Het aantal apparaten op je netwerk groeit rap. Vaak heb je geen idee wat die apparaten allemaal doen. Het is een veilig idee om ze op een apart netwerk ofwel subnet te zetten, met de hulp van een virtueel netwerk oftewel VLAN. Je kunt dan restricties opleggen, maar ook verkeersprioriteiten instellen. We laten zien hoe dit werkt, wat je er voor nodig hebt en ook hoe je het verdere beheer van het netwerk kunt aanpakken.

Zo’n groeiend netwerk met IoT-devices is leuk, maar moet ook beheersbaar blijven. Meestal gebruiken de apparaatjes je normale thuisnetwerk, wat niet zo’n veilig gevoel geeft omdat veel ioT-apparaten de beveiliging niet goed op orde hebben. Geholpen door virtuele netwerken (oftewel virtual LAN’s of VLAN’s) is het prima te scheiden. Een virtueel netwerk is feitelijk een afgezonderd netwerk – ofwel subnet – dat gewoon je bestaande kabels en switches gebruikt. Handig om bijvoorbeeld om al die IoT-apparaatjes te isoleren, zodat ze niet in je hoofdnetwerk kunnen of contact kunnen maken met een obscure server in China, om maar wat te noemen.

01 Wat zijn subnetten?

Een subnet is feitelijk een reeks ip-adressen die bij elkaar hoort. Binnen je lokale netwerk zijn dat privé ip-adressen die niet op internet bestaan (zie kader ‘Bekende privé ip-reeksen en subnetmaskers’). Het eerste deel van elk ip-adres verwijst naar het bijbehorende netwerk, het tweede deel naar een bepaald apparaat ofwel host. Een subnetmasker geeft aan welk deel het netwerk beschrijft. Als jouw router een aparte netwerkpoort heeft met een geïsoleerd gastnetwerk, dan is dat feitelijk ook een apart subnet met een andere ip-reeks. Door met VLAN’s te werken, kun je zelf meerdere subnetten maken binnen hetzelfde netwerk, op voorwaarde dat je een managed switch (beheerde switch) gebruikt die met zulke VLAN’s overweg kan. Elders in deze Computer!Totaal hebben we een aantal bekende modellen voor je getest!

Bekende privé ip-reeksen en subnetmaskers

©PXimport

02 Zo werken VLAN’s

VLAN’s worden uit elkaar gehouden door een unieke ‘tag’ of ‘VLAN-ID’, een waarde van 1 t/m 4094. Zie het als een labeltje dat op het verkeer wordt geplakt. Het is praktisch zo’n VLAN-ID in het netwerkadres te gebruiken, bijvoorbeeld 10.0.10.0/24 voor VLAN 10 en 10.0.20.0/24 voor VLAN 20. Een switch bepaalt op basis van de VLAN-ID naar welke poorten het verkeer moet worden gestuurd. Bij het instellen ervan moet je vooral weten wat het aangesloten apparaat met VLAN’s doet. Als het er niets mee doe, zoals een pc of printer, configureer je de poort als zogenoemde toegangspoort. Handelt het apparaat echter verkeer voor geselecteerde VLAN’s af, zoals bepaalde routers, servers en zakelijke accesspoints, dan configureer je het als trunk-poort. We noemen zulke apparaten ook wel ‘VLAN-aware’.

©PXimport

03 Instellen VLAN’s op de switch

Je voegt VLAN’s op de switch na elkaar toe (per VLAN-ID) en kiest per poort tussen de aanduiding Tagged, Untagged of Not Member. Als een poort niets met een bepaald VLAN te maken heeft, kies je voor Not Member. Voor een toegangspoort kies je Untagged zodat verkeer dat de switch verlaat wordt ontdaan van tags. Voor een trunk-poort kies je Tagged, zodat het apparaat de VLAN-ID meekrijgt (en daar iets mee doet). Per toegangspoort moet je doorgaans ook een zogenoemde PVID (Port VLAN identifier) instellen, zodat inkomend verkeer (dat geen VLAN-ID bevat en daarom ongetagd/untagged wordt genoemd) in het juiste VLAN komt. Omdat een toegangspoort maar ‘lid’ is van één VLAN is het eigenlijk ook af te leiden uit je configuratie. Sommige switches doen het daarom zelfstandig, maar controleer dat wel altijd! Wie goed oplet, zal zien dat je bij de configuratie van de switch óók een PVID kunt instellen voor een trunk-poort. Dat komt omdat je, hoewel je dat in de praktijk beter kunt vermijden, via zo’n trunk namelijk naast getagd verkeer ook maximaal één ongetagd VLAN kunt aanbieden.

04 Default VLAN?

Let er op dat switches als je ze uit de doos haalt vaak standaard een default of native VLAN vrijwel altijd met VLAN-ID 1 als PVID hebben ingesteld. Dat komt een beetje uit de Cisco-wereld. Het gevolg is dat ongetagd inkomend verkeer standaard in VLAN 1 zal worden ingedeeld. Alle poorten zijn verder ingesteld als toegangspoort (Untagged) voor dat VLAN. Zodra je een poort lid maakt van een ander VLAN, door deze op Tagged of Untagged in te stellen voor een bepaald VLAN-ID, kun je de VLAN-ID 1 weer weghalen. Is een poort geen lid meer van een ander VLAN, dan wordt het meestal weer automatisch ingedeeld in VLAN 1. Zulk gedrag verschilt een beetje per switch, daarom is het verstandig deze toewijzing te controleren.

©PXimport

05 Bestaande switches hergebruiken

Kom je netwerkpoortjes tekort? Je kunt je netwerk prima met oude (niet-managed) switches uitbreiden. Weliswaar kunnen die niet met VLAN’s overweg, maar dat hoeft ook niet. Je sluit ze aan op een toegangspoort die, zoals hierboven uitgelegd, verkeer ongetagd aflevert en inkomend verkeer via de PVID-instelling weer in het juiste VLAN indeelt. Het is wel praktisch om op zo’n switch een sticker of label te plakken, zodat je weet voor welke subnet je het gebruikt. Sowieso is het handig als je met VLAN’s werkt, om alle poorten op switches en wellicht ook kabels te labelen. Of je gebruikt bijvoorbeeld een aparte kabelkleur per VLAN.

06 Praktijkvoorbeeld: internet en gastnetwerk

Heb je een router met een aparte netwerkpoort voor gasttoegang? En wil je in bijvoorbeeld een slaapkamer zowel een gewoon als gastnetwerk? Zet dan een managed switch in de meterkast en slaapkamer. Kies zelf een VLAN-ID voor het gewone netwerk (bijvoorbeeld 6) en het gastnetwerk (bijvoorbeeld 8). Sluit in de meterkast bijvoorbeeld poort 1 aan op het gewone netwerk en 2 op het gastnetwerk. Je stelt een poort (bijvoorbeeld poort 8) in als zogenaamde trunk-poort, door deze te taggen voor beide VLAN-ID’s. Via deze poort gaat dan het verkeer voor beide VLAN’s naar de switch in de slaapkamer.

Voer bij de configuratie van de switch eerst VLAN-ID 6 in met poort 1 op Untagged en poort 8 op Tagged. Voer dan het tweede VLAN-ID 8 in met nu poort 2 Untagged en poort 8 op Tagged. Je moet nu doorgaans nog de PVID instellen voor poort 1 (6) en 2 (8). In de slaapkamer kun je met een vergelijkbare configuratie het verkeer weer uitsplitsen. De resterende poorten op de switch kun je natuurlijk naar voorkeur nog indelen op het gewone netwerk of gastnetwerk.

©PXimport

Televisie en internet via aparte kabels?

07 Speciale switch voor multicast?

Tegenwoordig ‘hangt’ ip-televisie steeds vaker in het ‘gewone’ netwerk en krijgen de ontvangers dus een ip-adres in dat netwerk. Aparte kabels zijn dan niet nodig. Het is in elke situatie wel raadzaam om een switch te gebruiken die het zogeheten IGMP Snooping ondersteunt. Dat mechanisme zorgt ervoor dat de switch de televisiestream alleen doorstuurt naar de poorten die daarom hebben gevraagd en niet naar andere poorten, waarmee je overbodig netwerkverkeer voorkomt, maar ook verbindingsproblemen zoals haperend beeld.

©PXimport

08 VLAN’s met router/firewall

In de voorbeelden hierboven, zoals het aparte gastnetwerk, kun je goed zonder, maar in andere situaties ontkom je er niet aan: een router die met VLAN’s overweg kan. Zo’n router regelt het verkeer tussen VLAN’s onderling en richting internet. Veelal aangevuld met firewallregels die bepalen wat wel en niet mag. Het is een echte meerwaarde als je actief met VLAN’s gaat werken. Sommige consumentenrouters kunnen met VLAN’s overweg, maar meestal pas als je er aangepaste firmware op zet zoals DD-WRT of OpenWrt. Je kunt ook zelf een pc (met liefst twee of meer netwerkpoorten) omtoveren tot router/firewall met bijvoorbeeld pfSense of OPNsense. Voor het praktijkvoorbeeld hebben we pfSense gebruikt met meerdere VLAN’s op één netwerkpoort. Om te oefenen kun je de software trouwens ook in een virtuele omgeving installeren (zie kader ‘pfSense en virtualisatie’).

©PXimport

pfSense en virtualisatie

09 Praktijkvoorbeeld: router met VLAN’s

Heb je een router die met VLAN’s overweg kan, zoals pfSense dat we hier gebruiken, dan kun je daarin handig verschillende VLAN’s maken en toewijzen aan een bepaalde netwerkpoort. Als voorbeeld nemen we VLAN-ID 100 voor het hoofdnetwerk, 110 voor IoT om bepaalde apparaten te isoleren en 150 voor gasten. Met als bijbehorend subnet achtereenvolgens 10.0.0.0/24, 10.0.10.0/24 en 10.0.50.0/24. We sluiten de router aan op poort 1 van de managed switch, die poort gaan we straks instellen als de trunk-poort. We gebruiken voor de configuratie als voorbeeld een D-Link DGS-1210-10-switch, maar bij andere modellen werkt het vergelijkbaar. Voor iedere VLAN-ID kiezen we voor de trunk-poort uiteraard Tagged. Voor VLAN-ID 100 kiezen we poorten 2, 3 en 4 als Untagged. Bij de andere poorten kiezen we Not Member. Bij VLAN-ID 110 doen we hetzelfde, maar nu poort 5 Untagged. En bij VLAN-ID 150 ook, maar dan poort 6 Untagged. Ten slotte stellen we nog de PVID in: 100 voor poorten 2, 3 en 4, 110 voor poort 5 en ten slotte 150 voor poort 6. Heb je het eenmaal aangesloten, dan zul je zien dat apparaten als pc’s en printers die je aansluit op één van de toegangspoorten (poort 2 t/m 6) in het bijbehorende subnet komen. En als je in pfSense een dhcp-server hebt ingesteld, krijgen ze ook meteen een correct ip-adres.

©PXimport

10 Werken met VLAN’s en wifi

Als je met VLAN’s een scheiding hebt gemaakt in het verkeer, is de kans groot dat je gebruikers ook via wifi op die gescheiden netwerken wilt toelaten. Dan pas zorg je dat de niet-vertrouwde IoT-apparaten óók via wifi het afgezonderde netwerk gebruiken met alle bijbehorende restricties in de firewall. Het wordt opgelost met verschillende ssid’s. De ssid is de naam van het netwerk die je ziet bij het verbinden. Nemen we weer onze configuratie in pfSense als voorbeeld, dan gaat het om drie aparte wifi-netwerken, die gebruikmaken van respectievelijk VLAN-ID 100, 110 en 150. Helaas is zoiets met de meeste consumentenrouters niet mogelijk. Je kunt dat op meerdere manieren oplossen. Heb je nog enkele afgedankte routers met wifi? Gebruik er dan één voor elke VLAN-ID door hem op een toegangspoort voor dat VLAN aan te sluiten. Zorg verder dat je zo’n router als ip-client (of in zogeheten bridge-modus) hebt ingesteld zodat andere netwerkinstellingen van je router worden overgenomen (zoals een dhcp-server). Het gedraagt zich dan feitelijk gewoon als een accesspoint in het bewuste subnet.

11 Accesspoints voor meerdere VLAN’s

Met name in de zakelijke markt vind je diverse accesspoints die voor meerdere VLAN’s gebruikt kunnen worden, met een aparte ssid per VLAN. Je sluit zo’n accesspoint op een trunk-poort aan waar alle VLAN’s op uitkomen waarvoor het accesspoint verkeer moet gaan afhandelen. Hierna moet je onder andere instellen wat die VLAN’s zijn, welke ssid moet worden getoond en hoe de verbinding moet worden beveiligd. Voor gasten zou je bijvoorbeeld kunnen kiezen om de toegang open te zetten, terwijl je dat voor je hoofdnetwerk goed dichttimmert. Erg populair en goed betaalbaar zijn de Unifi UAP AC-modellen van het merk Ubiquiti. De netwerkapparatuur van dit bedrijf werkt wat anders dan de meeste merken. Je beheert ze via de UniFi Controller-software die je op bijvoorbeeld een server of Raspberry Pi installeert. Via die software kun je naast eventuele switches die je van het merk hebt ook de accesspoints instellen, beheren én monitoren. Die accesspoints kun je overigens ook handig middels power-over-ethernet voeden, direct vanuit je switch of met de (meestal bijgeleverde) PoE-injector.

©PXimport

12 Verkeer monitoren met snmp

Wil je graag het verkeer in je netwerk monitoren, direct vanuit een switch? Aan de eenvoudigste managed switches heb je dan eigenlijk niet zo veel. Maar met uitgebreidere modellen kan dit vaak wel. Verschillende switches bieden zo’n mogelijkheid via de webinterface zelf, dezelfde omgeving waar je de configuratie van de switch afhandelt. Maar die mogelijkheden gaan weer niet zo ver. Meestal kun je alleen zien hoeveel verkeer per poort is verstuurd en ontvangen. Meer informatie krijg je via het snmp-protocol, als je switch dat ondersteunt. Je kunt dan centraal met software zoals het gratis LibreNMS de status uitlezen. De producten van Ubiquiti bieden dergelijke informatie desgewenst ook via snmp, maar eigenlijk heb je aan de Controller-software genoeg, waar je in detail statistieken over je netwerk kunt inzien.

©PXimport

Bij ID.nl zijn we gek op producten waar je niet de hoofdprijs voor betaalt. Een paar keer per week speuren we daarom binnen een bepaald thema naar zulke deals. Vandaag zetten we de schijnwerpers op volautomatische espressomachines: vijf krachtpatsers die barista-level koffie combineren met een vriendelijke prijs.

Krups Sensation Milk EA9129

Op zoek naar een machine die moeiteloos schuimt én razendsnel een espresso levert? De Krups Sensation Milk EA9129 tilt je koffiemoment naar een hoger niveau met zes vooraf ingestelde specialiteiten, variërend van caffè latte tot ristretto. Achter het elegante, zwarte design schuilt de Barista Inside- & Milk Maestro-technologie, die automatisch de optimale verhouding koffie, melk en lucht bepaalt voor een perfect romige schuimkraag, zonder handmatig bijschenken. Zet 's ochtends in kwestie van seconden je favoriete cappuccino en geniet van consistente kwaliteit dankzij de 15 bar pomp en roestvrijstalen maalschijven.

Met een royaal waterreservoir van 1,7 liter en een bonenreservoir van 260 gram hoef je niet constant bij te vullen. De intelligente maler beschikt over meerdere standen, zodat je de maling eenvoudig afstemt op de boon én jouw smaakvoorkeur. Bovendien zorgt de energiezuinige Eco-stand voor een lager verbruik tussen gebruiksmomenten.

Philips Series 3300 LatteGo EP3347/90

Voor de snelle koffieliefhebber is de Philips LatteGo EP3347/90 een ideaal startschot. Dankzij het innovatieve LatteGo-systeem komen melk en lucht eerst apart samen en wordt het zijdezachte schuim pas bij de laatste stap toegevoegd, wat zorgt voor een extra romige textuur. Met één druk op de knop zet je vier klassiekers (espresso, koffie, cappuccino en latte macchiato) en schroef je via het 2,5-inch leddisplay eenvoudig aan sterkte en temperatuur.

De reiniging van het melksysteem is binnen 15 seconden gepiept: houd de onderdelen onder de kraan of zet ze in de vaatwasser en klaar is Kees. Met 12 maalgradaties en drie temperatuurinstellingen experimenteer je moeiteloos met smaken en koffiesterktes. Het bonenreservoir van 275 gram en het melkreservoir van 0,26 liter geven je voldoende speelruimte voor meerdere kopjes achter elkaar.

De’Longhi Magnifica Evo Next ECAM 310.60.GB

Variatie en gemak vormen het hart van de De’Longhi Magnifica Evo Next. Kies uit vier one-touch recepten – van espresso tot café lungo – of pas zelf sterkte, hoeveelheid en temperatuur aan via het intuïtieve display. Het unieke LatteCrema-systeem creëert automatisch een fluweelzachte melkschuimlaag die tot de laatste druppel standhoudt.

Onder de motorkap vind je een krachtige 15 bar pomp en duurzame, verwijderbare zetgroep die je na elk gebruik eenvoudig schoonmaakt met een simpele spoelbeurt. Het waterreservoir telt 1,9 liter, terwijl de stalen maaldiscs 250 gram bonen met acht maalstanden perfect afstellen op jouw smaak. Dankzij het slimme ontkalkingsprogramma blijft je machine in topconditie zonder dat je eraan hoeft te denken.

Melitta Barista Smart T F830-101

Voor de ultieme personalisatie kies je de Melitta Barista Smart T. Sla tot vier eigen koffieprofielen op via het kleurendisplay of de Melitta Companion-app en zet in een handomdraai één van de achttien beschikbare koffiespecialiteiten. Wissel met twee afzonderlijke bonenreservoirs (TwinBean-systeem) eenvoudig tussen jouw favoriete melange en decaf.

Het stalen maalwerk doet zijn werk fluisterstil en nauwkeurig. Met de One Touch-melkfunctie ontstaat perfect opgeklopte melk met een druk op de knop. Het royale waterreservoir van 1,8 liter en de 270 gram bonentank bieden voldoende capaciteit voor gezinsgebruik of een drukke ochtend. Het automatische reinigings- en ontkalkprogramma, gecombineerd met de verwijderbare zetgroep en vaatwasserbestendige melkcontainer, maakt onderhoud bovendien kinderlijk eenvoudig.

Siemens EQ6 Plus s500

Met de Siemens EQ6 Plus S500 TE655203RW zet je met één druk twee kopjes tegelijk: van volle espresso tot romige cappuccino of flat white. Dankzij de dubbele zetgang krijgt je extra sterke koffie nét iets langer de tijd om alle smaken vrij te geven, zonder een bittere nasmaak.

Aanpasbare instellingen geven je volledige controle: bepaal exact hoeveel koffie en melk er in elk kopje gaat en sla twee favoriete combinaties op voor een vaste start van de dag. Het royale bonenreservoir (300 gram) en waterreservoir (1,7 liter) verminderen bijvulmomenten aanzienlijk.

De geïntegreerde maalmolen vergruist de bonen gelijkmatig, waardoor de smaakconsistentie hoog blijft en de onderdelen langer meegaan. Via het kleurenbeeldscherm selecteer je eenvoudig direct uit negen drankopties. Na elke bereiding spoelt het melksysteem zichzelf automatisch door, zodat onderhoud tot een minimum beperkt blijft.

Koffer? Check. Opladers? Check. Paspoort voor de derde keer gecontroleerd? Ook check. Maar voordat je de deur achter je dichttrekt: zorg dat je je huis fris achterlaat. En nee, dat betekent niet dat je een grote schoonmaak hoeft te houden. Maar loop even door elke kamer en doe een paar kleine dingen – dan kun je straks bij thuiskomst dat vakantiegevoel nog wat langer vasthouden. Fijne vakantie!

Lees ook: Zo maak je je koelkast klaar voor vakantie

Woonkamer

Begin met opruimen. Losse spullen op tafel, de afstandsbediening, lege glazen of rondslingerende post: leg ze op hun plek of berg ze tijdelijk op in een lade of mand. Stofzuig nog even goed, vooral onder de bank, waar kruimels zich graag verzamelen. Een schone vloer helpt ook tegen zilvervisjes of ander ongedierte.

Vergeet ook de stofzuiger zelf niet: vervang de zak of leeg de stofcontainer en controleer het filter. Als je een geurstaafje (Een wát? Kijk hier) in je stofzuiger gebruikt, doe er dan meteen een nieuwe in. Zo blijft je stofzuiger ook tijdens je afwezigheid lekker ruiken.

Laat de gordijnen niet helemaal open, maar doe ze ook niet helemaal dicht. Een beetje daglicht voorkomt mufheid en kan tegelijkertijd inbrekers afschrikken, omdat het dan lijkt of er gewoon iemand thuis is.  Zet eventueel een timer op een lamp om 's avonds licht te laten branden. Planten kun je bij elkaar zetten, dat houdt de luchtvochtigheid lokaal iets hoger en voorkomt uitdroging. Vraag iemand ze één keer water te geven als je langer dan een week wegblijft.

Je wilt natuurlijk niet je ramen open laten staan wanneer je er niet bent, maar het is wel belangrijk dat er wat frisse lucht in je huis kan komen. Heb je ventilatieroosters boven de ramen, zet die dan open (dat geldt voor alle kamers) Heb je die niet, zet dan in ieder geval de deuren in huis open, zodat er in ieder geval nog een beetje luchtcirculatie is.

Keuken

Ruim je koelkast op en gooi alles weg wat kan bederven tijdens je afwezigheid. Een bakje met baking soda of een halve citroen helpt tegen nare luchtjes. Check of er geen kruimels meer in de oven of magnetron liggen. Maak ook de prullenbak leeg en doe er een nieuwe zak erin. Je kunt daar wat waspoeder in doen of een paar wattenschijfjes gedrenkt in schoonmaakmiddel om te zorgen dat het fris blijft ruiken.

Laat geen vaat staan – ook geen koffiekopjes of pannen 'voor later'. Draai nog een laatste afwas en laat de deur van de vaatwasser daarna op een kier staan, zo voorkom je schimmel. Haal ook nog even een doekje door de gootsteen en spoel die goed door met heet water.

Slaapkamer

Verschoon je bed net voordat je weggaat. Er is weinig zo fijn als thuiskomen en meteen onder frisse lakens kunnen kruipen. Laat kleding niet los over een stoel hangen, maar leg het in de kast of gooi het in de wasmand. Kijk of je losse rommeltjes op je nachtkastje ergens in een la kwijt kunt of in een mandje. Haal even een stofdoek over de meubels en doe een snelle stofzuigbeurt.

Over wasmand gesproken: gooi daar geen natte spullen meer in. Dat gaat gegarandeerd muf ruiken. Draai eventueel nog een laatste was en hang die uit op een plek waar goed lucht circuleert, of gebruik een droogrek dat je in een goed geventileerde ruimte zet.

Badkamer

Maak je toilet en wastafel goed schoon. Controleer het doucheputje en haal eventueel haren of vuil weg. Stilstaand water in een verstopt putje kan snel muf worden. Heb je een bad? Giet dan wat warm water door de afvoer en verwijder vuil van de randen. Let ook op de randen van de douchedeur of -wand, waar vaak zeepresten blijven zitten. Alles wat je nu weghaalt, kan straks niet gaan stinken of aankoeken.

Giet daarna een scheutje chloor of ander wc-reinigingsmiddel in het toilet en laat dat gewoon staan. Dat voorkomt geurtjes. Zet ook hier zéker het ventilatierooster open (want: vochtige ruimte. Dat helpt zowel tegen schimmel als tegen vieze luchtjes.

Liggen er nog natte handdoeken? Draai dan nog even een laatste was en gooi daar ook meteen de badmat bij. Tot slot kun je in het badkamermeubel kun je een klein geurzakje leggen, bijvoorbeeld met lavendel of eucalyptus. Een natuurlijke luchtverfrisser, zodat je na je vakantie niet meteen begroet wordt door een muffe badkamerlucht.

Tot slot

Controleer nog één keer: zijn alle prullenbakken geleegd, staat er geen vieze vaat meer, zijn alle apparaten uitgeschakeld? Haal stekkers uit het stopcontact van apparaten die je niet nodig hebt – dat is veiliger én scheelt energie. Laat rolluiken of gordijnen gedeeltelijk open, zodat het huis een bewoonde indruk maakt. Zo, jij bent klaar om te gaan. Fijne vakantie!