Zeker, hier is een gedetailleerde aanpak voor het ontwerpen van een VLAN-redundantie- en failoverstrategie die voldoet aan jouw eisen: 1. VLAN-Configuratie - VLAN Toewijzing: Zorg dat je VLAN10 (administratie), VLAN20 (productie) en VLAN30 (gastnetwerk) correct geconfigureerd zijn op alle switches en routers. - Trunking: Gebruik trunk-interfaces tussen switches om meerdere VLANs over één verbinding te laten lopen, bijvoorbeeld via 802.1Q tagging. 2. Redundantie en Failover Protocols - Spanning Tree Protocol (STP) of Rapid Spanning Tree Protocol (RSTP): - Gebruik RSTP (802.1w) voor snellere convergentietijden (onder de 5 seconden). - Stel een hiërarchie in met een root bridge voor elke VLAN om lussen te voorkomen. - Configureer poortkosten en -rollen om de meest efficiënte paden te bepalen. - Redundante Verbindingen: - Zorg voor meerdere fysieke verbindingen tussen switches en routers. - Maak gebruik van link aggregatie (LACP) voor bundeling van links, wat niet alleen bandbreedte verhoogt maar ook redundantie biedt. - Router Redundantie: - Gebruik VRRP (Virtual Router Redundancy Protocol) of HSRP (voor Cisco-omgevingen) op routers die de VLAN-gateways verzorgen. - Configureer een virtueel IP-adres dat automatisch overgaat naar de backup-router bij uitval. - Redundante Switches: - Plaats switches in een stack of gebruik switch clusters waar mogelijk. 3. Configuratievoorbeeld - RSTP instellen: ``` spanning-tree mode rapid-pvst spanning-tree vlan 10,20,30 priority <lage waarde voor primaire switch> ``` - LACP configureren: ``` interface range GigabitEthernet0/1-2 channel-group 1 mode active ``` - VRRP configureren (voorbeeld voor VLAN 10): ``` interface Vlan10 ip address <IP-adres> <subnet> vrrp 10 ip <VRRP IP-adres> priority 110 timer advertise 1 ``` - Redundante verbindingen en VLAN-trunks: - Zorg dat alle VLANs via meerdere fysieke links bereikbaar zijn. 4. Monitoring en Beheer - Gebruik netwerkmonitoringtools (bijvoorbeeld Nagios, Zabbix) om status van switches, links en routerdiensten te bewaken. - Stel alerts in voor uitval of vertragingen die kunnen wijzen op problemen. - Voer regelmatig tests uit van failover scenario's om naleving van de 5-seconden failover tijd te waarborgen. 5. Praktische Aanbevelingen - Documenteer alle VLAN- en redundantieconfiguraties. - Houd configuraties up-to-date en test ze periodiek. - Investeer in high-quality netwerkapparatuur die snelle failover en redundantie ondersteunt. - Overweeg het gebruik van hardware met ingebouwde redundante voeding en fans. - Zorg voor een back-up van configuraties en een duidelijk herstelplan. Door deze strategie te implementeren, zorg je dat je netwerk binnen de gewenste downtime van 30 seconden blijft, met failover binnen 5 seconden en automatische detectie.

Zeker, ik help je bij het ontwerpen van een robuuste VLAN-redundantie- en failoverstrategie. Laten we dit stap voor stap aanpakken, specifiek toegespitst op jouw vereisten. ### Analyse van Jouw Vereisten * **VLAN's:** VLAN10 (Admin), VLAN20 (Productie), VLAN30 (Gast) * **Doel:** Hoge beschikbaarheid en continuïteit. * **Max. downtime:** 30 seconden. * **Failover-eis:** Binnen 5 seconden met automatische detectie. Jouw eis van 5 seconden is ambitieus en sluit het traditionele Spanning Tree Protocol (STP) uit, omdat STP-convergentie vaak 30-50 seconden duurt. We richten ons op Rapid STP (RSTP) of beter. --- ### Stap 1: Het Fysieke Ontwerp voor Redundantie De basis van elke failoverstrategie is een redundant fysiek ontwerp. **Aanbeveling: Core-Distributie-Toegang Model** 1. **Toegangslaag (Access Layer):** Dit zijn de switches waarop je endpoints (servers, PC's) zijn aangesloten. Elke toegangsswitch moet via **twee afzonderlijke kabels** verbonden zijn naar twee verschillende switches in de distributielaag. Dit heet "dual-homing". 2. **Distributielaag (Distribution Layer):** Dit zijn twee krachtige switches die fungeren als het redundante hart van je netwerk. Alle toegangsswitches zijn hierop aangesloten. Deze distributieswitches zijn onderling met meerdere kabels verbonden (link aggregation groep - LAG). 3. **Routede laag (Routing Layer):** De distributieswitches zullen de Layer 3-gateways (de IP-adressen van je VLAN's) hosten. Dit is waar VRRP van pas komt. *(Opmerking: Voor kleinere netwerken kunnen de distributie- en routelagen worden gecombineerd op dezelfde twee switches.)* **Jouw ontwerp zou er zo uit moeten zien:** ``` [Server in VLAN20] |eth1 | [Toegangsswitch]---(Kabel 1)---[Distributie-/Coreswitch 1] <---(Meerdere kabels)---> [Distributie-/Coreswitch 2] | | ---(Kabel 2)---[Distributie-/Coreswitch 2] | | [Gast-AP in VLAN30]--------------------------------------------------------- ``` --- ### Stap 2: Keuze en Configuratie van Redundantieprotocollen We combineren een Layer 2-protocol (voor de switch-links) en een Layer 3-protocol (voor de gateway). #### 1. Layer 2 Redundantie: Rapid Spanning Tree Protocol (RSTP) RSTP voorkomt lussen in je netwerk terwijl het snelle convergentie biedt (meestal binnen 1-5 seconden). * **Doel:** Bepalen van de beste padstructuur en blokkeren van redundante paden, die direct geactiveerd worden bij een uitval. * **Configuratie-aanbevelingen:** * **Root Bridge Verkiezing:** Maak één van je twee distributieswitches de **Root Bridge** voor alle VLAN's. De andere wordt automatisch de **Secondary Root Bridge**. Dit geeft je controle over het optimale verkeerspad. * **Prioriteiten instellen:** Configureer handmatig een lagere RSTP-prioriteit (bijv. 4096) op de switch die je als Root Bridge wilt. Geef de andere een hogere prioriteit (bijv. 8192). * **Edge Ports:** Configureer poorten die naar endpoints leiden als `edge-port` voor snellere convergentie. **Voorbeeldconfiguratie (op Distributie-/Coreswitch 1 - Root Bridge):** ```bash system-view stp mode rstp stp priority 4096 stp root primary interface gigabitethernet 1/0/1 # Poort naar toegangsswitch stp cost 200000 stp edged-port enable ``` #### 2. Layer 3 Redundantie: Virtual Router Redundancy Protocol (VRRP) VRRP creëert een virtuele gateway, zodat endpoints altijd naar één IP-adres wijzen, zelfs als de fysieke gateway uitvalt. * **Doel:** Creëren van een virtuele, redundante default gateway voor elk VLAN. * **Werking:** Eén switch is de **Master** (actief) en handelt al het gatewayverkeer af. De andere is de **Backup** (stand-by) en neemt over bij uitval van de Master. De failover gebeurt typisch binnen **3-5 seconden**. **Configuratie-aanbevelingen voor VLAN20 (Productie):** * **Virtueel IP (VIP):** 192.168.20.1 (Dit is de gateway die alle servers in VLAN20 gebruiken). * **Master Switch (Distributie-1):** Neemt het echte IP-adres 192.168.20.2. * **Backup Switch (Distributie-2):** Neemt het echte IP-adres 192.168.20.3. **Voorbeeldconfiguratie op Distributie-/Coreswitch 1 (Master voor VLAN20):** ```bash system-view interface vlanif 20 ip address 192.168.20.2 255.255.255.0 vrrp vrid 20 virtual-ip 192.168.20.1 vrrp vrid 20 priority 120 # Hogere prioriteit = Master vrrp vrid 20 preempt-mode timer delay 5 # Geeft de master tijd om op te starten ``` **Voorbeeldconfiguratie op Distributie-/Coreswitch 2 (Backup voor VLAN20):** ```bash system-view interface vlanif 20 ip address 192.168.20.3 255.255.255.0 vrrp vrid 20 virtual-ip 192.168.20.1 vrrp vrid 20 priority 100 # Lagere prioriteit = Backup ``` **Herhaal dit proces voor VLAN10 en VLAN30 met hun eigen VRID-nummers (bijv. 10 en 30).** --- ### Stap 3: Praktische Aanbevelingen voor Configuratie en Beveiliging 1. **Link Aggregation (LAG/LACP):** Bundel de meerdere kabels tussen je twee distributieswitches. Dit geeft je niet alleen meer bandbreedte, maar ook redundantie als één kabel faalt. 2. **VLAN's correct trunken:** Zorg ervoor dat alle VLANs (10,20,30) getrunkt zijn over de links tussen toegang- en distributieswitches. Gebruik het `allowed vlan` commando om alleen de benodigde VLAN's door te laten. 3. **Beveiliging:** * **Root Guard:** Configureer Root Guard op poorten van toegangsswitches naar gebruikers toe om te voorkomen dat een ongeautoriseerde switch de Root Bridge wordt. * **BPDU Guard:** Schakel BPDU Guard in op edge-poorten. Als er een switch wordt aangesloten, wordt de poort uitgeschakeld om het netwerk te beschermen. 4. **DHCP Redundantie:** Als je DHCP gebruikt, overweeg dan DHCP-snooping en een redundant DHCP-server setup (bijv. met failover-partners op Linux ISC DHCP of Windows Server). --- ### Stap 4: Monitoring en Onderhoud Om uitval te minimaliseren, is proactieve monitoring cruciaal. 1. **Logging:** Zorg dat je switches logs (via Syslog) naar een centrale server sturen. 2. **SNMP Monitoring:** Gebruik een monitoringssysteem (zoals Zabbix, PRTG, LibreNMS) om via SNMP te controleren op: * **Interface Status:** Of een poort up/down gaat. * **STP Topology Changes:** Een te hoog aantal wijzigingen kan op een probleem duiden. * **VRRP Status:** Controleer of de verwachte switch de Master is voor elk VLAN. 3. **Test je Failover!** Dit is het belangrijkste. Plan een onderhoudsvenster en: * Trek een kabel tussen een toegangsswitch en de distributielaag. Herstelt het verkeer binnen 5 seconden? * Zet de Master-distributieswitch uit. Neemt de Backup-switch de virtuele IP's over? Test dit per VLAN. ### Samenvatting van je Strategie | Component | Technologie | Doel | Geschatte Failover-tijd | | :--- | :--- | :--- | :--- | | **Fysieke Links** | Dual-homed toegangsswitches | Geen single point of failure | N.v.t. | | **Layer 2 (Switching)** | **Rapid STP (RSTP)** | Snel herstel bij link-/switchuitval | **1-5 seconden** | | **Layer 3 (Routing)** | **VRRP** | Redundante default gateway | **3-5 seconden** | Door RSTP en VRRP te combineren, voldoe je ruimschoots aan je eis van maximaal 30 seconden downtime en kom je in de buurt van je streefdoel van 5 seconden. Het sleutelwoord is **testen** om de daadwerkelijke convergentietijden in jouw specifieke omgeving te valideren.