Natuurlijk! Hieronder vind je een stapsgewijze gids voor het configureren van VLAN's op je Cisco Catalyst 9300 switches, gebaseerd op jouw wensen en beveiligingsvereisten. **Stap 1: VLAN's definiëren** Maak de VLAN's aan voor administratie, productie en IT. ```plaintext conf t vlan 10 name Administratie exit vlan 20 name Productie exit vlan 30 name IT exit ``` **Stap 2: VLAN's toewijzen aan poorten** Verdeel je switchpoorten over de juiste VLAN's, afhankelijk van de fysieke verbindingen. Voorbeeld: ```plaintext interface range GigabitEthernet1/0/1 - 10 switchport mode access switchport access vlan 10 exit interface range GigabitEthernet1/0/11 - 20 switchport mode access switchport access vlan 20 exit interface range GigabitEthernet1/0/21 - 24 switchport mode access switchport access vlan 30 exit ``` **Stap 3: Trunk-interfaces configureren (voor meerdere switches of uplinks)** Als je meerdere switches hebt, configureer dan trunk-interfaces om VLAN-verkeer tussen switches door te geven: ```plaintext interface GigabitEthernet1/0/24 switchport mode trunk switchport trunk allowed vlan 10,20,30 exit ``` **Stap 4: Beveiliging en toegang beperken** - Gebruik VLAN ACL's (VACL's) of DHCP-snooping om ongeautoriseerde toegang te voorkomen. - Implementeer toegangslijsten op de router/firewall om de toegang van het gastnetwerk tot bedrijfsservers te beperken. **Stap 5: Gastnetwerk configureren (optioneel)** Voor het gastnetwerk, maak een apart VLAN (bijvoorbeeld VLAN 99): ```plaintext vlan 99 name Gast exit ``` Verbind de gastpoort met VLAN 99 en beperk de toegang tot het bedrijfsnetwerk via ACL's op de router/firewall: ```plaintext access-list 100 permit ip host <gast-gateway> <bedrijfsservers> deny ip any <bedrijfsservers> permit ip any any ``` **Stap 6: Toegang tot bedrijfsservers beperken** Gebruik ACL's op de router of Layer 3 switch om het gastnetwerk geen toegang te geven tot bedrijfsservers, maar wel tot internet. **Samenvatting:** - VLAN 10: Administratie - VLAN 20: Productie - VLAN 30: IT - VLAN 99: Gast (optioneel) Door deze VLAN's te configureren en juiste ACL's toe te passen, segmenter je je netwerk voor betere beveiliging en prestaties. Indien je hulp nodig hebt bij het configureren van ACL's of verdere beveiligingsmaatregelen, vraag gerust!

Zeker, ik help je met het ontwerpen en configureren van VLAN's op je Cisco Catalyst 9300 switches. Hier is een stapsgewijze handleiding in het Nederlands. --- ### **Stap 1: Basis VLAN-ontwerp** Op basis van je vereisten stellen we de volgende VLAN-indeling voor: | VLAN ID | Naam | Doel | Subnet (voorbeeld) | | :------ | :------------ | :------------------------------------------------------------------- | :----------------- | | **10** | **ADMIN** | Beheerderswerkstations, volledige toegang tot beheerinterfaces | 192.168.10.0/24 | | **20** | **PRODUCTIE** | Gebruikers, productie-apparatuur. Beperkte toegang tot servers. | 192.168.20.0/24 | | **30** | **IT** | IT-personeel, servers, gedeelde resources. | 192.168.30.0/24 | | **99** | **NATIVE** | Best practices: wijzig het native VLAN voor beveiliging (optioneel). | - | | **999** | **BLACKHOLE** | Ongebruikte poorten voor beveiliging (optioneel maar aanbevolen). | - | *Opmerking: Je kunt VLAN 30 (IT) ook gebruiken voor je bedrijfsservers, of een apart VLAN (bijv. VLAN 40 SERVERS) aanmaken voor extra segmentatie.* --- ### **Stap 2: Basis VLAN-configuratie op de switches** Log in op je Catalyst 9300 switch via de CLI (configure terminal mode). **1. Maak de VLAN's aan en geef ze een naam:** ```cisco configure terminal vlan 10 name ADMIN vlan 20 name PRODUCTIE vlan 30 name IT vlan 99 name NATIVE vlan 999 name BLACKHOLE exit ``` **2. Wijs access poorten toe aan de juiste VLAN's:** *Stel dat GigabitEthernet1/0/1 een PC is voor de administratie (VLAN 10).* ```cisco configure terminal interface GigabitEthernet1/0/1 description PC-ADMIN switchport mode access switchport access vlan 10 spanning-tree portfast no shutdown exit ``` *Stel dat GigabitEthernet1/0/24 een access point of gastnetwerk is voor productie (VLAN 20).* ```cisco interface GigabitEthernet1/0/24 description GASTEN-WIFI switchport mode access switchport access vlan 20 spanning-tree portfast no shutdown exit ``` **3. Beveilig ongebruikte poorten:** Dit voorkomt dat ongeautoriseerde apparaten zich zomaar kunnen aansluiten. ```cisco interface range GigabitEthernet1/0/15 - 23 switchport mode access switchport access vlan 999 shutdown end ``` --- ### **Stap 3: Configureer de trunk-poorten** Trunk-poorten verbinden switches met elkaar en dragen verkeer voor alle VLAN's. **1. Configureer een trunk (bijv. naar een andere switch of router):** ```cisco configure terminal interface GigabitEthernet1/1/1 description TRUNK-naar-SW2 switchport mode trunk switchport trunk native vlan 99 switchport trunk allowed vlan 10,20,30,99 no shutdown end ``` *Uitleg:* * `switchport mode trunk`: Zet de poort in trunkmodus. * `switchport trunk native vlan 99`: Wijst het native VLAN toe aan 99 (niet het standaard VLAN 1). * `switchport trunk allowed vlan 10,20,30,99`: Staat alleen verkeer toe voor de specifieke VLAN's die je nodig hebt. Dit is een cruciale beveiligingsmaatregel. --- ### **Stap 4: Beveiliging en toegangscontrole (ACL's)** Om te voldoen aan je beveiligingseis ("beperkte toegang tot bedrijfsservers") moet je Access Control Lists (ACL's) gebruiken. **Scenario: Medewerkers in VLAN 20 (PRODUCTIE) mogen alleen bij bepaalde poorten op servers in VLAN 30 (IT), bijvoorbeeld HTTP(s) (80/443) en DNS (53).** **1. Maak een uitgebreide ACL aan:** ```cisco ip access-list extended ACL-VLAN20-to-VLAN30 remark --- Toestaan HTTP/HTTPS naar IT-servers --- permit tcp 192.168.20.0 0.0.0.255 192.168.30.0 0.0.0.255 eq 80 permit tcp 192.168.20.0 0.0.0.255 192.168.30.0 0.0.0.255 eq 443 remark --- Toestaan DNS queries --- permit udp 192.168.20.0 0.0.0.255 192.168.30.0 0.0.0.255 eq 53 remark --- Toestaan ICMP (ping) voor troubleshooting --- permit icmp 192.168.20.0 0.0.0.255 192.168.30.0 0.0.0.255 remark --- Expliciet alles anders weigeren --- deny ip any any log exit ``` *Opmerking: Pas de IP-adressen (`192.168.20.0`, `192.168.30.0`) aan op basis van je daadwerkelijke subnetten.* **2. Pas de ACL toe op het inkomende verkeer van VLAN 20:** ```cisco interface Vlan20 description PRODUCTIE ip address 192.168.20.1 255.255.255.0 ip access-group ACL-VLAN20-to-VLAN30 in end ``` De ACL wordt nu gecontroleerd op al het verkeer dat **VLAN 20 binnenkomt**. Verkeer van PRODUCTIE naar IT wordt alleen toegestaan volgens de regels. **3. (Optioneel) VLAN 10 (ADMIN) volledige toegang geven:** Je kunt een aparte ACL maken voor VLAN 10 die alle toegang toestaat (`permit ip any any`) en deze op dezelfde manier op de VLAN 10 interface toepassen. --- ### **Stap 5: Routing tussen VLAN's (Layer 3 Switch)** Je Catalyst 9300 is een Layer 3 switch en kan zelf de routing tussen de VLAN's afhandelen. Dit heet "Inter-VLAN routing". **1. Ken IP-adressen toe aan de VLAN interfaces (de default gateways voor de clients):** ```cisco configure terminal interface Vlan10 description ADMIN ip address 192.168.10.1 255.255.255.0 ! interface Vlan20 description PRODUCTIE ip address 192.168.20.1 255.255.255.0 ip access-group ACL-VLAN20-to-VLAN30 in ! interface Vlan30 description IT ip address 192.168.30.1 255.255.255.0 ! exit ``` **2. Zorg dat IP routing is ingeschakeld:** ```cisco ip routing ``` Deze simpele opdracht activeert de routeringsfunctionaliteit op de switch. Clients in verschillende VLAN's kunnen nu met elkaar communiceren, volgens de regels van je ACL's. --- ### **Samenvatting en volgende stappen** 1. **Test je configuratie:** Ping vanaf een client in VLAN 20 naar de default gateway (`192.168.20.1`). Test vervolgens toegang tot een server in VLAN 30. De ping zou moeten werken, maar toegang tot andere poorten (bv. RDP poort 3389) moet worden geblokkeerd. 2. **Documenteer alles:** Noteer welke poort naar welk device gaat en welk VLAN is toegewezen. 3. **Beveilig de management interface:** Beperk SSH/HTTPS toegang tot de switch tot alleen de beheervlans (VLAN 10/30). ```cisco line vty 0 15 access-class 10 in exit ip access-list standard 10 permit 192.168.10.0 0.0.0.255 permit 192.168.30.0 0.0.0.255 ``` 4. **Back-up:** Sla je configuratie op. ```cisco write memory copy running-config tftp://[tftp-server-ip]/switch01-config.cfg ``` Met deze configuratie heb je een goed gesegmenteerd, beveiligd en performant netwerk opgezet met je Cisco Catalyst 9300 switches.