Om de fouttolerantie en hoge beschikbaarheid van uw netwerk te verbeteren, wordt het aanbevolen om de volgende concrete maatregelen te nemen: 1. Redundantie van switches: - Configureer StackWise of Virtual Switching System (VSS) op de Cisco Catalyst 9300 switches om een redundante switch-architectuur te creëren. - Implementeer link aggregatie (LACP) om dubbele fysieke verbindingen te gebruiken voor kritieke verbindingen, waardoor uitval van één verbinding geen impact heeft. 2. Redundantie van firewalls: - Implementeer een actieve-passieve of actieve-actieve high-availability (HA) configuratie op de Juniper SRX firewalls via clustering of failover-mechanismen. - Configureer session synchronization tussen firewalls om sessies niet te verliezen tijdens failover. 3. Redundantie in routing: - Vervang statische routes door dynamische routingprotocollen zoals OSPF of BGP, die automatische failover en load balancing bieden. - Configureer meerdere upstream en downstream routers om routes te kunnen herstellen bij uitval. 4. Failover-mechanismen voor kritieke diensten: - Implementeer DNS-based load balancing en redundantie voor webservers en databases, bijvoorbeeld via DNS round-robin of geavanceerde load balancers. - Zet virtuele IP-adressen (VIPs) en failover-clusters op voor web- en database-servers. - Voor VPN-toegang: gebruik meerdere VPN gateways en configureer automatische failover. 5. Configuratie-aanpassingen: - Activeer Spanning Tree Protocol (STP) of Rapid Spanning Tree (RSTP) op switches om netwerklussen te voorkomen bij redundante verbindingen. - Overweeg het gebruik van Virtual Router Redundancy Protocol (VRRP) of Hot Standby Router Protocol (HSRP) voor default gateways. - Zorg voor regelmatige back-ups van configuraties en test de failover-processen periodiek. 6. Monitoring en alerts: - Implementeer netwerkmonitoring (bijvoorbeeld via Cisco DNA Center of Juniper Junos Space) om snel te reageren op uitval. - Configureer alerts voor kritieke infrastructuuronderdelen. Door deze aanbevelingen te implementeren, vergroot u de redundantie, vermindert u de kans op uitval en garandeert u een hogere beschikbaarheid van uw kritieke diensten.

Zeker, ik zal uw netwerkinfrastructuur evalueren en concrete aanbevelingen doen om de fouttolerantie en beschikbaarheid te verbeteren. ### Evaluatie Huidige Situatie Uw huidige opzet met statische routing en geen redundantie vormt een significant single point of failure. Dit betekent dat: 1. **Uitval van een switch:** Alle aangesloten apparaten verliezen connectiviteit. 2. **Uitval van een firewall:** Alle internet- en inter-VLAN-verkeer valt uit. 3. **Uitval van een kabel:** Verbindingen gaan verloren. 4. **Uitval van een stroomvoorziening:** Het hele apparaat is offline. Voor uw kritieke diensten (Webserver, Database, VPN) is deze configuratie een groot bedrijfsrisico. --- ### Concrete Aanbevelingen voor Verbetering Hieronder volgen specifieke aanbevelingen per onderdeel, inclusief technologieën en configuratievoorbeelden. #### 1. Switch Redundantie (Cisco Catalyst 9300) Gebruik StackWise Virtual om twee fysieke switches te combineren tot één logisch apparaat. Dit biedt: * **Apparaatredundantie:** Bij uitval van één switch neemt de andere volledig over. * **Managementgemak:** Eén IP-adres voor beheer van de hele stack. * **Geringere convergentietijd:** Snellere failover. **Configuratie Stappen (vereist aanvullende licenties):** * **Stap 1: Verbind de StackWise Virtual Link** Gebruik twee 10/25/40G ports (bijv. TenGigabitEthernet1/1/1) en verbind deze via een speciale stackkabel of via een dedicated switch (aanbevolen). * **Stap 2: Configureer StackWise Virtual op Switch 1 (Active)** ```cisco ! Configureer de stackports interface TenGigabitEthernet1/1/1 description Stack-Virtual-Link-1 no switchport no ip address stack-virtual link 1 stack-virtual domain 10 ! Domain ID moet op beide switches hetzelfde zijn ! interface TenGigabitEthernet1/1/2 description Stack-Virtual-Link-2 no switchport no ip address stack-virtual link 2 stack-virtual domain 10 ! ! Activeer de stack stack-virtual member 1 ! Dit is de member number van deze switch domain 10 switch 1 priority 150 ! Geef deze switch een hoge prioriteit om de Active te worden ``` * **Stap 3: Herhaal op Switch 2 (Standby)** (met `member 2` en `priority 100`) * **Stap 4: Configureer Multi-Chassis EtherChannel (MEC)** Verbind servers en firewalls naar *beide* switches via LAG (Link Aggregation Group). Dit zorgt voor link- *en* apparaatredundie. **Voorbeeld voor een serverport:** ```cisco ! Op beide switches (geconfigureerd via de actieve master) interface Port-channel10 description MEC_to_WebServer switchport mode access switchport access vlan 10 ! interface GigabitEthernet1/0/1 description Link_to_WebServer_NIC1 channel-group 10 mode active ! interface GigabitEthernet2/0/1 description Link_to_WebServer_NIC2 channel-group 10 mode active ``` #### 2. Firewall & Gateway Redundantie (Juniper SRX) Implementeer een **Chassis Cluster** (High Availability cluster). Dit is de meest effectieve methode voor stateful failover. * **Stateful Failover:** Actieve sessies (VPN, databaseverbindingen) blijven behouden bij een failover. * **Gedeelde configuratie:** Configuratie wordt gesynchroniseerd tussen beide nodes. **Configuratie Stappen:** * **Stap 1: Verbind de Control en Fabric Links** Verbind twee interfaces op elke firewall rechtstreeks met elkaar (één voor controleverkeer, één voor data-synchronisatie). * **Stap 2: Configureer het Cluster op Node 0** ``` set chassis cluster cluster-id 1 node 0 reboot set interfaces fab0 fabric-options member-interfaces ge-0/0/0 set interfaces fab1 fabric-options member-interfaces ge-0/0/1 set security policies default-policy permit-all ``` * **Stap 3: Configureer Redundante Interfaces (RETH)** Maak een Redundant Ethernet Interface die over beide firewalls span. De switches verbinden hiernaar via een LAG (zie vorige sectie). ``` set interfaces reth0 redundant-ether-options redundancy-group 1 set interfaces reth0 redundant-ether-options member-interfaces ge-0/0/10 set interfaces reth0 redundant-ether-options member-interfaces ge-7/0/10 set interfaces reth0 unit 0 family inet address 192.168.1.1/24 ``` * **Stap 4: Configureer Redundancy Groups** ``` set chassis cluster redundancy-group 1 node 0 priority 150 set chassis cluster redundancy-group 1 node 1 priority 100 set chassis cluster redundancy-group 1 interface-monitor ge-0/0/10 weight 255 set chassis cluster redundancy-group 1 interface-monitor ge-7/0/10 weight 255 ``` #### 3. Routering & Default Gateway Redundantie Vervang statische routing door een dynamisch routeringsprotocol zoals **OSPF** of **BGP**. OSPF is eenvoudiger voor interne netwerken. * **Waarom?** Als een link uitvalt, berekent OSPF automatisch een nieuwe optimale route zonder downtime. * **Implementatie:** * Configureer OSPF op zowel de Catalyst 9300 stack (die nu de Layer 3 gateway is) als op de Juniper SRX firewalls. * Adverteer de interne netwerken (VLANs) vanaf de switches. * Adverteer een default route (0.0.0.0/0) vanaf de firewalls naar de switches. **Basis OSPF configuratie op Cisco Switch:** ```cisco router ospf 1 router-id 1.1.1.1 network 192.168.0.0 0.0.255.255 area 0 passive-interface default no passive-interface Vlan10 no passive-interface Vlan20 ! Zorg dat de VLAN interfaces (SVIs) een IP-adres hebben interface Vlan10 ip address 192.168.10.1 255.255.255.0 ip ospf 1 area 0 ! interface Vlan20 ip address 192.168.20.1 255.255.255.0 ip ospf 1 area 0 ``` #### 4. Server & Dienst Redundantie * **Webserver:** Plaats servers achter een load balancer (kan een virtuele appliance zoals HAProxy of een fysieke ADC). Configureer health checks om verkeer automatisch weg te sturen van een failed server. * **Database:** Implementeer een database cluster (bijv. PostgreSQL streaming replication, MySQL InnoDB Cluster, MongoDB replica sets) voor automatische failover. * **VPN:** Configureer beide SRX firewalls als VPN endpoints. Gebruik DNS Round Robin of een load balancer om gebruikers over beide instances te verdelen. Bij uitval van de ene, kunnen gebruikers verbinding maken met de andere. ### Samenvatting van de Nieuwe Architectuur 1. **Access Layer:** Twee Catalyst 9300 switches in een **StackWise Virtual** stack. 2. **Distribution/ Core Layer:** Dezelfde stack fungeert als Layer 3 gateway, met **OSPF** voor dynamische routering. 3. **Perimeter:** Twee Juniper SRX firewalls in een actief/standby **Chassis Cluster**. 4. **Connectiviteit:** Alles is dubbel uitgevoerd en verbonden via **Multi-Chassis EtherChannel (MEC)** en **Redundant Ethernet (RETH)** interfaces. 5. **Diensten:** Kritieke diensten zijn geclusterd of achter load balancers geplaatst. Deze architectuur elimineert single points of failure op het gebied van hardware, kabels, stroom en protocollen, wat leidt tot een aanzienlijk verbeterde fouttolerantie en hoge beschikbaarheid voor al uw kritieke diensten.