Implementatie van een layer 3 bedrijfsnetwerk Project aangeboden door Van Hove Tommie voor het behalen van de graad van Bachelor in de New Media and Communication Technology Academiejaar 2013-2014 Stageplaats : Scheppersinstituut Wetteren Stagementor : Heyse Pieterjan Stagebegeleider : Ameel Hans Implementatie van een layer 3 bedrijfsnetwerk Project aangeboden door Van Hove Tommie voor het behalen van de graad van Bachelor in de New Media and Communication Technology Academiejaar 2013-2014 Stageplaats : Scheppersinstituut Wetteren Stagementor : Heyse Pieterjan Stagebegeleider : Ameel Hans Woord vooraf Informatica is altijd al mijn passie geweest. Zozeer zelfs dat dit ondertussen al mijn tweede informatica gerelateerde hogere studies zijn. In het brede vakgebied dat bekend staat als de informatica interesseren netwerken en het beheer ervan mij het meest. Het is dan ook niet onlogisch dat ik in mijn opleiding vooral netwerken als keuzevakken heb gekozen. Als afsluiter van de New Media and Communication Technology(NMCT) opleiding is er een stage met bijhorende bachelor proef ingepland. Als stageplaats heb ik gekozen voor Het Scheppersinstituut, een secundaire school te Wetteren waar ik de opdracht kreeg een layer 3 netwerk te implementeren. Als Scriptieonderwerp heb ik ervoor gekozen een document te schrijven dat stap voor stap de implementatie van zo een layer 3 netwerk bespreekt. Dit document kan geraadpleegd worden door zowel de ervaren informaticus als door een student met geen tot weinig ervaring in het netwerkbeheer en kan gebruikt worden om een implementatie uit te voeren, om specifieke problemen op te lossen of om een theoretische kennis op te bouwen betreffende layer 3 netwerken en hoe ze werken. Tijdens mijn stage en het schrijven van deze scriptie heb ik uiteraard hulp gekregen van tal van mensen. Deze wil ik alvast nu bedanken. Ten eerste wil ik mijn stagementor en collega’s Pieterjan Heyse, Frank De La Marche en Benoit Goemanne bedanken omdat ze mijn stage in goede banen hebben geleid en gezorgd hebben voor een aangename werksfeer. Als tweede wil ik mijn stagebegeleider van Howest Hans Ameel en lector Tom Decavele bedanken om mij te helpen bij problemen tijdens de stage en voor hun begeleiding bij deze scriptie. Als laatste wil ik ook Ann Deraedt bedanken voor alle feedback die ze mij gegeven heeft inzake een goede structuur en opbouw van mijn scriptie. Zonder al deze personen zou mijn stage en het schrijven van deze scriptie niet zo vlot zijn verlopen. Abstract In deze scriptie wordt de implementatie van een layer 3 bedrijfsnetwerk besproken en uitgelegd. Er wordt rekening gehouden met de verschillende moeilijkheden en problemen die hiermee gepaard gaan in organisch gegroeide bedrijfsnetwerken waar een duidelijke structuur en planning vaak ontbreekt. Het doel van dit document is om een gids te schrijven die bedrijven kan helpen bij de implementatie, de uitbreiding of aanpassing van hun layer 3 netwerk in de mate dat dit mogelijk is gezien de grote variëteit aan producten en technologieën. Tevens wordt ook een theoretische basis inzake layer 3 netwerken en bijhorende terminologieën en richtlijnen verschaft. Om dit te bewerkstelligen worden eerst enkele basistermen inzake netwerken uitgelegd en besproken. Vervolgens wordt een layer 3 netwerk gedefinieerd en worden de voordelen, nadelen en het nut hiervan besproken. Het theoretische luik wordt afgesloten met de problematiek rond organische bedrijfsnetwerken en hun oplossingen. Het praktische luik begint met de voorbereiding van het bestaande netwerk en inplannen van de implementatie gevolgd door de uitvoering hiervan. Achteraf worden ook enkele veel voorkomende problemen apart bekeken en behandeld. Als resultaat levert dit een document dat gebruikt kan worden om de basis van een layer 3 implementatie stap voor stap te begeleiden en in goede banen te leiden of om specifieke problemen te onderzoeken en tot een oplossing te komen. Het document behandelt slechts enkele onderdelen die in een layer 3 netwerk geconfigureerd kunnen worden. Dit onderwerp is namelijk zo breed en biedt zo veel mogelijkheden dat het onmogelijk is deze allemaal in 1 document samen te brengen zonder dat dit onduidelijk en te technisch wordt. De conclusie is dan ook dat ieder bedrijfsnetwerk anders is en dus ook een licht andere implementatie zal kennen. Sommige zullen meer features implementeren, anderen zullen bepaalde features laten vallen. Het is nagenoeg onmogelijk een gids te schrijven die iedere mogelijke feature implementeert of ieder mogelijk probleem dat zich kan voordoen behandelt. Een goede basis is echter de sleutel tot het bouwen van een functioneel layer 3 netwerk. Als de basis correct geïmplementeerd is kunnen op een vlotte en eenvoudige manier extra opties toegevoegd worden. Tevens worden de mogelijke problemen die zich kunnen voordoen hiermee ook beperkt wat leidt tot een functioneel en rendabel bedrijfsnetwerk dat zich vlot laat beheren en uitbreiden. Inhoudsopgave Woord vooraf................................................................................................................................. Abstract ......................................................................................................................................... Inhoudsopgave............................................................................................................................... Figurenlijst ..................................................................................................................................... Lijst met afkortingen ...................................................................................................................... Verklarende woordenlijst ............................................................................................................... Inleiding ......................................................................................................................................... 1 Types Bedrijfsnetwerken en layers ............................................................................................... 13 1.1 2 Open Systems Interconnect model ................................................................................... 13 1.1.1 Laag 1: Fysieke laag ................................................................................................... 14 1.1.2 Laag 2: Data link laag ................................................................................................. 14 1.1.3 Laag 3: Netwerk laag ................................................................................................. 15 1.2 Organische en anorganische bedrijfsnetwerken ............................................................... 16 1.2.1 Anorganische bedrijfsnetwerken .............................................................................. 16 1.2.2 Organische bedrijfsnetwerken .................................................................................. 16 1.3 Hiërarchische bedrijfsnetwerken ...................................................................................... 17 1.3.1 Core niveau................................................................................................................ 18 1.3.2 Distribution niveau .................................................................................................... 18 1.3.3 Access niveau ............................................................................................................ 19 Definiëring en voordelen layer 3 netwerk..................................................................................... 20 2.1 2.2 Een Layer 3 bedrijfsnetwerk .............................................................................................. 20 Wanneer een layer 3 netwerk implementeren ................................................................. 21 2.2.1 Bedrijfsomvang .......................................................................................................... 21 2.2.2 Beveiliging.................................................................................................................. 21 2.2.3 Performance .............................................................................................................. 22 2.3 Vereisten layer 3 netwerk ................................................................................................. 23 3 2.3.1 Beheerde switches .................................................................................................... 23 2.3.2 vlans ........................................................................................................................... 23 2.3.3 Budget en tijd ............................................................................................................ 23 2.4 voordelen van een Layer 3 bedrijfsnetwerk ...................................................................... 24 2.4.1 Beveiliging.................................................................................................................. 24 2.4.2 Snellere en uitgebreide interne routering................................................................. 24 2.4.3 Schaalbaarheid .......................................................................................................... 24 2.4.4 Hiërarchische structuur ............................................................................................. 25 2.4.5 Eerste stap naar een redundant netwerk ................................................................. 25 Problemen met implementatie in een organisch bedrijfsnetwerk ............................................... 26 3.1 Upgrade in een organisch gegroeid bedrijf ....................................................................... 26 3.1.1 3.1.2 3.1.3 Situatieschets organisch bedrijf ................................................................................ 26 Problematiek ............................................................................................................. 27 Oplossingen ............................................................................................................... 27 1 4 Benodigde documentatie .............................................................................................................. 30 5 4.1 Netwerktopologie.............................................................................................................. 30 4.2 Fysiek plan ......................................................................................................................... 31 4.3 IP-plan................................................................................................................................ 32 4.4 Kabelidentificatie ............................................................................................................... 33 Configureren van het layer 3 apparaat ......................................................................................... 34 5.1 Toegang en beveiliging ...................................................................................................... 34 5.1.1 Access Control Lists ................................................................................................... 34 5.1.2 Toegang tot apparaat ................................................................................................ 35 5.2 vlans en routering.............................................................................................................. 38 5.2.1 vlans aanmaken en configureren .............................................................................. 38 5.2.2 vlan routering en default route instellen .................................................................. 38 5.2.3 Routering beperken ................................................................................................... 39 5.3 Interfaces ........................................................................................................................... 41 6 5.3.1 Access interfaces ....................................................................................................... 41 5.3.2 Trunk interfaces......................................................................................................... 42 5.3.3 Port-channels............................................................................................................. 42 implementatie van het layer 3 netwerk ........................................................................................ 44 6.1 Implementatie voorbereiden ............................................................................................ 44 6.1.1 Bekabeling en bestaande apparatuur ....................................................................... 44 6.1.2 Aanpassen van de layer 2 switches ........................................................................... 45 6.1.3 DHCP server ............................................................................................................... 46 6.2 Fysieke Implementatie In het netwerk.............................................................................. 51 6.2.1 Fysieke en logische locatie van het apparaat ............................................................ 51 6.2.2 Tijdelijke instellingen ter bereikbaarheid van het apparaat. .................................... 52 6.3 Netwerkvernieuwingen configureren en in gebruik nemen ............................................. 53 7 6.3.1 Nieuwe vlans in gebruik nemen ................................................................................ 53 6.3.2 Spanning tree ............................................................................................................ 55 Frequente problemen en troubleshooting ................................................................................... 58 7.1 Algemene problemen ........................................................................................................ 58 7.1.1 Foutieve en verouderde default gateways................................................................ 58 7.1.2 Configuratiefouten in nieuwe ACL’S.......................................................................... 59 7.2 Specifieke problemen ........................................................................................................ 60 7.2.1 Virtual Desktops en jumbo frames ............................................................................ 60 7.2.2 Allied Telesis webinterface ........................................................................................ 60 7.2.3 Virtual Private Network tunnel ................................................................................. 61 Besluit............................................................................................................................................ literatuurlijst .................................................................................................................................. Bijlagen .......................................................................................................................................... 2 Figurenlijst Figuur 1: OSI-MODEL(Arisar, 2011) ___________________________________________________ 13 Figuur 2: HUB(Hub, z.d.) ___________________________________________________________ 14 Figuur 3: Switch (Switch, z.d.) _______________________________________________________ 14 Figuur 4: Datgramfields.(Microsoft, 2001) _____________________________________________ 14 Figuur 6: The IP datagram(ching chang, 2010) __________________________________________ 15 Figuur 7: Wiring nightmares (Oksnevad, 2013)__________________________________________ 16 Figuur 8: Cisco's 3 layer architecture model (Robinson, 2011) ______________________________ 17 Figuur 9: layer 2 core (Allied Telesis z.d.) ______________________________________________ 17 Figuur 10: core layer switch features (Cisco, 2012) ______________________________________ 18 Figuur 11: Distribution layer switch features(Cisco, 2012) _________________________________ 18 Figuur 12: Access layer switch features (Cisco, 2012) _____________________________________ 19 Figuur 13: Organic company network _________________________________________________ 26 Figuur 14: Network topology diagram(Cinergix Pty. Ltd., 2013) _____________________________ 30 Figuur 15: Ethernet lan layout floorplan(CS odessa corp, 2014) ____________________________ 31 Figuur 16: IP-plan voorbeeld ________________________________________________________ 32 Figuur 17: Kabelidentificatietabel ____________________________________________________ 33 Figuur 18: IP ACL _________________________________________________________________ 35 Figuur 19: Admin user en enable paswoord ____________________________________________ 35 Figuur 20: RSA keys _______________________________________________________________ 36 Figuur 21: Toegang beveiligen en beperken ____________________________________________ 37 Figuur 22: Namen vlan ____________________________________________________________ 38 Figuur 23: vlan IP-adres en helper-address _____________________________________________ 38 Figuur 24: IP-routing ______________________________________________________________ 39 Figuur 25: IP-route________________________________________________________________ 39 Figuur 26: Named ACL WIFI _________________________________________________________ 39 Figuur 27: ACL in _________________________________________________________________ 40 Figuur 28: Access poorten __________________________________________________________ 41 Figuur 29: Trunk poorten __________________________________________________________ 42 Figuur 30: Port-channel ____________________________________________________________ 43 Figuur 31: Switch VLANS ___________________________________________________________ 45 Figuur 32: Configuratie upload/download _____________________________________________ 45 Figuur 33: IP-range DHCP scope _____________________________________________________ 46 3 Figuur 34: manuele DHCP scope _____________________________________________________ 46 Figuur 35: Een batch file uitvoeren ___________________________________________________ 48 Figuur 36: Batchfile scopes _________________________________________________________ 49 Figuur 37: Powershell Script ________________________________________________________ 49 Figuur 38: CSV files _______________________________________________________________ 49 Figuur 39:Powershell Script(Bokelman S, 2012__________________________________________ 50 Figuur 40: completed server room project (Robert Camp, 2003) ____________________________ 51 Figuur 41: Site blocked (Slainte mhath, 2012) __________________________________________ 52 Figuur 42: Untagged vlan __________________________________________________________ 53 Figuur 43: Default PVID ____________________________________________________________ 54 Figuur 44: PVID configuratie file _____________________________________________________ 54 Figuur 45: STP running configuratie __________________________________________________ 56 Figuur 46: STP vlan 1 ______________________________________________________________ 56 Figuur 47: RSTP Allied Telesis _______________________________________________________ 57 4 Lijst met afkortingen ACL: Access Control List CAM: Content Addressable Memory EoL: End of Life POE: Power Over Ethernet PVID: Port vlan IDentifier QoS: Quality of Service SSH: Secure SHell STP: Spanning Tree Protocol RSTP: Rapid Spanning Tree Protocol VDI: Virtual Desktop Infrastructure VPN: Virtual Private Network 5 6 Verklarende woordenlijst Backbone: De backbone van een bedrijfsnetwerk is een beetje te zien als de snelweg van een bedrijfsnetwerk. Een bedrijfsnetwerk zal vaak vertakken naar verschillende afdelingen en locaties maar uiteindelijk zal heel veel data terechtkomen op 1 snel, zeer zwaar netwerksegment dat veelal ook naar het internet gaat. Dit onderdeel noemt men de backbone Benchmark: Dit is een term die gebruikt wordt in de wereld van kwaliteitsbewaking. Een benchmark is een standaard afgeleid uit het testen van systemen en de onderliggende processen. Deze benchmark kan vervolgens gebruikt worden om bijvoorbeeld de minimale vereiste kwaliteiten en eigenschappen van systemen vast te leggen of om de gemiddelde performance van een netwerk vast te leggen en deze zo systematisch te verbeteren. Broadcast domain: Een broadcast domain is een verzameling van netwerkapparaten en end-devices naar waar 1 broadcast allemaal gestuurd wordt. Dit kan bestaan uit 1 vlan of 1 gehele LAN afhankelijk van hoe het bedrijfsnetwerk geïmplementeerd is. Broadcaststorm: Dit is een fenomeen dat zich voordoet in grote layer 2 netwerken. In zo een netwerk worden broadcasts gebruikt door switches om ongekende mac-adressen te achterhalen. In grote netwerken kan het echter gebeuren dat switches de hoeveelheid mac-adressen niet meer kunnen bijhouden. Het broadcastverkeer neemt hierdoor toe wat uiteindelijk de performance van het netwerk verlaagt. Soms kan een broadcaststorm ook opzettelijk gelanceerd worden door personen met interne toegang tot het netwerk Collision: Een collision is wanneer 2 of meerdere internet pakketten met elkaar botsen. Dit gebeurt bij oudere netwerkapparaten die niet tegelijkertijd data kunnen zenden en ontvangen. Als 2 zulke apparaten tegelijkertijd een pakket naar elkaar verzenden zal er een collision plaatsvinden Collision-domain: Een collision-domain is een verzameling van netwerkapparaten waartussen collisions kunnen plaatsvinden. Dataframe: Een dataframe is het pakket dat samengesteld wordt op de 2de lag van het OSI-model. Het bevat onder andere de data, het mac-adres van de bestemming en het mac-adres van de verzender. Datagram: Een datagram is het pakket dat op de netwerklaag wordt samengesteld. Het bevat onder andere een dataveld, het IP-adres van de bestemming en het IP-adres van de verzender. Het datagram wordt alvorens over het netwerk verzonden te kunnen worden ondergebracht in het dataveld van een dataframe. Default vlan: De default vlan is altijd vlan 1. Deze staat altijd standaard geconfigureerd op iedere switch. Indien deze configuratie niet aangepast wordt gaat alle verkeer standaard over vlan 1 naar alle andere apparaten. 7 Edge-device: Een edge-device is een apparaat data aan de rand van een netwerk staat. In een bedrijf is dit bijvoorbeeld de router(s) die aan 1 kant verbonden zijn met het interne bedrijfsnetwerk en aan de andere kant met het publieke internet( al dan niet met nog een firewall tussen als beveiliging) End-device: Een end-device is een apparaat aan het uiteinde van een netwerk. Het gaat hier vooral om client devices zoals IP-telefoons, printers en PC’s. Flood: Een flood in een bedrijfsnetwerk gebeurt wanneer een netwerk apparaat een overvloed aan een bepaald soort pakket of een bepaald soort gegevens krijgt waardoor het de werking vertraagd of stopzet. Dit kan gebeuren zowel doordat het apparaat de gegevens niet snel genoeg kan verwerken of doordat bepaalde tabellen in het apparaat die de gegevens bijhouden vol komen te zitten Hashen: Hashen is het omvormen van data naar een sleutelwaarde(vaak van vaste lengte) die het originele bericht voorstelt. Bij het hashen wordt gebruik gemaakt van wiskundige formules waarbij de originele bewerking niet kan afgeleid worden uit de waarde. Dit maakt het onmogelijk het originele bericht af te leiden uit de hash. Hashen wordt vaak gebruikt om de integriteit van verstuurde data te controleren. High availability: Dit is een term die inhoudt dat een system een zekere mate van redundantie heeft. Een systeem is available als het bereikt en gebruikt kan worden. High availability houdt in dat een systeem of dienst beschikbaar blijft ook als 1 of meerdere componenten falen. Dit wordt over het algemeen bewerkstelligd door het inbouwen van redundante componenten of het uitvoeren van een back-up van de configuratie. IP-exclusions: IP-exclusions horen bij het DHCP gebeuren. Een exclusion in een DHCP pool of scope is 1 of meerdere adressen die binnen de DHCP scope vallen maar niet mogen uitgedeeld worden via DHCP. Vaak is dit omdat deze adressen al statisch gebruikt worden en dit niet kan of mag veranderd worden. IP-reservations: Een IP-reservation hoort bij het DHCP gebeuren. Een reservation is een speciale regel in een bepaalde scope die ervoor zorgt dat een bepaald apparaat altijd hetzelfde IP-adres via DHCP zal verkrijgen. Dit gebeurt doordat het mac-adres van dit apparaat gekend is op de DHCP server en een bepaald IP-adres gekoppeld is aan dit mac-adres. Interne routering: Routering is het verzenden van pakketjes tussen verschillende subnets of lans. Deze netwerken zijn in theorie gescheiden doordat ze in een ander subnet zitten. Bij interne routering blijft de data op het interne bedrijfsnetwerk maar is dit netwerk gesegmenteerd in verschillende lan/subnets. Leasetime: De leasetime is een optie die geconfigureerd kan worden op een DHCP scope. Het is de duratie dat een IP-adres verschaft wordt aan een client die de DHCP server gecontacteerd heeft voor een IP-adres. Poortdichtheid: Poortdichtheid is een term die gebruikt wordt om de hoeveelheid ethernetpoorten op een netwerkapparaat te omschrijven. Apparaten met een hoge poortdichtheid zijn dus apparaten die heel veel netwerkpoorten hebben zoals switches en hubs. 8 Powershell: Dit is een nieuwe scripttaal van Microsoft gebaseerd op het .net framework en speciaal ontworpen voor het beheer van systemen. Deze scripttaal is uit te breiden met modules genaamd CMDlets die de gebruiker toestaat zijn eigen toevoegingen aan de scripttaal te maken waardoor deze zich er uitermate goed toe leent het beheer van microsoft systemen gedeeltelijk te automatiseren. Rainbowtable: Rainbowtables zijn tabellen waarin veel gebruikte paswoorden en gebruikersnamen terug te vinden samen met hoe de verschillende hashes van deze data eruit kan zien. Op die manier is het mogelijk een paswoord heel snel te achterhalen gebaseerd op zijn hashwaarde zolang dat specifieke paswoord in de rainbowtable staat. Trunk-link: Trunk-link is een technologie die toestaat 2 netwerkapparaten door middel van meerdere fysieke kabels met elkaar te verbinden. De apparaten zien deze meerdere fysieke kabels dan als 1 virtuele kabel namelijk de trunk-link. Dit zorgt ervoor dat de capaciteit aan verkeer tussen deze 2 apparaten groter wordt. Uplink: Uplinks zijn poorten op netwerk apparatuur die bedoeld zijn om te verbinden met andere netwerkapparatuur. bij oudere switches zullen deze poorten een gigabit-poort zijn in tegenstelling tot de andere poorten die slechts 100megabit aankunnen. Bij nieuwere switches zijn vaak alle poorten minimaal 1 gigabit. Het is dan ook mogelijk dat de uplinks dan 10 gigabit aankunnen. 9 10 Inleiding Computernetwerken zijn bijna niet meer weg te denken uit onze maatschappij. Ieder apparaat moet met ieder ander apparaat kunnen communiceren. Dit geldt ook voor apparaten in een bedrijfsnetwerk met als gevolg dat deze steeds groter en complexer worden. Zelfs in kleinere bedrijven stevenen we af op het punt waarbij een simpel layer 2 netwerk niet langer volstaat om het verkeer vlot af te handelen. Deze bedrijven zijn vaak echter niet voorbereid, of bezitten niet de nodige capaciteiten en kennis om een upgrade naar een layer 3 netwerk te implementeren. Het omschakelen van een layer 2 netwerk naar een layer 3 netwerk kan heel wat problemen met zich meebrengen. Bedrijven gespecialiseerd in netwerkinfrastructuren zoals Cisco en Allied Telesis hebben hierover elk hun eigen documentatie en werkwijze maar richten zich vooral op geheel nieuwe installaties gebruik makend van enkel hun technologieën. Documenten die een omvorming van een bestaand netwerk bespreken of die er rekening mee houden dat niet alle apparaten in een bedrijf van eenzelfde fabrikant komen zijn schaars en vaak gebonden aan 1 specifieke situatie. Dit probleem treft dan vooral organisch of historisch gegroeide bedrijven van wie het netwerk vaak bestaat uit een grote hoeveelheid verschillende merken en technologieën. Een duidelijke en simpele layer 3 implemenatie wordt hierdoor bemoeilijkt. In deze scriptie wordt beschreven hoe een layer 3 netwerk kan geïmplementeerd worden, welke voorbereidingen hiervoor getroffen dienen te worden en welke functies minimaal geconfigureerd dienen te worden opdat er voordeel uit de layer 3 implementatie gehaald kan worden. Hierbij wordt nog steeds rekening gehouden met de suggesties en terminologieën van voorgenoemde fabrikanten zodat later ook hun documentatie gebruikt kan worden in het onderhoud of de uitbreiding van het netwerk maar er wordt niet van uit gegaan dat alle apparatuur van 1 fabrikant afkomstig is. De scriptie is gebaseerd op een effectieve implementatie van een layer 3 netwerk in het Scheppersinstituut, een middelbare school in Wetteren. De voorbereiding, uitvoering en problemen die zich voordeden bij deze opdracht zijn dan ook opgenomen in dit document evenals een korte situering van de belangrijkste terminologieën die gekend dienen te zijn. Hierdoor kan de scriptie gebruikt worden als handleiding bij een implementatie, als leidraad bij het oplossen van problemen of om een theoretische kennis op te doen inzake layer 3 netwerken en hoe deze praktisch werken. 11 12 1 Types Bedrijfsnetwerken en layers Het is belangrijk te weten wat een layer in het netwerk is, wat bedoeld wordt met een organisch gegroeid bedrijfsnetwerk en een hiërarchisch netwerk. In dit hoofdstuk worden deze termen gesitueerd en verduidelijkt opdat de lezer een duidelijk begrip heeft van deze terminologieën 1.1 Open Systems Interconnect model Het Open Systems Interconnect model of OSI-model is de basis van het netwerk. Het is daarom belangrijk dit model te begrijpen en te kennen alvorens uit te weiden over de verschillen tussen een layer2 en een layer3 netwerk of welk ander onderdeel in een bedrijfsnetwerk. Het OSI model is een standaard in de datacommunicatie die ervoor zorgt dat netwerken vlot met elkaar kunnen communiceren en is best te begrijpen in een schema. Figuur 1: OSI-MODEL(Arisar, 2011) Zoals duidelijk te zien is in het schema bestaat het OSI model uit 7 lagen. Deze zijn genummerd in aflopende volgorde. De bovenste 4 lagen van dit model zullen veeleer afgehandeld worden door end-devices en de applicaties aanwezig op deze apparaten. Vandaar dat deze lagen ook de “host layers” genoemd worden. Deze lagen vallen buiten de omvang van deze scriptie. De onderste 3 lagen(zijnde de fysieke, datalink en netwerk laag) dienen echter van dichterbij bekeken te worden. Deze 3 lagen worden zowel door enddevices als andere netwerkapparatuur gebruikt om data naar de juiste bestemming te sturen. Zoals de naam al doet vermoeden zal een layer 3 netwerk naast de fysieke en datalink laag ook intensief gebruik gaan maken van de netwerk laag. 13 1.1.1 Laag 1: Fysieke laag Laag 1 is in termen van snelheid de snelste laag. Dit komt omdat er geen logica of rekenkracht bij vereist is. Deze laag staat simpelweg in voor de verzending van data door middel van digitale binaire signalen( 1 of 0). De fysieke laag kan voorgesteld worden door de kabels die netwerkapparaten met elkaar verbindt en wordt enkel gelimiteerd in snelheid door de maximale snelheid die data kan bereiken over deze kabels. Er zijn ook netwerkapparaten die op deze laag werken genaamd hubs. Hoewel deze steeds minder gebruikt worden en geleidelijk aan vervangen worden door switches is het interessant deze nog even in beschouwing te nemen om een algemeen beeld te vormen van hoe een netwerk werkt. Figuur 2: HUB(Hub, z.d.) Een hub is een “dom” apparaat. Het werkt op laag 1 en gebruikt dus geen rekenkracht. Het ontvangt data en zendt deze vervolgens over al zijn poorten naar buiten. Dit brengt enkele grote nadelen met zich mee die de snelheid van laag 1 teniet doen. Zo kan een hub enkel zenden of ontvangen en deze 2 functies niet tegelijk uitvoeren. Verder zal het naarmate een computernetwerk met hubs groter wordt steeds meer te maken krijgen met collisions. Een collision zal ervoor zorgen dat de betrokken apparaten een willekeurige tijd wachten alvorens de data opnieuw proberen te verzenden wat het netwerk algemeen trager maakt 1.1.2 Laag 2: Data link laag De 2de laag bevat de eerste “intelligente” apparaten die dus intern geheugen gaan gebruiken om efficiënter data door te sturen. In theorie is deze laag trager dan laag 1 maar in de praktijk zal door de eerder vermelde nadelen van layer 1 netwerkapparatuur het verschil nauwelijks te merken zijn. Uiterlijk is er weinig verschil tussen een hub en een switch. Het grote verschil tussen deze 2 apparaten zit hem in de manier waarop ze data ontvangen en verzenden. Ieder apparaat in een netwerk heeft een fysiek adres Figuur 3: Switch (Switch, z.d.) genaamd het mac-adres. Dit adres is uniek voor elk apparaat en wordt door layer 2 apparaten zoals switches gebruikt om bestemmingen van dataframes te identificeren. Een layer 2 switch linkt namelijk mac-adressen aan zijn verschillende poorten zodat het weet door welke poort het een pakket moet sturen. Deze macadressen leert het door frames met een onbekend bestemmings mac-adres te flooden en de respons erop in een Content Addressable Memory (CAM) tabel op te slaan. Figuur 4: Datgramfields.(Microsoft, 2001) 14 De beperkingen van Layer 2 apparaten worden vooral duidelijk als een bedrijfsnetwerk groter wordt. Een layer 2 device kijkt namelijk zoals de naam doet vermoeden enkel naar de 2de laag, het komt nooit toe aan de derde laag waarin het IP-adres wordt opgeslagen. Dit zorgt ervoor dat layer 2 apparaten geen pakketten kunnen sturen naar apparaten in een ander subnet. Hiervoor hebben ze de hulp nodig van een router of layer 3 switch. In kleine bedrijven is het echter vaak niet nodig meerdere subnets te beheren en zal intern een layer 2 netwerk voldoende zijn. 1.1.3 Laag 3: Netwerk laag In de netwerk laag worden het IP-adres en subnet bekeken en afgehandeld. Ieder netwerk van een klein thuisnetwerk met 2 pc’s tot een groot bedrijfsnetwerk met meerdere locaties dient een layer 3 capabel apparaat te gebruiken om op het internet te komen. Thuis is dat een modem of router die met het internet verbonden is en soms ook een beetje interne routering doet, in grote bedrijven gaat dit meestal om Layer 3 switches, die de snelheid en poortdichtheid van een switch combineren met de routering van een router en dus zeer geschikt zijn om interne routering in het bedrijf af te handelen, of een router. In vele gevallen zelfs beide. Dit apparaat is nodig voor de internetconnectie omdat eens op het internet tussen verschillende subnets gerouteerd wat enkel kan met layer 3 capabele apparaten. Figuur 5: The IP datagram(ching chang, 2010) Een layer 3 apparaat gaat de inhoud van het datagram bekijken. Hieruit kan het afleiden of het pakket lokaal moet blijven of naar een ander subnet dient gerouteerd te worden. Dit betekent echter wel dat layer 3 apparaten trager werken dan layer 2 apparaten. Ze moeten namelijk de info uit het dataframe halen, deze analyseren en vervolgens weer in een dataframe stoppen en verzenden. 15 1.2 Organische en anorganische bedrijfsnetwerken Inzake bedrijfsnetwerken wordt er ook een onderscheid gemaakt tussen enerzijds organisch gegroeide bedrijfsnetwerken en anderzijds anorganisch gecreëerde bedrijfsnetwerken. 1.2.1 Anorganische bedrijfsnetwerken Deze bedrijfsnetwerken worden zo genoemd omdat ze tijdens het uitbouwen van hun ITinfrastructuur ofwel een duidelijke policy gevolgd hebben of ze hebben hun IT-infrastructuur in één keer uitgebouwd tot wat het nu is waardoor er dus een duidelijk structuur, documentatie en policy is. Kenmerken van deze soorten netwerken zijn Heel homogeen netwerk Alle apparatuur is vaak van eenzelfde leeftijd/technologie Documentatie van het netwerk is heel duidelijk en wordt up to date gehouden Er zijn duidelijk policies en richtlijnen om verdere netwerkuitbreiding vlot te laten verlopen Anorganische bedrijven zijn vaak: Recent opgerichte bedrijven Bedrijven met een groot budget om grote netwerken in 1 maal te implementeren Bedrijven met een grote afhankelijkheid van IT-infrastructuur Bedrijven waar de implementatie van de IT-infrastructuur uitbesteedt wordt naar een gespecialiseerd bedrijf Bedrijven waarbij de verwachte groei heel nauwkeurig benaderd en ingepland kan worden. 1.2.2 Organische bedrijfsnetwerken Deze netwerken zijn dan weer gegroeid uit de noden met slechts een beperkte blik naar de toekomst. Het netwerk wordt uitgebreid als daar nood aan is en zal dan vaak uitgebreid worden met de meest budgetvriendelijke oplossing van dat moment. Kenmerken van deze soorten netwerken zijn Netwerken samengesteld met apparatuur van verschillende fabrikanten Oude apparatuur wordt gecombineerd met gloednieuwe apparatuur De documentatie bevat gaten, is niet opgesteld AHV duidelijke policies Netwerkuitbreidingen worden van moment tot moment bekeken en zijn dus niet geleid door policies en best practices Bekabeling is soms chaotisch en veeleer niet of incorrect gelabeld Figuur 6: Wiring nightmares (Oksnevad, 2013) . 16 1.3 Hiërarchische bedrijfsnetwerken Tijdens de implementatie van een nieuw layer 3 netwerk wordt vaak gesproken over de 3 niveaus waar een bedrijfsnetwerk dient in opgedeeld te worden. Dit creëert een hiërarchisch model dat zich er ideaal toekent om op redundante en efficiënte manier een netwerk te implementeren en of uit te breiden. Onderstaande afbeelding toont deze hiërarchie. Core Distribution Access Figuur 7: Cisco's 3 layer architecture model (Robinson, 2011) Het is belangrijk hierbij te vermelden dat dit schema een voorstelling is van de ideale situatie met volledige redundantie en duidelijk gesplitste niveau. Veel bedrijven zullen geen redundantie over het volledige netwerk kunnen inbouwen en kleinere bedrijven zullen vaak ook het distribution en core niveau combineren in één geheel zoals op onderstaande afbeelding. Figuur 8: layer 2 core (Allied Telesis z.d.) 17 1.3.1 Core niveau Het core niveau is de backbone van het bedrijfsnetwerk. De netwerkapparatuur op dit niveau zijn meestal high end-devices zoals layer 3 switches en routers en zijn onderling met elkaar verbonden met redundante snelle verbindingen zoals glasvezelkabels en 10gigabit koperen kabels. Figuur 9: core layer switch features (Cisco, 2012) In dit niveau bevindt zich ook de router die uiteindelijk naar het internet leidt en het edge-device van het netwerk vormt. Naast deze netwerkapparatuur host dit niveau ook de centrale diensten zoals servers die over het hele netwerk beschikbaar moeten zijn, de centrale die het interne IP-telefoonverkeer afhandelt, en andere apparaten die men logisch gezien centraal in het netwerk plaatst. Over deze apparaten komt over het algemeen enkel data die niet lokaal is. Data die naar het internet moet of tussen verschillende netwerksegmenten (gesplitst door locatie en/of vlans) in het bedrijf dient gerouteerd te worden. Redundantie en snelheid zijn in dit niveau de sleutel gezien een bottleneck of hardware falen op dit niveau gevolgen heeft voor het hele netwerk. 1.3.2 Distribution niveau Het niveau dat het core met het access niveau verbindt, is het distribution niveau. In kleinere bedrijven wordt dit echter vaak samengevoegd met het core niveau. De apparatuur op dit niveau kan bestaan uit layer 2 switches maar vaak ook uit layer 3 switches afhankelijk van de grootte van het bedrijfsnetwerk en de implementatie van dit niveau. Figuur 10: Distribution layer switch features(Cisco, 2012) Ook servers die slechts door bepaalde netwerksegmenten gebruikt dienen te worden kunnen zich op dit niveau bevinden Op dit niveau wordt interne routering en toegang afgehandeld. Het distribution niveau staat dus voor een groot deel in voor interne beveiliging maar ook routering tussen vlans en netwerksegmenten wordt hier nog steeds afgehandeld. Redundantie en snelheid zijn hier nog steeds belangrijk maar in iets mindere mate. Cisco raadt echter nog steeds aan dit niveau volledig redundant te houden. 18 1.3.3 Access niveau Als laatste is er het Access niveau. Dit is het niveau waar clients zoals pc’s en printers maar ook draadloze access points uiteindelijk verbinding mee zullen maken. Dit niveau bestaat over het algemeen uit goedkopere switches en Power Over Ethernet(POE) apparaten. Figuur 11: Access layer switch features (Cisco, 2012) Het access niveau zal beveiliging implementeren op poortniveau zodat niemand een willekeurig apparaat kan inpluggen en op het netwerk kan surfen. Van alle niveaus bevindt het zich het dichtst bij de eindgebruiker. Er moet dan ook rekening mee gehouden worden dat deze eind gebruiker vaak ook fysieke toegang tot de apparaten heeft. Redundantie en snelheid zijn hier niet langer de prioriteit gezien dit niveau zeer breed verspreid is door het gehele netwerk en het meeste apparaten bevat. High availability is enkel aan te raden voor bepaalde segmenten die cruciaal zijn voor de werking van het bedrijf of die zich geen down time kunnen veroorloven. 19 2 Definiëring en voordelen layer 3 netwerk Er is een onderscheid tussen de term “layer 3” in het OSI-model en een layer 3 netwerk. Een layer 3 netwerk zal intensief gebruik maken van de functies die aangeboden worden in de derde laag van het OSI-model. Ieder netwerk gebruikt deze 3de laag op een gegeven punt in de communicatie. Wat bedoeld wordt met een layer 3 bedrijfsnetwerk en wat de vereisten, gevolgen en voordelen hiervan zijn wordt in dit hoofdstuk uitgelicht. 2.1 Een Layer 3 bedrijfsnetwerk Een layer 3 capabel apparaat is nodig voor iedereen die op het internet wil gaan. Er kan echter slechts van een volwaardig layer 3 bedrijfsnetwerk gesproken worden als er ook layer 3 capabele apparaten op andere locaties worden toegepast dan juist het eindpunt waar het bedrijfsnetwerk over gaat naar het internet. Vaak bevindt zich in deze bedrijven naast de Router als edge-device ook minstens één layer 3 switch die layer 3 functies in het bedrijfsnetwerk lokaal gaat afhandelen zoals interne routering en het beter beveiligen van het interne netwerk. Dit zijn zowat de minimale vereisten om van een layer 3 netwerk te praten. Grotere bedrijven kunnen ook nog van een layer 3 netwerk spreken als er gescheiden locaties gaande van 2 gebouwen in eenzelfde stratenblok tot verschillende takken van een multinational bedrijf efficiënt met elkaar verbonden dienen te worden. Om dit te doen moet data gerouteerd worden over het internet zonder dat deze data logisch gezien buiten het bedrijfsnetwerk gaat. de data wordt over het publieke internet gestuurd maar beginpunt en eindpunt bevinden zich binnen hetzelfde bedrijf. Een layer 3 netwerk zal dus naast het edge-device minimaal 1 ander layer 3 capabel apparaat bevatten en zal intensief gebruik gaan maken van interne routering. Een bedrijf kan hiervoor opteren voor een tal van redenen maar de meest voorkomende redenen zijn: Betere security Betere performance Splitsing van diensten op het netwerk Meerdere fysieke sites met elkaar verbinden 20 2.2 Wanneer een layer 3 netwerk implementeren Het is onmogelijk in absolute cijfers of met duidelijke policies te bepalen wanneer een bedrijf zijn netwerk moet upgraden naar een volwaardig layer 3 netwerk. Deze beslissing hangt af van heel wat bedrijfsspecifieke details zoals de aard van het bedrijf, de omvang, de interne diensten en de diensten die mogelijk uitbesteed worden. Deze details allemaal behandelen en duidelijk definiëren valt buiten de omvang van dit document. Er zijn echter wel enkele sleutelpunten die gebruikt kunnen worden om te beslissen of een upgrade van het netwerk nodig is of niet. 2.2.1 Bedrijfsomvang Hoewel het onmogelijk is met vaste cijfers een regel te bepalen wanneer een layer 3 netwerk nodig is kunnen bepaalde gegevens over de IT-infrastructuur wel meehelpen in de beslissing om al dan niet over te schakelen: Netwerkdiameter groter dan 7 Actieve gebruikers op piekmoment groter dan 150 Meerdere fysiek gescheiden sites voor het bedrijf 2.2.2 Beveiliging Heel wat zaken betreffende beveiliging van het netwerk gebeuren op layer 2. Het gaat hier meestal om vrij algemene beveiligingsmaatregelen. Met een layer 3 apparaat kunnen deze beveiligingen echter verfijnd worden en ook verder uitgebreid met layer 3 technologie zoals subnet en IP-adres beveiliging. Om te voorkomen dat bepaalde vlans niet in bepaalde netwerksegmenten of aan bepaalde resources kunnen maar andere vlans dan weer wel is een layer 3 netwerk de efficiëntste manier om dit vlot en flexibel te doen. Verder is het ook interessant het beheer van het netwerk vanuit 1 vlan te doen die alle apparaten kan bereiken terwijl andere vlans beperkt moeten blijven tot hun eigen lokale segment. 21 2.2.3 Performance 2.2.3.1 Broadcast Een layer 2 switch zal in een te groot netwerk heel wat broadcastverkeer genereren. Dit verkeer is nodig voor layer 2 apparaten om de verschillende apparaten in één netwerksegment te vinden maar kan bij grote netwerken heel wat verkeer genereren wat voor extra belasting van het netwerk zorgt. 2.2.3.2 Inter-vlan routing Indien in een bedrijf al gebruik gemaakt wordt van vlans en subnets maar veel van deze aparte segmenten nog steeds met elkaar dienen te communiceren is het ook interessant te upgraden naar een layer 3 netwerk. Indien het hier maar om sporadische communicatie gaat kan de layer 3 routering gebeuren door een router op het einde van het netwerk. Dit zorgt er echter wel voor dat alle communicatie tussen verschillende subnets eerst helemaal naar de router moet, daar behandeld wordt( een router is een trager werkend apparaat) alvorens het terug in het eigen netwerk gestuurd wordt. Indien dit niet gewenst is of dit verkeer te groot wordt om door een end-point router afgehandeld te worden zorgt een upgrade naar een volwaardig layer 3 netwerk met layer 3 switches voor een vlotte en snellere oplossing. 2.2.3.3 De 20-80 regel De 20-80 regel is een idee van Cisco in een poging toch een algemeen model voor te stellen wanneer het aan te raden is een layer 3 netwerk te implementeren. Met deze regel stellen ze dat in een modern bedrijf ongeveer 20% van het verkeer lokaal blijft. Dit wil zeggen in hetzelfde subnet. In vele gevallen zelfs lokaal op 1 of 2 switches. Het gaat hier bijvoorbeeld over het aansturen van een printer, een document naar een collega op dezelfde dienst sturen of zelfs IP-telefoons gebruiken. 80% van het verkeer blijft echter niet lokaal. Het gaat omhoog in het netwerk. Hier gaat het over 2 gescheiden diensten die met elkaar praten. Bestanden die afgehaald worden van een fileserver, mails die verstuurd worden en natuurlijk ook alle communicatie die naar buiten gaat zoals surfen op het web. Als een bedrijf ziet dat het aan deze regel voldoet wil dit zeggen dat zonder een layer 2 netwerk de router 80% van het verkeer ziet voorbijkomen en dient te behandelen ook al zal slechts een fractie daarvan effectief naar buiten naar het internet gestuurd worden. In dit geval is het dus aan te raden layer 3 apparaten in het netwerk op te nemen die zoveel mogelijk het interne verkeer routeren zodat de router enkel belast wordt met verkeer dat effectief naar buiten gestuurd moet worden. 22 2.3 Vereisten layer 3 netwerk De vereisten om een volwaardig layer 3 netwerk te implementeren hangen grotendeels af van bedrijf tot bedrijf. Echter zijn er wel enkele technologieën die aanwezig zijn of gelijktijdig worden geïmplementeerd om te kunnen genieten van de voordelen van een layer 3 netwerk. 2.3.1 Beheerde switches Een beheerde switch is een switch die via een IP-adres wordt beheerd. Bepaalde features kunnen ingesteld en geconfigureerd worden. Sommige switches (vooral oudere modellen en goedkopere switches) zijn nog onbeheerd. Dit zijn een soort “plug and play” switches. Eens in het netwerk leren ze de mac-adressen die ermee verbonden zijn en doen dus aan gericht verzenden van data. Extra opties zoals beveiliging per poort op basis van een mac-adres, verschillende vlans definiëren, enzovoort. kunnen op deze switches echter niet waardoor veel van de voordelen die een layer 3 netwerk biedt niet kunnen worden toegepast op dit segment in het netwerk of alle onderliggende apparaten. Het is daarom belangrijk dat het volledige of toch minimaal het core en distribution niveau en een deel van het access niveau bestaat uit beheerde switches. Het is mogelijk een layer 3 netwerk te implementeren met nog enkele onbeheerde switches maar dan moet de planning en implementatie rekening houden met deze apparaten en kunnen deze best zo snel mogelijk vervangen worden. 2.3.2 vlans vlans worden gebruikt om een netwerk bestaande uit layer 2 apparaten te segmenteren zonder dat daar een layer 3 capabel apparaat voor nodig is. Om tussen segmenten te routeren is echter wel een layer 3 apparaat nodig. vlans op zich zijn echter volledig configureerbaar op bijna elke beheerde layer 2 switch. vlans bieden in een layer 2 netwerk al vele voordelen maar kunnen nog beter en verfijnder gebruikt gaan worden in een layer 3 netwerk. Het niet gebruiken van vlans in een modern bedrijfsnetwerk is al bijna onmogelijk en zal bij een layer 3 netwerk ervoor zorgen dat het layer 3 apparaat bijna geen enkele meerwaarde bied. Het gebruik van vlans is dus essentieel in het uitbouwen van een layer 3 netwerk 2.3.3 Budget en tijd Het is een beetje voor de hand liggend dat een upgrade van een bedrijfsnetwerk geld en tijd zal kosten. Toch wordt dit vaak volledig of gedeeltelijk over het hoofd gezien. Layer 3 switches en professionele routers zitten namelijk een prijsklasse hoger dan de normale switches in een bedrijf en ook de planning vooraf, tijdens en na de upgrade, wordt vaak onderschat. Het is belangrijk dat een bedrijf goed inziet welke omvang de layer 3 upgrade heeft en wat ervoor nodig zal zijn. Een budget en extra tijd voor de IT-dienst zijn dus zeker vereist. Ook een goede analyse van de bestaande infrastructuur en planning van de nieuwe infrastructuur is nodig om een layer 3 implementatie vlot en efficiënt te laten verlopen 23 2.4 voordelen van een Layer 3 bedrijfsnetwerk 2.4.1 Beveiliging Zoals eerder vermeld biedt een layer 3 netwerk heel wat extra opties rond beveiliging. Er kan heel ver gegaan worden met deze opties. Kleinere bedrijven zullen slechts minimaal van de nieuwe opties gebruik maken. Maar zelfs een klein bedrijf met een heel simpel layer 3 netwerk zal op zijn minst enkele extra security features gaan gebruiken en dus de algemene veiligheid van zijn netwerk verbeteren. Enkele basis security features van layer 3 apparaten zijn: Inter-vlan routing AccessControl-Lists(ACL)-beveiliging op vlan niveau Intern verkeer Fysiek scheiden van Edge-devices 2.4.2 Snellere en uitgebreide interne routering Hoewel het mogelijk is verschillende vlans te gebruiken om een bedrijfsnetwerk te segmenteren en de interne routering te laten afhandelen door een edge-router beperkt dit het aantal vlans dat gebruikt kan worden en zal de algehele performance van het netwerk al snel afnemen naarmate er meerdere vlans gebruikt worden. Verder zal het edge-device onnodig belast worden met interne routering. Volgens Syed Balal Rumy(2013) bestaan layer 3 switches in netwerken omdat ze de routering zeer snel kunnen verwerken en heel flexibel kunnen werken door de hogere poortdichtheid. Met een volwaardig layer 3 netwerk wordt de interne routering door een apart apparaat afgehandeld. Veelal is dit een layer 3 switch in het core niveau. Niet alleen ontlast dit de edge-router van interne routering, ook kan een layer 3 switch dit sneller uitvoeren. De hogere poortdichtheid van switches zorgt ervoor dat bepaalde segmenten hogere capaciteiten bedeeld kunnen krijgen door middel van Trunk-links alsook dat meer vlans geconfigureerd kunnen worden doordat niet alle data over 1 tot 4 fysieke lijnen moet gaan. Dit alles zorgt ervoor dat een layer 3 netwerk meer aparte segmenten(vlans) aankan zonder verlies van performance. De interne routering tussen deze segmenten kan dan ook nog eens sneller afgehandeld worden dan met een router. 2.4.3 Schaalbaarheid Een bedrijfsnetwerk bestaande uit layer 2 switches kan heel groot uitgroeien maar oneindig groot kan zo een netwerk niet worden. Dit komt doordat layer 2 switches gebruik maken van een tabel met mac-adressen om te weten uit welke poort ze bepaalde data dienen te sturen om het zijn bestemming te laten bereiken. Als een switch een pakket met een onbekend mac-adres krijgt zal het dit pakket uit al zijn poorten broadcasten om zo de uiteindelijke bestemming te achterhalen en in zijn tabel op te slaan. Bij hele grote netwerken kan deze tabel echter te klein worden voor alle apparaten. De switch zal dan automatisch de oudste waardes verwijderen met als gevolg dat indien de switch een pakket ontvangt met als bestemming 1 van de verwijderde apparaten het opnieuw een broadcast zal uitzenden om het apparaat opnieuw te ontdekken. 24 Uiteindelijk zal bij een heel groot netwerk dit ertoe leiden dat de layer 2 switches continu waarden uit hun tabel zullen verwijderen en deze iets later opnieuw zullen moeten leren. Dit zorgt ervoor dat het netwerk steeds meer broadcast verkeer zal genereren tot op het punt dat dit de performance van het netwerk zal beginnen verlagen. Dit probleem is een broadcaststorm. Broadcaststorms kunnen voorkomen worden door het bedrijfsnetwerk te segmenteren. Zoals eerder vermeld gebeurd dit in een layer 3 netwerk door middel van vlans. Een layer 3 netwerk kan dus in tegenstelling tot een puur layer 2 netwerk wel oneindig groot worden zonder dat de performance van het netwerk afneemt zolang er voldoende apparatuur met voldoende verwerkingskracht voorzien wordt. 2.4.4 Hiërarchische structuur Heel veel oudere bedrijfsnetwerken, of netwerken die heel organisch gegroeid, zijn bestaan uit een soort losse ketting van aaneengesloten apparaten. Bij deze netwerken is het zeer moeilijk een overzicht te behouden. Dit maakt configuratie, netwerk-onderhoud en uitbreiding zeer moeilijk. De meeste bedrijven houden echter vast aan deze losse kettingstructuur omdat het omvormen hiervan heel wat tijd vergt en de initiële configuratie ook iets moeilijker is en gepaard gaat met down time. In de omvorming naar een layer 3 netwerk wordt vaak overgegaan naar een hiërarchische structuur met verschillende niveaus omdat dit kostenbesparend kan werken tijdens de upgrade. Als toegevoegde bonus zorgt dit er ook voor dat onderhoud, uitbreiding en configuratie van de nieuwe netwerkstructuur, eenmaal geïmplementeerd, vlotter en efficiënter kan gebeuren. 2.4.5 Eerste stap naar een redundant netwerk In het ideale bedrijfsnetwerk zou iedere machine redundant verbonden moeten zijn met het netwerk en zou ook het gehele netwerk redundant moeten zijn. Deze ideale situatie komt echter zeer weinig tot niet voor in de praktijk. Een van de grootste redenen hiervoor is de kostprijs. Om zelfs een klein bedrijfsnetwerk grotendeels redundant te maken spreken gaat het al snel over enkele duizenden euro’s. Een layer 3 netwerk maken kan hierom de eerste stap zijn om redundantie geleidelijk en betaalbaar in het netwerk te implementeren. Een layer 3 netwerk verplicht de gebruiker een hiërarchische structuur te gaan gebruiken. de 3 niveaus( zijnde access, distribution en core) kunnen vervolgens gebruikt worden om de meeste kritieke diensten in het netwerk te onderscheiden van de minder belangrijke onderdelen. Apparatuur en servers in het core niveau zijn het belangrijkst gezien het hele bedrijf hier op moet kunnen werken. De apparatuur in het distribution niveau is iets minder belangrijk maar kan nog steeds instaan voor grote onderdelen van het bedrijf. Het is dan ook duidelijk dat bij het implementeren van redundantie het core niveau eerst aan bod komt, vervolgens distribution en als laatste access. 25 3 Problemen met implementatie in een organisch bedrijfsnetwerk Welke problemen en moeilijkheden een organisch bedrijfsnetwerk biedt hangt af van bedrijf tot bedrijf. In dit hoofdstuk worden de meest algemene problemen uitgelicht samen met enkele mogelijke oplossingen. 3.1 Upgrade in een organisch gegroeid bedrijf Zoals eerder aangehaald is de upgrade van een netwerk in een anorganisch bedrijf heel simpel. Per bedrijf verschilt dit echter. Het goede nieuws is dat in deze bedrijven de policies en best practices ervoor zorgen dat een upgrade vlot kan gebeuren en begeleid wordt door de gebruikte policies. In dit hoofdstuk wordt echter een organisch bedrijf behandeld gezien dit type bedrijven iets meer problemen kennen bij de implementatie. 3.1.1 Situatieschets organisch bedrijf Figuur 12 is een simpel voorbeeld van een organisch gegroeid bedrijfsnetwerk. Het zou al snel duidelijk moeten zijn dat deze bedrijfssituatie niet ideaal is. Inzake verschillende technologieën gebruikt dit bedrijf zowel professionele apparatuur zoals kopieermachines en draadloze toegangspunten, als simpele apparatuur zoals een printer die meer gericht is naar particulier gebruik. De leeftijd van de verschillende gebruikte technologieën is ook zeer divers. Ultramoderne apparatuur werkt in dit geval samen met oudere apparatuur waardoor veel van de extra’s die deze moderne apparatuur bieden teniet gedaan worden. Het netwerk bestaat ook nog eens uit apparatuur van verschillende leveranciers en merken wat de configuratie en het onderhoud bemoeilijkt. In dit simpel schema zijn bijvoorbeeld al apparaten van zowel HP als Cisco als Allied Telesis opgenomen. Verder zorgt dit ervoor dat merk specifieke technologieën niet gebruikt kunnen worden. Figuur 12: Organic company network 26 3.1.2 Problematiek Het probleem met organisch gegroeide bedrijven is dat er vaak geen duidelijke planning of budget is betreffende de groei van het bedrijf. Er wordt pas uitgebreid als de nood ervoor zich aandient en op dat moment wordt veelal naar de meest budgetvriendelijke of de snelste oplossing gezocht zonder rekening te houden met voorgaande beslissingen, huidige apparatuur of toekomstvisies. Uiteindelijk ontstaat een netwerk dat zo gediversifieerd is in technologieën en merken dat geen van de aanwezige apparaten zijn volle functionaliteiten kan gebruiken. Een 2de probleem met deze bedrijven is dat door de hoeveelheid aan technologieën en merken er een toename is in het aantal problemen die zich voordoen op het netwerk. Het oplossen van deze problemen wordt dan ook nog eens verder bemoeilijkt doordat de ITdienst kennis moet hebben van alle technologieën. Dit zorgt ervoor dat het netwerk traag maar zeker steeds moeilijker te beheren wordt. Als 3de vaak voorkomend probleem zijn er de verschillende leeftijden in het netwerk. Het komt vaak voor dat gehele segmenten van een netwerk verouderd zijn maar door gebrek aan duidelijke policies en best-practices worden deze segmenten vergeten tot zich een probleem voordoet( door de ouderdom van de apparatuur of tijdens een netwerkupgrade). Op dit punt moet dan alweer snel of goedkoop een oplossing of vervanging gezocht worden wat ons terug naar het 1ste probleem leidt. De IT-dienst loopt dan als het ware achter de problemen aan in plaats van deze proactief te kunnen identificeren en voorkomen. 3.1.3 Oplossingen Voorgenoemde problemen kunnen beter voorkomen worden door duidelijke policies en practices op te zetten dan dat ze opgelost kunnen worden. Ook al is de groei en/of het budget hiervoor niet te voorspellen of vast te bepalen. In een organisch gegroeid bedrijf kunnen nog steeds policies opgesteld worden. Deze zullen echter niet zo strikt kunnen worden nageleefd als in een anorganisch bedrijf. Toch kunnen ze de problemen die zich voordoen grotendeels beperken. Om een organisch bedrijfsnetwerk zo vlot mogelijk te laten lopen dienen volgende problemen aangepakt te worden: De diversiteit in merken De diversiteit in technologieën Het wegwerken van verouderede technologieën Het gebrek aan een planning van het netwerk Om deze problemen op te lossen kan een bedrijf policies en richtlijnen in gebruik gaan nemen. Deze richtlijnen zullen van bedrijf tot bedrijf verschillen maar omvatten altijd enkele algemene zaken. 27 Om de diversiteit in merken aan te pakken kan een richtlijn opgesteld worden bij 1 fabrikant te blijven voor een bepaald type apparaat. Zo kan bijvoorbeeld gesteld worden dat alle switches bij voorkeur van het merk Allied Telesis dienen te zijn. Het voordeel hiervan is dat de prijs van nieuwe apparatuur redelijk accuraat geschat zal kunnen worden, dat de ICT dienst slechts kennis nodig heeft van dit merk. Verder zullen ook de merk-specifieke technologieën op deze apparaten gebruikt kunnen worden. Terminologieën en interfaces zijn op deze manier consistent doorheen het hele netwerk Het nadeel is dan weer dat indien een concurrent goedkopere producten aanbiedt of producten met extra features het door deze richtlijn moeilijk is snel over te stappen. Het is niet onmogelijk maar er moet goed en lang nagedacht worden over deze beslissing om de voordelen die de policy brengt niet teniet te doen. De diversiteit aan technologieën zal door bovenstaande richtlijn gedeeltelijk weggewerkt worden. Binnen 1 merk zijn er echter nog heel veel keuzemogelijkheden. Duurdere apparaten zullen over het algemeen meer features bieden maar deze zijn niet altijd nodig. Om dit op te lossen worden in het ideale geval alle apparaten in het netwerk vervangen door eenzelfde model. In de praktijk is dit echter zelden mogelijk. Oudere modellen die vaak het goedkoopst zijn worden best niet langer aangekocht gezien deze hoogstwaarschijnlijk heel snel uit het gamma van de leverancier zullen verdwijnen tenzij deze leverancier een duidelijk jarenplan voor het model heeft en de End Of Life(EOL) nog ver in de toekomst ligt. De nieuwste modellen bieden de beste features maar hebben meestal ook het hoogste prijskaartje. Als bedrijf is het daarom interessant eerst te analyseren welke technologieën allemaal vereist zijn in het bedrijfsnetwerk. Hierbij kan het bedrijfsnetwerk in zijn geheel bekeken worden of het kan in segmenten worden opgedeeld als er een groot onderscheid is tussen welke afdelingen welke technologieën gebruiken. Eenmaal een bedrijf deze info heeft kan heel vlot een standaard worden samengesteld waaraan ieder nieuw aangekocht apparaat minimaal moet voldoen. Dit wordt dan de benchmark voor nieuwe aankopen. Op deze manier worden oudere technologieën traag maar zeker uit het netwerk gewerkt en bezit het gehele netwerk minimaal de verwachte technologie. 28 De 2 laatste problemen zijnde het wegwerken van verouderde technologie en het gebrek aan een planning van het netwerk kunnen samen behandeld worden. om het eerste probleem op te lossen dient er namelijk een planning rond het netwerk te zijn. Op deze planning, die overigens niet heel gedetailleerd hoeft te zijn, kan aangeduid worden welke apparaten/systemen onmiddellijk, op korte termijn(minder dan 1jaar), op middellange termijn(tussen 1 en 3 jaar) en op lange termijn(langer dan 3 jaar) dienen vervangen te worden. Als vervolgens 1 maal per maand bekeken wordt of er een budget beschikbaar is en welke apparaten het dringendst vervangen dienen te worden lost het probleem inzake verouderde technologie zich na verloop van tijd zelf op. De planning die hiervoor dient bijgehouden te worden kan dan verder gebruikt worden als een rudimentaire planning of deze kan uitgebreid worden om een volwaardig onderdeel van de netwerkdocumentatie te worden. Het spreekt voor zich dat de problemen die gepaard gaan met een organisch bedrijfsnetwerk niet op één dag op te lossen zijn tenzij er een heel groot budget beschikbaar is. Een budgetvriendelijkere oplossing is dan ook om systematisch en trapsgewijs het netwerk aan te passen door middel van het invoeren van duidelijke richtlijnen en policies. 29 4 Benodigde documentatie Ieder bedrijfsnetwerk dat ietwat vlot werkt dient gedocumenteerd te zijn. Deze documentatie up to date en volledig houden vereist echter continu aandacht. Het is dan ook niet ondenkbaar dat deze documentatie soms niet volledig is. Vooraleer een netwerkupgrade geïmplementeerd kan worden moet volgende documentatie gecontroleerd te worden. 4.1 Netwerktopologie De netwerktopologie is een logisch en fysiek schema van het netwerk. In grote bedrijven zal het al snel onoverzichtelijk worden om iedere pc, telefoon, printer, enzovoort. in dit schema op te nemen. Vele bedrijven delen hun netwerktopologie dan ook op in meerdere kleinere schema’s of houden de details van ieder apparaat in het schema bij in een apart bestand. Figuur 13 is een voorbeeld van een heel simpel netwerk. Het spreekt voor zich dat hoe ingewikkelder het netwerk hoe ingewikkelder en uitgebreider het schema ook zal worden. In een netwerktopologie bevindt zich heel wat info inzake de logische-, fysiekestructuur en verbinding van het netwerk. Het schema bestaat meestal uit 2 delen. Het logische gedeelte en de fysieke structuur. In deze onderdelen bevindt zich minimaal: Figuur 13: Network topology diagram(Cinergix Pty. Ltd., 2013) Logische gedeelte De verschillende subnets/vlans netwerkapparatuur en hun functie eventueel IP-adressering Fysieke structuur netwerkapparatuur en hun naam verbinding tussen deze netwerkapparatuur types kabels, snelheden, poorten, enzovoort Zoals eerder aangehaald zullen in een groot bedrijf deze schema’s echter opgedeeld worden in meerdere schema’s en tabellen om tegelijkertijd een duidelijk simpel overzicht te behouden met een aparte tabel om in detail bepaalde zaken te kunnen uitzoeken. 30 4.2 Fysiek plan Het fysieke plan van het netwerk handelt meer over de praktische implementatie in het bedrijf. Dit plan kan gebruikt worden om eventueel kabellengtes en opties te bekijken alsook te bepalen wat fysiek mogelijk is. Soms worden kabels ook omgeleid en gepatched. Dit zorgt ervoor dat de kabel logisch gezien van punt A naar punt B loopt maar fysiek gezien maakt deze een tussenstop in punt C. Al deze info is wordt ondergebracht in een fysiek plan. Vaak wordt het netwerk hierbij over een grondplan getekend. Op deze manieren zijn lengtematen al aanwezig en kloppen deze gegevens ook waarlijk met de fysieke locaties. Soms is een digitale versie van een grondplan echter niet beschikbaar in dat geval kunnen de gebouwen en blokken nog steeds geschetst worden. Het enige dat dan ontbreekt, zijn de exacte gedetailleerde afmetingen. Het fysieke plan kan een heel gebouwencomplex bevatten of handelen over één specifiek gebouw dat vervolgens verdieping per verdieping wordt afgehandeld. Figuur 14: Ethernet lan layout floorplan(CS odessa corp, 2014) 31 4.3 IP-plan Het IP-plan kan wel eens het belangrijkste document zijn tijdens een netwerkupgrade. Op dit plan is te zien welke subnets in gebruik zijn en welke functie ze hebben zoals vlans, dhcp, etc. een IP-plan is dan ook een handig document om te hebben. Voor de upgrade van het netwerk kan het gebruikt worden om te zien welke subnets er al gebruikt worden en waarom, welke vlans gebruikt worden, enzovoort. tijdens de upgrade kan een 2de versie gemaakt worden waarop de nieuwe structuur aangeduid wordt. Nieuwe vlans, subnets en hun functies worden hierin weergegeven waardoor het eenvoudig wordt te bepalen naar waar welke vlans exact moeten leiden. In het IP-plan dat vaak in een tabelvorm gegoten wordt bevindt zich onder andere volgende zaken terug: De verschillende vlans met het vlan id en vlan naam. Het subnet bij iedere vlan bestaande uit het IP-adres aan het begin en aan het einde van dit subnet en eventueel het subnetmasker. De functie van dit vlan/subnet paar. Afhankelijk van hoe vlans gebruikt worden ook de locatie van iedere vlan als bijvoorbeeld vlans gebruikt worden om verschillende lokalen of bedrijfsafdelingen aan te duiden. Vrije IP-adres blokken voor latere uitbreidingen. Figuur 15: IP-plan voorbeeld 32 4.4 Kabelidentificatie De kabelidentificatie is een laatste belangrijk document. Het kan samengesteld worden gebaseerd op de netwerktopologie en het IP-plan. Dit document in tabelvorm bevat heel wat gedetailleerde informatie over de bekabeling van het netwerk. De kabelidentificatie bevat 2 belangrijke onderdelen. Enerzijds de bekabeling tussen netwerkapparatuur. De zogenaamde uplinks en hoe deze bekabeld zijn. Deze informatie bestaat uit: Zijn er trunk-links? tussen welke apparaten lopen deze en welke poorten gebruiken ze. Welke poorten op de switches dienen als uplink poorten naar de andere switches, hubs en routers. Welk type kabel wordt gebruikt? Is er glasvezel aanwezig in het netwerk, enzovoort. Anderzijds is er de bekabeling naar speciale end-devices. Een bedrijfsnetwerk bestaat niet enkel uit PC’s en servers. Vaak zijn er ook nog IP-telefoons, netwerkprinters, IP-camera’s en netwerk gestuurde machines. In vele gevallen zullen enkele van deze apparaten op zijn minst in een apart vlan zitten. Dit vereist enige extra configuratie van de switches waar zeker ook rekening mee gehouden dient te worden als tijdens de netwerkupgrade. Het 2de onderdeel van de kabelidentificatie bevat deze gegevens. Welke switches hebben speciale vlans nodig(zoals een telefonie vlan). Welke poorten worden gebruikt om printers, telefoons, enzovoort te verbinden. Worden de juiste vlans doorgegeven op de uplink poorten indien dit nodig is Zijn de switches hiervoor correct geconfigureerd Hoeveel poorten heeft iedere switch en indien de documentatie heel geregeld up to date wordt gebracht welke poorten zijn nog vrij, welke zijn gebruikt, welke snelheid hebben ze, enzovoort. Figuur 16: Kabelidentificatietabel 33 5 Configureren van het layer 3 apparaat Het configureren van het layer 3 apparaat kan nagenoeg volledig gebeuren voor dat het apparaat effectief in het netwerk dient toegevoegd te worden. Bij grote bedrijven kan de configuratie al eens heel uitgebreid worden. Dit onderdeel behandelt enkel de basis om een layer 3 netwerk te kunnen implementeren. Voor kleine bedrijven bestaande uit hooguit één fysieke site met maximaal 500 actieve gebruikers op het netwerk zal deze configuratie vaak voldoende zijn. Een bedrijf van deze omvang heeft ook voldoende met 1 layer 3 switch om een werkend layer 3 netwerk te hebben. Voor grotere bedrijven zullen echter nog extra opties geconfigureerd dienen te worden die buiten de omvang van deze scriptie vallen. Deze bedrijven zullen vaak ook meerdere layer 3 switches moeten implementeren om trage knooppunten in het netwerk te vermijden. Voor dit onderdeel is gebruik gemaakt van een Cisco Catalyst 3560X switch met layer 3 mogelijkheden. De voorbeelden van configuraties en commando’s zijn dan ook gebaseerd op dit model. 5.1 Toegang en beveiliging De eerste stap bij het implementeren van een nieuw apparaat is altijd het beveiligen van dit apparaat. Om een nieuw apparaat te beveiligen moet het standaard wachtwoord en gebruikersaccount verandert worden. Ook de toegang tot het apparaat moet beperkt worden zodat enkel bevoegde personen het apparaat vanop afstand kunnen benaderen om de configuratie aan te passen. Voor ons nieuw layer 3 apparaat geldt dezelfde regel. 5.1.1 Access Control Lists Een ACL is de sleutel tot het beveiligen van een tal van functies in netwerkapparaten. Een ACL werkt met een systeem gelijkaardig aan de meeste firewalls en hun policies. Een ACL bestaat uit regels die gecreëerd zijn door de gebruiker. Iedere regel wordt voorafgegaan door een nummer. Als de ACL aangesproken wordt loopt deze iedere regel van laagste nummer tot hoogste nummer af. Als hij een regel vindt die hij kan toepassen wordt het doorlopen beëindigt en de regel toegepast. Aan het einde van iedere ACL volgt automatisch een “deny any” regel. Deze zorgt ervoor dat iedere situatie die niet beschreven is in de voorgaande regels van de ACL geweigerd wordt. ACL’S kunnen onderverdeeld worden in 3 types: Standard ACL Extended ACL Named ACL Een standard ACL is herkenbaar aan het nummer. Dit ligt tussen 0 en 101. Standard ACL’S kunnen gebruikt worden om simpele toegangsregels te maken. De commando’s worden in de correcte volgorde ingevoerd. Ze beginnen met een permit of deny gevolgd door het IPadres of netwerk-adres dat toegelaten of geweigerd moet worden en het wildcardmasker dat het inverse van het subnetmasker is. Verder kan dit type ACL niet geconfigureerd worden. 34 Een extended ACL kan dan weer de nummers tussen 100 en 199 Hebben. Dit type ACL kan veel fijner geconfigureerd worden en wordt dus gebruikt voor meer ingewikkelde regels. Dit type ACL wordt vaak gebruikt om interne routering te beperken wat later in dit hoofdstuk behandeld word. Deze ACL’S kunnen naast het bron-adres (dat gebruikt wordt in standard ACL’S) ook een restrictie toepassen op de bestemming en welke protocollen/poorten gebruikt mogen worden. Dit maakt de extended ACL veel veelzijdiger maar ook veel ingewikkelder om te configureren. Als laatste hebben we de named ACL. Dit type is er gekomen omdat ACL’S met een nummer al heel snel onoverzichtelijk worden in de configuratie. Named ACL’S verschillen in syntax niet van extended ACL maar bij het aanmaken krijgen ze een tekst als naam in plaats van een nummer. Deze naam kan gebruikt worden om te beschrijven waar de ACL voor dient. Vervolgens komt deze naam ook terug in de configuratie file waardoor deze veel overzichtelijker is en het werken met ACL’S duidelijker en vlotter wordt. Om de toegang tot het layer 3 apparaat te beperken en beveiligen volstaat het gebruik van een standard ACL: Figuur 17: IP ACL Bovenstaand resultaat kan bekomen worden door volgende commando’s in te geven in de configure terminal: Ip access-list standard 99 10 permit 172.16.30.0 0.0.1.255 20 permit 172.16.8.0 0.0.3.255 5.1.2 Toegang tot apparaat Het gemiddelde netwerkapparaat kan op meerdere manieren benaderd worden. Iedere methode heeft zo zijn voor- en nadelen. Voor de Cisco switch zijn er 4 courante toegangsmethodes: Toegang via SSH sessie Toegang via de console poort met gebruik van een console kabel Toegang via de ethernet management interface Toegang via de Web interface Om eender welke van deze methodes te implementeren is het belangrijk dat er eerst paswoorden en gebruikers worden ingesteld. Voor een klein bedrijf is het gebruik van de lokale databank in de switch voldoende. Figuur 18: Admin user en enable paswoord 35 Om deze configuratie te verkrijgen dienen volgende commando’s ingegeven te worden: enable secret “paswoord” username “username” secret “paswoord” aaa new-model aaa authentication login default local Om toegang via SSH te verplichten worden ook RSA-keys aangemaakt. Figuur 19: RSA keys Crypto key generate rsa Vervolgens wordt de lengte van de key ingegeven. De standaard lengte volstaat meestal. Indien de key korter wordt gemaakt vergt deze minder rekenkracht en werkt deze dus sneller maar is deze minder veilig. Bij een langere key is er meer rekenkracht en tijd vereist maar is de graad van beveiliging hoger. Alle toegangsmethodes kunnen in één stap en met enkele commando’s ingesteld worden. In de configuratie zullen de aangemaakte paswoorden niet te zien zijn. Deze worden gehashed zodat iemand met toegang tot een back-up van de configuratiefile deze niet eenvoudigweg kan lezen in de configuratiefile. Het is wel mogelijk met het gebruik van rainbowtables het paswoord te achterhalen gebaseerd op de hash. Dit vereist echter iets meer werk dan simpelweg de configuratiefile van het apparaat te bemachtigen. 36 Figuur 20: Toegang beveiligen en beperken Volgende commando’s dienen hiervoor ingegeven te worden Ip http access-class 99 no ip http secure-server line con 0 password 7 “password” access-list 99 in exit line vty 0 15 access-class 99 in transport input ssh exit banner motd !authorized Users only! Deze configuratie zorgt ervoor dat om succesvol te kunnen inloggen via SecureShell(SSH), consolekabel of ethernetkabel de gebruiker toegang dient te hebben tot een apparaat met de correcte netwerkinstellingen en een gebruikersnaam en paswoord moet kennen. Het “enable” paswoord is vervolgens ook vereist alvorens wijzigingen in de configuratie kunnen worden gemaakt. Indien er ingelogd wordt via de web interface is het enable paswoord voldoende. Deze methode wordt echter afgeraden gezien de web interface heel traag werkt en deze ook niet het veiligste is. Toegang via web interface kan uitgezet worden via het commando: No ip http no ip http secure-server 37 5.2 vlans en routering Het layer 3 apparaat zal in een klein layer 3 netwerk vooral instaan voor interne routering tussen bestaande en nieuwe vlans. Het is dan ook belangrijk alle vlans en de gewenste routering daartussen correct in te stellen 5.2.1 vlans aanmaken en configureren Op een layer 3 apparaat dienen eerste de gebruikte vlans aangemaakt te worden. Geef deze vlans een betekenisvolle naam want deze komen terug in de configuratiefiles. Per vlan dienen volgende commando’s ingegeven te worden: vlan 1031 name MANAGEMENT Dit levert volgend resultaat op: Figuur 21: Namen vlan Na het aanmaken van de vlans kunnen deze ook nog geconfigureerd worden met een IPadres en eventueel een ip-helper-adress dat verwijst naar de dhcp server. Figuur 22: vlan IP-adres en helper-address dit wordt bewerkstelligd met volgende commando’s: Interface vlan 1031 ip address 172.16.31.1 255.255.254.0 ip helper-adress 172.16.10.24 5.2.2 vlan routering en default route instellen Om verschillende vlans toe te staan met elkaar te communiceren dient IP-routering ingesteld te worden. Volgende commando’s zorgen ervoor dat deze routering mogelijk wordt en dat tevens ook een route naar het internet wordt aangemaakt: 38 Ip routing Ip route 0.0.0.0 0.0.0.0 “IP-adres van router naar internet toe” Figuur 23: IP-routing Figuur 24: IP-route 5.2.3 Routering beperken Het grote voordeel van een layer 3 netwerk is dat het gesegmenteerd kan worden en ieder apart segment nog met elkaar kan praten zonder al teveel vertraging of verlies van performance. Soms is het echter gewenst dat bepaalde segmenten juist niet benaderd kunnen worden door andere segmenten of deze geen andere segmenten kunnen benaderen. Een ACL biedt hier opnieuw de oplossing. Dit keer wordt best gebruik gemaakt van extended of named ACL’S gezien het hier vaak om routering gaat tussen verschillende netwerken en er dan zowel nood is aan een duidelijk gedefinieerd bronadres en de bestemming. Verder kan nog gedetailleerder gewerkt worden door ook specifieke protocollen en poorten toe te staan of te blokkeren. Een ACL om WIFI gebruikers af te schermen van het interne netwerk afgezien van de servers die ze wel moeten kunnen bereiken zoals DHCP en DNS servers kan er bijvoorbeeld zo uitzien: Figuur 25: Named ACL WIFI Deze ACL zorgt ervoor dat bepaalde servers in het interne netwerk bereikt kunnen worden (in het bijzonder de DHCP en DNS server op 172.16.10.24, de firewall naar buiten toe op 172.16.1.2 en een speciale server op 172.16.10.15. en 172.16.10.125) verder zorgt deze ervoor dat een broadcast om een IP-adres via DHCP te verkrijgen toegestaan wordt, dat communicatie tussen WIFI gebruikers mogelijk is en dat publieke IP-adressen die zich dus 39 buiten het interne netwerk bevinden bereikt kunnen worden. Alle andere private IP-adressen worden geblokkeerd. Ook clients die een foutief IP-adres en subnet willen gebruiken worden geblokkeerd. Een ACL om netwerksegmenten af te schermen en dus interne routering te beperken wordt uiteraard toegepast op een vlan. Hierbij is het belangrijk te weten dat een ACL op twee manieren kan toegepast worden op een vlan namelijk IN en OUT. Indien een ACL als IN geconfigureerd wordt op een vlan zal deze ACL rekening houden met verkeer dat van een end-device op deze vlan naar de rest van het netwerk wil. De controle gebeurt dus op verkeer dat begint binnen deze vlan en naar andere apparaten in het netwerk wil. Een ACL die als OUT geconfigureerd wordt zal dan weer rekening houden met verkeer dat begint buiten deze vlan en gericht is naar apparaten binnen het vlan waarop deze geconfigureerd is. De ACL om de WIFI gebruikers af te schermen van de rest van het netwerk wordt als IN geconfigureerd op het WIFI vlan: Figuur 26: ACL in 40 5.3 Interfaces Niet alle interfaces op een switch of router hebben dezelfde functie. Het is dan ook belangrijk duidelijk te definiëren welke poorten wat moeten doen zodat het apparaat en het netwerk optimaal werken en beveiligd zijn. 5.3.1 Access interfaces Volgens de documentatie van Cisco dienen interfaces geconfigureerd als access poort om end-devices aan te koppelen. Er kan slechts 1 vlan geconfigureerd worden op een accesspoort en deze vlan wordt dan ook untagged over deze poort verzonden. Dit type interface wordt voornamelijk gebruikt voor end-devices. Er zijn echter netwerkapparaten die niet om kunnen met tagged verkeer zoals hubs en unmanaged switches. Deze worden ook aangesloten op access-poorten in het netwerk. Figuur 27: Access poorten Een access poort wordt met volgende commando’s gedefinieerd: Interface “interface id” switchport mode access switchport access vlan “vlanid” switchport nonegotiate 41 5.3.2 Trunk interfaces Trunk interface is een Cisco terminologie voor interfaces die verbonden zijn met andere netwerkapparatuur en waar meerdere vlans tagged over gestuurd dienen te worden. De naamgeving van deze soort interface verschilt nogal per fabrikant. Een andere courante naam voor dit soort interfaces is “tagged interface”. Op layer 3 switches zullen vooral dit soort interfaces gebruikt worden. Vaak staat een layer 3 apparaat namelijk zeer hoog in de hiërarchie en wordt het haast exclusief verbonden met andere netwerkapparatuur waarvoor opnieuw meerdere vlans nodig zijn. Figuur 28: Trunk poorten Volgende commando’s worden gebruikt om een trunk interface te configureren: Interface “interface id” Switchport trunk encapsulation dot1q Switchport mode trunk Switchport nonegotiate Switchport trunk allowed vlan none Switchport trunk allowed vlan add “vlans die over trunk kunnen” 5.3.3 Port-channels Een port-channel is een terminologie van Cisco. Een port-channel bestaat uit meerdere poorten die samengenomen worden als 1 virtuele poort. Dit verhoogt de datacapaciteit doordat meerdere kabels naar dezelfde locatie gaan. Dit zorgt ook voor redundantie gezien als 1 van de kabels of poorten defect is alle data nog steeds over de resterende poorten zijn doel kan bereiken. De naamgeving is opnieuw verschillend per fabrikant. Op switches van Allied Telesis noemt dit “Trunks” en op de oudere modellen van HP noemt dit weleens “Aggregated links” Om een fysieke poort aan een port-channel te koppelen dienen volgende commando’s ingegeven te worden: Interface “interface id” Channel-group “port-channel id” 42 Een port-channel kan gecreëerd worden met volgend commando: Interface port-channel “portchannel id” Nadat een port-channel gecreëerd is en er fysieke poorten aan gekoppeld zijn kunnen dezelfde commando’s die gebruikt zijn bij het maken van een access interface of trunk interface gebruikt worden om het port-channel te configureren. het port-channel gedraagt zich dus als een fysieke poort. De fysieke poorten gekoppeld aan het port-channel zullen hun configuratie automatisch aanpassen aan de port-channel configuratie. Figuur 29: Port-channel 43 6 implementatie van het layer 3 netwerk Om een layer 3 netwerk te implementeren zijn heel wat stappen nodig. Dit hoofdstuk behandelt deze implementatie van het voorbereidend werk tot het bijstellen van het netwerk na een geslaagde implementatie. 6.1 Implementatie voorbereiden 6.1.1 Bekabeling en bestaande apparatuur Tijdens een netwerkupgrade is het altijd aan te raden de huidige stand van zaken even kritisch te bekijken. Een onderdeel hiervan is het bekijken van de huidige fysieke bekabeling en apparatuur en deze aan te passen alvorens de netwerkupgrade. Het gaat hier over: Verouderde apparatuur waar mogelijk vervangen. Geplande wijzigingen in bekabeling doorvoeren. Ongelabelde kabels en slordige kabels wegwerken. Het labelen en net wegwerken van kabels is een taak die vaak over het hoofd gezien wordt in een bedrijf. Dit heeft als dat alles al snel onoverzichtelijk wordt. Dit wordt echter pas opgemerkt eenmaal een probleem zich voordoet of een upgrade uitgevoerd wordt. Het is dus belangrijk dit toch te doen en geregeld te controleren gezien labels ook per ongeluk kunnen verwijdert worden of vervagen na verloop van tijd. Inzake de labeling wordt minimaal verwacht op het patchpaneel te kunnen zien naar waar de poort in het patchpaneel leidt. Voor belangrijke kabels zoals bijvoorbeeld kabels die de uplink naar de distribution vormt of 2 distribution switches met elkaar verbind is het ook interessant de kabel zelf een label te geven zodat deze kabels altijd snel en gemakkelijk te identificeren zijn ook als ze uit het patchpaneel verwijderd worden. Ook het wijzigen van de bekabeling kan best in de voorbereidende fase uitgevoerd worden. Het plaatsen van nieuwe kabels of het omvormen van koperkabels naar glasvezel dient, waar mogelijk, best te gebeuren voordat het layer 3 netwerk geïmplementeerd wordt zodat dit achteraf niet opnieuw aangepast hoeft te worden. Dit zorgt ervoor dat er geen afzonderlijke down time is vanuit het standpunt van de werknemers. Het vervangen van verouderde apparatuur is soms optioneel maar soms ook verplicht. Afhankelijk van welke upgrade uitgevoerd wordt en hoe oud de apparaten zijn kan het zijn dat bepaalde apparaten in het netwerk niet voldoende features bezitten om de upgrade door te voeren. In dit geval is het cruciaal dat deze apparaten vervangen worden. Ook oudere apparaten die binnenkort vervangen dienen te worden maar de nieuwe features van de upgrade wel nog ondersteunen kunnen best eens bekeken worden. Het is namelijk dubbel werk als eerst de configuratie aangepast wordt op het oude apparaat en enkele maanden dit verwijderd wordt uit het netwerk. Indien er dus een budget voor is kan verouderde apparatuur best in één keer verwijderd worden alvorens een netwerkupgrade te doen. 44 6.1.2 Aanpassen van de layer 2 switches Een bedrijfsnetwerk bestaat vaak uit een aaneenschakeling van heel wat layer 2 switches. Bij de upgrade naar een layer 3 netwerk blijven deze switches uiteraard in gebruik. De nieuwe vlans en features dienen wel aangemaakt te worden op deze switches zodanig dat de nieuwe netwerkfeatures in gebruik kunnen worden genomen en vlot werken. Alvorens deze aanpassingen gemaakt kunnen worden is het belangrijk dat de poorten geassocieerd met uplinks, printers, telefoons, enzovoort terug te vinden zijn in de documentatie. De uplinks dienen gekend te zijn. Printers en telefoons zullen vaak op een aparte vlan geplaatst worden. Het is dus handig te weten op welke switches deze vlans gebruikt gaan worden. Alle vlans kunnen ook op alle apparaten aangemaakt worden. In de praktijk is dit echter niet altijd nodig of mogelijk. Het is mogelijk zonder het netwerk te onderbreken volgende zaken al uit te voeren: Aanmaken van de nieuwe vlans op de switches. De uplinks configureren zodat alle vlans tagged over deze link worden gestuurd. Het aanmaken van de vlans en configureren van de uplinks kan op vele apparaten op verschillende manieren gebeuren. Indien de switch een commandline interface biedt kunnen met deze interface de vlans zeer snel, vlot, en zonder fouten aangemaakt worden. Indien de switch geen commandline heeft is er altijd een web-interface. Deze methode gaat iets trager maar voorkomt nog steeds dat er fouten gemaakt kunnen worden die de switch of het gehele netwerk vast laat lopen. Figuur 30: Switch VLANS Een nog snellere methode maar waarbij er een mogelijkheid is fouten te maken is de configuratiefile van de switch aan te passen. Vaak is dit een simpel tekstbestand dat van de Figuur 31: Configuratie upload/download switch gedownload kan worden en later opnieuw geüpload. Indien de syntax duidelijk is kan de configuratiefile gewoon met een tekstbewerker zoals kladblok bewerkt worden en vervolgens de geüpload worden. De aanpassing dient wel aandachtig gecontroleerd te worden gezien fouten hierin sommige switches volledig kunnen laten vastlopen. 45 6.1.3 DHCP server Bij de upgrade naar een layer 3 netwerk is de kans groot dat er enkele nieuwe subnets worden aangemaakt. Vaak zal een deel van deze subnets DHCP gaan gebruiken om IPadressen uit te delen. Indien het hier over 1 of 2 subnets gaat kan dit gerust manueel ingevoerd worden. Bij meerdere subnets, IP-exclusions en -reservations zijn er snellere en betere manieren om deze subnets aan te maken. Volgende voorbeelden zijn gemaakt met een Windows 2008R2 server. Het onderdeel betreffende Powershell kan uitgevoerd worden op een Windows server 2012. 6.1.3.1 Manueel invoegen Het instellen van een nieuwe DHCP-scope via de wizard is redelijk eenvoudig en voor de hand liggend. als eerste moet er een DHCP-server zijn die tevens ook lid is van het domein. Onder de DHCP server rol kan zowel een zowel een nieuwe IPv4 of IPv6 scope aangemaakt worden. Om een IPv4 scope te maken wordt er rechts geklikt op ipv4 en “new scope” te selecteren. Dit opent een wizard die stap per stap doorlopen kan worden om een nieuwe DHCP scope aan te maken. Het belangrijkste aan een DHCP scope is de range en het subnet van deze scope. In de wizard wordt dit gedefinieerd door een start IP-adres en eind IP-adres in te geven en indien nodig het Figuur 32: IP-range DHCP scope subnetmasker hierbij aan te passen. Naast dit IP-range zijn er nog tal van andere opties die ingesteld kunnen worden: Excluded adressen DNS servers die de scope verspreidt De lease tijd van de scope De Default gateway van de scope Een naam en beschrijving van de scope Na het aanmaken van de nieuwe scope zal deze zichtbaar zijn in de servermanager. Figuur 33: manuele DHCP scope 46 6.1.3.2 Batchscript Om heel veel scopes op een automatische manier in te vullen kan een batch file gebruikt worden. Hierin worden alle commando’s om de scopes aan te maken geplaatst. Het uitvoeren van deze file zorgt er dan voor dat alle scopes aangemaakt worden. Deze methode van werken is vooral handig omdat het script op een lokale pc of van thuis uit kan voorbereid worden en achteraf in enkele minuten uitgevoerd kan worden op de server. De batchfile bevat NETSH commando’s deze zijn zeer uitgebreid en kunnen zowat gebruikt worden voor onder andere alles inzake het installeren, configureren en beheren van een DHCP server Voor meer informatie verwijs ik dan ook graag door naar de site van Microsoft: http://technet.microsoft.com/en-us/library/cc787375%28v=ws.10%29.aspx Volgende commando’s zijn de meest gebruikte commando’s: netsh dhcp server add scope 172.22.86.0 255.255.254.0 "L003" "ip range for vlan 2086 room L003 " Dit commando voegt een DHCP scope toe aan de DHCP server. Als argumenten kan het subnet, netmask en een naam meegegeven worden. Optioneel kan ook nog een beschrijving van de scope meegeven worden. netsh dhcp server scope 172.22.86.0 add iprange 172.22.86.2 172.22.87.254 Bovenstaand commando geeft dan weer een IP-range aan een bestaande scope. Dit commando is nodig zodat een scope weet welke IP-adressen het kan uitdelen. Er dient altijd een begin en eindadres meegegeven te worden. De volgende 2 commando’s zijn vaak voorkomende opties op scopes. Er zijn nog veel meer opties te configureren via netsh maar dit zijn de 2 meest courante. netsh dhcp server scope 172.22.86.0 set optionvalue 003 IPADDRESS 172.22.86.1 Dit commando specifieert welke default gateway de dhcp scope moet uitdelen. Ieder apparaat die een IP-adres van deze scope ontvangt zal dus als default gateway 172.22.86.1 invullen. netsh dhcp server scope 172.22.86.0 set optionvalue 051 DWORD 86400 Met dit commando wordt de leasetime ingesteld. De laatste waarde in dit commando is de tijd van de lease in seconden. Vaak is de standaard waarde die een dhcp scope gebruikt voldoende toch kan het echter interessant zijn voor bepaalde DHCP-scopes deze leasetime aan te passen. Een goed voorbeeld hiervan is bijvoorbeeld de leasetime voor het draadloos netwerk. Het gaat hier meestal om bezoekers en gasten dus kan de leasetime hier wat verkort worden. 47 Naast deze basis scope gegevens zijn er ook nog 2 veelvoorkomende uitgebreide opties namelijk excluded ranges en reservations. netsh dhcp server scope 172.16.30.0 add excluderange 172.16.31.1 172.16.31.150 Indien bepaalde adressen middenin een bestaande scope niet mogen worden uitgedeeld kunnen deze uitgesloten worden met dit commando. Door het eerste en het laatste adres in te geven wordt ervoor gezorgd dat de DHCP scope deze adressen niet kan uitdelen. Het is perfect mogelijk meerdere ranges als excluded te definiëren binnen 1 scope. Als 2de is er het commando om IP-adressen te reserveren: netsh dhcp server scope 172.16.25.0 add reservedip 172.16.25.20 0003C50442C2 "PLC1" "PLC houtbewerking" Dit commando zorgt ervoor dat indien een apparaat met het vermelde Macadres(0003C50442C2) een IP-adres vraagt het altijd het correcte bijhorende IP-adres krijgt. Bij dit commando kan ook nog een naam en beschrijving meegegeven worden zodat deze reservation duidelijk te verstaan is op de DHCP server zelf. Deze commando’s worden allemaal ondergebracht in 1 batchfile. Deze batchfile kan vervolgens uitgevoerd worden op de DHCP server. Een commandline venster zal openen en alle commando’s uitvoeren Figuur 34: Een batch file uitvoeren 48 Nadat de batchfile uitgevoerd is zijn alle scopes correct terug te vinden onder de IPv4 scopes in de manager van de DHCP-server. Figuur 35: Batchfile scopes 6.1.3.3 Powershell Sinds Windows server 2012 kan het installeren, configureren en beheren van een DHCP server ook volledig via powershell gebeuren. Powershell commando’s en scripts bieden vele vernieuwingen en vereenvoudigingen inzake scripting en management in een Windows omgeving aan. Met slechts 2 commando’s en enkele CSV files kan een oneindig aantal scopes ingesteld worden in tegenstelling tot het batchscript dat per scope manuele commando’s bevatte. Figuur 36: Powershell Script Met dit korte scriptje en volgende 2 CSV files worden alle scopes aangemaakt en correct geconfigureerd op de DHCP server. Het grote verschil met batchscripts is dat de variabelen zich in de CSV files bevinden en hetzelfde script hergebruikt kan worden. Figuur 37: CSV files 49 De gebruikte CSV-files kunnen achteraf ook bij de documentatie gevoegd worden. Ze kunnen dan gebruikt worden om de huidige DHCP instellingen te raadplegen zonder effectief aan te melden op de DHCP server. Als een aanpassing of toevoeging aan de DHCP server vereist is kan de bestaande CSV opnieuw gebruikt worden om de wijzigingen in aan te brengen. Verder kan powershell gebruikt worden om extra opties in te stellen. Zo kunnen ook IPexclusions en IP-reservations geconfigureerd worden met behulp van een script. Het is heel eenvoudig dit te doen via CSV-files en een uitgebreid script. 6.1.3.4 Batchscript gegeneerd door powershell Zoals bovenstaande punten aantonen is het powershell script veel veelzijdiger, eenvoudiger en makkelijker te hergebruiken. Er is echter 1 probleem: powershell kan pas met DHCP gebruikt worden vanaf Windows server 2012. Vele bedrijven hebben echter nog steeds Server 2008R2 in gebruik. Er is echter een gulden middenweg. Het is namelijk op een modern besturingssysteem zoals Windows7, Windows8 of een Windows server 2012 die geen DHCP server is een powershell script te schrijven dat eenvoudigweg de gegevens uit een CSV haalt en deze omzet naar Netsh commando’s die dan weggeschreven worden in een batchfile. Deze batchfile kan dan vervolgens op de effectieve DHCP server uitgevoerd worden zonder dat manueel alle Netsh commando’s ingevoerd moeten worden. De gebruiksvriendelijke en krachtige powershell wordt hier gebruikt om een batchscript te genereren dat compatibel is met oudere besturingssystemen. Hoewel het mogelijk is zo een script zelf te schrijven zijn er al enkele voorbeelden voorhanden op het internet. 1 zo een voorbeeld komt van Seth H. Bokelman. Het volledige script is terug te vinden in bijlage 1 Figuur 38:Powershell Script(Bokelman S, 2012 50 6.2 Fysieke Implementatie In het netwerk Met de implementatie wordt het fysiek implementeren van de layer 3 hardware bedoeld. Gezien dit een nieuw apparaat is dat toegevoegd wordt aan het netwerk kan alles al correct geconfigureerd en ingesteld worden alvorens het geïmplementeerd wordt. Wel moet er met enkele zaken rekening gehouden worden. 6.2.1 Fysieke en logische locatie van het apparaat De Fysieke en logische locatie van het apparaat in het netwerk zou ondertussen al logisch voort gegroeid moeten zijn uit de analyse van de bestaande documentatie en de nieuw aangemaakte documentatie en planning. Bij de fysieke locatie is het belangrijk dat: Deze redelijk centraal is. De ruimte goed gekoeld kan worden. De ruimte goed beveiligd is. De ruimte niet courant gebruikt wordt gezien een layer 3 switch nog al eens wat lawaai kan maken. Inzake de logische locatie wordt er best rekening gehouden met volgende zaken: Het apparaat bevindt zich logischerwijs in een hoger niveau(core of distribution). Alle onderliggende apparaten dienen een pad naar dit apparaat te kunnen vormen. Bij voorkeur moet dit apparaat bereikbaar zijn door zo min mogelijk netwerkapparaten zoals switches te moeten passeren zonder bovenstaande punten teniet te doen. Indien de gekozen locatie deze punten respecteert kan er van uitgaan worden dat de locatie zowel fysiek als logisch goed gekozen is. Vaak zal dit een serverroom of verdeelpunt zijn in het netwerk. In de iets kleinere bedrijven zal de layer 3 apparatuur terug te vinden zijn naast de edge-devices gezien deze netwerken slechts nood hebben aan 1 layer 3 apparaat. Figuur 39: completed server room project (Robert Camp, 2003) 51 6.2.2 Tijdelijke instellingen ter bereikbaarheid van het apparaat. Het layer 3 apparaat kan volledig correct geconfigureerd in het netwerk geïmplementeerd worden. Het bestaande netwerk kan echter slechts gedeeltelijk voorbereid worden op de nieuwe infrastructuur. Indien een nieuwe vlan in gebruik genomen wordt om alle netwerkapparatuur in onder te brengen alsook enkele clients die deze apparatuur mogen beheren, de zogenaamde management-vlan kan het wel eens gebeuren dat het onmogelijk wordt vanop afstand verbinding te maken met het layer 3 apparaat gezien de nieuwe vlan nog nergens gebruikt wordt en de Figuur 40: Site blocked (Slainte mhath, oude vlan geen toestemming heeft op het nieuwe 2012) apparaat. De oplossing hiervoor bestaat eruit tijdens de implementatie rekening te houden met het bestaande netwerk en de gang van zaken erin. Indien er in het bestaande layer 2 netwerk bijvoorbeeld al sprake was van een speciale management-vlan of als de default-vlan gebruikt werd kan het handig zijn deze voorlopig ook toe te staan de layer 3 switch te managen. Na de implementatie als het hele netwerk aangepast is kan de tijdelijke toegang alsnog aangepast en geblokkeerd worden. 52 6.3 Netwerkvernieuwingen configureren en in gebruik nemen 6.3.1 Nieuwe vlans in gebruik nemen Het is niet nodig de nieuwe vlans direct te beginnen gebruiken eens het layer 3 apparaat geïmplementeerd is. De nieuwe subnets en vlans kunnen stapsgewijs in gebruik genomen worden op een gecontroleerde manier zodanig dat alles naar behoren werkt. Het is belangrijk eerst en vooral alle voorbereidingen afgerond te hebben en deze zeker nog eens te controleren alvorens nieuwe vlans in gebruik te nemen. De hoofdzaken om te controleren zijn: Kan ik uit de documentatie afleiden welke poort tot welk vlan behoort. Zijn de uplinks correct geconfigureerd met de juiste vlans als tagged/trunked. Heeft het nieuwe subnet een dhcp pool nodig en is deze al aangemaakt/actief inclusief exclusions, reservations en andere opties. Welke default gateway hoort bij welke vlan indien deze manueel ingesteld moet worden. Als bovenstaande punten gecontroleerd zijn kunnen de nieuwe vlans geïmplementeerd worden. In de voorbereiding zou de layer 3 switch in het netwerk al volledig geconfigureerd moeten zijn. Er rest dus nog enkel de juiste vlan te activeren op iedere poort van de layer 2 switch. Bij Allied Telesis kan dit zowel via de configuratie file als via de web interface. 6.3.1.1 vlans aanpassen via web interface Het aanpassen van vlans via de web interface kan gebeuren in 2 stappen. Deze methode wordt het best gebruikt om het vlan van hooguit enkele poorten aan te passen gezien bij de meeste modellen van Allied Telesis er op “apply” dient geklikt te worden na 1 poort te hebben aangepast. Tijdens de implementatie van een layer 3 netwerk waarbij meestal alle poorten op de switches in nieuwe vlans worden ondergebracht wordt beter gewerkt met de configuratie files van deze switches. Het gebruiken van de webinterface werkt vooral goed bij het testen van nieuwe vlans en bij het instellen van speciale vlans zoals bijvoorbeeld 1 enkele telefoon die aan de switch wordt toegevoegd en dus het telefoon vlan nodig heeft. Als eerste stap dienen we het nieuwe vlan als untagged te definiëren op de vereiste poorten. Sommige recentere modellen zullen dit automatisch doen wanneer de Port vlan IDentifier(PVID) wordt ingesteld. Voor de veiligheid is het echter aan te raden dit manueel te doen. Dit wordt bewerkstelligd onder het menu Tagged vlan waar we voordien al de uplinks juist geconfigureerd hebben. Figuur 41: Untagged vlan 53 Vervolgens moet de default PVID ingesteld te worden op iedere poort. Standaard staat deze op 1. De default PVID is het vlan dat untagged over deze lijn gaat en kan ingesteld worden onder het Quality of Service(Qos) menu van de switches. Soms kan bij het instellen van de PVID een foutboodschap komen dat de betreffende poort geen lid is van het vlan dit wil zeggen dat deze poort niet als untagged is geconfigureerd in de vorige stap. Na het aanpassen van één rij in dit menu moet telkens op apply geklikt te worden wat het proces in geval van grote wijzigingen heel traag maakt. Figuur 42: Default PVID 6.3.1.2 vlans aanpassen via configuratie file Het aanpassen van een volledig netwerk via web interface gaat echter zeer traag. De meeste switches van Allied Telesis bieden de mogelijkheid hun configuratie file te downloaden als tekstbestand. Deze kan dan aangepast worden met een tekstbewerker en vervolgens opnieuw geüpload worden naar de switch. Het in gebruik nemen van de nieuwe vlans gebeurt doordat we een poort een nieuw PVID geven in de configuratiefile: Figuur 43: PVID configuratie file 54 6.3.2 Spanning tree Spanning tree(STP) is een protocol dat netwerkproblemen voorkomt ontstaan door lussen in het netwerk. Een lus in een netwerk kan ontstaan doordat switches redundant verbonden worden zonder dat STP geconfigureerd is op deze apparaten. Een lus kan ook opzettelijk of per ongeluk gevormd worden door een netwerkkabel 2 poorten in eenzelfde switch te laten verbinden. Als spanning tree niet geconfigureerd is zorgen beide gevallen ervoor dat het netwerk plat gaat door een broadcaststorm. Gelukkig is STP simpel te configureren in een netwerk. Eenmaal geconfigureerd zal STP een switch in het netwerk definiëren als root bridge. Dit gebeurt aan de hand van een manueel ingestelde prioriteit en het mac-adres van de apparaten. Door alle apparaten in het netwerk te laten bijhouden welke poort de beste verbinding is met de root bridge en welke poorten als alternatief kunnen dienen Worden lussen voorkomen en gedetecteerd. Hierbij wordt de beste poort op actief gezet en de andere poorten op non actief. Als de originele poort uitvalt, kan 1 van deze alternatieve poorten online gebracht worden zodat de redundante link werkt. Als eerste dient bepaald te worden welk type STP gebruikt gaat worden. Er bestaan immers meerdere STP types: Spanning tree protocol(STP) Rapid spanning tree protocol(RSTP) Multiple spanning tree protocol(MSTP) Per-vlan spanning tree en Rapid spanning tree(terminologie van Cisco) Spanning tree protocol is het oudste van de groep en dient enkel gekozen te worden indien het netwerk nog heel oude apparatuur bevat. Voor alle andere algemene situaties voldoet RSTP. Dit protocol maakt gebruik van enkele extra opties op poortniveau om de down time tijdens de initiële configuratie en gedurende topologieveranderingen te beperken. MSTP zorgt er dan weer voor dat indien vlans gesplitst worden over meerdere kabels. Geen enkele van deze kabels onterecht geblokkeerd wordt door STP. Als laatste hebben we dan PVSTP en Rapid-PVSTP. Deze 2 types zijn eigendom van Cisco. De techniek is compatibel met gewone STP en RSTP maar biedt daar boven ook de mogelijkheid aparte root-bridge in te stellen per vlan. Dit zorgt ervoor dat verschillende vlans op eenzelfde switch de root bridge bereiken via gescheiden poorten waardoor de performantie van het netwerk beter benut wordt. In dit voorbeeld wordt gebruik gemaakt van Rapid-pvstp op een Cisco 3560x switch en RSTP op Allied Telesis switches. 55 6.3.2.1 Rapid-PVSTP op Cisco CA3560X Spanning tree staat standaard ingeschakeld op Cisco switches. Het type staat echter standaard op PVSTP en is enkel geconfigureerd voor vlan 1. Om Rapid-PVSTP te activeren en de Cisco switch in te stellen als root bridge voor alle vlans worden 2 commando’s ingegeven: Spanning-tree mode rapid-pvstp Spanning-tree vlan 1, 50, 60, 61, … priority 0 Het 2de commando kan hier ook eindigen met “root primary” of “root secondary” om de priorities respectievelijk te verlagen naar 4096 en 8192. het kan echter dat andere fabrikanten een lagere priority als standaard instellen. In gemengde netwerken is het dus aan te raden de priority manueel lager in te stellen of de priority op de andere apparatuur manueel te controleren en aan te passen indien nodig. In de configuratie file kan vervolgens nagekeken worden of rapid-pvstp wordt toegepast en op welke vlans. Met het commando “show spanning-tree” kan ook per vlan nagegaan worden welke poorten deze vlan gebruikt en welke instellingen op de Cisco switch gebruik worden. Figuur 44: STP running configuratie Figuur 45: STP vlan 1 56 Rapid-pvstp Bevat verder ook nog enkele speciale poorten en opties die kunnen geconfigureerd worden om het netwerk sneller te laten werken. De 3 belangrijkste onder deze opties zijn: portfast loopguard Root guard Portfast is een optie die geconfigureerd dient te worden op poorten die geen verbinding maken met andere switches, hubs of routers. Eenmaal geconfigureerd zorgt portfast ervoor dat deze poorten sneller data zullen beginnen verzenden en ontvangen gezien deze geen onderdeel uitmaken van de spanning-tree. Loopguard kan globaal op alle poorten geconfigureerd worden. De Cisco switch past dit dan automatisch toe op alle poorten die geen portfast poorten zijn. Loopguard zorgt ervoor dat er geen lussen in het netwerk kunnen ontstaan doordat een redundante link geactiveerd wordt wanneer de originele link nog steeds werkt. Loopguard is dan ook cruciaal op alternate en designated poorten. Root guard dient dan weer geconfigureerd te worden op poorten die verbonden zijn met andere switches maar die nooit de root bridge mogen worden. In het geval dat een nieuwe switch met een lage prioriteit op deze poort komt kan deze nog steeds geen root bridge worden. Dit is om te voorkomen dat een apparaat op het access niveau de root bridge voor het hele netwerk of een volledige vlan wordt. 6.3.2.2 RSTP op Allied Telesis GS950 RSTP op Allied Telesis switches activeren gebeurt via de web interface. Onder het tabblad bridge. Hier kan de priority en het type stp ingesteld worden. Onder het tabblad “advanced RSTP” kan vervolgens ook de Allied Telesis versie van portfast ingesteld worden genaamd edgeport per poort. Figuur 46: RSTP Allied Telesis 57 7 Frequente problemen en troubleshooting Het spreekt voor zich dat zelfs indien de upgrade tot in de kleinste details wordt voorbereid er zich nog steeds fouten en problemen kunnen voordien. Enkele veel voorkomende algemene en specifieke fouten worden hier aangehaald en opgelost. 7.1 Algemene problemen Algemene problemen zijn problemen die ontstaan doordat bepaalde details over het hoofd gezien worden tijdens de implementatie. Het gaat hier om problemen die niets met specifieke software of data te maken hebben maar veeleer met algemene instellingen en opties in het netwerk. 7.1.1 Foutieve en verouderde default gateways De default gateway wordt gebruikt door apparaten om verkeer te versturen buiten hun eigen subnet. In een layer 3 netwerk dient de default gateway voor een client telkens het IP-adres te zijn van het vlan waartoe deze behoort. Apparaten die hun IP-adres via DHCP verkrijgen zullen deze instellingen automatisch juist ontvangen. Een apparaat dat echter een statisch IPadres heeft zal zijn foutieve default-gateway behouden. Dit probleem kan zich ook voordoen met andere types apparaten. Indien het IP-adres van de DNS-server, DHCP-server of proxy server aangepast werd tijdens de layer 3 implementatie kan dit voor problemen zorgen met enkele clients die deze apparaten bereikten op basis van IP-adres. Vele van deze apparaten kunnen ook benaderd worden op basis van host naam in plaats van op IP-adres. Waar mogelijk kan men dus beter met een host naam werken zodat enkel de dns record dient aangepast te worden tijdens de implementatie. Doet het probleem zich toch nog eens voor dan zal dit zich manifesteren als een apparaat dat niet langer verbinding heeft met het netwerk en is het simpelweg op te lossen door het aanpassen van het foute adres naar een host naam of het correcte adres zodat het toestel opnieuw gebruik kan maken van het netwerk. 58 7.1.2 Configuratiefouten in nieuwe ACL’S In een layer 2 netwerk wordt de beperkte routering uitgevoerd door ofwel een router ofwel een firewall. De beperkingen op deze routeringen worden toegepast door de firewall. In een layer 3 netwerk blijft intern verkeer echter volledig intern en is het de bedoeling dat dit niet naar de firewall wordt gestuurd. De beperkingen zullen dus door middel van ACL’s moeten worden toegepast door de layer 3 switches. Het overbrengen van deze regels gebeurt echter niet altijd even vlot. Vaak wordt een belangrijk detail over het hoofd gezien waardoor een ACL regel ofwel te strikt is en het netwerkverkeer belemmert of te laks en de beveiliging teniet doet. Enkele veel voorkomende fouten bij ACL’s op interne routering zijn: DHCP en DNS server wordt geblokkeerd. Broadcast naar DHCP server wordt niet toegestaan Verkeer binnen eenzelfde subnet wordt niet toegestaan Verkeer van en naar niet gebruikte private adressen wordt toegestaan Surfen naar publieke adressen wordt niet toegestaan Dit probleem heeft geen eenvoudige oplossing. Ervaring is hier de beste leermeester gezien een begrip van netwerkverkeer, ACL’s en netwerkprotocollen nodig is om efficiënt ACL’s te analyseren en configureren. Indien een probleem zich voordoet is het wel interessant de ACL in kwestie even af te zetten en een netwerksniffer zoals wireshark te gebruiken om te kijken welke adressen en protocollen er allemaal over het netwerk in kwestie gaan. Indien down time of ACL regels die te laks geconfigureerd zijn niet mogen voorkomen kan er het best geopteerd worden een virtuele- of testomgeving op te zetten waarin alle ACL’s grondig getest kunnen worden alvorens deze te implementeren in het productienetwerk. 59 7.2 Specifieke problemen Er zijn ook specifieke problemen. Dit zijn problemen die zich voorgedaan hebben tijdens de specifieke implementatie van dit netwerk. Er bestaat nog steeds de kans dat deze problemen zich bij andere implementaties voordoen dus worden ze hier even kort aangehaald. 7.2.1 Virtual Desktop en jumbo frames Een virtual desktop infrastructure (VDI) is een systeem waarbij de pc’s van werknemers virtueel op een server draaien en worden weergegeven op een thin client. Vmware view is hier een voorbeeld van. Deze oplossing maakt gebruik van het interne netwerk om de data die een gebruiker ingeeft of verwacht te zien te verzenden. Om een vlotte ervaring te hebben mag er niet teveel vertraging op deze data zitten. Als oplossing heeft vmware hierbij geopteerd voor het gebruik van jumbo frames. Deze worden vooral gebruikt indien de VDI server heel veel verschillende machines tegelijk actief heeft. Een jumbo frame is een layer 2 frame dat groter is dan de standaard 1500 bytes. Indien een switch niet geconfigureerd is deze te aanvaarden zal deze te grote frames niet doorsturen en gewoon laten vallen wat de werking van de VDI tegengaat. Op layer 2 switches kan men vaak kiezen om jumbo frames toe te laten. Dan worden frames tot en met 9000 bytes geaccepteerd en doorgezonden. Cisco heeft hier echter een andere aanpak gehanteerd. Zij laten jumboframes standaard toe op snelle poorten maar de standaard grootte van zo een jumboframe wordt ingesteld op 1500 bytes. De grootte van een gewone frame. Jumboframes worden hierdoor alsnog niet toegestaan ook al staat in de instellingen jumbo frames aan. Dit zorgt ervoor dat sommige VDI toepassingen niet werken. De oplossing is dan weer simpel. Het is namelijk mogelijk op de Cisco switch de grootte van een jumbo frame vrij aan te passen. Indien achterhaald kan worden wat de maximale grootte van een jumboframe over het netwerk is, kan op de Cisco switch dus deze grootte ingegeven worden. Een snelle oplossing kan ook zijn om de grootte gewoon op het maximum te plaatsen. Na termijn kan men dan achterhalen welke grootte effectief vereist is en deze opnieuw instellen als onderdeel van de optimalisatie van het netwerk. 7.2.2 Allied Telesis webinterface Tijdens het project is er vooral gewerkt met Allied Telesis switches. Voornamelijk de ATGS950 en AT-GS750 modellen. Deze modellen worden momenteel nog steeds geproduceerd en bevatten al enkele firmware upgrades. De nieuwste firmwareversie is momenteel versie 1.2.0. deze behandelt enkele problemen met de interface maar 1 probleem is nog steeds aanwezig. Indien een vlan verwijderd wordt van een switch kan deze vastlopen. De enige oplossing is dan om de switch zonder stroom te zetten zodat deze naar een vorige configuratie teruggaat. 60 7.2.3 Virtual Private Network tunnel Een Virtual Private Network tunnl(VPN-tunnel) verbind 2 locaties die fysiek gescheiden zijn van elkaar door middel van een beveiligde verbinding. Een VPN tunnel kan opgesteld worden om 2 bedrijfssites met elkaar te verbinden of om een verbinding te vormen met een offsite serverpark zoals in een datacenter. Het probleem met deze VPN’s is dat deze geconfigureerd moeten worden aan beide zijden. Lokaal kan snel bewerkstelligd worden maar om de andere kant van de vpn aan te passen dient men vaak te wachten op derden. Één van de instellingen die een vpn moet hebben zijn de subnets die zich aan de andere zijde bevinden. Een layer 3 implementatie zal veelal extra subnets toevoegen en bestaande subnets verplaatsen of veranderen. Het is dan ook belangrijk de beheerder van de vpn-tunnel aan de andere kant tijdig te contacteren over de aankomende veranderingen en deze duidelijk uit te leggen. Om de aanpassingen zo vlot mogelijk te laten verlopen wordt best volgende info verstrekt: De nieuwe subnets. Een schema met de huidige opstelling en de nieuwe toekomstige opstelling Eventueel een voorbeeld van de configuratie van de lokale zijde van de VPN VPN tunnels worden vaak geconfigureerd op firewalls. Niet iedere firewall is hetzelfde en definieert een VPN op dezelfde manier. Sommige applicaties zullen gebruik maken van address-ranges zoals deze op een DHCP server worden geconfigureerd om de subnets te bepalen. Anderen verwachten dan weer een netwerkadres met subnetmasker. Om deze reden is het dus belangrijk dat je voldoende op voorhand de beheerder van de VPN aan de andere zijde contacteert zodat indien nodig telefonisch kan afgesproken worden om de aanpassingen te verduidelijken. Dit voorkomt dat men vast komt te zitten tijdens het project omdat men moet wachten op de aanpassingen van de VPN tunnel. 61 Besluit Als conclusie kunnen we stellen dat een layer 3 bedrijfsnetwerk op lange termijn heel wat voordelen biedt tegenover een traditioneel layer 2 netwerk. Toch is een layer 3 bedrijfsnetwerk niet altijd nodig en dient er goed nagedacht te worden alvorens de beslissing om een layer 3 netwerk te implementeren te nemen. Vooral in organisch gegroeide bedrijven dient hier goed over nagedacht te worden gezien deze bedrijven te maken krijgen met extra problemen tijdens de implementatie door de algemene structuur van hun netwerk. Dit leidt ertoe dat organisch gegroeide bedrijfsnetwerken die geüpgraded worden naar een layer 3 netwerk zonder dat dit nodig is of hier goed over nagedacht is zichzelf vaak met meer problemen en moeilijkheden opzadelen dan dat ze hadden met een layer 2 netwerk. Alvorens een implementatie te beginnen is het belangrijk dat de nodige documentatie voor handen en volledig bijgewerkt is. Indien hier twijfel over bestaat kan er best wat extra tijd besteedt worden aan het controleren van de documentatie. Het configureren van zowel het bestaande netwerk als de nieuwe apparaten verschilt dan weer van fabrikant tot fabrikant. Gelukkig is de syntax en werkwijze vaak gelijkaardig. Wel wordt er best rekening gehouden met het feit dat de gebruikte terminologieën soms verschillende betekenissen hebben bij verschillende fabrikanten. Het is dan ook aangewezen eerst duidelijk te bepalen wat geconfigureerd dient te worden en aan de hand van de documentatie van de fabrikant te onderzoeken hoe dit bewerkstelligd moet worden. Gezien de implementatie van een layer 3 netwerk gepaard gaat met het wijzigen of implementeren van meerdere functies in de netwerkapparatuur is het ook belangrijk dit gestructureerd te doen en onderdeel per onderdeel te werk te gaan. Zoals bij iedere grote verandering in een bedrijfsnetwerk zullen er altijd wel zaken zijn die over het hoofd gezien worden. Indien problemen zich voordoen is het belangrijk niet te paniekeren en deze problemen rustig en systematisch te behandelen. Bij algemene problemen kan men documenten zoals deze raadplegen om tot een oplossing te komen. Vaak gaat het hierbij om kleine details die gemakkelijk over het hoofd gezien kunnen worden. Bij specifieke problemen is het belangrijk een goed begrip te hebben van het bedrijfsnetwerk en vlot overweg te kunnen met de bestaande documentatie. Deze problemen kunnen vaak slechts gedeeltelijk achterhaald worden via externe documentatie. Het is dan ook aangewezen ieder probleem dat zich voordoet zelf te documenteren en bij te houden zodanig dat indien dit probleem zich in de toekomst opnieuw voordoet men een first hand oplossing voor handen heeft. Algemeen kan gesteld worden dat de praktische implementatie van een layer 3 netwerk van bedrijf tot bedrijf zal verschillen. Een gids die letter per letter gevolgd kan worden kan dus niet geschreven worden. Wel volgt iedere implementatie een vaste structuur waarbij enkele elementen altijd aanwezig zijn. Dit vormt de basis van ieder Layer 3 bedrijfsnetwerk. Een layer 3 netwerk dat hierop gebaseerd is kan in de toekomst vlot en snel uitgebreid en aangepast worden. literatuurlijst Allied Telesis (2012). STP and RSTP. Geraadpleegd op 15 mei via (http://www.AlliedTelesis.com/manuals/s108v110weba/STP_RSTP.html) Arisar, J. (27 maart 2011). Osi-model [Blog]. Geraadpleegd op 6 april 2014 via (http://datacombasic.blogspot.be/2011/03/v-behaviorurldefaultvmlo.html) Balal Rumy, S. (2013). What is the difference between a Layer-3 switch and a Router? Geraadpleegd op 6 april 2014 via (http://rumyittips.com/what-is-the-difference-between-a-layer-3-switch-and-arouter/) Bokelman, S. (30 April 2012). Powershell script to create numerous DHCP scopes [Blog]. Geraadpleegd op 22 april 2014 via (http://www.sethb.com/weblog/?p=1354) Cinergix Pty. Ltd.(2013). Network diagram software: Draw network diagrams online. Geraadpleegd op 20 april 2014 via (http://creately.com/Online-Network-Diagram-Software-old) Cisco Systems (z.j.). Layer 3 switching: re-inventing the router. Geraadpleegd op 6 april 2014 via (http://www.scom.uminho.pt/uploads/Apoio%20-%20Doc%20Tec%20-%203switch.pdf) Cisco Systems (2012). CCNA exploration: LAN switching and wireless [Syllabus]. Cisco networking academy, CCNA exploration Ching Chang, K. (2010). Data Communications:Dl. 15. Internet Protocol. Geraadpleegd op 6 april 2014 via (http://ironbark.xtelco.com.au/subjects/DC/lectures/15/) ComputerNetworkingNotes (2010). How to configure extended access lists on router. Geraadpleegd op 12 mei 2014 via (http://computernetworkingnotes.com/network-security-access-lists-standardsand-extended/extended-access-list.html) CS Odessa Corp. (2014). Ethernet local area network layout floor plan. Geraadpleegd op 20 april 2014 via (http://www.conceptdraw.com/diagram/floor-plan-for-computer-networking) Huybrechts, W. (2014). Praktische tips voor het reorganiseren van het schoolnetwerk [Syllabus]. Vlaams verbond van het Katholiek Secundair Onderwijs, Werkgroep ICT. Microsoft Corporation (2001). Network + certification training kit. (2nd ed). Reno: Sierra Nevada Books Microsoft (2014). Netsh commands for DHCP. Geraadpleegd op 20 april 2014 via (http://technet.microsoft.com/en-us/library/cc787375%28v=ws.10%29.aspx) Oksnevad, D. (28 juni 2013). 15 More Server Room Cabling Nightmares – Server Room Cabling Hell v2.0 [Blog]. Geraadpleegd op 6 april 2014 via (http://www.dotcommonitor.com/blog/index.php/network-services-monitoring/15-server-room-cabling-nightmares/) Robert Camp (6 mei 2003). Organic growth: Why it’s good for your business. [Blog]. Geraadpleegd op 20 april 2014 via (http://blog.hitcents.com/blog/post/organic-growth-why-its-good-your-business) Robinson, S. (19 september 2011). Cisco’s 3 layer architecture model [Blog]. Geraadpleegd op 6 april 2014 via (http://3rdlayer.wordpress.com/2011/09/19/Ciscos-three-layer-architecture-model/) SemSim.com (z.j.). The Cisco three layered hierarchical model. Geraadpleegd op 6 april 2014 via (http://www.mcmcse.com/Cisco/guides/hierarchical_model.shtml) Slainte mhath (18 September 2012). **Update** Help,Natfka’s site blocked. [Blog]. Geraadpleegd op 20 april 2014 via (http://h2lat40k.blogspot.be/2012/09/help-natfkas-site-blocked.html) Switch,hub & router (z.d.). (http://users.skynet.be/fa955413/switch_hub_router.html) geraadpleegd op 6 april 2014. Switch/SG500-52P (z.d.). (http://www.connectit.be/pcmultimedia/networking/switches/sg50052pk9g5) geraadpleegd op 6 april 2014. The scripting guys. (15 Januari 2013). Hey, Scripting Guy! Blog [Blog]. Geraadpleegd op 21 april 2014 Via (http://blogs.technet.com/b/heyscriptingguy/archive/2013/01/15/use-powershell-to-createmultiple-dhcp-scopes-on-dhcp-servers.aspx) Bijlagen Bijlage 01: Batchfile genererend script(Bokelman, S. 2012) ##===================================================================== ##===================================================================== ## SCRIPT.........: Create-Scope.ps1 ## AUTHOR.........: Seth H. Bokelman ## EMAIL..........: [email protected] ## VERSION........: 1 ## DATE...........: 2012-04-030 ## REQUIREMENTS...: Powershell v2.0 ## ## DESCRIPTION....: Creates a CMD file to create numerous DHCP scopes ## ## NOTES..........: Requires CSV file with these fields: SCOPE, MASK, NAME, DESC ## ROUTER, STARTIP, ENDIP, DNSSUFFIX ## CUSTOMIZE......: ##===================================================================== ## START ##===================================================================== # IP address of DHCP server $DHCPServer = "127.0.0.1" #IP address of DNS servers $DNS1 = "127.0.0.1" $DNS2 = "127.0.0.1" # Stores current date & time in a sortable format $date = Get-Date -format s # Name of output batch file $outputfile = "C:DHCPscopes.cmd" # Assumes a CSV with 8 columns listed above. $ips = import-csv "C:input.csv" $ips | %{ add-content -Encoding ASCII -Path $outputfile -Value "netsh dhcp server $DHCPServer add scope $($_.SCOPE) $($_.MASK) `"$($_.NAME)`" `"$date $($_.DESC)`"" add-content -Encoding ASCII -Path $outputfile -Value "netsh dhcp server $dhcpserver scope $($_.SCOPE) set optionvalue 3 IPADDRESS $($_.ROUTER)" add-content -Encoding ASCII -Path $outputfile -Value "netsh dhcp server $dhcpserver scope $($_.SCOPE) set optionvalue 6 IPADDRESS $DNS1 $DNS2" add-content -Encoding ASCII -Path $outputfile -Value "netsh dhcp server $dhcpserver scope $($_.SCOPE) set optionvalue 15 STRING `"$($_.DNSSUFFIX)`"" add-content -Encoding ASCII -Path $outputfile -Value "netsh dhcp server $dhcpserver scope $($_.SCOPE) add iprange $($_.STARTIP) $($_.ENDIP)" add-content -Encoding ASCII -Path $outputfile -Value "netsh dhcp server $DHCPserver scope $($_.SCOPE) set state 1" } ##===================================================================== ## END ##=====================================================================