om netwerksegmenten af te schermen en dus interne routering te beperken wordt
uiteraard toegepast op een vlan. Hierbij is het belangrijk te weten dat een ACL op twee
manieren kan toegepast worden op een vlan namelijk IN en OUT.
Indien een ACL als IN geconfigureerd wordt op een vlan zal deze ACL rekening houden met
verkeer dat van een end-device op deze vlan naar de rest van het netwerk wil. De controle
gebeurt dus op verkeer dat begint binnen deze vlan en naar andere apparaten in het netwerk
wil.
Een ACL die als OUT geconfigureerd wordt zal dan weer rekening houden met verkeer dat
begint buiten deze vlan en gericht is naar apparaten binnen het vlan waarop deze
geconfigureerd is.
De ACL om de WIFI gebruikers af te schermen van de rest van het netwerk wordt als IN
geconfigureerd op het WIFI vlan:
Figuur 26: ACL in
40
5.3 Interfaces
Niet alle interfaces op een switch of router hebben dezelfde functie. Het is dan ook belangrijk
duidelijk te definiëren welke poorten wat moeten doen zodat het apparaat en het netwerk
optimaal werken en beveiligd zijn.
5.3.1 Access interfaces
Volgens de documentatie van Cisco dienen interfaces geconfigureerd als access poort om
end-devices aan te koppelen. Er kan slechts 1 vlan geconfigureerd worden op een accesspoort en deze vlan wordt dan ook untagged over deze poort verzonden. Dit type interface
wordt voornamelijk gebruikt voor end-devices. Er zijn echter netwerkapparaten die niet om
kunnen met tagged verkeer zoals hubs en unmanaged switches. Deze worden ook
aangesloten op access-poorten in het netwerk.
Figuur 27: Access poorten
Een access poort wordt met volgende commando’s gedefinieerd:
Interface “interface id”
switchport mode access
switchport access vlan “vlanid”
switchport nonegotiate
41
5.3.2 Trunk interfaces
Trunk interface is een Cisco terminologie voor interfaces die verbonden zijn met andere
netwerkapparatuur en waar meerdere vlans tagged over gestuurd dienen te worden. De
naamgeving van deze soort interface verschilt nogal per fabrikant. Een andere courante
naam voor dit soort interfaces is “tagged interface”.
Op layer 3 switches zullen vooral dit soort interfaces gebruikt worden. Vaak staat een layer 3
apparaat namelijk zeer hoog in de hiërarchie en wordt het haast exclusief verbonden met
andere netwerkapparatuur waarvoor opnieuw meerdere vlans nodig zijn.
Figuur 28: Trunk poorten
Volgende commando’s worden gebruikt om een trunk interface te configureren:
Interface “interface id”
Switchport trunk encapsulation dot1q
Switchport mode trunk
Switchport nonegotiate
Switchport trunk allowed vlan none
Switchport trunk allowed vlan add “vlans die over trunk kunnen”
5.3.3 Port-channels
Een port-channel is een terminologie van Cisco. Een port-channel bestaat uit meerdere
poorten die samengenomen worden als 1 virtuele poort. Dit verhoogt de datacapaciteit
doordat meerdere kabels naar dezelfde locatie gaan. Dit zorgt ook voor redundantie gezien
als 1 van de kabels of poorten defect is alle data nog steeds over de resterende poorten zijn
doel kan bereiken. De naamgeving is opnieuw verschillend per fabrikant. Op switches van
Allied Telesis noemt dit “Trunks” en op de oudere modellen van HP noemt dit weleens
“Aggregated links”
Om een fysieke poort aan een port-channel te koppelen dienen volgende commando’s
ingegeven te worden:
Interface “interface id”
Channel-group “port-channel id”
42
Een port-channel kan gecreëerd worden met volgend commando:
Interface port-channel “portchannel id”
Nadat een port-channel gecreëerd is en er fysieke poorten aan gekoppeld zijn kunnen
dezelfde commando’s die gebruikt zijn bij het maken van een access interface of trunk
interface gebruikt worden om het port-channel te configureren.
het port-channel gedraagt zich dus als een fysieke poort. De fysieke poorten gekoppeld aan
het port-channel zullen hun configuratie automatisch aanpassen aan de port-channel
configuratie.
Figuur 29: Port-channel
43
6 implementatie van het layer 3 netwerk
Om een layer 3 netwerk te implementeren zijn heel wat stappen nodig. Dit hoofdstuk behandelt
deze implementatie van het voorbereidend werk tot het bijstellen van het netwerk na een
geslaagde implementatie.
6.1 Implementatie voorbereiden
6.1.1 Bekabeling en bestaande apparatuur
Tijdens een netwerkupgrade is het altijd aan te raden de huidige stand van zaken even
kritisch te bekijken. Een onderdeel hiervan is het bekijken van de huidige fysieke bekabeling
en apparatuur en deze aan te passen alvorens de netwerkupgrade. Het gaat hier over:



Verouderde apparatuur waar mogelijk vervangen.
Geplande wijzigingen in bekabeling doorvoeren.
Ongelabelde kabels en slordige kabels wegwerken.
Het labelen en net wegwerken van kabels is een taak die vaak over het hoofd gezien wordt in
een bedrijf. Dit heeft als dat alles al snel onoverzichtelijk wordt. Dit wordt echter pas
opgemerkt eenmaal een probleem zich voordoet of een upgrade uitgevoerd wordt. Het is
dus belangrijk dit toch te doen en geregeld te controleren gezien labels ook per ongeluk
kunnen verwijdert worden of vervagen na verloop van tijd.
Inzake de labeling wordt minimaal verwacht op het patchpaneel te kunnen zien naar waar de
poort in het patchpaneel leidt. Voor belangrijke kabels zoals bijvoorbeeld kabels die de uplink
naar de distribution vormt of 2 distribution switches met elkaar verbind is het ook
interessant de kabel zelf een label te geven zodat deze kabels altijd snel en gemakkelijk te
identificeren zijn ook als ze uit het patchpaneel verwijderd worden.
Ook het wijzigen van de bekabeling kan best in de voorbereidende fase uitgevoerd worden.
Het plaatsen van nieuwe kabels of het omvormen van koperkabels naar glasvezel dient, waar
mogelijk, best te gebeuren voordat het layer 3 netwerk geïmplementeerd wordt zodat dit
achteraf niet opnieuw aangepast hoeft te worden. Dit zorgt ervoor dat er geen afzonderlijke
down time is vanuit het standpunt van de werknemers.
Het vervangen van verouderde apparatuur is soms optioneel maar soms ook verplicht.
Afhankelijk van welke upgrade uitgevoerd wordt en hoe oud de apparaten zijn kan het zijn
dat bepaalde apparaten in het netwerk niet voldoende features bezitten om de upgrade door
te voeren. In dit geval is het cruciaal dat deze apparaten vervangen worden.
Ook oudere apparaten die binnenkort vervangen dienen te worden maar de nieuwe features
van de upgrade wel nog ondersteunen kunnen best eens bekeken worden. Het is namelijk
dubbel werk als eerst de configuratie aangepast wordt op het oude apparaat en enkele
maanden dit verwijderd wordt uit het netwerk. Indien er dus een budget voor is kan
verouderde apparatuur best in één keer verwijderd worden alvorens een netwerkupgrade te
doen.
44
6.1.2 Aanpassen van de layer 2 switches
Een bedrijfsnetwerk bestaat vaak uit een aaneenschakeling van heel wat layer 2 switches. Bij
de upgrade naar een layer 3 netwerk blijven deze switches uiteraard in gebruik. De nieuwe
vlans en features dienen wel aangemaakt te worden op deze switches zodanig dat de nieuwe
netwerkfeatures in gebruik kunnen worden genomen en vlot werken.
Alvorens deze aanpassingen gemaakt kunnen worden is het belangrijk dat de poorten
geassocieerd met uplinks, printers, telefoons, enzovoort terug te vinden zijn in de
documentatie.
De uplinks dienen gekend te zijn. Printers en telefoons zullen vaak op een aparte vlan
geplaatst worden. Het is dus handig te weten op welke switches deze vlans gebruikt gaan
worden. Alle vlans kunnen ook op alle apparaten aangemaakt worden. In de praktijk is dit
echter niet altijd nodig of mogelijk.
Het is mogelijk zonder het netwerk te onderbreken volgende zaken al uit te voeren:


Aanmaken van de nieuwe vlans op de switches.
De uplinks configureren zodat alle vlans tagged over deze link worden gestuurd.
Het aanmaken van de vlans en
configureren van de uplinks kan op vele
apparaten op verschillende manieren
gebeuren. Indien de switch een
commandline interface biedt kunnen
met deze interface de vlans zeer snel,
vlot, en zonder fouten aangemaakt
worden.
Indien de switch geen commandline
heeft is er altijd een web-interface.
Deze methode gaat iets trager maar
voorkomt nog steeds dat er fouten
gemaakt kunnen worden die de switch
of het gehele netwerk vast laat lopen.
Figuur 30: Switch VLANS
Een nog snellere methode maar
waarbij er een mogelijkheid is
fouten te maken is de
configuratiefile van de switch
aan te passen. Vaak is dit een
simpel tekstbestand dat van de
Figuur 31: Configuratie upload/download
switch gedownload kan worden
en later opnieuw geüpload. Indien de syntax duidelijk is kan de configuratiefile gewoon met
een tekstbewerker zoals kladblok bewerkt worden en vervolgens de geüpload worden. De
aanpassing dient wel aandachtig gecontroleerd te worden gezien fouten hierin sommige
switches volledig kunnen laten vastlopen.
45
6.1.3 DHCP server
Bij de upgrade naar een layer 3 netwerk is de kans groot dat er enkele nieuwe subnets
worden aangemaakt. Vaak zal een deel van deze subnets DHCP gaan gebruiken om IPadressen uit te delen. Indien het hier over 1 of 2 subnets gaat kan dit gerust manueel
ingevoerd worden. Bij meerdere subnets, IP-exclusions en -reservations zijn er snellere en
betere manieren om deze subnets aan te maken.
Volgende voorbeelden zijn gemaakt met een Windows 2008R2 server. Het onderdeel
betreffende Powershell kan uitgevoerd worden op een Windows server 2012.
6.1.3.1 Manueel invoegen
Het instellen van een nieuwe DHCP-scope via de wizard is redelijk eenvoudig en voor de
hand liggend.
als eerste moet er een DHCP-server zijn die tevens ook lid is van het domein. Onder de
DHCP server rol kan zowel een zowel een
nieuwe IPv4 of IPv6 scope aangemaakt
worden. Om een IPv4 scope te maken wordt
er rechts geklikt op ipv4 en “new scope” te
selecteren.
Dit opent een wizard die stap per stap
doorlopen kan worden om een nieuwe DHCP
scope aan te maken. Het belangrijkste aan een
DHCP scope is de range en het subnet van
deze scope. In de wizard wordt dit
gedefinieerd door een start IP-adres en eind
IP-adres in te geven en indien nodig het
Figuur 32: IP-range DHCP scope
subnetmasker hierbij aan te passen.
Naast dit IP-range zijn er nog tal van andere opties die ingesteld kunnen worden:





Excluded adressen
DNS servers die de scope verspreidt
De lease tijd van de scope
De Default gateway van de scope
Een naam en beschrijving van de scope
Na het aanmaken van de nieuwe scope zal deze zichtbaar zijn in de servermanager.
Figuur 33: manuele DHCP scope
46
6.1.3.2 Batchscript
Om heel veel scopes op een automatische manier in te vullen kan een batch file gebruikt
worden. Hierin worden alle commando’s om de scopes aan te maken geplaatst. Het
uitvoeren van deze file zorgt er dan voor dat alle scopes aangemaakt worden. Deze
methode van werken is vooral handig omdat het script op een lokale pc of van thuis uit kan
voorbereid worden en achteraf in enkele minuten uitgevoerd kan worden op de server.
De batchfile bevat NETSH commando’s deze zijn zeer uitgebreid en kunnen zowat gebruikt
worden voor onder andere alles inzake het installeren, configureren en beheren van een
DHCP server Voor meer informatie verwijs ik dan ook graag door naar de site van
Microsoft: http://technet.microsoft.com/en-us/library/cc787375%28v=ws.10%29.aspx
Volgende commando’s zijn de meest gebruikte commando’s:
netsh dhcp server add scope 172.22.86.0 255.255.254.0 "L003" "ip range for vlan 2086 room L003 "
Dit commando voegt een DHCP scope toe aan de DHCP server. Als argumenten kan het
subnet, netmask en een naam meegegeven worden. Optioneel kan ook nog een
beschrijving van de scope meegeven worden.
netsh dhcp server scope 172.22.86.0 add iprange 172.22.86.2 172.22.87.254
Bovenstaand commando geeft dan weer een IP-range aan een bestaande scope. Dit
commando is nodig zodat een scope weet welke IP-adressen het kan uitdelen. Er dient
altijd een begin en eindadres meegegeven te worden.
De volgende 2 commando’s zijn vaak voorkomende opties op scopes. Er zijn nog veel meer
opties te configureren via netsh maar dit zijn de 2 meest courante.
netsh dhcp server scope 172.22.86.0 set optionvalue 003 IPADDRESS 172.22.86.1
Dit commando specifieert welke default gateway de dhcp scope moet uitdelen. Ieder
apparaat die een IP-adres van deze scope ontvangt zal dus als default gateway 172.22.86.1
invullen.
netsh dhcp server scope 172.22.86.0 set optionvalue 051 DWORD 86400
Met dit commando wordt de leasetime ingesteld. De laatste waarde in dit commando is de
tijd van de lease in seconden. Vaak is de standaard waarde die een dhcp scope gebruikt
voldoende toch kan het echter interessant zijn voor bepaalde DHCP-scopes deze leasetime
aan te passen. Een goed voorbeeld hiervan is bijvoorbeeld de leasetime voor het draadloos
netwerk. Het gaat hier meestal om bezoekers en gasten dus kan de leasetime hier wat
verkort worden.
47
Naast deze basis scope gegevens zijn er ook nog 2 veelvoorkomende uitgebreide opties
namelijk excluded ranges en reservations.
netsh dhcp server scope 172.16.30.0 add excluderange 172.16.31.1 172.16.31.150
Indien bepaalde adressen middenin een bestaande scope niet mogen worden uitgedeeld
kunnen deze uitgesloten worden met dit commando. Door het eerste en het laatste adres
in te geven wordt ervoor gezorgd dat de DHCP scope deze adressen niet kan uitdelen. Het
is perfect mogelijk meerdere ranges als excluded te definiëren binnen 1 scope.
Als 2de is er het commando om IP-adressen te reserveren:
netsh dhcp server scope 172.16.25.0 add reservedip 172.16.25.20 0003C50442C2 "PLC1" "PLC
houtbewerking"
Dit commando zorgt ervoor dat indien een apparaat met het vermelde Macadres(0003C50442C2) een IP-adres vraagt het altijd het correcte bijhorende IP-adres krijgt.
Bij dit commando kan ook nog een naam en beschrijving meegegeven worden zodat deze
reservation duidelijk te verstaan is op de DHCP server zelf.
Deze commando’s worden allemaal ondergebracht in 1 batchfile. Deze batchfile kan
vervolgens uitgevoerd worden op de DHCP server. Een commandline venster zal openen en
alle commando’s uitvoeren
Figuur 34: Een batch file uitvoeren
48
Nadat de batchfile uitgevoerd is zijn alle scopes correct terug te vinden onder de IPv4 scopes
in de manager van de DHCP-server.
Figuur 35: Batchfile scopes
6.1.3.3 Powershell
Sinds Windows server 2012 kan het installeren, configureren en beheren van een DHCP
server ook volledig via powershell gebeuren. Powershell commando’s en scripts bieden
vele vernieuwingen en vereenvoudigingen inzake scripting en management in een
Windows omgeving aan. Met slechts 2 commando’s en enkele CSV files kan een oneindig
aantal scopes ingesteld worden in tegenstelling tot het batchscript dat per scope manuele
commando’s bevatte.
Figuur 36: Powershell Script
Met dit korte scriptje en
volgende 2 CSV files
worden alle scopes
aangemaakt en correct
geconfigureerd op de
DHCP server. Het grote
verschil met batchscripts
is dat de variabelen zich
in de CSV files bevinden
en hetzelfde script
hergebruikt kan worden.
Figuur 37: CSV files
49
De gebruikte CSV-files kunnen achteraf ook bij de documentatie gevoegd worden. Ze
kunnen dan gebruikt worden om de huidige DHCP instellingen te raadplegen zonder
effectief aan te melden op de DHCP server. Als een aanpassing of toevoeging aan de DHCP
server vereist is kan de bestaande CSV opnieuw gebruikt worden om de wijzigingen in aan
te brengen.
Verder kan powershell gebruikt worden om extra opties in te stellen. Zo kunnen ook IPexclusions en IP-reservations geconfigureerd worden met behulp van een script. Het is heel
eenvoudig dit te doen via CSV-files en een uitgebreid script.
6.1.3.4 Batchscript gegeneerd door powershell
Zoals bovenstaande punten aantonen is het powershell script veel veelzijdiger, eenvoudiger
en makkelijker te hergebruiken. Er is echter 1 probleem: powershell kan pas met DHCP
gebruikt worden vanaf Windows server 2012. Vele bedrijven hebben echter nog steeds
Server 2008R2 in gebruik. Er is echter een gulden middenweg. Het is namelijk op een
modern besturingssysteem zoals Windows7, Windows8 of een Windows server 2012 die
geen DHCP server is een powershell script te schrijven dat eenvoudigweg de gegevens uit
een CSV haalt en deze omzet naar Netsh commando’s die dan weggeschreven worden in
een batchfile. Deze batchfile kan dan vervolgens op de effectieve DHCP server uitgevoerd
worden zonder dat manueel alle Netsh commando’s ingevoerd moeten worden. De
gebruiksvriendelijke en krachtige powershell wordt hier gebruikt om een batchscript te
genereren dat compatibel is met oudere besturingssystemen.
Hoewel het mogelijk is zo een
script zelf te schrijven zijn er al
enkele voorbeelden voorhanden
op het internet. 1 zo een
voorbeeld komt van Seth H.
Bokelman. Het volledige script is
terug te vinden in bijlage 1
Figuur 38:Powershell Script(Bokelman S, 2012
50
6.2 Fysieke Implementatie In het netwerk
Met de implementatie wordt het fysiek implementeren van de layer 3 hardware bedoeld.
Gezien dit een nieuw apparaat is dat toegevoegd wordt aan het netwerk kan alles al correct
geconfigureerd en ingesteld worden alvorens het geïmplementeerd wordt. Wel moet er met
enkele zaken rekening gehouden worden.
6.2.1 Fysieke en logische locatie van het apparaat
De Fysieke en logische locatie van het apparaat in het netwerk zou ondertussen al logisch
voort gegroeid moeten zijn uit de analyse van de bestaande documentatie en de nieuw
aangemaakte documentatie en planning.
Bij de fysieke locatie is het belangrijk dat:




Deze redelijk centraal is.
De ruimte goed gekoeld kan worden.
De ruimte goed beveiligd is.
De ruimte niet courant gebruikt wordt gezien een layer 3 switch nog al eens wat
lawaai kan maken.
Inzake de logische locatie wordt er best rekening gehouden met volgende zaken:



Het apparaat bevindt zich logischerwijs in een hoger niveau(core of distribution).
Alle onderliggende apparaten dienen een pad naar dit apparaat te kunnen vormen.
Bij voorkeur moet dit apparaat bereikbaar zijn door zo min mogelijk
netwerkapparaten zoals switches te moeten passeren zonder bovenstaande punten
teniet te doen.
Indien de gekozen locatie deze punten
respecteert kan er van uitgaan worden dat
de locatie zowel fysiek als logisch goed
gekozen is. Vaak zal dit een serverroom of
verdeelpunt zijn in het netwerk. In de iets
kleinere bedrijven zal de layer 3 apparatuur
terug te vinden zijn naast de edge-devices
gezien deze netwerken slechts nood hebben
aan 1 layer 3 apparaat.
Figuur 39: completed server room project (Robert Camp,
2003)
51
6.2.2 Tijdelijke instellingen ter bereikbaarheid van het apparaat.
Het layer 3 apparaat kan volledig correct geconfigureerd in
het netwerk geïmplementeerd worden. Het bestaande
netwerk kan echter slechts gedeeltelijk voorbereid worden
op de nieuwe infrastructuur. Indien een nieuwe vlan in
gebruik genomen wordt om alle netwerkapparatuur in
onder te brengen alsook enkele clients die deze apparatuur
mogen beheren, de zogenaamde management-vlan kan
het wel eens gebeuren dat het onmogelijk wordt vanop
afstand verbinding te maken met het layer 3 apparaat
gezien de nieuwe vlan nog nergens gebruikt wordt en de
Figuur 40: Site blocked (Slainte mhath,
oude vlan geen toestemming heeft op het nieuwe
2012)
apparaat. De oplossing hiervoor bestaat eruit tijdens de
implementatie rekening te houden met het bestaande
netwerk en de gang van zaken erin.
Indien er in het bestaande layer 2 netwerk bijvoorbeeld al sprake was van een speciale
management-vlan of als de default-vlan gebruikt werd kan het handig zijn deze voorlopig ook
toe te staan de layer 3 switch te managen. Na de implementatie als het hele netwerk
aangepast is kan de tijdelijke toegang alsnog aangepast en geblokkeerd worden.
52
6.3 Netwerkvernieuwingen configureren en in gebruik nemen
6.3.1 Nieuwe vlans in gebruik nemen
Het is niet nodig de nieuwe vlans direct te beginnen gebruiken eens het layer 3 apparaat
geïmplementeerd is. De nieuwe subnets en vlans kunnen stapsgewijs in gebruik genomen
worden op een gecontroleerde manier zodanig dat alles naar behoren werkt.
Het is belangrijk eerst en vooral alle voorbereidingen afgerond te hebben en deze zeker nog
eens te controleren alvorens nieuwe vlans in gebruik te nemen. De hoofdzaken om te
controleren zijn:




Kan ik uit de documentatie afleiden welke poort tot welk vlan behoort.
Zijn de uplinks correct geconfigureerd met de juiste vlans als tagged/trunked.
Heeft het nieuwe subnet een dhcp pool nodig en is deze al aangemaakt/actief
inclusief exclusions, reservations en andere opties.
Welke default gateway hoort bij welke vlan indien deze manueel ingesteld moet
worden.
Als bovenstaande punten gecontroleerd zijn kunnen de nieuwe vlans geïmplementeerd
worden. In de voorbereiding zou de layer 3 switch in het netwerk al volledig geconfigureerd
moeten zijn. Er rest dus nog enkel de juiste vlan te activeren op iedere poort van de layer 2
switch. Bij Allied Telesis kan dit zowel via de configuratie file als via de web interface.
6.3.1.1 vlans aanpassen via web interface
Het aanpassen van vlans via de web interface kan gebeuren in 2 stappen. Deze methode
wordt het best gebruikt om het vlan van hooguit enkele poorten aan te passen gezien bij de
meeste modellen van Allied Telesis er op “apply” dient geklikt te worden na 1 poort te
hebben aangepast. Tijdens de implementatie van een layer 3 netwerk waarbij meestal alle
poorten op de switches in nieuwe vlans worden ondergebracht wordt beter gewerkt met
de configuratie files van deze switches. Het gebruiken van de webinterface werkt vooral
goed bij het testen van nieuwe vlans en bij het instellen van speciale vlans zoals
bijvoorbeeld 1 enkele telefoon die aan de switch wordt toegevoegd en dus het telefoon
vlan nodig heeft.
Als eerste stap dienen we het nieuwe vlan als untagged te definiëren op de vereiste
poorten. Sommige recentere modellen zullen dit automatisch doen wanneer de Port vlan
IDentifier(PVID) wordt ingesteld. Voor de veiligheid is het echter aan te raden dit manueel
te doen. Dit wordt bewerkstelligd onder het menu Tagged vlan waar we voordien al de
uplinks juist geconfigureerd hebben.
Figuur 41: Untagged vlan
53
Vervolgens moet de default PVID ingesteld te worden op iedere poort. Standaard staat
deze op 1. De default PVID is het vlan dat untagged over deze lijn gaat en kan ingesteld
worden onder het Quality of Service(Qos) menu van de switches. Soms kan bij het instellen
van de PVID een foutboodschap komen dat de betreffende poort geen lid is van het vlan dit
wil zeggen dat deze poort niet als untagged is geconfigureerd in de vorige stap. Na het
aanpassen van één rij in dit menu moet telkens op apply geklikt te worden wat het proces
in geval van grote wijzigingen heel traag maakt.
Figuur 42: Default PVID
6.3.1.2 vlans aanpassen via configuratie file
Het aanpassen van een volledig
netwerk via web interface gaat echter
zeer traag. De meeste switches van
Allied Telesis bieden de mogelijkheid
hun configuratie file te downloaden als
tekstbestand. Deze kan dan aangepast
worden met een tekstbewerker en
vervolgens opnieuw geüpload worden
naar de switch. Het in gebruik nemen
van de nieuwe vlans gebeurt doordat
we een poort een nieuw PVID geven in
de configuratiefile:
Figuur 43: PVID configuratie file
54
6.3.2 Spanning tree
Spanning tree(STP) is een protocol dat netwerkproblemen voorkomt ontstaan door lussen in
het netwerk. Een lus in een netwerk kan ontstaan doordat switches redundant verbonden
worden zonder dat STP geconfigureerd is op deze apparaten. Een lus kan ook opzettelijk of
per ongeluk gevormd worden door een netwerkkabel 2 poorten in eenzelfde switch te laten
verbinden.
Als spanning tree niet geconfigureerd is zorgen beide gevallen ervoor dat het netwerk plat
gaat door een broadcaststorm. Gelukkig is STP simpel te configureren in een netwerk.
Eenmaal geconfigureerd zal STP een switch in het netwerk definiëren als root bridge. Dit
gebeurt aan de hand van een manueel ingestelde prioriteit en het mac-adres van de
apparaten. Door alle apparaten in het netwerk te laten bijhouden welke poort de beste
verbinding is met de root bridge en welke poorten als alternatief kunnen dienen Worden
lussen voorkomen en gedetecteerd. Hierbij wordt de beste poort op actief gezet en de
andere poorten op non actief. Als de originele poort uitvalt, kan 1 van deze alternatieve
poorten online gebracht worden zodat de redundante link werkt.
Als eerste dient bepaald te worden welk type STP gebruikt gaat worden. Er bestaan immers
meerdere STP types:




Spanning tree protocol(STP)
Rapid spanning tree protocol(RSTP)
Multiple spanning tree protocol(MSTP)
Per-vlan spanning tree en Rapid spanning tree(terminologie van Cisco)
Spanning tree protocol is het oudste van de groep en dient enkel gekozen te worden indien
het netwerk nog heel oude apparatuur bevat. Voor alle andere algemene situaties voldoet
RSTP. Dit protocol maakt gebruik van enkele extra opties op poortniveau om de down time
tijdens de initiële configuratie en gedurende topologieveranderingen te beperken. MSTP
zorgt er dan weer voor dat indien vlans gesplitst worden over meerdere kabels. Geen enkele
van deze kabels onterecht geblokkeerd wordt door STP.
Als laatste hebben we dan PVSTP en Rapid-PVSTP. Deze 2 types zijn eigendom van Cisco. De
techniek is compatibel met gewone STP en RSTP maar biedt daar boven ook de mogelijkheid
aparte root-bridge in te stellen per vlan. Dit zorgt ervoor dat verschillende vlans op eenzelfde
switch de root bridge bereiken via gescheiden poorten waardoor de performantie van het
netwerk beter benut wordt.
In dit voorbeeld wordt gebruik gemaakt van Rapid-pvstp op een Cisco 3560x switch en RSTP
op Allied Telesis switches.
55
6.3.2.1 Rapid-PVSTP op Cisco CA3560X
Spanning tree staat standaard ingeschakeld op Cisco switches. Het type staat echter
standaard op PVSTP en is enkel geconfigureerd voor vlan 1. Om Rapid-PVSTP te activeren
en de Cisco switch in te stellen als root bridge voor alle vlans worden 2 commando’s
ingegeven:
Spanning-tree mode rapid-pvstp
Spanning-tree vlan 1, 50, 60, 61, … priority 0
Het 2de commando kan hier ook eindigen met “root primary” of “root secondary” om de
priorities respectievelijk te verlagen naar 4096 en 8192. het kan echter dat andere
fabrikanten een lagere priority als standaard instellen. In gemengde netwerken is het dus
aan te raden de priority manueel lager in te stellen of de priority op de andere apparatuur
manueel te controleren en aan te passen indien nodig.
In de configuratie file kan vervolgens nagekeken worden of rapid-pvstp wordt toegepast en
op welke vlans. Met het commando “show spanning-tree” kan ook per vlan nagegaan
worden welke poorten deze vlan gebruikt en welke instellingen op de Cisco switch gebruik
worden.
Figuur 44: STP running configuratie
Figuur 45: STP vlan 1
56
Rapid-pvstp Bevat verder ook nog enkele speciale poorten en opties die kunnen
geconfigureerd worden om het netwerk sneller te laten werken. De 3 belangrijkste onder
deze opties zijn:



portfast
loopguard
Root guard
Portfast is een optie die geconfigureerd dient te worden op poorten die geen verbinding
maken met andere switches, hubs of routers. Eenmaal geconfigureerd zorgt portfast ervoor
dat deze poorten sneller data zullen beginnen verzenden en ontvangen gezien deze geen
onderdeel uitmaken van de spanning-tree.
Loopguard kan globaal op alle poorten geconfigureerd worden. De Cisco switch past dit dan
automatisch toe op alle poorten die geen portfast poorten zijn. Loopguard zorgt ervoor dat
er geen lussen in het netwerk kunnen ontstaan doordat een redundante link geactiveerd
wordt wanneer de originele link nog steeds werkt. Loopguard is dan ook cruciaal op alternate
en designated poorten.
Root guard dient dan weer geconfigureerd te worden op poorten die verbonden zijn met
andere switches maar die nooit de root bridge mogen worden. In het geval dat een nieuwe
switch met een lage prioriteit op deze poort komt kan deze nog steeds geen root bridge
worden. Dit is om te voorkomen dat een apparaat op het access niveau de root bridge voor
het hele netwerk of een volledige vlan wordt.
6.3.2.2 RSTP op Allied Telesis GS950
RSTP op Allied Telesis switches activeren gebeurt via de web interface. Onder het tabblad
bridge. Hier kan de priority en het type stp ingesteld worden. Onder het tabblad “advanced
RSTP” kan vervolgens ook de Allied Telesis versie van portfast ingesteld worden genaamd
edgeport per poort.
Figuur 46: RSTP Allied Telesis
57
7 Frequente problemen en troubleshooting
Het spreekt voor zich dat zelfs indien de upgrade tot in de kleinste details wordt voorbereid er
zich nog steeds fouten en problemen kunnen voordien. Enkele veel voorkomende algemene en
specifieke fouten worden hier aangehaald en opgelost.
7.1 Algemene problemen
Algemene problemen zijn problemen die ontstaan doordat bepaalde details over het hoofd
gezien worden tijdens de implementatie. Het gaat hier om problemen die niets met specifieke
software of data te maken hebben maar veeleer met algemene instellingen en opties in het
netwerk.
7.1.1 Foutieve en verouderde default gateways
De default gateway wordt gebruikt door apparaten om verkeer te versturen buiten hun eigen
subnet. In een layer 3 netwerk dient de default gateway voor een client telkens het IP-adres
te zijn van het vlan waartoe deze behoort. Apparaten die hun IP-adres via DHCP verkrijgen
zullen deze instellingen automatisch juist ontvangen. Een apparaat dat echter een statisch IPadres heeft zal zijn foutieve default-gateway behouden.
Dit probleem kan zich ook voordoen met andere types apparaten. Indien het IP-adres van de
DNS-server, DHCP-server of proxy server aangepast werd tijdens de layer 3 implementatie
kan dit voor problemen zorgen met enkele clients die deze apparaten bereikten op basis van
IP-adres. Vele van deze apparaten kunnen ook benaderd worden op basis van host naam in
plaats van op IP-adres. Waar mogelijk kan men dus beter met een host naam werken zodat
enkel de dns record dient aangepast te worden tijdens de implementatie.
Doet het probleem zich toch nog eens voor dan zal dit zich manifesteren als een apparaat dat
niet langer verbinding heeft met het netwerk en is het simpelweg op te lossen door het
aanpassen van het foute adres naar een host naam of het correcte adres zodat het toestel
opnieuw gebruik kan maken van het netwerk.
58
7.1.2 Configuratiefouten in nieuwe ACL’S
In een layer 2 netwerk wordt de beperkte routering uitgevoerd door ofwel een router ofwel
een firewall. De beperkingen op deze routeringen worden toegepast door de firewall. In een
layer 3 netwerk blijft intern verkeer echter volledig intern en is het de bedoeling dat dit niet
naar de firewall wordt gestuurd. De beperkingen zullen dus door middel van ACL’s moeten
worden toegepast door de layer 3 switches. Het overbrengen van deze regels gebeurt echter
niet altijd even vlot. Vaak wordt een belangrijk detail over het hoofd gezien waardoor een
ACL regel ofwel te strikt is en het netwerkverkeer belemmert of te laks en de beveiliging
teniet doet.
Enkele veel voorkomende fouten bij ACL’s op interne routering zijn:





DHCP en DNS server wordt geblokkeerd.
Broadcast naar DHCP server wordt niet toegestaan
Verkeer binnen eenzelfde subnet wordt niet toegestaan
Verkeer van en naar niet gebruikte private adressen wordt toegestaan
Surfen naar publieke adressen wordt niet toegestaan
Dit probleem heeft geen eenvoudige oplossing. Ervaring is hier de beste leermeester gezien
een begrip van netwerkverkeer, ACL’s en netwerkprotocollen nodig is om efficiënt ACL’s te
analyseren en configureren. Indien een probleem zich voordoet is het wel interessant de ACL
in kwestie even af te zetten en een netwerksniffer zoals wireshark te gebruiken om te kijken
welke adressen en protocollen er allemaal over het netwerk in kwestie gaan.
Indien down time of ACL regels die te laks geconfigureerd zijn niet mogen voorkomen kan er
het best geopteerd worden een virtuele- of testomgeving op te zetten waarin alle ACL’s
grondig getest kunnen worden alvorens deze te implementeren in het productienetwerk.
59
7.2 Specifieke problemen
Er zijn ook specifieke problemen. Dit zijn problemen die zich voorgedaan hebben tijdens de
specifieke implementatie van dit netwerk. Er bestaat nog steeds de kans dat deze problemen
zich bij andere implementaties voordoen dus worden ze hier even kort aangehaald.
7.2.1 Virtual Desktop en jumbo frames
Een virtual desktop infrastructure (VDI) is een systeem waarbij de pc’s van werknemers
virtueel op een server draaien en worden weergegeven op een thin client. Vmware view is
hier een voorbeeld van. Deze oplossing maakt gebruik van het interne netwerk om de data
die een gebruiker ingeeft of verwacht te zien te verzenden. Om een vlotte ervaring te hebben
mag er niet teveel vertraging op deze data zitten.
Als oplossing heeft vmware hierbij geopteerd voor het gebruik van jumbo frames. Deze
worden vooral gebruikt indien de VDI server heel veel verschillende machines tegelijk actief
heeft. Een jumbo frame is een layer 2 frame dat groter is dan de standaard 1500 bytes.
Indien een switch niet geconfigureerd is deze te aanvaarden zal deze te grote frames niet
doorsturen en gewoon laten vallen wat de werking van de VDI tegengaat.
Op layer 2 switches kan men vaak kiezen om jumbo frames toe te laten. Dan worden frames
tot en met 9000 bytes geaccepteerd en doorgezonden. Cisco heeft hier echter een andere
aanpak gehanteerd. Zij laten jumboframes standaard toe op snelle poorten maar de
standaard grootte van zo een jumboframe wordt ingesteld op 1500 bytes. De grootte van
een gewone frame. Jumboframes worden hierdoor alsnog niet toegestaan ook al staat in de
instellingen jumbo frames aan. Dit zorgt ervoor dat sommige VDI toepassingen niet werken.
De oplossing is dan weer simpel. Het is namelijk mogelijk op de Cisco switch de grootte van
een jumbo frame vrij aan te passen. Indien achterhaald kan worden wat de maximale grootte
van een jumboframe over het netwerk is, kan op de Cisco switch dus deze grootte ingegeven
worden. Een snelle oplossing kan ook zijn om de grootte gewoon op het maximum te
plaatsen. Na termijn kan men dan achterhalen welke grootte effectief vereist is en deze
opnieuw instellen als onderdeel van de optimalisatie van het netwerk.
7.2.2 Allied Telesis webinterface
Tijdens het project is er vooral gewerkt met Allied Telesis switches. Voornamelijk de ATGS950 en AT-GS750 modellen. Deze modellen worden momenteel nog steeds geproduceerd
en bevatten al enkele firmware upgrades. De nieuwste firmwareversie is momenteel versie
1.2.0. deze behandelt enkele problemen met de interface maar 1 probleem is nog steeds
aanwezig. Indien een vlan verwijderd wordt van een switch kan deze vastlopen. De enige
oplossing is dan om de switch zonder stroom te zetten zodat deze naar een vorige
configuratie teruggaat.
60
7.2.3 Virtual Private Network tunnel
Een Virtual Private Network tunnl(VPN-tunnel) verbind 2 locaties die fysiek gescheiden zijn
van elkaar door middel van een beveiligde verbinding. Een VPN tunnel kan opgesteld worden
om 2 bedrijfssites met elkaar te verbinden of om een verbinding te vormen met een offsite
serverpark zoals in een datacenter. Het probleem met deze VPN’s is dat deze geconfigureerd
moeten worden aan beide zijden. Lokaal kan snel bewerkstelligd worden maar om de andere
kant van de vpn aan te passen dient men vaak te wachten op derden. Één van de instellingen
die een vpn moet hebben zijn de subnets die zich aan de andere zijde bevinden. Een layer 3
implementatie zal veelal extra subnets toevoegen en bestaande subnets verplaatsen of
veranderen. Het is dan ook belangrijk de beheerder van de vpn-tunnel aan de andere kant
tijdig te contacteren over de aankomende veranderingen en deze duidelijk uit te leggen.
Om de aanpassingen zo vlot mogelijk te laten verlopen wordt best volgende info verstrekt:



De nieuwe subnets.
Een schema met de huidige opstelling en de nieuwe toekomstige opstelling
Eventueel een voorbeeld van de configuratie van de lokale zijde van de VPN
VPN tunnels worden vaak geconfigureerd op firewalls. Niet iedere firewall is hetzelfde en
definieert een VPN op dezelfde manier. Sommige applicaties zullen gebruik maken van
address-ranges zoals deze op een DHCP server worden geconfigureerd om de subnets te
bepalen. Anderen verwachten dan weer een netwerkadres met subnetmasker. Om deze
reden is het dus belangrijk dat je voldoende op voorhand de beheerder van de VPN aan de
andere zijde contacteert zodat indien nodig telefonisch kan afgesproken worden om de
aanpassingen te verduidelijken.
Dit voorkomt dat men vast komt te zitten tijdens het project omdat men moet wachten op
de aanpassingen van de VPN tunnel.
61
Besluit
Als conclusie kunnen we stellen dat een layer 3 bedrijfsnetwerk op lange termijn heel wat voordelen
biedt tegenover een traditioneel layer 2 netwerk. Toch is een layer 3 bedrijfsnetwerk niet altijd nodig
en dient er goed nagedacht te worden alvorens de beslissing om een layer 3 netwerk te
implementeren te nemen. Vooral in organisch gegroeide bedrijven dient hier goed over nagedacht te
worden gezien deze bedrijven te maken krijgen met extra problemen tijdens de implementatie door
de algemene structuur van hun netwerk.
Dit leidt ertoe dat organisch gegroeide bedrijfsnetwerken die geüpgraded worden naar een layer 3
netwerk zonder dat dit nodig is of hier goed over nagedacht is zichzelf vaak met meer problemen en
moeilijkheden opzadelen dan dat ze hadden met een layer 2 netwerk.
Alvorens een implementatie te beginnen is het belangrijk dat de nodige documentatie voor handen
en volledig bijgewerkt is. Indien hier twijfel over bestaat kan er best wat extra tijd besteedt worden
aan het controleren van de documentatie.
Het configureren van zowel het bestaande netwerk als de nieuwe apparaten verschilt dan weer van
fabrikant tot fabrikant. Gelukkig is de syntax en werkwijze vaak gelijkaardig. Wel wordt er best
rekening gehouden met het feit dat de gebruikte terminologieën soms verschillende betekenissen
hebben bij verschillende fabrikanten. Het is dan ook aangewezen eerst duidelijk te bepalen wat
geconfigureerd dient te worden en aan de hand van de documentatie van de fabrikant te
onderzoeken hoe dit bewerkstelligd moet worden. Gezien de implementatie van een layer 3 netwerk
gepaard gaat met het wijzigen of implementeren van meerdere functies in de netwerkapparatuur is
het ook belangrijk dit gestructureerd te doen en onderdeel per onderdeel te werk te gaan.
Zoals bij iedere grote verandering in een bedrijfsnetwerk zullen er altijd wel zaken zijn die over het
hoofd gezien worden. Indien problemen zich voordoen is het belangrijk niet te paniekeren en deze
problemen rustig en systematisch te behandelen. Bij algemene problemen kan men documenten
zoals deze raadplegen om tot een oplossing te komen. Vaak gaat het hierbij om kleine details die
gemakkelijk over het hoofd gezien kunnen worden. Bij specifieke problemen is het belangrijk een
goed begrip te hebben van het bedrijfsnetwerk en vlot overweg te kunnen met de bestaande
documentatie. Deze problemen kunnen vaak slechts gedeeltelijk achterhaald worden via externe
documentatie. Het is dan ook aangewezen ieder probleem dat zich voordoet zelf te documenteren
en bij te houden zodanig dat indien dit probleem zich in de toekomst opnieuw voordoet men een
first hand oplossing voor handen heeft.
Algemeen kan gesteld worden dat de praktische implementatie van een layer 3 netwerk van bedrijf
tot bedrijf zal verschillen. Een gids die letter per letter gevolgd kan worden kan dus niet geschreven
worden. Wel volgt iedere implementatie een vaste structuur waarbij enkele elementen altijd
aanwezig zijn. Dit vormt de basis van ieder Layer 3 bedrijfsnetwerk. Een layer 3 netwerk dat hierop
gebaseerd is kan in de toekomst vlot en snel uitgebreid en aangepast worden.
literatuurlijst
Allied Telesis (2012). STP and RSTP. Geraadpleegd op 15 mei via
(http://www.AlliedTelesis.com/manuals/s108v110weba/STP_RSTP.html)
Arisar, J. (27 maart 2011). Osi-model [Blog]. Geraadpleegd op 6 april 2014 via
(http://datacombasic.blogspot.be/2011/03/v-behaviorurldefaultvmlo.html)
Balal Rumy, S. (2013). What is the difference between a Layer-3 switch and a Router? Geraadpleegd
op 6 april 2014 via (http://rumyittips.com/what-is-the-difference-between-a-layer-3-switch-and-arouter/)
Bokelman, S. (30 April 2012). Powershell script to create numerous DHCP scopes [Blog]. Geraadpleegd
op 22 april 2014 via (http://www.sethb.com/weblog/?p=1354)
Cinergix Pty. Ltd.(2013). Network diagram software: Draw network diagrams online. Geraadpleegd
op 20 april 2014 via (http://creately.com/Online-Network-Diagram-Software-old)
Cisco Systems (z.j.). Layer 3 switching: re-inventing the router. Geraadpleegd op 6 april 2014 via
(http://www.scom.uminho.pt/uploads/Apoio%20-%20Doc%20Tec%20-%203switch.pdf)
Cisco Systems (2012). CCNA exploration: LAN switching and wireless [Syllabus]. Cisco networking
academy, CCNA exploration
Ching Chang, K. (2010). Data Communications:Dl. 15. Internet Protocol. Geraadpleegd op 6 april 2014
via (http://ironbark.xtelco.com.au/subjects/DC/lectures/15/)
ComputerNetworkingNotes (2010). How to configure extended access lists on router. Geraadpleegd
op 12 mei 2014 via (http://computernetworkingnotes.com/network-security-access-lists-standardsand-extended/extended-access-list.html)
CS Odessa Corp. (2014). Ethernet local area network layout floor plan. Geraadpleegd op 20 april 2014
via (http://www.conceptdraw.com/diagram/floor-plan-for-computer-networking)
Huybrechts, W. (2014). Praktische tips voor het reorganiseren van het schoolnetwerk [Syllabus].
Vlaams verbond van het Katholiek Secundair Onderwijs, Werkgroep ICT.
Microsoft Corporation (2001). Network + certification training kit. (2nd ed). Reno: Sierra Nevada
Books
Microsoft (2014). Netsh commands for DHCP. Geraadpleegd op 20 april 2014 via
(http://technet.microsoft.com/en-us/library/cc787375%28v=ws.10%29.aspx)
Oksnevad, D. (28 juni 2013). 15 More Server Room Cabling Nightmares – Server Room Cabling Hell
v2.0 [Blog]. Geraadpleegd op 6 april 2014 via (http://www.dotcommonitor.com/blog/index.php/network-services-monitoring/15-server-room-cabling-nightmares/)
Robert Camp (6 mei 2003). Organic growth: Why it’s good for your business. [Blog]. Geraadpleegd op
20 april 2014 via (http://blog.hitcents.com/blog/post/organic-growth-why-its-good-your-business)
Robinson, S. (19 september 2011). Cisco’s 3 layer architecture model [Blog]. Geraadpleegd op 6 april
2014 via (http://3rdlayer.wordpress.com/2011/09/19/Ciscos-three-layer-architecture-model/)
SemSim.com (z.j.). The Cisco three layered hierarchical model. Geraadpleegd op 6 april 2014 via
(http://www.mcmcse.com/Cisco/guides/hierarchical_model.shtml)
Slainte mhath (18 September 2012). **Update** Help,Natfka’s site blocked. [Blog]. Geraadpleegd op
20 april 2014 via (http://h2lat40k.blogspot.be/2012/09/help-natfkas-site-blocked.html)
Switch,hub & router (z.d.). (http://users.skynet.be/fa955413/switch_hub_router.html) geraadpleegd
op 6 april 2014.
Switch/SG500-52P (z.d.). (http://www.connectit.be/pcmultimedia/networking/switches/sg50052pk9g5) geraadpleegd op 6 april 2014.
The scripting guys. (15 Januari 2013). Hey, Scripting Guy! Blog [Blog]. Geraadpleegd op 21 april 2014
Via (http://blogs.technet.com/b/heyscriptingguy/archive/2013/01/15/use-powershell-to-createmultiple-dhcp-scopes-on-dhcp-servers.aspx)
Bijlagen
Bijlage 01: Batchfile genererend script(Bokelman, S. 2012)
##=====================================================================
##=====================================================================
## SCRIPT.........: Create-Scope.ps1
## AUTHOR.........: Seth H. Bokelman
## EMAIL..........: [email protected]
## VERSION........: 1
## DATE...........: 2012-04-030
## REQUIREMENTS...: Powershell v2.0
##
## DESCRIPTION....: Creates a CMD file to create numerous DHCP scopes
##
## NOTES..........: Requires CSV file with these fields: SCOPE, MASK,
NAME, DESC
## ROUTER, STARTIP, ENDIP, DNSSUFFIX
## CUSTOMIZE......:
##=====================================================================
## START
##=====================================================================
# IP address of DHCP server
$DHCPServer = "127.0.0.1"
#IP address of DNS servers
$DNS1 = "127.0.0.1"
$DNS2 = "127.0.0.1"
# Stores current date & time in a sortable format
$date = Get-Date -format s
# Name of output batch file
$outputfile = "C:DHCPscopes.cmd"
# Assumes a CSV with 8 columns listed above.
$ips = import-csv "C:input.csv"
$ips | %{
add-content -Encoding ASCII -Path $outputfile -Value "netsh dhcp server
$DHCPServer add scope $($_.SCOPE) $($_.MASK) `"$($_.NAME)`" `"$date $($_.DESC)`""
add-content -Encoding ASCII -Path $outputfile -Value "netsh dhcp server
$dhcpserver scope $($_.SCOPE) set optionvalue 3 IPADDRESS $($_.ROUTER)"
add-content -Encoding ASCII -Path $outputfile -Value "netsh dhcp server
$dhcpserver scope $($_.SCOPE) set optionvalue 6 IPADDRESS $DNS1 $DNS2"
add-content -Encoding ASCII -Path $outputfile -Value "netsh dhcp server
$dhcpserver scope $($_.SCOPE) set optionvalue 15 STRING
`"$($_.DNSSUFFIX)`""
add-content -Encoding ASCII -Path $outputfile -Value "netsh dhcp server
$dhcpserver scope $($_.SCOPE) add iprange $($_.STARTIP) $($_.ENDIP)"
add-content -Encoding ASCII -Path $outputfile -Value "netsh dhcp server
$DHCPserver scope $($_.SCOPE) set state 1"
}
##=====================================================================
## END
##=====================================================================