SSnelle correcties op jouw tekst
“Firewall” op CCNA/PT niveau = ACL op de router (meestal).
STP: jij hoeft meestal alleen PortFast op access-poorten te gebruiken. “STP komt terug” betekent vaak: laat zien dat je weet waar je het checkt (show spanning-tree) en dat je PortFast snapt.
Trunk-poort: trunk staat op de poort waar de kabel naar router/switch zit (niet “fa0/1 per se”).
DNS op netwerkdeel: vaak alleen DHCP geeft dns-server mee. Je hoeft zelden een echte DNS-server te bouwen in Packet Tracer.
A) Begrippen + waar gebruik je het (PC / Switch / Router)
PC (eindapparaat)
Gebruik je voor:
DHCP aanzetten (1 klik)
IP checken
Pingen / testen
Commando’s (PC):
ipconfig
ping <ip>
(soms) tracert <ip>
Switch (laag 2)
Gebruik je voor:
VLAN’s maken
PC-poorten in VLAN zetten (access)
Trunk naar router/switch
STP/PortFast (basis)
Controleren welke poort waarheen gaat
Belangrijkste checks:
show vlan brief
show interfaces trunk
show interfaces status
show spanning-tree
Router (laag 3)
Gebruik je voor:
Inter-VLAN routing (subinterfaces + dot1Q)
DHCP (pools)
ACL (firewall)
NAT/PAT (als internet)
Routing (static/OSPF)
SSH beheer
Belangrijkste checks:
show ip interface brief
show ip route
show ip dhcp binding
show access-lists
B) IP-adressen, gateway, DNS — haarfijn simpel
IP-adres (huisnummer)
Elk device krijgt een IP (bijv. 192.168.10.23)
Het zegt: “ik ben dit apparaat”
Subnet mask (straat)
Meestal: 255.255.255.0 (= /24)
Betekent: alle 192.168.10.X zitten in dezelfde “straat”
Gateway (de deur naar buiten)
Dit is het router-IP in dat netwerk, meestal .1
Voor VLAN 10: gateway = 192.168.10.1
Zonder gateway kom je niet naar andere netwerken
DNS (telefoonboek)
DNS vertaalt namen naar IP: google.com → IP
In examens is DNS meestal: DHCP geeft dns-server 8.8.8.8 mee
C) Hoe beslis je “wat voer ik in” (super simpel)
Regel 1: Kies per VLAN één /24 netwerk
VLAN 10 → 192.168.10.0/24
VLAN 30 → 192.168.30.0/24
Regel 2: Router krijgt altijd .1 (gateway)
VLAN 10 gateway = 192.168.10.1
VLAN 30 gateway = 192.168.30.1
Regel 3: DHCP deelt uit vanaf .11 of .51
Exclude: .1 t/m .10 (reserve)
DHCP geeft dan .11+
Waarom zo? Dan krijg je geen IP-conflict en is het makkelijk te onthouden.
D) Commandoblokken + “dit is dit” (copy-paste + verslagzin)
1) VLAN maken (Switch)
Waar: switch
Doel: netwerken scheiden
conf t vlan 10 name USERS vlan 30 name SERVERS end
Verslagzin: VLAN’s zijn aangemaakt om gebruikers en servers logisch te scheiden.
2) PC-poorten in VLAN zetten (Switch access)
Waar: switch, poorten waar PC’s zitten
Doel: PC hoort bij 1 VLAN
conf t interface range fa0/2-3 switchport mode access switchport access vlan 30 spanning-tree portfast end
Verslagzin: Access-poorten zijn toegewezen aan het juiste VLAN zodat eindapparaten in het juiste netwerk zitten.
3) Trunk (Switch uplink)
Waar: switch, poort naar router/switch
Doel: meerdere VLAN’s over 1 kabel
conf t interface fa0/1 switchport mode trunk switchport trunk allowed vlan 10,30 end
Verslagzin: De uplink is als trunk geconfigureerd zodat VLAN 10 en VLAN 30 over één verbinding kunnen worden vervoerd.
4) Inter-VLAN routing (Router-on-a-stick)
Waar: router, subinterfaces
Doel: VLAN’s laten praten via router
conf t interface g0/0 no shutdown interface g0/0.10 encapsulation dot1Q 10 ip address 192.168.10.1 255.255.255.0 interface g0/0.30 encapsulation dot1Q 30 ip address 192.168.30.1 255.255.255.0 end
Wat betekent encapsulation dot1Q 10?
“Deze subinterface hoort bij VLAN 10 (met VLAN-tag 10).”
Verslagzin: Inter-VLAN routing is ingesteld via subinterfaces met 802.1Q tagging zodat verkeer tussen VLAN’s via de router kan lopen.
5) DHCP (Router)
Waar: router
Doel: PC’s automatisch IP + gateway + DNS geven
conf t ip dhcp excluded-address 192.168.10.1 192.168.10.10 ip dhcp pool VLAN10 network 192.168.10.0 255.255.255.0 default-router 192.168.10.1 dns-server 8.8.8.8 end
Verslagzin: DHCP is ingesteld zodat clients automatisch een IP-adres, gateway en DNS ontvangen.
6) ACL (Firewall) — blokkeer VLAN 10 → VLAN 30
Waar: router
Doel: toegang beperken
conf t access-list 100 deny ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255 access-list 100 permit ip any any interface g0/0.30 ip access-group 100 in end
Verslagzin: Met een extended ACL is verkeer van het gebruikersnetwerk naar het servernetwerk geblokkeerd; overig verkeer blijft toegestaan.
7) STP (Spanning Tree) — wat je echt nodig hebt
Waar: switch
Doel: lussen voorkomen (STP) + snelle pc-poorten (PortFast)
Wat doe je op examen meestal?
Zet PortFast op access-poorten (dat deed je al)
Toon dat je STP kunt checken:
show spanning-tree
Verslagzin: Spanning Tree voorkomt loops; op access-poorten is PortFast gebruikt voor snellere link-up bij clients.
(Als ze echt “zet STP mode” vragen:)
conf t spanning-tree mode pvst end
8) DNS (wat jij meestal moet doen)
Meestal: alleen DHCP meegeven:
dns-server 8.8.8.8
Verslagzin: DNS is via DHCP uitgedeeld zodat clients domeinnamen kunnen omzetten naar IP-adressen.
(Als ze een echte DNS-server VM noemen: dan hoort dat bij client-server deel, niet Packet Tracer.)
9) SSH (beheer)
Waar: router (kan ook switch, maar router meestal)
Doel: veilig inloggen
conf t hostname Router1 ip domain-name school.local crypto key generate rsa 1024 username admin privilege 15 secret Welkom123 line vty 0 4 login local transport input ssh end
Verslagzin: SSH is geconfigureerd voor veilig beheer op afstand.
E) Testen (bewijs) — super kort
Switch:
show vlan brief show interfaces trunk show spanning-tree
Router:
show ip interface brief show ip dhcp binding show access-lists show ip route
PC:
ipconfig
ping gateway
ping naar andere VLAN (moet failen als ACL actief is)
Verslagzin: De werking is gecontroleerd met show-commando’s en ping-tests; resultaten bevestigen correcte segmentatie en toegangscontrole.
F) RDP / “extra’s” (realistisch)
RDP is Windows/VM (client-server deel), niet Packet Tracer.
Als RDP voorkomt, is de actie vaak: RDP aan, firewall rule aan, test verbinding, beschrijf.
In Packet Tracer ga je hier niks mee doen.
Mini “wat kan ik nog toevoegen”
Als je echt een paar extra punten wil zonder moeite:
Switch management IP (SVI) + default-gateway (alleen als gevraagd/handig)
SSH op switch (zelfde idee als router)
NAT/PAT alleen als “internet” in topology zit
Als je wil, plak ik dit ook om naar een super nette 1-pagina documentatie (kopjes + invulvelden voor jouw VLAN/IP’s), zodat je alleen waarden hoeft te vervangen.
ja uh drerrie ik moet toch ook een spannng tree opstellen?
Niet per se. In de meeste examens bedoelen ze met “STP” niet dat je een compleet STP-plan moet ontwerpen, maar dat je:
snapt wat STP doet (loops voorkomen)
kunt controleren dat het actief is
PortFast op pc-poorten goed zet
(soms) een root switch aanwijst als er 2+ switches zijn
Als je maar 1 switch hebt of geen redundante links, is “STP opstellen” vaak gewoon: checken + PortFast.
✅ Wat je minimaal moet doen (examen-proof)
1) Check STP
Op elke switch:
show spanning-tree
2) PortFast op access-poorten (PC-poorten)
conf t interface range fa0/2-24 spanning-tree portfast end
(Gebruik alleen de poorten waar pc’s zitten, als je dat weet.)
Verslagzin
Spanning Tree voorkomt loops in het netwerk. Op access-poorten is PortFast gebruikt zodat clients sneller online komen.
⭐ Als je 2 switches hebt (zoals jouw topology): root instellen (makkelijk extra punten)
Kies 1 switch als “hoofd” (meestal degene waar de router aan hangt).
Switch die jij root wil maken (bijv. Switch0)
conf t spanning-tree vlan 10,30 root primary end
Andere switch (bijv. Switch1)
conf t spanning-tree vlan 10,30 root secondary end
Check
show spanning-tree vlan 10 show spanning-tree vlan 30
1️⃣ STP MODE INSTELLEN (op ALLE switches)
Waar: op elke switch
enable conf t spanning-tree mode pvst end
📌 PVST = Per VLAN Spanning Tree (standaard, veilig, verwacht)
2️⃣ ROOT SWITCH INSTELLEN (DIT IS “OPSTELLEN”)
Kies 1 hoofd-switch (meestal waar de router aan zit).
🔹 Op de HOOFD-switch (root)
conf t spanning-tree vlan 10,30 root primary end
🔹 Op de ANDERE switch
conf t spanning-tree vlan 10,30 root secondary end
📌 Dit maakt STP voorspelbaar → examinator blij.
3️⃣ PORTFAST OP PC-POORTEN
Waar: op elke switch, alleen PC-poorten
conf t interface range fa0/2-10 spanning-tree portfast end
📌 Hierdoor:
PC’s komen sneller online
geen onnodige STP-wachttijd
4️⃣ CHECK / BEWIJS
show spanning-tree show spanning-tree vlan 10 show spanning-tree vlan 30
Je wil zien:
“This bridge is the root” op je hoofd-switch
PortFast op access-poorten
✍️ DOCUMENTATIEZIN (MAG JE LETTERLIJK GEBRUIKEN)
Spanning Tree is geconfigureerd om netwerkloops te voorkomen. Eén switch is ingesteld als root bridge en op access-poorten is PortFast toegepast voor snellere clientconnectiviteit.
🔥 FIREWALL (ACL) — COMPLEET & CORRECT
Op CCNA/MBO4-niveau = ACL op de router.
Dit is je firewall.
🎯 Scenario (99% van de examens)
VLAN 20 = USERS
VLAN 30 = SERVERS
Users mogen NIET naar servers
1️⃣ ACL AANMAKEN (EXTENDED)
Waar: router (global config)
enable conf t access-list 100 deny ip 192.168.20.0 0.0.0.255 192.168.30.0 0.0.0.255 access-list 100 permit ip any any end
📌 permit ip any any is VERPLICHT
Anders blokkeer je alles.
2️⃣ ACL TOE PASSEN (DIT IS CRUCIAAL)
Waar: router, bij het DOEL (servers-VLAN)
conf t interface g0/0.30 ip access-group 100 in end
📌 Richting:
in = verkeer dat het server-VLAN binnenkomt
Dat is logisch en correct
3️⃣ CHECK / BEWIJS
show access-lists
Let op:
“hitcnt” loopt op → ACL werkt
4️⃣ TEST (DIT MOET JE DOEN)
Vanaf user-PC (VLAN 20):
ping 192.168.30.10 → FAIL ❌ ping 192.168.20.1 → OK ✅
Vanaf server-PC (VLAN 30):
ping 192.168.20.10 → OK (tenzij anders gevraagd)
✍️ DOCUMENTATIEZIN (MAG JE LETTERLIJK GEBRUIKEN)
Met een extended ACL is verkeer van het gebruikersnetwerk naar het servernetwerk geblokkeerd. De ACL is toegepast op de routerinterface van het server-VLAN en getest met ping-commando’s.
🚨 NOODKNOP (ALS JE JEZELF BLOKKEERT)
conf t interface g0/0.30 no ip access-group 100 in end
🧠 SAMENVATTING (EXAMENLOGICA)
OnderdeelWat je móét doenSTPmode + root + PortFastFirewallextended ACL + toepassenBewijsshow + pingDocumentatie3–4 zinnen