Natuurlijk! Hier is een stapsgewijze gids voor het configureren van VLAN trunking, inter-VLAN routing en beveiliging op jouw Cisco Catalyst 9300 switches en Cisco ISR 4451 router, inclusief best practices voor VLAN hopping preventie en ACL-beveiliging. Stap 1: VLANs en Basis Configuratie Opzetten ------------------------------------------------ 1.1 VLANs aanmaken op de switches ```plaintext conf t vlan 100 name Finance vlan 200 name HR vlan 300 name R&D exit ``` 1.2 Toewijzen van VLANs aan switchpoorten - Voor eindapparaten: ```plaintext interface range GigabitEthernet1/0/1 - 24 switchport mode access switchport access vlan 100 ! Voor Finance ``` - Voor trunkpoorten (verbinding naar router en tussen switches): ```plaintext interface GigabitEthernet1/0/48 switchport mode trunk switchport trunk allowed vlan 100,200,300 ``` Stap 2: Trunkpoorten Configureren ------------------------------------- - Op de switch waar de router op aangesloten is: ```plaintext interface GigabitEthernet1/0/48 switchport mode trunk switchport trunk allowed vlan 100,200,300 ``` - Enable VLAN tagging (dot1q): ```plaintext switchport trunk encapsulation dot1q ``` (LET OP: Bij Cisco Catalyst 9300 is dit meestal de standaard.) Stap 3: Inter-VLAN Routing Configureren op de Router ---------------------------------------------------------- 3.1. Subinterfaces op de router voor elk VLAN ```plaintext interface GigabitEthernet0/0.100 encapsulation dot1Q 100 ip address 192.168.100.1 255.255.255.0 interface GigabitEthernet0/0.200 encapsulation dot1Q 200 ip address 192.168.200.1 255.255.255.0 interface GigabitEthernet0/0.300 encapsulation dot1Q 300 ip address 192.168.300.1 255.255.255.0 ``` 3.2. Enable IP routing ```plaintext ip routing ``` Stap 4: Beveiliging en Best Practices ----------------------------------------- 4.1. VLAN hopping preventie - Gebruik 'vlan 1' minimaliseren of uitschakelen (bij Cisco switches, VLAN 1 is standaard, maar kan gedeactiveerd worden). - Verzeker dat trunkpoorten alleen de noodzakelijke VLANs toestaan: ```plaintext switchport trunk allowed vlan 100,200,300 ``` - Gebruik 'pruning' om ongewenste VLANs op trunken te voorkomen. 4.2. ACLs instellen voor segmentbeveiliging - ACL voor het beperken van verkeer tussen VLANs: ```plaintext ! Bijvoorbeeld, Finance mag geen toegang hebben tot HR ip access-list extended Finance_to_HR permit ip 192.168.100.0 0.0.0.255 any deny ip 192.168.100.0 0.0.0.255 192.168.200.0 0.0.0.255 permit ip any any ``` - Toepassen op de router interface: ```plaintext interface GigabitEthernet0/0.100 ip access-group Finance_to_HR in ``` 4.3. Additional security maatregelen - Voorkom ongewenste toegang via: - Port security op switchpoorten - Disable unused ports - Enable DHCP snooping en ARP inspection Stap 5: Testen en Verifiëren ------------------------------ - Controleer trunk status: ```plaintext show interfaces trunk ``` - Controleer VLAN toewijzingen: ```plaintext show vlan brief ``` - Verifieer router inter-VLAN communicatie: ```plaintext ping 192.168.200.1 (van een apparaat in VLAN 100) ``` Door deze stappen te volgen, zorg je voor een veilige en efficiënte VLAN trunking en inter-VLAN routing, met bescherming tegen VLAN hopping en segmentbeveiliging via ACLs. Heb je verdere vragen of hulp met specifieke configuraties?

Zeker, ik help u graag met het configureren van een veilige en efficiënte VLAN-architectuur. Hieronder vindt u een stapsgewijze handleiding op basis van uw specifieke apparatuur en vereisten. ### Overzicht van de aanpak: 1. **Switch-configuratie:** Aanmaken van VLAN's, toegangspoorten voor eindgebruikers en trunkpoorten naar de router. 2. **Router-configuratie:** Instellen van "Router-on-a-Stick" met subinterfaces voor inter-VLAN routing. 3. **Beveiligingsconfiguratie:** Implementeren van best practices om VLAN hopping te voorkomen en ACL's voor segmentatie. --- ### Stap 1: VLAN- en Switch-configuratie (Cisco Catalyst 9300) Eerst maakt u de VLAN's aan en wijst u de toegangspoorten toe. **a) VLAN's aanmaken:** ```cisco Switch# configure terminal Switch(config)# vlan 100 Switch(config-vlan)# name Finance Switch(config-vlan)# exit Switch(config)# vlan 200 Switch(config-vlan)# name HR Switch(config-vlan)# exit Switch(config)# vlan 300 Switch(config-vlan)# name R-D Switch(config-vlan)# exit ``` **b) Toegangspoorten configureren:** Wijs elke fysieke poort waar een host op aangesloten is toe aan het juiste VLAN. Bijvoorbeeld, voor een host in het Finance-domein (VLAN 100) op poort GigabitEthernet1/0/1: ```cisco Switch(config)# interface GigabitEthernet1/0/1 Switch(config-if)# switchport mode access Switch(config-if)# switchport access vlan 100 Switch(config-if)# spanning-tree portfast ! "portfast" zorgt voor snellere connectie voor eindpunten Switch(config-if)# exit ``` *Herhaal dit voor poorten in VLAN 200 en 300.* **c) Trunkpoort naar de router configureren:** Stel de poort die naar de ISR 4451 router gaat in als trunk. Laten we aannemen dat dit poort GigabitEthernet1/0/24 is. ```cisco Switch(config)# interface GigabitEthernet1/0/24 Switch(config-if)# description Trunk-to-ISR4451-Router Switch(config-if)# switchport mode trunk ! Standie trunkt de poort en onderhandelt encapsulation (dot1q) Switch(config-if)# switchport trunk native vlan 999 ! BELANGRIJK: Wijzig de native VLAN naar een ongebruikt, leeg VLAN Switch(config-if)# switchport trunk allowed vlan 100,200,300 ! Explicitiet alleen de benodigde VLAN's toestaan op de trunk (Best Practice) Switch(config-if)# exit ``` --- ### Stap 2: Inter-VLAN Routing configuratie (Cisco ISR 4451) We gebruiken de "Router-on-a-Stick" methode. De fysieke interface naar de switch wordt opgedeeld in virtuele subinterfaces, elk voor een specifiek VLAN. **a) Fysieke interface uitschakelen en subinterfaces aanmaken:** Stel dat de fysieke interface naar de switch GigabitEthernet0/0/0 is. ```cisco Router# configure terminal Router(config)# interface GigabitEthernet0/0/0 Router(config-if)# description Connection-to-Catalyst-Switch Router(config-if)# no ip address Router(config-if)# duplex auto Router(config-if)# speed auto Router(config-if)# no shutdown Router(config-if)# exit ! Subinterface voor VLAN 100 (Finance) Router(config)# interface GigabitEthernet0/0/0.100 Router(config-subif)# description VLAN-100-Finance Router(config-subif)# encapsulation dot1Q 100 ! Koppelt dit subinterface aan VLAN 100 Router(config-subif)# ip address 192.168.100.1 255.255.255.0 ! Dit IP adres wordt de default gateway voor hosts in VLAN 100 Router(config-subif)# exit ! Subinterface voor VLAN 200 (HR) Router(config)# interface GigabitEthernet0/0/0.200 Router(config-subif)# description VLAN-200-HR Router(config-subif)# encapsulation dot1Q 200 Router(config-subif)# ip address 192.168.200.1 255.255.255.0 Router(config-subif)# exit ! Subinterface voor VLAN 300 (R&D) Router(config)# interface GigabitEthernet0/0/0.300 Router(config-subif)# description VLAN-300-R-D Router(config-subif)# encapsulation dot1Q 300 Router(config-subif)# ip address 192.168.300.1 255.255.255.0 Router(config-subif)# exit ``` **Opmerking:** Zorg ervoor dat de IP-adressen die u kiest (bijv. `192.168.100.0/24`) overeenkomen met uw adresseringsplan. De router is nu de gateway voor alle VLAN's. --- ### Stap 3: Beveiliging configureren (VLAN Hopping Preventie & ACL's) **a) VLAN Hopping Preventie (Reeds geïmplementeerd in Stap 1):** * **Wijzig de Native VLAN:** Door `switchport trunk native vlan 999` te gebruiken, voorkomt u dat untagged frames (die mogelijk gebruikt worden voor aanvallen) per ongeluk in een productie-VLAN terechtkomen. Vergeet niet om VLAN 999 ook daadwerkelijk aan te maken op de switch. * **Expliciet VLANs toestaan op trunks:** Het commando `switchport trunk allowed vlan 100,200,300` beperkt het verkeer strikt tot de benodigde VLAN's. **b) ACL's (Access Control Lists) voor segmentbeveiliging:** Stel ACL's in op de router om te controleren welk verkeer *tussen* de VLAN's is toegestaan. Dit is cruciaal voor uw vereiste van segmentbeveiliging. **Voorbeeld: Finance (VLAN 100) is zeer restrictief.** *We willen dat HR en R&D niet bij Finance kunnen, maar Finance wel bij hen.* ```cisco ! Maak een uitgebreide ACL aan om verkeer van andere VLANs naar Finance te blokkeren. Router(config)# ip access-list extended BLOCK-TO-FINANCE Router(config-ext-nacl)# deny ip 192.168.200.0 0.0.0.255 192.168.100.0 0.0.0.255 ! Blokkeer verkeer van HR (200) naar Finance (100) Router(config-ext-nacl)# deny ip 192.168.300.0 0.0.0.255 192.168.100.0 0.0.0.255 ! Blokkeer verkeer van R&D (300) naar Finance (100) Router(config-ext-nacl)# permit ip any any ! Sta alle andere verkeer toe (bijv. naar internet) Router(config-ext-nacl)# exit ! Pas de ACL toe op het INBOUND verkeer van het Finance subinterface. Router(config)# interface GigabitEthernet0/0/0.100 Router(config-subif)# ip access-group BLOCK-TO-FINANCE in Router(config-subif)# exit ``` **Voorbeeld: HR (VLAN 200) mag wel met R&D (VLAN 300) communiceren, maar niet andersom.** ```cisco ! ACL voor R&D (VLAN 300) om communicatie *vanaf* HR toe te staan, maar niet *naar* HR te initiëren. Router(config)# ip access-list extended R-D-ACL Router(config-ext-nacl)# permit ip 192.168.200.0 0.0.0.255 192.168.300.0 0.0.0.255 ! Sta verkeer *vanaf* HR (200) *naar* R&D (300) toe. Router(config-ext-nacl)# deny ip 192.168.300.0 0.0.0.255 192.168.200.0 0.0.0.255 ! Blokkeer verkeer *vanaf* R&D (300) *naar* HR (200). Router(config-ext-nacl)# permit ip any any Router(config-ext-nacl)# exit Router(config)# interface GigabitEthernet0/0/0.300 Router(config-subif)# ip access-group R-D-ACL in Router(config-subif)# exit ``` --- ### Best Practices Samenvatting 1. **Documentatie:** Gebruik het `description` commando op alle interfaces. 2. **Native VLAN:** Wijzig deze altijd naar een ongebruikt VLAN op alle trunks. 3. **Expliciete VLAN-lijst:** Beperk trunkpoorten tot alleen de benodigde VLAN's met `switchport trunk allowed vlan`. 4. **Beveiligde toegangspoorten:** Gebruik `switchport mode access` voor hostpoorten. Overweeg ook `switchport port-security` om het aantal MAC-adressen per poort te limiteren. 5. **ACL Plaatsing:** Pas ACL's bij voorkeur toe op het subinterface waar het verkeer binnenkomt (`in` richting) voor efficiënte verwerking. 6. **Test grondig:** Na implementatie moet u het beleid testen. Ping vanaf een HR-host naar een Finance-host zou moeten mislukken, maar ping vanaf Finance naar HR zou moeten werken (volgens de voorbeeld-ACL's). Door deze stappen te volgen, heeft u een goed gestructureerd, segmenterend en beveiligd netwerk waarbij communicatie tussen VLAN's volledig gecontroleerd wordt door de router en uw gedefinieerde ACL-beleid.