Natuurlijk! Hier is een overzicht van hoe je een VLAN-beleid kunt ontwerpen dat dynamische netwerksegmentatie mogelijk maakt voor jouw Cisco Catalyst 9300 switches, gebaseerd op gebruikersrollen, tijdschema’s en netwerktoestanden: 1. **Gebruik van 802.1X voor Gebruikersautorisatie** - Implementeer 802.1X authenticatie op je switches om gebruikers te identificeren bij aansluiting. - Configureer een RADIUS-server (bijvoorbeeld Cisco ISE) om de authenticatie en autorisatie te beheren. - Voor elke gebruikersrol (kantoormedewerkers, IT-beheerders, gasten) stel je specifieke toegangsprofielen in. 2. **Definieer VLANs per Gebruikersrol** - Creëer VLANs voor elke rol: - VLAN 10: Kantoormedewerkers - VLAN 20: IT-beheerders - VLAN 30: Gasten - Zorg dat gasten alleen toegang hebben tot internet en geen toegang tot interne resources. 3. **Gebruik van Autorisatieprofielen en Policies in Cisco ISE** - Maak autorisatieprofielen die op basis van gebruikersrollen automatisch VLAN-toewijzingen uitvoeren. - Configureer policies die, afhankelijk van de tijd (bijvoorbeeld 8:00-18:00), de toegang tot bepaalde VLANs of services toestaan of beperken. 4. **Tijdschema’s en Toegangscontrole** - Stel tijdgebaseerde policies in op Cisco ISE of via interne ACLs, zodat: - Kantoormedewerkers en IT-beheerders alleen tussen 8:00 en 18:00 toegang hebben tot hun VLANs. - Buiten deze tijden wordt de toegang beperkt of wordt gebruikers in een ‘guest’ VLAN geplaatst. 5. **Automatisering van VLAN-toewijzingen** - Maak gebruik van de RADIUS-autoriseringsfuncties om VLANs dynamisch toe te wijzen op basis van de authenticatie-informatie en tijdschema’s. - Pas policies aan op de RADIUS-server zodat veranderingen in rol of schema automatisch worden doorgevoerd zonder handmatige configuratie op switches. 6. **Contextuele Toegang en Netwerktoestanden** - Configureer ‘posture assessment’ (bijvoorbeeld via Cisco ISE) om de beveiligingsstatus van apparaten te controleren vóór toegang. - Op basis van de status (bijvoorbeeld up-to-date antivirus) kunnen extra beperkingen worden toegepast of volledige toegang worden verleend. 7. **Monitoring en Aanpassing** - Gebruik Cisco Prime of andere netwerkmonitoring tools om het gebruik te volgen en policies aan te passen op basis van gedrag of netwerkbelasting. - Implementeer automatische alerts voor afwijkingen of pogingen tot ongeautoriseerde toegang. 8. **Beveiliging en Prestatie-optimalisatie** - Gebruik VLANs en 802.1X om segmentatie en isolatie te waarborgen. - Automatiseer VLAN- en portconfiguraties via scripts of programmatische tools (bijvoorbeeld Ansible) om snel te reageren op veranderende omstandigheden. - Zorg voor regelmatige updates en policies die aansluiten bij nieuwe beveiligingsvereisten en bedrijfsbehoeften. --- **Samengevat:** Door 802.1X en Cisco ISE te gebruiken, kun je gebruikers op basis van rollen, tijdschema’s en netwerkstatus dynamisch in VLANs plaatsen. Automatisering gebeurt via RADIUS policies die flexibel kunnen worden aangepast, waardoor je netwerkbeveiliging en prestaties optimaal blijven. Het is belangrijk om voortdurend te monitoren en policies bij te stellen om te anticiperen op veranderingen en nieuwe bedreigingen.

Zeker, ik help u graag een uitgebreid VLAN-beleid te ontwerpen voor uw Cisco Catalyst 9300-switches. Dit beleid zal gebruikmaken van dynamische segmentatie op basis van de door u gespecificeerde criteria. ### Overzicht van het Beleid: Dynamische Segmentatie met 802.1X en Cisco Identity Services Engine (ISE) Het kernprincipe is om niet te vertrouwen op statische VLAN-toewijzingen op poorten, maar deze dynamisch toe te kennen op het moment dat een apparaat verbinding maakt. Dit gebeurt op basis van wie, wat, wanneer en waar de gebruiker is. De Cisco Identity Services Engine (ISE) fungeert als het brein voor deze automatisering. **Vereisten:** * Cisco Catalyst 9300-switches (die dit volledig ondersteunen). * **Cisco ISE (Identity Services Engine):** Dit is een cruciaal onderdeel. ISE evalueert de authenticatie- en autorisatiebeleidsregels en vertelt de switch welk VLAN of welke toegangsrechten moeten worden toegepast. * Een RADIUS-serverinfrastructuur (waar ISE deel van uitmaakt). * Ondersteuning voor 802.1X-authenticatie op de eindpunten (clients). --- ### Stap 1: VLAN- en IP-Adresplanning Eerst definiëren we de logische segmenten. | Gebruikersrol | VLAN-ID | VLAN Naam | IP Subnet | Doel | | :--- | :--- | :--- | :--- | :--- | | IT-Beheerders | 10 | VLAN-IT-Admin | 10.10.10.0/24 | Volledige toegang tot het netwerk voor beheer. | | Kantoormedewerkers | 20 | VLAN-Employee | 10.10.20.0/24 | Standaard toegang tot bedrijfsmiddelen. | | Gastgebruikers | 30 | VLAN-Guest | 10.10.30.0/24 | Alleen toegang tot internet (geen intern verkeer). | | Quarantaine / Toegang Geweigerd | 99 | VLAN-Quarantine | 10.10.99.0/30 | Beperkt VLAN voor niet-conforme apparaten. | --- ### Stap 2: Configuratie op de Cisco Catalyst 9300 Switches De switches moeten worden geconfigureerd om met ISE te communiceren en 802.1X af te dwingen. **1. Globale RADIUS/ISE Configuratie:** ```cisco ! Configureer de ISE servers aaa new-model aaa authentication dot1x default group radius aaa authorization network default group radius aaa accounting dot1x default start-stop group radius ! Definieer RADIUS server(s) - vervang IP's door die van uw ISE nodes radius server ISE-Primary address ipv4 10.10.1.10 auth-port 1812 acct-port 1813 key MijnSterkeRadiusSecret ! Activeer 802.1X globaal dot1x system-auth-control ``` **2. Interface Configuratie (voorbeeld voor een toegangspoort):** De poortconfiguratie is kritiek. We gebruiken "multi-domain" authenticatie voor data- en voice-VLANs, en `authentication open` voor een flexibele gastenworkflow. ```cisco interface GigabitEthernet1/0/1 description Toegangspoort voor gebruikers switchport mode access ! Het VLAN hier is een "fallback" of "onverifieerd" VLAN. Quarantaine is veilig. switchport access vlan 99 ! Belangrijk: Gebruik multi-auth voor scenario's met meerdere apparaten (bv. laptop + telefoon) authentication host-mode multi-auth authentication open authentication order dot1x mab authentication priority dot1x mab authentication port-control auto ! Verwijs naar de RADIUS server voor autorisatie mab dot1x pae authenticator spanning-tree portfast ``` **Uitleg van de interface-commando's:** * `authentication open`: Staat niet-geauthenticeerd verkeer toe, wat essentieel is voor de gastenportal (WebAuth). * `authentication order dot1x mab`: Probeert eerst 802.1X, daarna MAC Authentication Bypass (MAB) voor apparaten die geen 802.1X-supplicant hebben (zoals printers, IoT). * `authentication port-control auto`: Schakelt de 802.1X-proces in voor de poort. * `switchport access vlan 99`: Dit is het *onverifieerd* VLAN. Alle apparaten beginnen hier totdat ISE ze authenticeert en een dynamisch VLAN toewijst. --- ### Stap 3: Beleidsregels in Cisco ISE voor Automatisering Dit is waar de magie gebeurt. ISE bevat beleidsregels die de voorwaarden (`IF`) koppelen aan de autorisatie-resultaten (`THEN`). **1. Beleid voor IT-Beheerders:** * **Voorwaarde:** `User ISE_Internal:IdentityGroup` **Equals** `IT-Beheerders`. * **Resultaat (Autorisatieprofiel):** Reageer naar de switch met `Access-Accept` en includeer de attributen: * `Tunnel-Private-Group-ID = 10` (Dit wijst VLAN 10 toe). * `ACS:CiscoSecure-Defined-ACL = PERMIT-ANY` (Optioneel: een dACL voor extra rechten). **2. Beleid voor Kantoormedewerkers (met Tijdschema):** * **Voorwaarde:** `User ISE_Internal:IdentityGroup` **Equals** `Kantoormedewerkers` **AND** `Current Time` **Is In** `Kantoortijden (08:00-18:00)`. * **Resultaat:** Reageer met `Access-Accept` en: * `Tunnel-Private-Group-ID = 20` (Wijs VLAN 20 toe tijdens kantooruren). * **Voorwaarde (Buiten kantooruren):** `User ISE_Internal:IdentityGroup` **Equals** `Kantoormedewerkers` **AND** `Current Time` **Is In** `Buiten-kantoortijden`. * **Resultaat:** Reageer met `Access-Accept` maar wijs een restrictiever VLAN toe (bijv. VLAN 99 met alleen basisconnectiviteit) of geef `Access-Reject`. **3. Beleid voor Gasten (Contextueel - Alleen Internet):** * **Workflow:** Een gast verbindt, krijgt eerst toegang tot het onverifieerde VLAN (99). Zijn verkeer wordt omgeleid naar de **ISE Gastenportal** (Captive Portal). * **Voorwaarde:** Gebruiker authenticatie via de gastenportal. * **Resultaat:** Reageer met `Access-Accept` en: * `Tunnel-Private-Group-ID = 30` (Wijs VLAN 30 toe). * `ACS:CiscoSecure-Defined-ACL = ACL-GUEST-INTERNET-ONLY` (Een Downloadable ACL die al het verkeer naar interne netwerken blokkeert en alleen internetverkeer toestaat). --- ### Stap 4: Aanpassen aan Veranderende Omstandigheden (Optimalisatie) Dit is de kracht van het systeem. U kunt voorwaarden toevoegen die real-time de VLAN-toewijzing wijzigen. * **Gebruikersrol Wijzigt:** Als een medewerker promoveert naar IT-beheerder, wijzigt u simpelweg zijn groep in Active Directory (gekoppeld aan ISE). Bij zijn volgende login krijgt hij automatisch toegang tot VLAN 10. **Geen switchconfiguratie nodig!** * **Endpoint Compliance (Netwerktoestand):** Integreer ISE met endpoint-beveiligingssoftware (bv. Cisco AMP, AnyConnect Posture). U kunt een beleid maken: * **Voorwaarde:** `User ISE_Internal:IdentityGroup` **Equals** `Kantoormedewerkers` **AND** `Endpoint:PostureStatus` **Does Not Equal** `Compliant`. * **Resultaat:** Wijs een **Quarantaine-VLAN (99)** toe met alleen toegang tot patch-servers. Zodra de endpoint compliant is (bijv. antivirus geüpdatet), wordt de sessie opnieuw geëvalueerd en krijgt de gebruiker opnieuw VLAN 20 toegewezen (**Change of Authorization - CoA**). * **Abnormaal Gedrag (Threat-Centric NAC):** ISE kan integreren met beveiligingsplatforms zoals Stealthwatch. Als Stealthwatch een geïnfecteerd endpoint detecteert, kan het een API-call naar ISE sturen. ISE stuurt vervolgens onmiddellijk een CoA-pakket naar de switch om het apparaat te verplaatsen naar een geïsoleerd VLAN. ### Samenvatting van de Optimalisatie 1. **Beveiliging:** Minimale aanvalsoppervlakte door strikte segmentatie. Niet-conforme of verdachte apparaten worden automatisch geïsoleerd. 2. **Prestaties:** U kunt QoS-beleid (Quality of Service) koppelen aan de autorisatieprofielen, zodat kritieke verkeer (bv. VoIP in een voice-VLAN) altijd prioriteit krijgt. 3. **Beheerbaarheid:** Het beleid wordt centraal beheerd in ISE. Wijzigingen in rollen, tijden of beveiligingseisen vereisen geen aanpassingen op honderden switchpoorten. Door dit beleid te implementeren, transformeert u uw netwerk van een statische infrastructuur naar een dynamische, adaptieve en veilige omgeving die meebeweegt met de behoeften van uw organisatie.