Ethernet Basics Rev. 02 - Phoenix Contact

Ethernet Basics
Rev. 02

Inhoudsopgave
1 Inleiding 1
1.1 Het OSI model . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
1.2 LAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
2 Ethernet 5
2.1 Inleiding . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
2.2 De fysische implementaties . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
2.2.1 Implementaties op basis van coax . . . . . . . . . . . . . . . . . . . . . . . 7
2.2.2 Implementaties op basis van twisted pair . . . . . . . . . . . . . . . . . . . 7
2.2.3 Implementaties op basis van fiber . . . . . . . . . . . . . . . . . . . . . . . 11
2.2.4 Wireless LAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
2.2.5 Bluetooth . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
2.3 De datalinklaag . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
2.3.1 Inleiding . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
2.3.2 MAC adres . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
2.3.3 De Ethernet dataframe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
2.3.4 CSMA/CD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
2.3.5 CSMA/CA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
2.4 Structuurelementen voor Ethernet . . . . . . . . . . . . . . . . . . . . . . . . . . 21
2.4.1 De hub . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
2.4.2 De switch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
2.5 IEEE802.1Q tagged frame . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
2.6 Power over Ethernet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
2.6.1 PSE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
2.6.2 PD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
2.6.3 Alternatief A . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
2.6.4 Alternatief B . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
2.7 VLAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
2.7.1 Voordelen van VLANs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
2.7.2 Trunking . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
2.7.3 Soorten VLANs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
2.8 Netwerkredundantie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
2.8.1 Inleiding . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
2.8.2 Het Spanning Tree Protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
2.8.3 Het Rapid Spanning Tree Protocol . . . . . . . . . . . . . . . . . . . . . . . 30
2.8.4 Bridge Protocol Data Units (BPDUs) . . . . . . . . . . . . . . . . . . . . . . 31
2.8.5 Multiple Spanning Tree Protocol (MSTP) . . . . . . . . . . . . . . . . . . . . 32
2.8.6 Media Redundancy Protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . 32

Inhoudsopgave
ii
2.8.7 Parallel Redundancy Protocol . . . . . . . . . . . . . . . . . . . . . . . . . . 32
2.9 Belangrijke aanvullingen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
2.9.1 LLDP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
2.9.2 IEEE 802.1x . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
2.9.3 Link aggregation with LACP naar IEEE 802.3ad . . . . . . . . . . . . . . . . 34
2.10Industrial Ethernet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
3 TCP/IP 37
3.1 Inleiding . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
3.2 Het Internet Protocol (IP) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
3.2.1 Inleiding . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
3.2.2 Het IP adres . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
3.2.3 Routers en subnetmasking . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
3.2.4 Subnetten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
3.2.5 Classless Inter-Domain Routing . . . . . . . . . . . . . . . . . . . . . . . . 44
3.2.6 Voorbeelden . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
3.2.7 Het IP pakket . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
3.2.8 IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
3.3 Transmission Control Protocol (TCP) . . . . . . . . . . . . . . . . . . . . . . . . . . 49
3.3.1 Inleiding . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
3.3.2 End-to-end transportdienst . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
3.3.3 Hoe betrouwbaarheid wordt bereikt . . . . . . . . . . . . . . . . . . . . . . 50
3.3.4 Het TCP segment . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
3.4 UDP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
3.5 TCP en UDP poorten binnen de automatisering . . . . . . . . . . . . . . . . . . . . 55
3.6 Communicatie over TCP(UDP)/IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
3.6.1 Client Server model . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
3.6.2 Endpoint en Internetsocket . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
3.6.3 Dynamische Servers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
3.6.4 Ondubbelzinnige communicatie . . . . . . . . . . . . . . . . . . . . . . . . 58
3.6.5 Status van een socket . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
3.6.6 Verbindingsgerichte en verbindingsloze communicatie . . . . . . . . . . . 60
4 Uitbreidingsprotocollen en netwerkapplicaties 61
4.1 ARP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
4.1.1 Inleiding . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
4.1.2 Address Resolution Protocol (ARP) . . . . . . . . . . . . . . . . . . . . . . . 61
4.2 BOOTP en DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
4.2.1 Inleiding . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
4.2.2 BOOTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
4.2.3 DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
4.2.4 DHCP Relay agent - DHCP option 82 . . . . . . . . . . . . . . . . . . . . . . 63
4.3 ICMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
4.3.1 Inleiding . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
4.3.2 Internet Control Message Protocol . . . . . . . . . . . . . . . . . . . . . . . 64
4.3.3 ICMP bericht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
4.3.4 Bereikbaarheid van een host controleren . . . . . . . . . . . . . . . . . . . 66
4.3.5 Een route traceren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66
4.4 IGMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67

Inhoudsopgave
iii
4.4.1 Inleiding . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
4.4.2 IGMP berichten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
4.4.3 IGMP snooping . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
4.4.4 Multicast adressen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
4.5 GMRP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
4.5.1 IEEE 802.1p . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
4.5.2 Werking GMRP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
4.6 DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
4.6.1 Inleiding . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
4.6.2 De structuur van een hostnaam . . . . . . . . . . . . . . . . . . . . . . . . 71
4.6.3 Werking van het DNS protocol . . . . . . . . . . . . . . . . . . . . . . . . . 71
4.7 SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
4.7.1 Inleiding . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
4.7.2 SNMP structuur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74
4.7.3 De MIB en SMI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
4.7.4 SNMP protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
4.8 HTTP en HTTPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
4.8.1 TLS/SSL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
4.8.2 HTTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79
4.8.3 HTTPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79
4.9 Overzicht van enkele andere belangrijke applicaties . . . . . . . . . . . . . . . . 79
4.9.1 FTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79
4.9.2 TFTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79
4.9.3 NTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79
4.9.4 SSH . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80
4.9.5 CLI (Command Line Interface) . . . . . . . . . . . . . . . . . . . . . . . . . 80
5 De switch 81
5.1 Algemeen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
5.2 Industriële switches . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82
5.2.1 Algemeen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82
5.2.2 Technische beschrijving van een industriële switch . . . . . . . . . . . . . . 83
6 De router 88
6.1 Inleiding . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
6.2 Het routen van berichten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
6.3 Soorten routers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90
6.4 Laag 3 switch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90
6.5 Koppeling van een privé netwerk aan het Internet . . . . . . . . . . . . . . . . . . 90
6.6 IP NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92
6.6.1 NAT: IP masquerading . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92
6.6.2 Port Forwarding . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92
6.7 1:1 NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94
7 De firewall 97
7.1 Inleiding . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
7.2 Soorten firewalls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97

Inhoudsopgave
iv
8 VPN 99
8.1 Inleiding . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
8.2 Internet Protocol Security, IPsec . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
8.3 VPN implementaties . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
9 Automatiseringsnetwerken & Security 103
9.1 Bedrijfsnetwerk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
9.2 Automatiseringsnetwerk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104
9.2.1 Automatiseringscel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104
9.2.2 Automatiseringsnetwerk . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104
9.2.3 Koppeling van een automatiseringsnetwerk aan een bedrijfsnetwerk . . . 106
9.3 Noodzaak aan beveiliging . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106
9.3.1 Inleiding . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106
9.3.2 Bewustwording . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106
9.3.3 Doelstelling van security . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
9.3.4 Security in de kantoorwereld versus security in de automatiseringswereld 107
9.3.5 Standaardisatie omtrent security in automatiseringsnetwerken . . . . . . . 109
9.3.6 Een veiligheidsprogramma . . . . . . . . . . . . . . . . . . . . . . . . . . . 110
9.4 Security in de praktijk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111
9.4.1 Laag 1 security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111
9.4.2 Laag 2 security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111
9.4.3 Laag 3 security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112

Hoofdstuk 1
Inleiding
1.1 Het OSI model
De International Organization for Standardization (ISO) heeft in 1979 een model ontwikkeld
om structuur en standaardisatie in de wereld van de datacommunicatie en netwerken aan te
brengen. De ISO is de commissie die het Open Systems Interconnection (OSI) referentiemodel
heeft ontwikkeld. Doelstelling van de ISO was een referentiemodel te ontwerpen waarbij
onderlinge communicatie tussen twee systemen , bijv. twee computers, kon plaatsvinden.
Volgens het ISO/OSI model (ook wel het 7-lagenmodel genoemd) kan een systeem A communiceren
met een systeem B (2 systemen van 2 verschillende leveranciers). Tussen deze systemen
kunnen verschillende netwerken aanwezig zijn, zowel openbare netwerken als privé
netwerken.
Een openbaar netwerk is een netwerk dat voor iedereen toegankelijk is, mits wordt voldaan
aan de op dit netwerk geldende voorwaarden. Een privé-netwerk is veelal bedrijfsgebonden.
Figuur 1.1: Het OSI model

Inleiding 2
Het OSI model bestaat uit zeven functionele lagen. Elke laag bezit een aantal gedefinieerde
functies. Hieronder volgt een beperkte opsomming van de verschillende lagen:
FYSIEKE LAAG (laag 1)
Deze laag verzorgt de koppeling met het medium waarover de informatie tussen twee punten
in het netwerk wordt verstuurd: dit betekent dat deze laag voorziet in de mechanische,
elektrische of optische entiteiten die nodig zijn om de fysieke verbinding tot stand te brengen,
te onderhouden en te verbreken.
DATALINKLAAG (laag 2)
De protocollen van laag 2 geven aan hoe de frames uiteindelijk over het netwerk moeten
verstuurd worden. Laag 2 handhaaft een foutdetectie- en correctiemechanisme om er zeker
van te zijn, dat transmissiefouten worden afgehandeld en dat de gegevens aan de andere
zijde juist ontvangen worden.
NETWERKLAAG (laag 3)
Op dit niveau wordt de adressering, dat wil zeggen het vinden van een route door het netwerk
en het voorkomen van opstoppingen binnen het netwerk geregeld. De netwerklaag zorgt
voor het transport van berichten van het ene knooppunt naar het andere op de weg van de
zender naar de uiteindelijke ontvanger.
TRANSPORTLAAG(laag 4)
De transportlaag is verantwoordelijk voor een betrouwbare overdracht van de gegevens.
De transportlaag zorgt voor een logische verbinding tussen de beide eindsystemen van het
netwerk (een logische punt tot punt verbinding). Hierdoor wordt een foutloos datatransport
gerealiseerd, waarbij de gegevens in de goede volgorde aankomen bij de ontvanger.
SESSIELAAG (laag 5)
Hier wordt voorzien in de controlestructuur van de dialoog (sessie) tussen twee applicaties
over het netwerk, alsmede in het opzetten en verbreken van een dergelijke sessie.
PRESENTATIELAAG (laag 6)
De protocollen in laag 6 bepalen hoe data wordt weergegeven: dit is nodig omdat verschillende
computersystemen getallen en tekens verschillend representeren. Deze laag verzorgt
dus onder andere de vertaling van codes, bv. van ASCII naar EBCDIC.
APPLICATIELAAG (laag 7)
Deze laag levert diensten aan de toepassingen die draaien ten behoeve van de gebruikers
op de systemen van het netwerk.
De afspraak bij het referentiemodel is dat het te versturen bericht van de zender deze zeven
lagen doorloopt. Iedere laag van het model voorziet het bericht van een header, startend
vanaf laag 7 en vervolgens afdalend naar laag 1, zie figuur 1.2. In de header staat aangegeven
welke datacommunicatiefuncties moeten worden uitgevoerd.
Voor het functioneren van de communicatieprotocollen wisselt iedere laag informatie uit met
de corresponderende laag aan de andere kant van de verbinding, los van de applicatiedata
die de uiteindelijke gebruikers van de verbinding naar elkaar toesturen. In het OSI model
voegt elke laag een stukje informatie toe (header) aan de gebruikersdata van de verzendende
kant, die er vervolgens aan de ontvangende kant weer door de corresponderende
laag wordt afgepeld. De datalinklaag plaatst meestal niet alleen extra informatie voor de

Inleiding 3
Figuur 1.2: Protocoloverhead in het OSI model
doorgegeven data maar ook erachter. Dat staartstuk bevat een checkcode ten behoeve van
de detectie van mogelijke transportfouten. Alleen de fysieke laag voegt er niets meer aan
toe.
1.2 LAN
Een lokaal netwerk, Local Area Network (LAN), is ontwikkeld om de communicatie tussen
computers, werkstations en randapparatuur in een gebied met zeer beperkte geografische
omvang te verzorgen.
In een LAN zijn de aangesloten stations autonoom, dat wil zeggen dat er geen primaire en
secundaire stations bestaan. Elk station kan een verbinding tot stand brengen, onderhouden
en afbreken met een ander station. De vier onderste lagen van het OSI model vragen voor
een LAN een iets andere benadering ten opzichte van publieke netwerken.
De commissie 802 van het Institute for Electrical and Electronic Engineers heeft voor LAN’s
een aantal standaards vastgelegd.
Figuur 1.3: Situering LAN binnen het OSI model

Inleiding 4
Figuur 1.3 toont de invulling van de lagen 1 en 2 in het OSI model door de IEEE802 standaard.
Voor het algemene concept voor LAN’s kan de standaard IEEE802.1 worden geraadpleegd.
Binnen de IEEE802 commissie zijn momenteel volgende werkgroepen aktief:
• IEEE802.1 Bridging (networking) and Network Management
• IEEE802.2 Logical Link Control
• IEEE802.3 CSMA/CD (Ethernet)
• IEEE802.5 Token Ring
• IEEE802.11 Wireless LAN & Mesh (Wi-Fi certification)
• IEEE802.15 Wireless PAN
– IEEE802.15.1 (Bluetooth certification)
– IEEE802.15.4 (ZigBee certification)
• IEEE802.16 Broadband Wireless Access (WiMAX certification)
• IEEE802.16e (Mobile) Broadband Wireless Access
• IEEE802.16.1 Local Multipoint Distribution Service
• IEEE802.17 Resilient packet ring
• IEEE802.18 Radio Regulatory TAG
• IEEE802.19 Coexistence TAG
• IEEE802.20 Mobile Broadband Wireless Access
• IEEE802.21 Media Independent Handoff
• IEEE802.22 Wireless Regional Area Network

Hoofdstuk 2
Ethernet
2.1 Inleiding
Ethernet is de basis van LAN netwerken. De huidige LAN markt kenmerkt zich door een tot
nog toe ongekende mate van standaardisatie op Ethernet. Door zijn enorm marktaandeel
verbant Ethernet, ondanks enkele nadelen, alle alternatieve technologieën naar de niche.
Een kort historisch overzicht:
• 1980: Digital Equipment Corporation, Intel en Xerox zorgen voor de release van de
eerste Ethernet specificatie, version 1.0, onder de naam Ethernet Blue Book of DIX
standaard. Het definieert Thick Ethernet bij 10Mbps CSMA/CD. De eerste Ethernet controllers
gebaseerd op de DIX standaard waren beschikbaar vanaf 1982. De tweede en
finale versie van de DIX standaard, versie 2.0, werd gereleased in november 1982:
Ethernet II.
• 1983: The Institute of Electrical and Electronic Engineers (IEEE) brengt de eerste IEEE
standaard voor Ethernettechnologie. Het werd ontwikkeld door de 802.3 groep van de
IEEE802 commissie en dit onder de naam IEEE802.3 Carrier Sense Multiple Acces with
Collision Detection Acces Method and Physical Layer Specifications. IEEE herwerkte
sommige delen van de DIX-standaard vooral wat betreft de definiëring van de framebepaling.
• 1985: IEEE802.3a; definiëring van thin Ethernet, cheapernet of 10Base2
• 1987: IEEE802.3d; Fiber Optic Inter Repeater Link (FOIRL) Gebruik van twee fiber optic
kabels om de afstand tussen 10 Mbps repeaters te verlengen tot 1000m.
• 1987: IEEE802.3e; 1Mbps over twisted pair
• 1990: IEEE802.3i; release van de populaire 10Base-T; 10Mbps over UTP categorie 3
• 1993: IEEE802.3j; 10Base-F: afstanden groter dan 2 km over fiber optic
• 1995: IEEE802.3u; 100Base-T en 100Base-F
• 1997: IEEE802.3x: full-duplex Ethernet
• 1997: IEEE802.3y; 100Base-T2

Ethernet 6
• 1998: IEEE802.3z; 1000Base-X standaard; algemeen bekend onder de naam Gigabit
Ethernet
• 1999: IEEE802.3ab; Gigabit Ethernet over twisted pair
• 1999: IEEE802.3ac; 802.1Q: definiëring van de Q-tag met VLAN en prioriteitsinformatie.
• 2003: IEEE802.3af; Power over Ethernet
• 2006: IEEE802.3an; 10GBase-T
• 2006: IEEE802.3aq; 10GBase-LRM, Ethernet over multimode fiber
Ethernet is alleen een specificatie van lagen 1 en 2 in het OSI-model. Het is geen volledig
netwerkprotocol maar een subnet waarop andere protocollen kunnen werken zoals bijv. de
TCP/IP suite.
De belangrijkste functies van ETHERNET zijn:
• Invulling van de fysische laag
– het verzenden en ontvangen van seriële bitstromen over het medium.
– het detecteren van botsingen (collisions).
• Invulling van de datalinklaag
– MAC sublayer:
∗ toegangsmechanisme tot het netwerk (CSMA/CD).
∗ opbouw van de dataframes.
– LLC sublayer:
∗ databetrouwbaarheid.
∗ voorzien van datakanalen voor bovenliggende applicaties.
2.2 De fysische implementaties
De belangrijkste implementaties door de jaren heen zijn:
• Thick Ethernet (10Base5)
• Thin Ethernet (10Base2)
• Broadband Ethernet (10Broad36)
• Ethernet over twisted pair (10Base-T)
• Ethernet over Fiber (10Base-F)
• Fast Ethernet (100Base-T / 100Base-F)
• Gigabit Ethernet (1000Base-T)
• Wireless Ethernet

Ethernet 7
2.2.1 Implementaties op basis van coax
Het oorspronkelijke Ethernet was ontworpen rond het concept van een bustopologie. De
eerste implementaties van Ethernet waren gebaseerd op een dikke gele coaxkabel, thick
Ethernet ook 10Base5 genaamd.
Kenmerken van het oorspronkelijke Ethernet:
• 10Mbps
• Baseband (basisband transmissie)
• max. 5 x 100 = 500 meter
• max. 100 transceivers per segment
Thick Ethernet coaxiale kabels hebben een markering iedere 2.5m om een goede plaatsing
van de 10Base5 transceivers (of MAU’s) te verzekeren. Deze transceivers worden gebruikt
om stations aan het netwerk te koppelen. De transceivers mogen iedere 2.5m geplaatst worden,
dit voorkomt reflecties van de signalen, wat zorgt voor een slechte transmissiekwaliteit.
Deze vorm van implementatie is voorbijgestreefd. Al snel werd de stugge dikke gele coax
vervangen door de zwarte soepeler coax wat leidde tot de implementatie van thin Ethernet,
10Base2. De aansluiting van de verschillende stations wordt gerealiseerd door T-vormige
BNC aansluitstukjes waarbij een maximale segmentlengte van ongeveer 200 meter kan toegepast
worden.
Belangrijk bekabelingsdetail dat in veel bustechnologieën vereist is: de afsluitweerstand (terminator)
- een klein, goedkoop apparaatje dat op alle uiteinden van de coax-kabels die een
Ethernet vormen, gemonteerd moet worden. Een afsluitweerstand bestaat uit een weerstand
die de centrale ader van de kabel met de afscherming verbindt: als een elektrisch signaal de
afsluitweerstand bereikt, wordt het weggegooid. Voor de correcte werking van een netwerk
is de afsluitweerstand onontbeerlijk omdat het uiteinde van een niet-afgesloten kabel elektrische
signalen reflecteert zoals een spiegel licht terugkaatst. Als een station probeert een
signaal over een niet-afgesloten kabel te versturen, wordt dit signaal door het kabeleinde
teruggekaatst. Wanneer de reflectie het zendende station bereikt, treedt interferentie op.
2.2.2 Implementaties op basis van twisted pair
Het grote probleem bij coax is dat enkel half duplex communicatie kan toegepast worden.
Ook de toegepaste busstructuur is niet ideaal indien bepaalde problemen optreden. Om
de bustopologie te doorbreken is Ethernet overgestapt op een topologie waar ook twisted
pair kan gebruikt worden: alle stations zijn verbonden met één of meerdere centrale hubs.
Op deze manier kan een stertopologie uitgewerkt worden. Het netwerk is op deze manier
gemakkelijker uit te breiden, te controleren en is het eenvoudiger om fouten op te sporen.
De maximale segmentlengte tussen een deelnemer en een hub is 100 meter.
De varianten op basis van twisted pair zijn geëvolueerd van 10Base-T (10Mbps) over 100Base-
T (100Mbps) tot 1000Base-T (1000Mbps).

Ethernet 8
Figuur 2.1: De MAU voor 10/100Base-T
De MAU, ontwikkeld voor twisted pair, is voorzien van 4 datapinnen: 2 voor te zenden, 2 voor
te ontvangen. Dit is de basis voor full duplex Ethernet. In principe is enkel punt tot punt
communicatie mogelijk. Vandaar dat ieder host rechtstreeks moet verbonden worden met
een structuurelement: een hub of een switch.
Fast Ethernet
De UTP kabel, bv. CAT5 (Category 5) UTP (Unshielded Twisted Pair), ondersteunt snelheden
tot 100Mbps. De kabel bestaat uit 8 draden, geordend in 4 paar. De 4 paren zijn herkenbaar
doordat er steeds 1 volledig gekleurd is en het andere met witte onderbrekingen in dezelfde
kleur. Van de 4 paren worden er in 10/100Base-T slechts 2 gebruikt (paar 2: oranje/wit en
oranje en paar 3: groen/wit en groen).
De IEEE specificatie voor Ethernet 10/100Base-T vereist dat het ene gebruikte paar aan pin
1 en pin 2 van de connector wordt aangesloten terwijl het tweede paar aan pin 3 en pin 6
wordt aangesloten. De andere twee niet gebruikte paren zullen aangesloten worden op pin
4 en 5 en op pin 7 en 8.
Tabel 2.1: Pinconfiguratie voor Fast Ethernet
Pin Kleur Functie
1 groen met wit +TD
2 groen -TD
3 oranje met wit +RD
4 blauw niet gebruikt
5 blauw met wit niet gebruikt
6 oranje -RD
7 bruin met wit niet gebruikt
8 bruin niet gebruikt
Tabel 2.1 toont de pinconfiguratie voor 10/100Base-T. TD staat voor Transmitted Data, RD
staat voor Received Data. Het plus- en minteken geven aan dat het signaal gespiegeld verstuurd
wordt langs twee datalijnen, zie ook figuur 2.2.

Ethernet 9
Figuur 2.2: Transmissietechnolgoie voor 10/100Base-T
De straight-through kabel, de rechtdoor kabel ook wel de patchkabel genoemd, is de kabel
die we bekomen als we langs beide zijden van de kabel paar 2 met pin 1 en pin 2 verbinden,
terwijl paar 3 met pin 3 en pin 6 verbonden wordt. Deze kabel kan gebruikt worden voor
verbindingen tussen het patchpanel en de hub/switch, de PC en de hub/switch of de PC en
de muur. Algemeen wordt deze kabel gebruikt voor de verbinding van een structuurelement
en een eindelement.
Een cross-over kabel is nodig om de PC-PC verbindingen tot stand te brengen (verbinding
van twee eindelementen) en om verbindingen tussen hub/switch en een andere hub/switch
te bekomen (verbinding van twee structuur elementen). Om een cross-over kabel te maken
moeten we de gebruikte paren omwisselen. Langs één zijde moet paar 2 met pin 3 en pin 6
verbonden worden terwijl paar 3 met pin 1 en pin 2 moet verbonden worden.
Figuur 2.3: Twisted pair bekabeling, 10/100Base-T
Huidige Ethernetpoorten ondersteunen autocrossing. Hierdoor wordt automatisch gedetecteerd
welke kabel er gebruikt wordt en zal indien nodig de crossing intern gecorrigeerd worden.
Als uitbreiding op de 10Base-T heeft de IEEE Fast Ethernet, 100Base-T gedefinieerd.

Ethernet 10
Fast Ethernet wordt gekenmerkt door:
• Datatransmissie op een snelheid van 100Mbps
• Full Duplex communicatie
• Switched Ethernet
In Fast Ethernet is er een mechanisme voorzien voor autonegotiation: dit maakt het mogelijk
Ethernet interfaces te bouwen welke automatisch omschakelen tussen 10Mbps en 100Mbps.
Bij de 10Base-T standaard wordt iedere databit gecodeerd in één fysische bit. M.a.w. voor
een groep van acht databits worden acht signalen gegenereerd op de kabel. De 10Mbps
datarate betekent een kloksnelheid van 10MHz. Bij iedere klokpuls wordt één enkele bit
verstuurd.
100Base-T gebruikt het zogenaamde 4B/5B schema waarbij elke groep van vier bits gecodeerd
wordt in een 5 bit signaal. Eén enkele bit wordt dus niet exact vertaald in één enkel
signaal op de kabel.
Datastroom: 0111010000100000
4 bitpatroon: 0111 0100 0010 0000
5 bitcode: 01111 01010 10100 11110
De toegepaste kloksnelheid is 125MHz (5/4 x 100). Cat5 kabels zijn gecertificeerd voor een
transmissiesnelheid tot 125 MHz.
Gigabit Ethernet
Gigabit Ethernet streeft een datarate van 1000Mbps na. Indien hiervoor bv. de CAT5 Ethernet
kabels moeten gebruikt worden is er een probleem gezien deze enkel een kloksnelheid tot
125MHz ondersteunen. Om dit te realiseren moet de technologie aangepast worden.
Vooreerst codeert 1000Base-T twee bits per kloksignaal (00, 01, 10 en 11) en gebruikt hiervoor
vier spanningsniveaus.
Verder gebruikt 1000Base-T alle vier de dataparen van een Ethernetkabel. De vier dataparen
worden hierbij bidirectioneel toegepast. Langs alle vier de dataparen wordt data verzonden
of wordt data ontvangen.
Gigabit Ethernet gebruikt dus nog steeds de 100Base-T/Cat 5 kloksnelheid van 125MHz. Gezien
bij iedere klokpuls 2 bits verwerkt worden en dit langs vier dataparen wordt een datarate
van 1000Mbps bereikt. Deze modulatietechnologie wordt 4D-PAM5 genoemd en gebruikt actueel
vijf verschillende spanningsniveaus. Het vijfde spanningsniveau wordt gebruikt voor
het errormechanisme. Tabel2.2 toont de Gigabit Ethernet pinconfiguratie. BI staat voor bidirectioneel
terwijl DA, DB, DC en DD staan voor data A, data B, data C en data D.

Ethernet 11
Tabel 2.2: Pinconfiguratie voor Gigabit Ethernet
Pin Kleur Functie
1 groen met wit +BI_DA
2 groen -BI_DA
3 oranje met wit +BI_DB
4 blauw -BI_DB
5 blauw met wit +BI_DC
6 oranje -BI_DC
7 bruin met wit +BI_DD
8 bruin -BI_DD
2.2.3 Implementaties op basis van fiber
Om langere segmentafstanden mogelijk te maken werd de glasvezelkabel geïntegreerd als
mogelijke interface. De eerste glasvezelvarianten staan bekend onder de naam 10Base-F en
100Base-F. Er worden telkens gescheiden fibers gebruikt voor het verzenden van data en het
ontvangen van data.
Gigabit Ethernet over fiber is ontwikkeld voor de full-duplex mode bij een datarate van
1000Mbps. Er zijn twee verschillende varianten voor Gigabit Ethernet: 1000Base-SX en
1000Base-LX.
1000Base-SX gebruikt lichtpulsen met korte golflengte over multimode fiber. 1000Base-LX
gebruikt lichtpulsen met lange golflengte over multimode of single-mode fiber.
Recentelijk is er ook 10Gigabit Ethernet over fiber met verschillende varianten.
2.2.4 Wireless LAN
IEEE802.11
Verschillende standaarden voor wireless LAN zijn gedefinieerd door de IEEE in hun beschrijving
IEEE802.11. De radioverbindingen van een Wireless LAN vinden plaats in de 2,4 GHz
frequentieband, de zogenaamde ISM-band (Industrial, Scientific and Medical) of in de 5 GHz
band. Hiervoor zijn geen licenties nodig. Een Wireless LAN gebruikt de zogenaamde spread
spectrum technologie. Deze technologie is specifiek bedoeld voor storingsgevoelige transmissiekanalen.
Dit is belangrijk omdat deze frequentiebanden (vooral de 2,4 GHz) ook door
veel andere apparatuur worden gebruikt waaronder bijv. Bluetooth.
Een draadloos netwerk is over het algemeen een stuk minder snel dan een vast bedraad
netwerk. Een groot voordeel is de flexibiliteit.
Wat de fysische implementatie betreft voorziet de IEEE802.11 de infrastructuurconfiguratie
of de Ad Hoc configuratie.

Ethernet 12
Figuur 2.4: Fysische implementatie van WLAN
Infrastructuurconfiguratie is de configuratie waarbij gebruik gemaakt wordt van een wireless
access-point om een draadloos LAN te verbinden met een bekabeld LAN. Het wireless
access-point fungeert als centraal punt voor het routeren van al het draadloze dataverkeer.
Draadloos werkende computers die worden opgenomen in een infrastructuurmodus vormen
een groep die een Basic Service Set (BSS) wordt genoemd. Op een bepaald ogenblik kunnen
maximaal 64 individuele computers in een BSS worden opgenomen. Dit komt doordat de
capaciteit van het wireless access-point beperkt is tot 64 clients. Het hele draadloze netwerk
heeft een unieke SSID (Service Set Identifier), en wordt ook wel gewoon een netwerknaam
genoemd. Deze naam slaat enkel op het draadloze netwerk.
Ad hoc of peer-to-peer heeft betrekking op een draadloze configuratie waarin elke deelnemer
rechtstreeks met de andere communiceert. Een echte organisatie van het netwerk is hier dus
niet mogelijk. Een ad hoc draadloos LAN bestaat uit een groep toestellen, elkeen uitgerust
met een draadloze adapter, die via radiosignalen rechtstreeks met elkaar zijn verbonden en
zo een onafhankelijk draadloos LAN vormen.
WLAN standaarden
Binnen de IEEE802.11 zijn verschillende standaarden gedefinieerd. Deze standaarden gebruiken
verschillende modulatietechnologieën om zo tot verbeterde transmissiesnelheden
te komen. Tabel 2.3 toont een overzicht van de verschillende standaarden.
Tabel 2.3: WLAN standaarden binnen de IEEE802.11
Standaard Frequentieband Datatransmissie
IEEE802.11b 2.4GHz 11Mbps
IEEE802.11g 2.4GHz 54Mbps
IEEE802.11a 5GHz 54Mbps
IEEE802.11h 5GHz 54Mbps
IEEE802.11n 5GHz en/of 2.4GHz 600Mbps

Ethernet 13
IEEE802.11b/g
IEEE802.11b/g maakt gebruik van het 72 MHz breed gedeelte van de 2.4 GHz band. Onder
de regels van de FCC worden hierin 11 kanalen van 22MHz breed gedefinieerd. Theoretisch
zou dit betekenen dat de bandbreedte voor deze 11 kanalen 242 Mbps (11x22Mbps) zou
bedragen. In de praktijk moet dit zeer sterk genuanceerd worden aangezien deze kanalen
elkaar grotendeels overlappen. Figuur 2.5 toont dat er slechts drie niet overlappende kanalen
zijn: kanaal 1, kanaal 6 en kanaal 11.
Figuur 2.5: De 2.4GHz band voor WLAN
Voor Europa definieert de ETSI een ietwat ruimere frequentieband met daarin 13 kanalen van
22MHz breed. Daardoor kunnen we in Europa in principe 4 nauwelijks overlappende kanalen
gebruiken, zijnde kanaal 1, 5, 9 en 13.
De IEEE802.11b ondersteunt een maximale snelheid tot 11Mbps. De IEEE802.11g ondersteunt
een maximale snelheid tot 54Mbps. Bij een slechte verbinding of grote afstand tot het
Access Point wordt de snelheid dynamisch teruggeschakeld.
IEEE802.11a/h
IEEE802.11a maakt gebruik van de volledige 5GHz band. Door het toepassen van OFDM
(Orthogonal Frequency Division Multiplexing) worden met de IEEE802.11a maximale (theoretische)
snelheden tot 54Mbps bereikt. Figuur 2.6 toont de verschillende kanalen binnen de
5GHz band. Voor Europa betekent dit dat er over de twee laagste banden van de 5GHZ UNII
band 8 niet-overlappende kanalen van 20MHz breed te gebruiken zijn.

Ethernet 14
Figuur 2.6: De 2.4GHz band voor WLAN
Het gebruik van de 5GHz band in Europa kent heel wat beperkingen t.o.v. de VS. Daarom
werd de IEEE802.11a aangepast tot de IEEE802.11h. Twee belangrijke protocollen werden
toegevoegd om uiteindelijk te voldoen aan de Europese regelgeving:
• DCS (Dynamic Channel Selection):het AP gaat automatisch op zoek naar een ander kanaal
indien blijkt dat het kanaal in gebruik genomen wordt door een andere applicatie.
• TPC (Transmit Power Control): er wordt niet meer vermogen uitgestuurd dan nodig,
als twee deelnemers elkaar zien, dan zal het AP het vermogen aanpassen naar het
benodigde niveau
IEEE802.11n
Deze recente standaard maakt gebruik van MIMO (multiple input - multiple output), een
techniek om met behulp van meerdere ontvangst- en zendantennes, data draadloos over
te dragen waarbij een transmissiesnelheid van maximaal 600Mbps bekomen wordt indien 4
kanalen van elk 40MHz gebruikt worden.
2.2.5 Bluetooth
De basistechnologie (twee onderste lagen van het OSI model) is gestandaardiseerd in de
IEEE802.15.1. Aanvullend definieert de Bluetooth SIG (Special Interest Group) verschillende
applicatieprofielen voor ondermeer seriële communicatie en overdracht van Ethernet dataframes.
Bluetooth maakt gebruik van de 2,4 GHz licentievrije ISM band. In tegenstelling tot WLAN
wordt de te verzenden data niet gespreid over een bredere frequentieband maar wordt er
FHSS (Frequency Hopping Spread Spectrum) toegepast. Hierbij wordt de 2,4 GHz band opgedeeld
in 79 kanalen van 1 MHz. Figuur 2.7 toont de werking van FHSS. Er worden 1600 hops
per seconde uitgevoerd. Ieder dataframe wordt telkens op een andere frequentie verstuurd.
Zo kunnen verschillende logische kanalen naast elkaar actief zijn.

Ethernet 15
Figuur 2.7: FHHS technologie
Een groot voordeel voor het gebruik van Bluetooth in de industrie is de perfecte coexcistentie
met WLAN. Indien er interferentie is op een Bluetooth frequentie omdat een WLAN kanaal
op dezelfde frequentie actief is kan Bluetooth deze frequentie(’s) vermijden. Omdat dit een
veelvoorkomend fenomeen is heeft Bluetooth een automatisch coexistentie mechanimse geïntegreerd:
Adaptive Frequyency Hopping (AFH).
Dit mechnaisme maakt het mogelijk dat Bluetooth bepaalde ’slechte’ frequenties tijdelijk uit
de hopping lijst schrapt. Figuur 2.8 toont hoe er voldoende ruimte is bij een volzette 2,4GHz
band waar drie gescheiden WLAN kanalen actief zijn. Het WLAN kanaal gebruikt een statische
frequentieband, Bluetooth kan zich aanpassen en heeft keuze uit voldoende frequenties om
interferentie te vermijden.
Figuur 2.8: Coëxcistentie van Bluetooth en WLAN

Ethernet 16
2.3 De datalinklaag
2.3.1 Inleiding
Voor het verzenden van berichten wordt gebruik gemaakt van packet switching. Packet switching
wordt vooral toegepast bij computer tot computer communicatie. In computernetwerken
wordt niet ononderbroken een willekeurige hoeveelheid data getransporteerd. In plaats
daarvan deelt het netwerksysteem data op in kleine blokken, pakketten, die afzonderlijk
verstuurd worden. Computernetwerken worden om die redenen ook wel packet switching
networks genoemd.
Figuur 2.9: Packet switching
Er zijn twee redenen om voor het gebruik van pakketten te kiezen:
• Zender en ontvanger moeten de transmissie coördineren. In geval van transmissiefouten
kan veel data verloren gaan. Als de data in kleinere blokken is opgedeeld, kunnen
de zender en ontvanger gemakkelijker bepalen welke blokken bij aankomst intact zijn
en welke niet.
• Meerdere computers maken gemeenschappelijk gebruik van onderliggende verbindingen
en hardware. Een netwerk moet ervoor zorgen dat alle computers gelijkwaardige
directe toegang tot een gedeelde communicatiefaciliteit hebben. Een computer kan
een gedeelde resource niet langer in beslag nemen dan voor het versturen van één
pakket nodig is.
2.3.2 MAC adres
Op een gemeenschappelijk overdrachtsmedium van een LAN moet ieder station een uniek
adres hebben. Iedere deelnemer heeft een Ethernet adres, een fysiek adres dat eigen is
aan de netwerkkaart: het MAC adres (Medium Acces Control Adress). Iedere fabrikant van
netwerkkaarten geeft iedere kaart een uniek adresnummer mee welke in de ROM van de
kaart opgeslagen wordt.

Ethernet 17
Figuur 2.10: Het MAC adres
Het MAC adres bestaat uit 48 bits (6 bytes) en is in twee groepen van drie bytes opgedeeld.
De hoogste 24 bits vormen een fabrikantnummer uitgedeeld door XEROC. Er zijn 4194302
mogelijke fabrikantnummers. Zo krijgt Phoenix Contact het fabrikantnummer 00A045h.
De laagste 24 bits vormen een serienummer. Ieder MAC adres moet uniek zijn.
2.3.3 De Ethernet dataframe
Een Ethernet frame bestaat uit minimaal 46 effectieve databytes en een constant aantal van
26 protocolbytes (overhead). Dit minimum aantal databytes is noodzakelijk omwille van de
definiëring van de slottime.
Figuur 2.11: Opbouw van een Ethernet dataframe
In een Ethernet dataframe worden volgende velden gedefinieerd:
• Preamble: is een opeenvolging van 56 bits alternerend 1 en 0. Deze bits worden gebruikt
voor synchronisatie en geven iedere deelnemer de tijd om activiteit op de bus
waar te nemen vooraleer de effectieve data eraan komt.
• SFD: de start of frame delimiter (10101011) is de laatste byte van de preamble maakt
de ontvanger duidelijk dat de effectieve data op komst is.
• DA: het destination adres. Het destination MAC adres veld identificeert het station of
de stations welke het bericht moeten ontvangen. Dit veld neemt 6 bytes in beslag. Het
destination adres kan een individueel, een multicast of een broadcast adres zijn. Het
MAC broadcast adres is FF FF FF FF FF FF.
• SA: het source adres. Het source MAC adres veld identificeert het station van welke het
bericht afkomstig is. Dit veld is 6 bytes lang.

Ethernet 18
• TYPE: voor het type veld is er een onderscheid tussen Ethernet II (DIX standaard) en de
IEEE802.3
Bij Ethernet II verwijst het type veld naar het bovenliggend protocol dat gebruik maakt
van een Ethernet frame om data te versturen. Xerox kent aan ieder protocol welke voor
Ethernet ontwikkeld wordt een code toe van 2 bytes lang. Enkele voorbeelden zijn:
0600h
0800h
0806h
0835h
8100h
XNS
IP (Internet Protocol)
ARP protocol
Reverse ARP protocol
IEEE802 1.q tag frame (VLAN)
De IEEE802.3 definieert het TYPE veld als LENGHT veld om op deze manier het effectief
aantal databytes te mee te sturen.
Xerox gebruikt geen typenummers beneden de 1500 en gezien de maximale lengte van
een dataframe op 1500 ligt is er geen overlapping mogelijk en kunnen beide definities
door elkaar gebruikt worden.
• DATA: het dataveld bevat de te versturen data. Dit dataveld is transparant, wat betekent
dat de inhoud van dit veld volledig vrij is voor Ethernet. Alleen de lengte moet
liggen tussen minimum 46 bytes en maximum 1500 bytes.
• PAD: de padding bits zijn willekeurige databits die, indien nodig, extra toegevoegd worden
aan de data om het minimum vereiste aantal van 46 bytes te bereiken.
• FCS: de checksum is een 4-byte CRC waarde gecreëerd en meegestuurd door de zender.
Aan de hand van deze code kan de ontvanger de integriteit van de data nagaan.
2.3.4 CSMA/CD
Ethernet gebruikt het CSMA/CD (Carrier Sense Multiple Acces / Collision Detect) protocol.
Met CSMA/CD kunnen twee of meerdere stations een gemeenschappelijk transmissiemedium
gebruiken.Om een dataframe te versturen moet een station wachten voor een ’idle-period’,
het niet actief zijn van de bus waarbij geen enkele deelnemer data aan het versturen is.
Hierbij zal het dan een boodschap versturen dat door alle andere deelnemers gehoord wordt.
Indien een tweede deelnemer terzelfder tijd een bericht zal versturen zal er een botsing
gedetecteerd worden. De deelnemer welke als eerste een botsing detecteert verstuurt een
error frame.
Figuur 2.12: Collisions op een Ethernetsegment

Ethernet 19
Een collision domein is een multisegment configuratie volgens het CSMA/CD protocol waarbij
een collision zal ontstaan wanneer 2 deelnemers op het segment een dataframe op hetzelfde
tijdstip versturen.
Figuur 2.13: CSMA/CD flow
Figuur 2.13 toont de CSMA/CD flow. Een deelnemer welke data wil verzenden zal eerst het
netwerk controleren op een carrier, of de aanwezigheid van een station welke data aan het
versturen is. Indien een actieve carrier gedetecteerd wordt dan wordt het versturen uitgesteld.
Wordt er geen actieve carrier gedetecteerd voor een periode die gelijk of groter is dan de
interframe gap dan kan dit station starten met het verzenden van het bericht. Tijdens het
versturen van het bericht zal de deelnemer het medium blijven controleren of er geen botsing,
collision optreedt. Een netwerkinterface moet dus tegelijkertijd data verzenden en het
medium beluisteren. Indien een collision gedetecteerd wordt dan stopt de deelnemer ogenblikkelijk
met zenden en wordt er een 32-bit jam sequentie verstuurd. Indien de botsing zeer
vroeg gedetecteerd wordt dan zal de frame preamble eerst verder verstuurd worden vooraleer
de jamsequentie verstuurd wordt. Deze jamsequentie is noodzakelijk om er zeker van te
zijn dat de lengte van de botsing voldoende groot is zodat alle deelnemers de botsing konden
waarnemen. Na het versturen van de jamsequentie zal de deelnemer een randomtijd
wachten vooraleer een nieuwe poging te ondernemen: dit proces wordt Backoff genoemd.
Enkele belangrijke aanvullende definities:
• Interframe gap: Ethernet deelnemers moeten een minimum periode van geen activiteit
’idle-period’ voorzien tussen de versturing van twee frames. De minimum interframe
gap is 96 bittijden (9,6µs voor de 10Mbps versie, 960ns voor 100Mbps Ethernet en 96ns
voor Gigabit Ethernet.
• Slottime: deze parameter is gedefinieerd als 512 bittijden voor de 10Mbps en de 100Mbps
versies, en 4096 bittijden voor Gigabit Ethernet. De minimum transmissietijd voor een

Ethernet 20
volledig dataframe moet minstens één slottijd bedragen. De tijd nodig opdat een botsing
door alle deelnemers wordt waargenomen mag maximaal één slottijd bedragen.
De slottijd is een belangrijke parameter:
– het bepaalt de minimum lengte van een dataframe (64 bytes voor 10Mbps en
100Mbps). Ieder frame korter dan 64 bytes wordt als een collision fragment beschouwd.
– het bepaalt de maximum lengte van een collision domein om op die manier late
collisions te voorkomen.
– het verzekert dat indien een botsing zal plaatsvinden dat het dan binnen de 512
bittijden van de frame transmissietijd zal gebeuren.
2.3.5 CSMA/CA
De CSMA/CD technologie van bedraad Ethernet kan niet toegepast worden bij draadloos
Ethernet. De standaard beschrijft half-duplex radios, tijdens het zenden van data kan er
niet gecontroleerd worden op eventuele botsingen. Om dit te verhelpen wordt een andere
technologie toegepast namelijk CSMA/CA. In plaats van het detecteren van botsingen zullen
botsingen vermeden worden, CA: collision advoidence.
De kans op botsingen is het grootst juist na een bezet medium. Daarom worden er wachttijden
en een veroveringsfase gedefinieerd. Figuur 2.14 toont enkele belangrijke parameters
omtrent de wachttijden voor de toegang tot het medium. Alle parameters worden gerelateerd
t.o.v. de slottijd (afgeleid van de door het medium veroorzaakte voortplantingsvertraging.
Deze parameters zijn:
• SIFS (Short Interframe Spacing): kortste wachttijd voor mediumtoegang (dus hoogste
prioriteit). Het Acces Point gebruikt voor het versturen van ACK-berichten deze wachttijd.
• PIFS (PCF Interframe Spacing): middelmatige prioriteit, deze tijd wordt gebruikt voor de
pollingacties van een Acces Point.
• DIFS (DCF Interframe Spacing): laagste prioriteit voor mediumtoegang, van toepassing
op normale deelnemers op het draadloos segment.

Ethernet 21
Figuur 2.14: CSMA/CA
Indien een host een bericht wenst te versturen moet eerst het medium beluisterd worden.
Indien het medium langer dan een tijd DIFS vrij is kan deze deelnemer het initatief nemen
om een bericht te versturen.
Indien blijkt dat het medium bezet is wordt er gewacht tot de zendende deelnemer klaar is
met zenden. Dan moet er een tijd DIFS gewacht worden. Het Acces Point heeft een hogere
prioriteit en hoeft slecht een tijd SIFS te wachten. Indien na de DIFS tijd het medium nog
steeds vrij is, start de veroveringsfase waarbij bij elke host, welke data wenst te versturen,
een random backoff timer gestart wordt. De deelnemer welke als eerste uitgeteld is, kan het
initiatief nemen om het medium te gebruiken en data te verzenden.
2.4 Structuurelementen voor Ethernet
2.4.1 De hub
De maximale segmentlengte van een LAN wordt bepaald door het gebruikte medium en het
toegepaste toegangsmechanisme. Om de beperking van de lengte op te heffen werd al
snel gezocht naar methoden om meerdere segmenten na elkaar te koppelen. De eerste en
meest eenvoudige methode hiervoor is het inzetten van een repeater. Een repeater is een
signaalversterker die pakketten transparant doorgeeft, onafhankelijk van de inhoud van het
pakket. Een repeater wordt gebruikt om twee of meer Ethernet segmenten onderling met
elkaar te verbinden. Zoals te zien is op de slight vindt een repeater-koppeling volgens de
ISO-OSI-definities plaats op de fysieke laag.

Ethernet 22
Figuur 2.15: De repeater volgens het OSI model
Beide segmenten kunnen verschillend van medium zijn. Een segment op basis van 10Base-T
kan met een repeater bijvoorbeeld worden gekoppeld aan een glasvezelsegment. Een andere
belangrijke eigenschap van een koppeling op basis van een repeater is dat niet alleen de
databits worden doorgegeven, maar ook eventuele botsingen en signaalfouten. Netwerksegmenten
die onderling zijn verbonden via een repeater zijn daarom gevoelig voor foutsituaties;
een probleem op één segment plant zich voort over alle andere segmenten. In moderne
lokale netwerken op basis van Ethernet worden repeaters hoofdzakelijk gebruikt om segmenten
van verschillende media met elkaar te verbinden. Zo worden backbone-segmenten
uit glasvezelbekabeling altijd via optische repeaters gekoppeld aan afdelingssegmenten van
twisted-pair-bekabeling.
Figuur 2.16: De hub
Een hub is eigenlijk een multiport repeater: het regenereert een inkomend signalen naar alle
andere poorten zoals blijkt uit figuur 2.16. Alle segmenten welke via een hub met elkaar
verbonden zijn een collision domein.
Een hub is verkrijgbaar in veel verschillende uitvoeringen. Deze uitvoeringen verschillen in
het aantal poorten, de typen media die worden ondersteund en de uitbreidbaarheid.
Een belangrijke functionaliteit van de moderne hub wordt gevormd door de mogelijkheden
voor netwerkmanagement. Minimaal is het mogelijk om poorten aan of uit te schakelen en

Ethernet 23
te detecteren of er storingen zijn opgetreden. Om deze mogelijkheid beschikbaar te krijgen
is een moderne hub uitgerust met een SNMP agent die wordt aangestuurd vanuit een
managementstation.
2.4.2 De switch
Eén van de mogelijkheden om LAN segmenten met meer intelligentie onderling te koppelen
is het gebruik van een bridge. Een bridge is meer dan alleen een medium voor het doorgeven
van data zoals de repeater. Voordat een pakket via een bridge wordt doorgegeven van het
ene segment naar het andere segment onderzoekt een bridge het MAC-adres en op basis
hiervan vindt al dan niet transport naar het andere segment plaats.
Figuur 2.17: De bridge volgens het OSI model
Een bridge kan zijn uitgerust met meer dan twee netwerkpoorten. In dit geval wordt de term
switch gebruikt. Voor iedere poort wordt softwarematig een MAC adrestabel bijgehouden.
Deze tabel wordt gevuld door op het desbetreffende segment van het netwerk te luisteren
en alle MAC-adressen die op dit segment voorkomen, te kopiëren naar de tabel. Ieder adres
wordt gedurende een beperkte tijd vastgehouden en het wordt weer gewist zodra een bepaalde
tijd, de holdtime, is verstreken. Door deze techniek wordt voorkomen dat niet-actieve
stations worden geadresseerd of dat stations juist niet meer worden herkend.
Figuur 2.18: De switch

Ethernet 24
Het koppelen van segmenten van een lokaal netwerk via een switch heeft een aantal voordelen
boven de koppeling met een repeater of hub. Zo wordt bij het gebruik van een switch het
ene segment niet belast met de frames van het andere segment die daar wat betreft adressering
niet thuishoren. De belasting per segment wordt door deze functie van de bridge
gereduceerd. Tevens worden foutsituaties niet door gegeven omdat de switch ook controleert
op een correcte opbouw van het frame. Tot slot wordt door de bridge ook vermeden dat
er botsingen tussen frames worden doorgegeven van het ene segment naar het andere segment.
Iedere poort van een switch sluit dus een collision domein af. Indien iedere deelnemer
rechstreeks op de poort van een switch gekoppeld wordt onstaan er veel collision domeinen,
maar bevat ieder domein slechts één deelnemer en kunnen er geen botsingen ontstaan. In
een verder deel wordt nog dieper ingegaan op de switch.
2.5 IEEE802.1Q tagged frame
De IEEE802.1Q beschrijft 4 extra bytes, opgedeeld in twee extra velden in het Ethernet frame
om nieuwe toepassingen mogelijk te maken. Eén van deze toepassingen is VLAN (zie verder
in dit hoofdstuk).
Figuur 2.19: Opbouw van een tagged frame
Beschrijving van de extra velden:
• TYPE(TAG), 2 bytes: krijgt de waarde 8100h om aan te geven dat dit frame een tagged
frame is en dus een extra informatieveld bevat
• VLAN TPID, 2 bytes: VLAN Tag Protocol Identifier
– User priority, 3 bits: de prioriteit van het frame wordt meegegeven, de prioriteitscode
(een getal tussen 0 en 7) staat beschreven in IEEE802.1p.
– CFI: Cononical Format Indicator. De IEEE802.1Q is enkel voor Ethernet of Token
Ring ontwikkeld. Deze bit is 0 voor Ethernet en 1 voor Token Ring.
– VLAN ID: Identificatie van het VLAN, 4094 mogelijkheden.
FFFFh
0000h
gereserveerd
geen VLAN, frames met prioriteit (Profinet IO)
2.6 Power over Ethernet
De IEEE802.3af Power over Ethernet voorziet sinds juni 2003 de mogelijkheid voor gemeenschappelijke
transmissie van data en voeding over dezelfde Ethernet kabel.

Ethernet 25
PoE werd ontwikkeld voor WLAN access points, Bluetooth access points, IP telefoons (voice
over IP), IP camera’s, RFID reading units, touch panels, ... . Vroeger werd dit reeds toegepast
via niet genormeerde systemen, de niet gebruikte lijnen van een Ethernet kabel werden
gebruikt om 24V of 48V over te brengen.
Via de IEEE802.3af standaard kan de stroom naar devices beperkt en gecontroleerd worden.
Het gebruik van PoE maakt een extra voedingsadapter overbodig. Dit is vooral handig
als het netwerktoestel ingezet moet worden op een plaats waar stroomvoorziening via het
stopcontact moeilijk haalbaar is.
Het protocol definieert twee basiscomponenten. De PSE (Power Sourcing Equipment) en de
PD (Powered Device)
2.6.1 PSE
Het toestel welke voeding voorziet voor PoE wordt een PSE, Power Sourcing Equipment, genoemd.
De spanning voorzien door de PSE is nominaal 48V (tussen de 44V en 57V). Elke
poort van een PSE moet in staat zijn om 350mA te leveren bij 44V (15.4 Watt).
Figuur 2.20: Opbouw van een PSE
Er wordt onderscheid gemaakt tussen 2 types.
• End point PSE: de standaard Ethernet switch wordt vervangen door een PoE switch.
• Mid span PSE: dit toestel wordt geplaatst tussen de conventionele switch en de netwerkdeelnemer.
Werkt enkel op alternatief B.

Ethernet 26
Figuur 2.21: Gebruik van een Mid span PSE
Figuur 2.21 toont de integratie van een mid span PSE. Er is dus telkens een extra module
nodig om PoE mogelijk te maken.
2.6.2 PD
De netwerkwerkdeelnemer welke zijn voeding krijgt over de Ethernet kabel wordt een PD, Powered
Device, genoemd. Om fouten tegen de polariteit tegen te gaan is er een auto-polariteit
circuit ingebouwd in een PD. Een PD moet volgens de norm Alternatief A en Alternatief B ondersteunen.
Volgens de norm moet een PSE minimum 15.4W kunnen leveren en mag een PD maximaal
12.95W verbruiken. Dit verschil wordt gebruikt om de verliezen in de twisted pair kabel te
overbruggen. Een kabel van 100m heeft een weerstand die voor verlies zorgt.
Om toestellen te beschermen tegen onverwachte spanning wordt er tijdens het verbinden
een identificatieproces uitgevoerd:
• Als er niks verbonden is met de PSE is de poort spanningloos
• Een toestel meldt zich aan met een weerstand van 25kΩ.
• De PSE legt een spanning van 10.1 V aan de belasting en meet de stroom. Indien
de gevraagde stroom minder is dan de minimum stroom, dan wordt er geen stroom
geleverd.
• Om de specifieke klasse van 1 tot 3 te bepalen legt de PSE een spanning van 20.5 V
aan de belasting. Na het bepalen van de klasse legt de PSE een spanning van 48V aan
de belasting. Er wordt onderscheid gemaakt tussen de volgende vermogenklassen:
Klasse 0 0,44W tot 12,95W
Klasse 1 0,44W tot 3,84W
Klasse 2 3,84W tot 6,49W
Klasse 3 6,49W tot 12,95W

Ethernet 27
2.6.3 Alternatief A
De voeding wordt via de datalijnen overgebracht. De voeding wordt door middel van transformatoren
met middenaftakking aangesloten op de pinnen 1-2 en 3-6 zodat die voor de
datastroom onzichtbaar is. Kan gebruikt worden voor 10/100/1000Base-T.
Figuur 2.22: PoE, alternatief A
2.6.4 Alternatief B
De energie wordt overgedragen via de aders in een UTP kabel die niet gebruikt worden voor
data. De paren 4-5 en 7-8 worden parallel gebruikt, zo kan er meer stroom vloeien.De positieve
kant van de 48 V is aangesloten op pin 4 en 5, de negatieve kant is aangesloten op pin
7 en 8.
Figuur 2.23: PoE, alternatief B
Kan enkel gebruikt worden indien paar 1 en paar 4 ter beschikking zijn (bepaalde industriële
Ethternet kabels bevatten alleen paar 2 en 3) of indien paar 1 en 4 niet gebruikt worden (dus
1000Base-T is niet mogelijk).

Ethernet 28
2.7 VLAN
Een VLAN of Virtual Local Area Network is een groep deelnemers in een groter netwerk welke
op een logische manier een apart netwerk vormen. Hierdoor kan op een groter fysisch netwerk
meerdere logische groepen gecreëerd worden. Een VLAN heeft een eigen broadcast
domein. Datapakketten worden enkel binnen een VLAN doorgestuurd. De deelnemers kunnen
fysich ver uit elkaar liggen maar ze moeten zich wel op één en hetzelfde fysisch netwerk
bevinden. Enkele voorbeelden van het indelen van een netwerk:
• Volgens departementen: één VLAN voor Sales, een ander VLAN voor Engineering en
nog een andere VLAN voor Automation.
• Volgens hiërarchie: één VLAN voor directie, een ander VLAN voor managers en nog een
ander voor werknemers
• Volgens gebruik: één VLAN voor gebruikers die e-mail nodig hebben en een ander voor
gebruikers van multimedia
2.7.1 Voordelen van VLANs
Het grootste voordeel van VLANs is de segmentatie van het netwerk. Hierdoor wordt het
netwerk flexibeler dan een traditioneel netwerk. Deze flexibiliteit vertaalt zich in het makkelijk
verplaatsbaar zijn van netwerkdeelnemers. Andere voordelen zijn extra veiligheid en
beperking van de netwerkbelasting.
• Verplaatsbaarheid van apparaten: apparaten kunnen gemakkelijker verplaatst worden
in het netwerk. In een traditioneel netwerk moet bekabeling aangepast worden als
een gebruiker van het ene subnet naar het andere verhuist. Het verhuizen van het
ene VLAN naar het andere brengt geen veranderingen aan de bekabeling met zich
mee. Alleen een instelling op de switch moet gebeuren. Zo kan een station van Sales
verplaatst worden naar aan netwerkaansluiting die toebehoort aan Engineering. De
poort moet ingesteld worden als een lid van de VLAN Engineering maar er moet niet
opnieuw bekabeld worden.
• Extra veiligheid: toestellen van een VLAN kunnen alleen communiceren met toestellen
in hetzelfde VLAN. Als een toestel van VLAN Sales wil communiceren met de VLAN
Automation dan moet deze verbinding ingesteld worden in een router.
• Beperking netwerktraffiek: bij een traditioneel netwerk kunnen broadcasts zorgen voor
een overbelast netwerk. Broadcast berichten komen vaak toe bij apparaten die deze
berichten niet nodig hebben. VLANs beperken deze problematiek omdat een broadcast
berichten uit de ene VLAN niet toekomt in de andere VLAN.
2.7.2 Trunking
Trunking is methode om data van verschillende VLANs tussen twee switches te versturen.
Hiervoor is slechts één poort nodig per apparaat. Er zijn verschillende manieren om aan
trunking te doen.
• ISL: InterSwitch Link, dit is een veel gebruikt propriëtair protocol van Cisco
• IEEE802.1Q: dit is een standaard die ondersteund is door veel fabrikanten van switches.

Ethernet 29
Bij trunking wordt er een stukje code toegevoegd (een tag) waarin staat van welke VLAN het
verzonden pakket afkomstig is. Dankzij dit systeem blijven de voordelen van VLANs bewaard.
De VLANs blijven gescheiden zelf als ze zich uitspreiden over verschillende switches. Om toch
dataverkeer tussen de verschillende VLANs te voorzien is er een router nodig.
2.7.3 Soorten VLANs
De verschillende soorten VLANs kunnen ingedeeld worden in twee types: de statische en de
dynamische VLANs.
• Statische VLANs, deze zijn port-based. Afhankelijk van de poort van een switch waarop
een gebruiker zich aansluit behoort hij tot de ene of de andere VLAN.
Voordelen:
– Makkelijk te configureren
– Alles gebeurt in de switch. De gebruiker merkt er weinig van
Nadelen:
– Als een gebruiker zijn PC op de verkeerde poort aansluit is er een herconfiguratie
nodig door de administrator.
– Als een tweede switch aangesloten wordt op een poort die tot een bepaalde VLAN
behoort, dan horen alle computers die men op deze switch aansluit automatisch
tot deze VLAN.
• Dynamische VLANs: zijn niet gebaseerd op de poorten van een switch maar wel op het
adres van de gebruiker of op het gebruikte protocol.
Voordeel: iedereen kan zijn computer op eender welke poort aansluiten en toch tot de
correcte VLAN behoren.
Nadeel: de kostprijs van dit type VLAN ligt hoger omdat er speciale hardware vereist is.

Ethernet 30
2.8 Netwerkredundantie
2.8.1 Inleiding
Netwerkredundantie betekent het integreren van hardware en software welke er voor zorgen
dat bij een Single Point of Failure de beschikbaarheid van het netwerk optimaal blijft. Het
communicatiesysteem, het netwerk, is het hart van ieder modern automatiseringsproject.
Om netwerkfouten op te vangen kunnen verschillende protocollen geïntegreerd worden in
de structuur elementen. Er kunnen drie belangrijke groepen onderscheiden worden:
• STP/RSTP: (Rapid) Spanning Tree Protocol. Kan toegepast worden in mesh topologiën,
wordt verder in dit hoofdstuk besproken.
• MRP: Media Redundancy Protocol, enkel voor ringtopologieën.
• PRP: Parallel Redundancy Protocol
2.8.2 Het Spanning Tree Protocol
Het Spanning Tree Protocol (STP) is een open protocol dat beschreven staat in de IEEE802.1d.
Het is een OSI laag-2 protocol dat een gesloten lusvrij LAN garandeert. Het is gebaseerd op
een algoritme ontwikkeld door Radia Perlman (personeelslid van Digital Equipment Corporation).
Spanning tree maakt het mogelijk om een netwerk uit te bouwen waarbij redundante
links geïntegreerd worden. Op deze manier kan een automatisch back-up pad voorzien worden
indien een actieve link om één of andere reden wegvalt zonder gesloten lussen in het
netwerk te creëren.
Om dit protocol toe te passen moeten de gebruikte switches het protocol ondersteunen. De
omschakeltijd van dit protocol is niet echt voldoende voor de industrie. Na een onderbreking
van een segment kan het al gauw 30 tot 50 seconden duren voor het alternatieve pad beschikbaar
komt. Voor sturingen is deze delay onaanvaardbaar en zelfs voor monitoringstoepassingen
is 30 seconden al erg lang. Een voordeel van het STP is dat het niet uitsluitend
gebruikt kan worden voor redundante ringstructuren.
2.8.3 Het Rapid Spanning Tree Protocol
Als antwoord op de tekortkomingen van het spanning tree protocol formuleerde de IEEE in
2001 het rapid spanning tree protocol (RSTP). Het protocol staat beschreven in de IEEE802.1w
standaard. Sinds 2004 is het spanning tree protocol als overbodig beschreven in de IEEE802.1d
en wordt er aangeraden om het RSTP te gebruiken i.p.v. het STP. De IEEE802.1w is dan ook
opgenomen in de 802.1d norm.
De omschakeltijd van het RSTP is lager dan deze van het STP (vandaar de naam), namelijk
1 tot 10 seconden in plaats van 30 tot 50 seconden. Afhankelijk van de toepassing kan deze
omschakeltijd al voldoende snel zijn.

Ethernet 31
Figuur 2.24: Mogelijke boomtopologie mbv (R)STP
Figuur 2.24 toont een netwerk met vijf verschillende structuurelementen. Er worden verschillende
redundante verbindingen gecreëerd. Ten gevolge hiervan ontstaan er ontoelaatbare
loops die het netwerk snel in verzadiging zullen brengen. Het RSTP protocol converteert
deze topologie naar een boomstructuur door een aantal poorten af te sluiten. Hierbij wordt
één structuurelement als root geconfigureerd. Vanuit deze root zijn alle andere switches
bereikbaar via één enkel pad. Indien een netwerkfout optreedt wordt een nieuw actief pad
gecreëerd.
Uitbreidingen op RSTP
Om tegemoet te komen aan de noden van de automatisering voorzien heel wat bedrijven
propriëtaire uitbreidingen op het RSTP protocol om zo omschakeltijden beneden de seconde
te bekomen. Op deze manier wordt QoS bekomen voor de redundante opbouw van automatiseringsnetwerken.
Fast Ring Detection is een uitbreiding van Phoenix Contact op het RSTP. Bij het uitvallen
van een netwerkswitch worden omschakeltijden van 100 ... 500 ms bereikt. Omschakeltijden
van max. 500 ms zijn beschikbaar voor omvangrijke automatiseringsnetwerken met 1000
ingevoerde adrestabellen in de switches. Bij minder eindapparaten in het netwerk zijn deze
tijden korter. Dit protocol is echter enkel te gebruiken bij 10 of 100Mbps
2.8.4 Bridge Protocol Data Units (BPDUs)
Aan de hand van een bepaald algoritme wordt de boomstructuur berekend waarbij er dus één
switch als root wordt geconfigureerd. Iedere switch moet wel alle nodige info bezitten om de
juiste poortregels te kunnen definiëren. Om te verzekeren dat iedere switch voldoende en
de juiste informatie bezit zullen switches onderling informatie uitwisselen. Hiervoor worden
speciale frames gebruikt, de zogenaamde Bridge Protocol Data Units (BPDUs).
Een bridge verstuurt een BPDU waarbij het als SA het uniek MAC van de poort zelf gebruikt
en als DA het STP Multicast adres 01:80:C2:00:00:00.
Er zijn verschillende soorten BPDUs:
• Configuration BPDU (CBPDU), gebruikt voor de berekening van de spanning tree

Ethernet 32
• Topology Change Notification BPDU (TCN), gebruikt om veranderingen in het netwerk
aan te kondigen
• Topology Change Notification Acknowledgement (TCA)
Om een network zonder lussen te creëren krijgt elke poort van een switch een bepaalde
status toegewezen De verschillende statussen zijn:
• ROOT: poort die de link vormt naar de root switch
• DESIGNATED: een actieve poort welke een link vormt naar een onderliggende switch in
de boomstructuur.
• ALTERNATE: een poort met een lagere prioriteit, een alternatieve link naar de root
2.8.5 Multiple Spanning Tree Protocol (MSTP)
In een Ethernet omgeving waar Virtual LANs toegepast worden kan ook gebruik gemaakt
worden het van Spanning Tree Protocol.
MSTP, oorspronkelijk gedefinieerd in de IEEE 802.1s en later opgenomen in de IEEE 802.1q
editie 2003, definieert een uitbreiding op RSTP in combinatie met Virtual LANs. Het combineert
het beste van PVST (Per-VLAN Spanning Tree) waarbij ieder VLAN zijn eigen spanning
tree definieert en het oorspronkelijk IEEE 802.1q waarbij slechts één spanning tree gecreëerd
wordt voor het volledige netwerk.
Met MSTP worden verschillende VLANs opgedeeld in logische instances (groepen VLANs met
dezelfde spanning-tree topology).
MSTP bundelt alle spanning-tree informatie in één enkele BPDU om zo het aantal BPDU’s te
beperken en is volledig compatibel is met RSTP switches
2.8.6 Media Redundancy Protocol
MRP maakt deel uit van de PROFINET standaard. Bij MRP blokkeert een ringmanager één
poort om zodoende een actieve lijn structuur te bekomen. Bij een netwerkfout valt het netwerk
uiteen in twee geïsoleerde lijnen welke terug aan elkaar gekoppeld worden door de
geblokkeerde poort vrij te geven. Omschakeltijden liggen in de range van 100ms.
2.8.7 Parallel Redundancy Protocol
In contrast met bovenstaande technologieën voorziet PRP bij een netwerkfout geen wijziging
van de actieve topologie. Dit protocol werkt op twee parallele netwerken. Ieder dataframe
wordt over de twee netwerken verstuurt. De ontvangende node verwerkt het bericht dat
eerst aankomt en verwerpt het kopiebericht. PRP zorgt voor het kopiëren en verwerpen van
de berichten. PRP maakt ook het dubbele netwerk onzichtbaar voor de hogere lagen in de
communicatie stack.

Ethernet 33
2.9 Belangrijke aanvullingen
2.9.1 LLDP
Het protocol IEEE802.1ab, link layer discovery protocol, is een standaard welke een oplossing
voorziet voor de configuaratieproblemen bij uitgebreide LAN structuren. Het definieert
een standaardmethode voor switches, routers, WLAN Acces Points,... om informatie over
zichzelf te verspreiden naar andere netwerkdeelnemers en om informatie van omliggende
deelnemers te bewaren. LLDP is mogelijke met alle 802 media. Het maakt gebruik van de
datalinklaag.
Een switch welke LLDP ondersteunt kan topologiedetectie uitvoeren via andere deelnemers
welke ook LLDP ondersteunen.
Voordelen:
• Verbeterde detectie van netwerkfouten
• Hulpmiddel bij het vervangen van modules
• Betere netwerkconfiguratie en netwerkmanagement
LDDP informatie wordt gebruikt binnen engineeringstools om een netwerktopologie op een
grafische manier te visualiseren.
2.9.2 IEEE 802.1x
IEEE802.1X is een beveiligingsstandaard voor authenticatie op iedere individuele poort van
een switch. De authenticatie vindt plaats nog voor de gebruiker toegang krijgt tot het netwerk.
Het herkenen van een rechthebbende gebruiker gebeurt dus op laag 2 van het OSImodel.
Dit alles kan - afhankelijk van de gebruikte hardware - zowel draadloos als bedraad.
IEEE802.1x maakt gebruik van een protocol om informatie uit te wisselen met een toestel/gebruiker
welke een verzoek tot toegang richt tot een poort. De berichten bevatten
een gebruikersnaam en een paswoord. De switch zal de identificatie niet zelf uitvoeren maar
zal het verzoek op zijn beurt richten tot een RADIUS authentication server op het netwerk.
De server zal het verzoek afhandelen, zal feedback geven aan de switch welke dan de poort
zal openen voor de gebruiker.
Bij de werking van het protocol zijn er drie belangrijke spelers:
• De gebruiker, de client, wordt in het protocol de supplicant genoemd.
• Het access apparaat, de switch of het access-point, is de authenticator.
• Het controlerende toestel, de RADIUS infrastructuur, is een authentication server.

Ethernet 34
Figuur 2.25: Drie belangrijke spelers bij de werking van het protocol
De authenticatie voor 802.1X geschiedt met een flexibel authenticatie-mechanisme genaamd
het Extensible Authentication Protocol (EAP), waardoor diverse vormen van authenticatie mogelijk
zijn. Dit maakt het mogelijk door op basis van het type gebruiker een andere vorm van
authenticatie af te dwingen: zowel sterke als zwakke authenticatie. Het is bijvoorbeeld mogelijk
om voor studenten een gebruikersnaam en wachtwoord verplicht te stellen, en voor
medewerkers een certificaat te gebruiken. In de hoofdstukken betreffende security wordt er
dieper ingegaan op dit item.
2.9.3 Link aggregation with LACP naar IEEE 802.3ad
Link aggregation (ook wel trunking genoemd) is een manier om fysieke netwerkverbindingen
is de Engelse benaming voor het samenvoegen van meerdere netwerkverbindingen met het
doel een hogere doorvoersnelheid te behalen. Link aggregatie kan tevens voor een redundante
verbinding zorgen hetgeen fouttolerantie toevoegt aan bedrijfskritische systemen. De
techniek is van toepassing op switches als op netwerkkaarten (NICs).
Link aggregatie is momenteel gestandaardiseerd door in de IEEE 802.3ad standaard. Het
biedt volgende voordelen:
• Hogere beschikbaarheid van de verbindingen
• Capaciteit van een verbinding verhogen
• Betere performantie met de beschikbare hardware
De huidige LAN technologieën voorzien datarates van 10Mbps, 100Mbps en 1000Mbps. Link
Aggregation kan waarden tussenin creëren waar nodig of indien een datarate groter dan
1000Mbps vereist is kan met het groeperen van verschillende 1000Mbps verbindingen een
high-speed verbinding voorzien worden.

Ethernet 35
Figuur 2.26: Link aggregatie
Link Aggregation kan op verschillende manieren toegepast worden:
• Verbinding tussen twee switches
• Verbinding tussen switch en eindstation
• Verbinding tussen twee eindstations
Figuur 2.26 toont hoe switches met elkaar verbonden zijn via twee 100 Mbps links. Als
één link wegvalt tussen die twee switches zal de andere link in de link aggregation Group
overnemen.??ink Aggregation is momenteel opgenomen in de IEEE 802.3ad standaard: ’Link
Aggregation allows one or more links to be aggrgated together to form a Link Aggregation
Group, such that a MAC client can treat the Link Aggregation Group as i fit were a single link
(IEEE Standard 802.3, 2000 Edition).??e IEEE802.3ad standaard beschrijft ook het gebruik
van het LACP (Link Aggregation Control Protocol) om op een eenvoudige manier configuratie
informatie uit te wisselen tussen de verschillende systemen. Dit moet een automatische
configuratie alsook een opvolging van alle link aggration groups mogelijk maken. Het uitwisselen
van deze informatie gebeurt aan de hand van LACP frames zoals beschreven in de
standaard.
2.10 Industrial Ethernet
De laatste jaren wordt Ethernet meer en meer gebruikt in een industriële omgeving. Er zijn
grote verschillen tussen de kantooromgeving en de industriële omgeving. Industrieel Ethernet
verwijst naar het gebruik van industriële producten om te voldoen aan de meer specifieke
eisen van de industriële wereld. In onderstaande tabellen worden enkele belangrijke
aandachtspunten weergegeven.

Ethernet 36
Kantooromgeving
Tabel 2.4: Aandachtpunten voor de installatie van Ethernet
Vaste basisinstallatie in het gebouw
Variabele netwerkverbinding voor werkstations
Kabels liggen in valse vloeren
Voorgemaakte kabels
Industriële omgeving
Systeem-specifieke toepassingen
Verbindingspunten met het netwerk worden
zelden tot nooit gewijzigd
Connectoren die op de werkvloer geassembleerd
kunnen worden
Standaard werkstations op RJ45
RJ45 in de kasten, M12 in het veld
Regelmatig gebruik van fiber optics
Bekabeling bestemd voor gebruik in een
beweegbare kabelgeleiders
Zorgvuldig geïmplementeerde aardingen
Voeding van 230V AC
Voeding met 24V DC of Power over Ethernet
Stertopologie Regelmatig gebruik van lijntopologie of
ringtopologie
Redundantie is vaak een vereiste
19"schakelkasten (afmetingen van standaard
office serverkasten)
Levensduur van ongeveer 5 jaar
Toestellen met actieve koeling (ventilatoren)
Levensduur van ongeveer 10 jaar
Terminals geschikt voor montage op een
DIN rail
Passieve koeling (geen bewegende onderdelen)
Alarm contact voor error indicatie
Zorgvuldig geïmplementeerde aardingen
Tabel 2.5: Omgevingsinvloeden
Kantooromgeving
Gematigde temperaturen met lage fluctuaties
Bijna geen stof
Geen vochtigheid of water
Bijna geen schokken of trillingen
Laag niveau van EMC
Lage mechanische belasting of gevaar
Geen chemische gevaren
Geen stralingsgevaren
Industriële omgeving
Extreme temperaturen met hoge fluctuaties
Hoge hoeveelheden stof
Vochtigheid of water kan aanwezig zijn
Vibraties of schokken zijn mogelijk
Hoog niveau van EMC
Hoge mechanische belasting of gevaar
Chemische belasting door olie-achtige omgevingen
of agressieve atmosferen
Hoge blootstelling aan UV stralingen in outdoor
omgevingen

Hoofdstuk 3
TCP/IP
3.1 Inleiding
Transmission Control Protocol / Internet Protocol (TCP/IP) is een verzameling van industriële
standaardprotocollen ontworpen voor communicatie over grote netwerken bestaande uit
verschillende netwerksegmenten die gekoppeld worden door routers.
TCP/IP is een protocol gebruikt op Internet, welke de verzameling is van duizenden netwerken,
wereldwijd verspreid, die onderzoekscentra, universiteiten, bibliotheken, bedrijven, individuen,
... met elkaar verbinden.
Internetwerken is echter een heel algemeen begrip. Een internet is niet in grootte beperkt: er
bestaan internetten die een paar netwerken omvatten, maar ook internetten die honderden
netwerken bevatten. Internet met hoofdletter I heeft betrekking tot het wereldwijde Internet,
ook wel het publieke Internet genoemd.
Figuur 3.1: Hoe communiceren over een internet?
De vraag welke dient gesteld te worden is hoe twee verschillende hosts, gekoppeld aan een
verschillend netwerk, op ruime afstand, met elkaar kunnen communiceren? Het antwoord op
deze vraag is tweeledig.
Het eerste deel van het antwoord is een hardware aspect: een internet bestaat uit verschillende
netwerken welke met elkaar verbonden zijn door routers. Een router is een structuurelement
die het verbinden van netwerken als speciale taak heeft. Elke router bezit een processor,
een hoeveelheid geheugen en een afzonderlijke interface voor elk netwerk waarmee
het verbonden is.

TCP/IP 38
Het tweede deel van het antwoord is een software aspect: op iedere host moet een universele
communicatiedienst actief zijn. Hoewel veel softwareprotocollen aangepast zijn voor
internetwerken springt er maar één suite uit, die voor internetwerken verreweg het meest
wordt gebruikt. Deze suite heet kortweg de TCP/IP suite.
De TCP/IP suite kan perfect gesitueerd worden in het OSI model. Om de TCP/IP suite voor
te stellen wordt echter meestal een vereenvoudigd model gebruikt. Een vierlagenmodel, het
DoD (Departement of Defence) model, het ARPANET Reference model of meestal gewoon het
TCP/IP model genoemd.
Figuur 3.2: De TCP/IP suite
Centraal in dit model zijn de internet layer en de transport layer welke verder in dit hoofdstuk
uitgebreid besproken worden. De application layer verzamelt en beschrijft alle protocollen
welke gebruik maken van het TCP/IP protocol. Daaronder behoort bv. het HTTP protocol, het
protocol dat surfen naar een bepaalde webapplicatie mogelijk maakt. Het TCP/IP protocol zal
dan een universele communicatiedienst mogelijk maken opdat de surfopdracht mogelijk zou
zijn over het ganse Internet. De network layer voorziet dan in de communicatie op het lokale
netwerk tussen de host en de router of tussen twee routers onderling.
3.2 Het Internet Protocol (IP)
3.2.1 Inleiding
De belangrijkste kenmerken van het IP protocol zijn:
• Een datapakket routen doorheen het Internet. Iedere host wordt geïdentificeerd door
een 32-bit IP adres.
• Het is een verbindingsloos protocol. Voor het verzenden van verschillende IP pakketten
naar een zelfde doelhost kan ieder pakket een andere route volgen. Er wordt geen
vaste fysische verbinding gecreëerd.

TCP/IP 39
• Er wordt een universeel datapakket opgebouwd bestaande uit een header en een dataveld.
De header bevat ondermeer het adres van de zender en van de bestemming.
Het datapakket is hardware onafhankelijk en wordt op het lokale netwerk nogmaals
ingekapseld vooraleer het kan getranspoteerd worden.
• Het IP protocol controleert niet of de data correct verstuurd is en het voorziet ook geen
bevestigings- of correctiemechanismen: send-it and pray.
• De IP header heeft een lengte van minstens 20 bytes. Bij gebruik van het options-veld
kan de header maximaal 60 bytes zijn. Het creëert een header checksum.
Het Internet Protocol (IP) is van toepassing op het netwerkniveau (laag 3 van het OSI-model).
Deze laag is verantwoordelijk voor het aanbieden en transporteren van informatie over verschillende
netwerken. Om dit te kunnen realiseren is er een uniforme adressering nodig: het
IP adres.
Zolang de informatieoverdracht zich binnen hetzelfde netwerk afspeelt, kan deze functionaliteit
achterwege blijven. De verbinding van verschillende netwerken gebeurt door middel
van routers. Wanneer verschillende netwerken tot een groter geheel gebundeld worden dan
moet ook ieder netwerk herkenbaar zijn door een adres. Ieder netwerk zal dus een uniek
netwerkadres krijgen. Vertrekkend van dit netwerkadres krijgt iedere deelnemer dan ook
nog eens een uniek adresnummer binnen dit netwerkadres. Op dit principe is de uniforme
adressering gebaseerd. Dit adres wordt gedefinieerd op de IP laag, en wordt het IP adres
genoemd.
3.2.2 Het IP adres
Algemeen
Een IP adres bestaat uit 32 bits, 4 bytes, voorgesteld door 4 decimale cijfers gescheiden door
een punt.
Figuur 3.3: Het IP adres
Ieder netwerk wordt voorzien van een naam (Net ID), en iedere netwerkdeelnemer krijgt
binnen dit netwerk een uniek nummer (Host ID). Net ID en Host ID vormen samen het IP
adres. De netwerknaam is dan het IP adres waarbij het Host ID gelijkgesteld wordt aan nul.

TCP/IP 40
Figuur 3.4: Opbouw van het IP adres
Klasse-indeling van IP adressen
IP adressen worden opgesplitst in verschillende klassen. Figuur 3.5 toont een overzicht.
Figuur 3.5: De verschillende klassen binnen IP adressering
Tabel 3.1 toont de kenmerken van de klasse A, B en C. Klasse D is toegevoegd om op een
eenvoudige manier multicast berichten te kunnen versturen. klasse E heeft op dit moment
nog geen functie.
Het onderscheid tussen de klassen A,B en C wordt bepaald door het aantal bytes die deel
uitmaken van het Net ID enderzijds en het aantal bytes die deel uitmaken van de Host ID
anderzijds. De meest beduidende bits in het IP adres bepalen tot welke klasse een IP adres
zal behoren. Tabel 3.1 resumeert alle kenmerken van de drie verschillende klaasen.

TCP/IP 41
Tabel 3.1: Kenmerken van de verschillende klassen
Klasse A Net ID byte 1, eerste bit is altijd 0, (0 x x x x x x x)
126 mogelijke netwerkadressen
Host ID byte 2 + byte 3 + byte 4
16777214 mogelijke hosts per netwerk
Range
1 . n . n . n → 126 . n . n . n
Voorbeeld 90.15.167.2 (netwerknaam 90.0.0.0)
Klasse B Net ID byte 1, eerste bits zijn altijd 1 0, (1 0 x x x x x x) + byte 2
16383 mogelijke netwerkadressen
Host ID byte 3 + byte 4
65534 mogelijke hosts per netwerk
Range
128 . 0 . n . n → 191 . 255 . n . n
Voorbeeld 128.19.205.132 (netwerknaam 128.19.0.0)
Klasse C Net ID byte 1, eerste bits zijn altijd 1 1 0, (1 1 0 x x x x x) + byte 2 + byte 3
2097152 mogelijke netwerkadressen
Host ID byte 4
254 mogelijke hosts per netwerk
Range
192 . 0 . 0 . n → 223 . 255 . 255 . n
Voorbeeld 192.147.25.112 (netwerknaam 192.147.25.0)
Het gebruik van IP adressen wordt door de Internet Assigned Number Authority (IANA) beheerd.
IP adressen voor privé netwerken
Er wordt onderscheid gemaakt tussen publieke netwerken en privé netwerken (bedrijfsnetwerken).
Op het Internet (het geheel van publieke netwerken) moet ieder IP adres uniek zijn.
Bedrijfsnetwerken worden aan het Internet gekoppeld via een router. Om conflicten tussen
privé-netwerken en publieke netwerken te vermijden worden binnen iedere klasse een reeks
IP adressen gedefinieerd welke niet op het Internet gebruikt worden. Deze worden beschreven
in RFC 1597, Reserved Address Space. Een bedrijfsnetwerk krijgt als naam bijvoorkeur
een waarde uit die reeks, zie tabel 3.2 .

TCP/IP 42
Tabel 3.2: IP adressen voor privé netwerken
Klasse A netwerken 10.0.0.0 → 10.255.255.255
Klasse B netwerken 172.16.0.0 → 172.31.255.255
Klasse C netwerken 192.168.0.0 → 192.168.255.255
Speciale IP adressen
Tabel 3.3 geeft een overzicht van de speciale IP adressen
Tabel 3.3: Enkele belangrijke speciale IP adressen
Net ID Host ID Beschrijving
allemaal nullen allemaal nullen IP adres van deze computer, wordt gebruikt
tijdens de opstart
Net ID allemaal nullen Het netwerkadres, identificeert een volledig
netwerk
Net ID allemaal enen Broadcastadres op het netwerk
127 willekeurig IP adres voor het testen van netwerkapplicaties
Er wordt de mogelijkheid voorzien om broadcast berichten te versturen op een netwerk. Een
IP broadcast adres voor een bepaald segment wordt bekomen door alle bits van de host ID op
1 te plaatsen. Het IP adres 131.107.255.255 is een netwerk broadcastadres van het subnet
met als netwerkadres 131.107.0.0 .
3.2.3 Routers en subnetmasking
Figuur 3.6: Werking router

TCP/IP 43
Ondanks het feit dat het Internet in het enkelvoud aangeduid wordt, bestaat het uit een
groot aantal IP netwerken. Iedere ISP (Internet Service Provider) hangt zijn netwerk aan
minimaal één ander netwerk. Doordat ieder netwerk zijn unieke identificatie heeft kan de
informatie van het ene station naar het andere gestuurd worden. Routers zorgen ervoor
dat informatie op de juiste wijze door het Internet gerouteerd wordt. Deze routers houden
zogenaamde routeringstabellen waarin staat waar bepaalde IP adressen zich bevinden. Zodra
een IP pakket binnenkomt, vergelijkt de router het doeladres met zijn routeringstabellen.
Als een overeenkomst gevonden wordt, weet de router op welke poort het desbetreffende
pakket doorgestuurd kan worden.
Om het routeren te vergemakkelijken en om de bestaande klassen nog beter te benutten
werd in 1985 met de RFC 950 de mogelijkheid gegeven om groepen adressen te creëren
binnen een klasse A, B of C. Om binnen een klasse een aantal subnetten te creëren wordt de
prefix (NetID) met enkele bits uitgebreid (een extended network prefix). Met het gebruik van
subnetten verandert er op zich niets aan het IP adres. Voor de routers is het wel belangrijk
om te weten welke bits nu de NetID vormen. De router maakt daarom gebruik van een
subnetmasker. Met dit masker filtert de router het netwerkdeel uit het IP adres.
Hoe wordt het subnetmask opgesteld?
De bits die het netwerkgedeelte voorstellen krijgen de waarde 1
De bits die het hostgedeelte voorstellen krijgen de waarde 0
Daarna volgt de decimale omrekening.
Voorbeeld: een klasse C adres wordt uitgebreid met vier netwerkbits, het subnetmask wordt
dan:
11111111 . 11111111 . 11111111 . 11110000
255 . 255 . 255 . 240
3.2.4 Subnetten
Subnetting is van een gegeven IP adres, meerdere subnetten genereren.
Voorbeeld: een bedrijf werkt met IP adres 172.23.0.0 (klasse B).
Subnetmask is 255.255.0.0 of 1111 1111 1111 1111 0000 0000 0000 0000
Het volledig bedrijf moet opgesplitst worden in 10 verschillende subnetten. Alle subnetten
kunnen via een router aan elkaar gelinkt worden.
Met 4 bits kunnen 16 verschillende combinaties gemaakt worden.
Met 4 bits toe te voegen aan de Net ID kunnen dus de gewenste 10 subnetten gecreëerd
worden.
Subnetmask 1111 1111 1111 1111 1111 0000 0000 0000 of 255 . 255 . 240 . 0
Op die manier kunnen volgende 10 subnetten aangemaakt worden. Tabel 3.4 toont de verschillende
subnetten.

TCP/IP 44
Tabel 3.4: Subnetting en subnetmaskers
BYTE 3 BYTE 3 Subnet Subnetmask
(binaire code) (decimale waarde)
0000 0000 0 172.23.0.0 255.255.240.0
0001 0000 16 172.23.16.0 255.255.240.0
0010 0000 32 172.23.32.0 255.255.240.0
0011 0000 48 172.23.48.0 255.255.240.0
0100 0000 64 172.23.64.0 255.255.240.0
0101 0000 80 172.23.80.0 255.255.240.0
0110 0000 96 172.23.96.0 255.255.240.0
0111 0000 112 172.23.112.0 255.255.240.0
1000 0000 128 172.23.128.0 255.255.240.0
1001 0000 144 172.23.144.0 255.255.240.0
3.2.5 Classless Inter-Domain Routing
Door het succes van Internet dreigt er een tekort aan IP adressen. Het aantal toenemende
netwerken zorgt ook voor een sterk stijgend aantal routes waardoor er ook een probleem
komt voor de globale routeringstabellen.
De oplossing voor dit probleem bestaat uit twee stappen:
• Herstructurering van de IP adressen
• Hiërarchische routestructuur om het routeren efficiënter te maken
CIDR, Classless Inter-Domain Routing is een nieuwe vorm van adressering voor het Internet
welke een efficiënter gebruik van de IP adressen moet opleveren in vergelijking met de
klassen A,B en C. Het volgt rechtstreeks uit het begrip subnetten.
Het Net ID wordt niet meer beperkt tot 8, 16 of 24 bits. Een CIDR adres bevat het 32-bit IP
adres en informatie over het aantal bits welke deel uit maken van het Net ID. In het adres
206.13.01.48/25 betekent het achtervoegsel ’/25’ dat de eerste 25 bits de netwerknaam
bepalen en dat de resterende bits dienen om een bepaalde deelnemer te identificeren op
het netwerk.

TCP/IP 45
Tabel 3.5: Classless Inter-Domain Routing
CIDR code subnetmask binair aantal hosts
/28 255.255.255.240 11111111 11111111 11111111 11110000 16
/27 255.255.255.224 11111111 11111111 11111111 11100000 32
/26 255.255.255.192 11111111 11111111 11111111 11000000 64
/25 255.255.255.128 11111111 11111111 11111111 10000000 128
/24 255.255.255.0 11111111 11111111 11111111 00000000 256
/23 255.255.254.0 11111111 11111111 11111110 00000000 512
/22 255.255.252.0 11111111 11111111 11111100 00000000 1024
/21 255.255.248.0 11111111 11111111 11111000 00000000 2048
/20 255.255.240.0 11111111 11111111 11110000 00000000 4096
/19 255.255.224.0 11111111 11111111 11100000 00000000 8192
/18 255.255.192.0 11111111 11111111 11000000 00000000 16384
/17 255.255.128.0 11111111 11111111 10000000 00000000 32768
/16 255.255.0.0 11111111 11111111 00000000 00000000 65536
/15 255.254.0.0 11111111 11111110 00000000 00000000 131072
/14 255.252.0.0 11111111 11111100 00000000 00000000 262144
/13 255.248.0.0 11111111 11111000 00000000 00000000 524288
De CIDR adressering maakt ook ’route aggregation’ mogelijk. Eén high-level route verwijzing
kan veel lower-level routes in een globale routeringstabel vertegenwoordigen. Op deze manier
kan een volledige hiêrarchische structuur uitgewerkt worden welke te vergelijken is met
de zonale opdeling van de telefoonnummers.
3.2.6 Voorbeelden
• Toon aan dat de server met IP adres 203.125.72.28/28 en de server met IP adres
203.125.72.34/28 niet tot hetzelfde netwerk behoren.
• Het gegeven IP adres van een host is 192.168.100.102/27.
– Toon aan dat deze host behoort tot het netwerk: 192.168.100.96/27.
– Toon aan dat het broadcastadres van dit netwerk 192.168.100.127 is.
– Toon aan dat alle deelnemers op dit netwerk een IP adres hebben welke gelegen
is tussen 192.168.100.97 en 192.168.100.126.
• Een bedrijfsnetwerk is opgebouwd uit verschillende subnetten.
De deelnemers met volgende IP adressen behoren alledrie tot een verschillend subnet:
172.23.136.45, 172.23.139.78 en 172.23.140.197.
De deelnemers met IP adres 172.23.126.120 en 172.23.127.92 behoren wel tot hetzelfde
subnet.
Toon aan dat het CIDR achtervoegsel /23 zal zijn binnen het bedrijfsnetwerk.

TCP/IP 46
3.2.7 Het IP pakket
De te verzenden gegevens worden door de transportlaag aan de internetlaag doorgegeven.
De internetlaag pakt de informatie in het dataveld in en voegt er vervolgens een IP header
aan toe. Het geheel wordt vervolgens aan de netwerklaag doorgegeven voor verdere afhandeling.
Het verzenden van informatie door middel van het IP protocol gebeurt op basis van
IP pakketten.
Figuur 3.7: Het IP pakket
Wanneer een router een IPv4 pakket ontvangt dat te groot is voor het subnet waarop dit
pakket moet verder gestuurd worden dan zal IPv4 op de router dit pakket opsplitsen in kleinere
pakketten welke fitten in de dataframes van het desbetreffende subnet. Wanneer deze
pakketten de finale bestemmeling bereiken zal de IPv4 op de doelhost deze pakketten terug
in de originele volgorde plaatsen. Wanneer een pakket moet opgeslitst worden gebeurt het
volgende;
• Elk pakket krijgt zijn eigen IP header
• Alle opgesplitste berichten welke behoren tot hetzelfde originele bericht krijgen het
originele identification field. De more fragments flag toont aan dat andere fragmenten
volgen. De more fragments flag wordt niet gezet bij het laatste fragment.
• De fragment offset field geeft aan welke de positie is van dit fragment in het totale
bericht.
Om een goed idee te krijgen van de functies van het IP protocol wordt de IP header verder
toegelicht. Figuur 3.8 toont de verschillende velden binnen de IP header. De header bestaat
uit minstens 20 bytes.

TCP/IP 47
Figuur 3.8: De IP header
• Versie (V): veld van 4 bits welke de IP versie weergeeft.
• IHL: veld van 4 bits welke de lengte weergeeft van de header (in bytes)
• Type of service: gereserveerd / prioriteit van de gewenste dienst
• Totale lengte: de totale lengte in bytes van het volledige IP pakket
• Identification: als een IP pakket moet opgedeeld worden dan krijgt ieder pakket een
unieke identificatie zodat aan de ontvangende zijde alle pakketten terug op de juiste
manier kunnen samengevoegd worden.
• Flags: de vlaggen worden gebruikt om de fragmentatie van de pakketten op te volgen
• Fragment offset : wanneer een datapakket opgesplitst wordt dan wordt de positie van
het fragment in het gehele pakket hier in een 8-bit unit.
• Time to live (TTL): telkens als een IP pakket een router passeert wordt deze waarde
verminderd met 1. Indien dit getal nul wordt dan zal de betreffende router dit bericht
verwerpen. Zo wordt voorkomen dat een bericht oneindig lang kan blijven bestaan.
• Protocol: het hoger gelegen protocol wordt hier weergegeven
01h
06h
11h
ICMP
TCP
UDP
• Header Checksum: een controlewaarde voor de IP header. Iedere router zal deze header
checksum herbereken.
• Source IP address: IP adres van de zendende deelnemer
• Destination IP address: IP adres van de ontvangende deelnemer
• Options : andere netwerk informatie kan in de IP header opgenomen worden. Indien de
options data niet eindigt als een 32-bit woord dan wordt de rest opgevuld met padding
zeros.

TCP/IP 48
3.2.8 IPv6
Algemeen
Het meest actuele IP protocol welke in dit hoofdstuk besproken werd heeft versienummer 4
(IPv4). Door het grote succes van het IP protocol dringt zich een nieuwe versie op. Er is een
nakend tekort aan IP-adressen en verder is het ook belangrijk dat nieuwe functionaliteiten
eenvoudig kunnen geïntegreerd worden. Verder moet een nieuwe versie van het IP protocol
een hogere performantie kunnen garanderen
Met de komst van IPv6 is er ook een praktisch probleem: hoe zal het publieke toegankelijke
Internet dat werkt op basis van IPv4, omschakelen naar IPv6? De eenvoudigste manier is
de zogenaamde dual-stack benadering. Daarbij wordt op nodes zowel IPv6 als IPv4 geïmplementeerd.
Deze nodes kunnen zowel IPv4 als IPv6 datagrammen verwerken.
Momenteel toont de automatiseringswereld totaal geen interesse voor de integratie van IPv6.
In wat volgt worden kort enkele voorzieningen van IPv6 aangehaald. Er werden echter zoveel
mogelijk ontwerpvoorzieningen die IPv4 zo succesvol hebben gemaakt gehandhaafd.
IP adres
IPv6 maakt gebruik van IP adressen van 128 bits. Hierdoor ontstaan uitgebreide adresseringsmogelijkheden.
Hexadecimale notatie met dubbele punten, adressen worden 128 bit
lang: 8 groepen van 4 hexadecimale digits
2000:0000:0000:0FED:CBA9:8765:4321
2000::FED:CBA9:8765:4321
IPv4 adressen ::192.32.20.46
De nieuwe adressering moet zorgen voor kleinere routetabellen.
IPv6 header
Figuur 3.9: IPv6 header
De IP header is grondig gewijzigd. Een eenvoudiger basisheader in combinatie met de mogelijkheid
tot integratie van optionele headers moet ervoor zorgen dat de header-processingtijd
voor de router sterk gereduceerd wordt. Een aantal IPv4 velden worden geschrapt of zijn
alleen nog als optie beschikbaar. De velden in de IPv6 header:

TCP/IP 49
• Flow label: een 20-bit identificatienummer om een pakket te onderscheiden in een
datastream
• Hop limit: aantal routers dat een bepaalde pakket kan processen is beperkt
• Next header: definieert het type van de eerste optionele header
• Versieveld: Dit 4-bit veld geeft het IP versienummer aan. Voor IPv6 is dit de waarde 6.
• Payloadlengteveld: dit 16-bit getal is een unsigned integer waarmee het aantal bytes
in het IPv6-datagram wordt aangeduid dat volgt na de standaardheader met een lengte
van 40 bytes.
Omdat de transportlaag (TCP en UDP) en de datalinklaag (vb Ethernet) protocollen op het
Internet checksums berekenen, hebben de ontwerpers van IPv6 gemeend dat het berekenen
van checksums op de internetlaag niet langer noodzakelijk is.
3.3 Transmission Control Protocol (TCP)
3.3.1 Inleiding
IP is een verbindingsloos pakketbezorgingsdienst. TCP krijgt dus een moeilijke taak. Gebruik
makend van de onbetrouwbare pakkettendienst van IP moet het aan verschillende toepassingsprogramma’s
een betrouwbare data-afleveringsdienst bieden. Voor veel toepassingen
is het essentieel dat een transportsysteem betrouwbaarheid kan bieden: het systeem moet
garanderen dat data niet verloren gaat, geduplicerd wordt of niet in de juiste volgorde aankomt.
3.3.2 End-to-end transportdienst
Het TCP protocol is er verantwoordelijk voor dat informatie correct over één of meerdere netwerken
wordt verstuurd. De uitwisselingsvorm van TCP staat bekend als connection oriented:
een logische verbinding wordt opgebouwd, gebruikt en daarna terug stopgezet. TCP is dus
een end-to-end protocol. Figuur 3.10 laat zien waarom TCP een end-to-end protocol is. TCP
ziet IP als een mechanisme waarmee TCP op een bepaalde host data kan uitwisselen met TCP
op een host op afstand.

TCP/IP 50
Figuur 3.10: TCP als end-to-end transportprotocol
Vanuit het gezichtspunt van TCP is het hele Internet een communicatiesysteem dat berichten
kan accepteren en afleveren zonder de inhoud ervan te veranderen of te interpreteren.
3.3.3 Hoe betrouwbaarheid wordt bereikt
TCP is dus een bibliotheek van routines welke door applicaties kunnen gebruikt worden wanneer
deze een betrouwbare communicatie met een andere deelnemer, host willen opstarten.
TCP hanteert verschillende technieken om volledige betrouwbaarheid te garanderen.
Herversturen dan datagrammen: als TCP data ontvangt, stuurt het een acknowledgement
naar de zender terug. Telkens wanneer TCP data verstuurt, start het een timer. Indien
de timer afloopt voordat de bevestiging ontvangen werd, verstuurt de zender de data opnieuw,
zie ook figuur 3.11.
Windowmechanisme om de datastroom te regelen. Als een verbinding tot stand is gebracht,
reserveert elk einde van de verbinding een buffer voor de inkomende en uitgaande
data en stuurt de grootte van de buffer naar het andere einde. De beschikbare bufferruimte
op een willekeurig moment wordt window genoemd en de mededeling voor het opgeven van
de grootte wordt window advertisement genoemd. Een ontvanger stuurt bij elke ontvangstbevestiging
een window advertisement. Als de ontvangende toepassing de data zo snel kan
lezen als deze aankomt stuurt de ontvanger met elke bevestiging een positieve window advertisement
mee. Als de zendende kant echter sneller werkt dan de ontvangende kant zal
de binnenkomende data uiteindelijk de buffer van de ontvanger vullen, waardoor op een
bepaald moment de ontvanger een zero window adverteert. Een zender die een zero window
advertisement ontvangt moet het zenden stoppen tot de ontvanger weer een positieve
window advertisement doorstuurt.
Three-way handshake: Om te garanderen dat verbindingen op betrouwbare wijze tot stand
gebracht en beëindigd worden, gebruikt TCP een three-way handshake waarin drie berichten
worden uitgewisseld. TCP gebruikt de term synchronisatiesegment (SYN-segment) voor
berichten in een drievoudige handdruk die voor het opzetten van een verbinding worden
gebruikt, en de term FIN-segment voor het beschrijven van berichten in een drievoudige
handdruk waarmee een verbinding wordt gesloten.

TCP/IP 51
Figuur 3.11: Three-way handshake
3.3.4 Het TCP segment
De te verzenden gegevens worden door de applicatielaag aan de transportlaag doorgegeven.
De transportlaag pakt de informatie in het dataveld in en voegt er vervolgens een TCP
header aan toe. Het geheel wordt vervolgens aan de internetlaag doorgegeven voor verdere
afhandeling. Het verzenden van informatie door middel van het TCP protocol gebeurt op
basis van TCP segmenten.
Figuur 3.12: Three-way handshake

TCP/IP 52
Om een goed idee te krijgen van de functies van het TCP protocol wordt de TCP header verder
toegelicht. Figuur 3.12 toont de verschillende velden binnen de TCP header. De header
bestaat uit 20 bytes.
• Source, Destination Port: voor de verschillende upper-layer applicaties is TCP toegankelijk
via verschillende poortnummers. Ports zijn een uniek 16-bit adres. De combinatie
van een port en een internetadres wordt een socket genoemd, conform de originele definitie
van een socket gedefinieerd door ARPA (1971). Het gebruik van poortnummers
is essentieel bij opbouwen van een communicatie tussen verschillende applicaties. Dit
wordt verder in de hoofdtuk uitgebreider besproken. Verder in deze cursus geeft tabel
3.6 een overzicht van veel gebruikte poorten binnen de automatisering.
• Sequence number: in TCP krijgt iedere byte een nummer. Het sequentienummer is het
nummer van de eerste data-byte in het TCP-segment na de TCP-header.
• Acknowledgement nummer: dit veld bevat het volgende sequentienummer dat verwacht
wordt van de partner.
• Header Length: lengte van de TCP-header in 32-bit woorden
• Code bits: verschillende bits waarmee een aantal statussen kunnen meegegeven worden.
– de RST-bit om de communicatie opnieuw te initialiseren.
– de SYN-bit welke gebruikt wordt om een communicatie te starten
– de FIN-bit welke gebruikt wordt om aan te geven dat een communicatie kan beëindigd
worden.
• Window: het window veld geeft de maximale hoeveelheid databytes aan die verstuurd
kan worden alvorens een bevestiging verstuurd en ontvangen dient te worden.
• Checksum: is een controle waarde van het TCP-pakket
• Urgent Pointer: de waarde geeft aan waar in het dataveld de urgente informatie begint.
Om urgente informatie met een TCP-pakket mee te sturen dient de URG-codebit gezet
te worden.

TCP/IP 53
3.4 UDP
De protocol-suite van het Internet kent ook een verbindingsloos transportprotocol, namelijk
UDP (User Data Protocol). Met UDP kunnen applicaties IP pakketten zenden zonder een
verbinding tot stand te brengen. Veel Client Server applicaties die één aanvraag en één antwoord
hebben gebruiken UDP in plaats van een verbinding te moeten maken en later weer
op te heffen. UDP wordt in RFC 768 beschreven.
UDP is bijna een nul-protocol: de enige diensten die het voorziet is een checksum voor de
data en het multiplexen van applicaties via poortnummers. De UDP header is dan ook een
stuk eenvoudiger dan deze van TCP.
Figuur 3.13: Het UDP segment
Een UDP-segment bestaat uit een header van acht bytes gevolgd door de data.
De header bestaat uit:
• Source port (2 bytes): poortnummer van de zender, is gelijk aan nul indien geen poort
gebruikt wordt.
• Destination port (2 bytes): poort van de applicatie aan welke dit bericht gericht is.
• Lenght (2 bytes): de lengte in bytes van de UDP header en de ingekapselde data.
• Checksum (2 bytes)
Een typisch voorbeeld van UDP is real time audio. Het verloren gaan van datapakketten is
jammer maar heeft geen invloed op het verder functioneren van de applicatie.

TCP/IP 54
Figuur 3.14: Real time audio als toepassing van UDP

TCP/IP 55
3.5 TCP en UDP poorten binnen de automatisering
In deze lijst wordt een overzicht gegeven van enkele veel gebruikte poortnummer binnen de
industriële automatisering.
Tabel 3.6: Veel gebruikte TCP en UDP poortnummers
Applicatie
FTP-data (File Transfer Protocol)
FTP-control (File Transfer Protocol)
SSH (Secure Shell)
Telnet protocol
BOOTP Server
DHCP Server
BOOTP Client
DHCP Client
TFTP (Trivial File Transfer Protocol)
HTTP (Hypertext Transfer Protocol)
NTP (Network Time Protocol)
SNMP (Simple Network Management Protocol)
SNMPTRAP (Simple Network Management
Protocol Trap)
HTTPS (Hypertext Transfer Protocol over
TLS/SSH)
ISAKMP (Internet Security Association And
Key Management Protocol
MODBUS
IPsec NAT traversal
EtherNetIP
ROFINET such as connection establishment
IANA free ports reserved for dynamic
and/or private port (profinet service)
DDI Device Driver Interface (special protocol
used for diagnostic functionality)
SOCOMM Interface (Engineering Channel
used for control communication)
Poortnummer / Protocol
20 / TCP
21 / TCP
22 / TCP,UDP
23 / TCP
67 / UDP
67 / UDP
68 / UDP
68 / UDP
69 / UDP
80 / TCP
123 / UDP
161 / TCP,UDP
162 / TCP,UDP
443 / TCP
500 / UDP
502 / TCP; UDP
4500 / UDP
2222 / TCP; UDP
0x8892 (34962) / UDP
0x8893 (34963) / UDP
0x8894 (34964) / UDP
0xC000 - 0xFFFF
1962 / TCP
20547 /TCP

TCP/IP 56
3.6 Communicatie over TCP(UDP)/IP
3.6.1 Client Server model
Een internet (TCP/IP) zorgt voor een algemene communicatie infrastructuur zonder op te
geven welke diensten allemaal kunnen gebruikt worden. TCP/IP verschaft een basiscommunicatiedienst
maar deze protocolsoftware is niet in staat om contact te maken met of contact
te accepteren van een deelnemer op afstand. Daarom moeten bij elke communicatie twee
toepassingsprogramma’s worden gebruikt: de ene toepassing start de communicatie en de
andere accepteert deze.
Eén belangrijk probleem: de protocolsoftware kan op geen enkele manier aan een toepassingsprogramma
vertellen dat er een verzoek tot communicatie is aangekomen. Daarom zal
de communicatie tussen twee deelnemers gebaseerd zijn op een model waarbij de ene toepassing
actief is (interactie aanvragen) terwijl de andere passief is (luisteren en eventueel
accepteren). Dergelijk model wordt momenteel algemeen toegepast bij communicatie tussen
twee verschillende hosts over TCP/IP en wordt het Client Server model genoemd: een
Server applicatie wacht passief op contact terwijl de Client toepassing de communicatie actief
start.
Kenmerken van Client software:
• Is een toepassingsprogramma dat tijdelijk een Client wordt wanneer toegang tot een
computer op afstand nodig is, maar dat ook lokaal berekeningen en bewerkingen uitvoert.
• Wordt direct door de gebruiker gestart en voor slechts één sessie uitgevoerd.
• Draait lokaal op de PC van een gebruiker
• Maakt actief contact met een Server
• Kan indien nodig tot meerdere Servers toegang krijgen, maar maakt actief contact met
één Server tegelijk
• Vereist geen speciale hardware of een geavanceerd besturingssysteem
Kenmerken van Server software:
• Is een speciaal ontworpen toepassingsprogramma, dat één bepaalde dienst levert,
maar verschillende Clients tegelijkertijd kan afhandelen.
• Wordt automatisch geactiveerd wanneer een systeem opstart en blijft actief tijdens vele
sessies
• Draait op een gedeelde computer
• Wacht passief tot willekeurige Clients op afstand contact zoeken
• Vereist soms krachtige hardware en een geavanceerd besturingssysteem (afhankelijk
van de soort toepassing)

TCP/IP 57
Figuur 3.15: Client Server model over TCP/IP
3.6.2 Endpoint en Internetsocket
Figuur 3.15 toont een Client Server communicatie over de TCP/IP stack. Op computersystemen
kunnen tegelijkertijd meerdere Clients en Servers actief zijn. Belangrijk hierbij wordt
dat iedere applicatie eenduidig moet geïdentificeerd worden en dat terwijl de computer waar
meerdere applicaties op draaien slechts één fysieke verbinding heeft met het Internet.
Hiervoor geven transportprotocollen elke communicatiedienst een unieke naam. TCP gebruikt
hiervoor protocolpoortnummers. Aan elke Server wordt een specifiek protocolpoortnummer
toegekend. Via dit poortnummer wacht de Server passief op communicatie. Bij het
versturen van een aanvraag vermeldt de Client het poortnummer van de gewenste dienst.
De TCP software op de computer van de Server gebruikt het destination poortnummer in een
inkomend bericht om te bepalen welke Server de aanvraag moet afhandelen.
Figuur 3.16: Begrippen endpoint en socket
endpoint
Het begrip endpoint kan soms tot verwarring leiden met het begrip socket. De oorspronkelijke
definitie van een socket volgens ARPANET is de combinatie van het IP adres met het

TCP/IP 58
poortnummer. Deze combinatie wordt heden een endpoint genoemd. Een endpoint beschrijft
via welke logische weg een applicatie bereikbaar is via een internet.
Internetsocket
De term socket is heden louter een software term. Een socket zorgt voor het mappen, het
linken van een applicatie aan een endpoint. Zo ontstaat het begrip Internetsocket, ook netwerksocket
genoemd. Een Internetsocket, kortweg socket genoemd, is een bidirectioneel
communicatie endpoint van een proces tot proces verbinding en wordt bepaald door:
• Het protocol
– UDP protocol: datagramsockets of connectionless sockets
– TCP protocol: streamsockets of connection-oriented sockets
– ruw IP pakket (bv ICMP): rawsockets
• Lokaal IP adres
• Lokaal protocolpoortnummer
• Remote IP adres
• Remote protocolpoortnummer
3.6.3 Dynamische Servers
Van een computersysteem waarop meerdere toepassingsprogramma’s tegelijkertijd kunnen
draaien wordt gezegd dat het systeem concurrency ondersteunt. Een programma dat meer
dan één besturingsthread, of kortweg thread, proces of task heeft wordt een concurrent
programma genoemd.
Concurrency is essentieel voor het Client Server interactie model omdat een concurrent Server
tegelijkertijd meerdere Clients van dienst kan zijn zonder dat elke Client moet wachten
tot voorgaande Clients klaar zijn.
De meeste concurrent Servers werken dynamisch. De server creëert voor elke aanvraag
die aankomt een nieuwe thread, een nieuw proces. In principe bestaat een Server uit twee
delen. Een eerste deel dat de aanvragen aanneemt en een nieuwe thread start voor deze
aanvraag. Dit eerste deel wordt de hoofdthread genoemd. Het tweede deel bestaat uit de
code die elke afzonderlijke aanvraag kan afhandelen.
Als een concurrent Server opstart draait alleen de hoofdthread. Komt er een aanvraag binnen
dan produceert de hoofdthread een nieuwe thread die de aanvraag afhandelt. Ondertussen
houdt de hoofdthread de Server actief en wacht op een volgende binnenkomende aanvraag.
3.6.4 Ondubbelzinnige communicatie
Indien van een Server meerdere threads actief zijn is het belangrijk dat de inkomende berichten
van een Client gekoppeld worden aan de juiste thread van de Server.

TCP/IP 59
TCP eist van elke Client dat deze een lokaal protocolnummer kiest dat nog niet aan een dienst
is toegewezen. Elke Client welke een TCP segment verstuurt zal dit lokaal poortnummer in
het source port veld plaatsen. Het protocolpoortnummer van de Server wordt in het destination
port veld geplaatst.
Op de computer van de Server gebruikt TCP de combinatie van de protocolpoortnummers
en de IP adressen om een bepaalde communicatie te identificeren. Op deze manier kunnen
er berichten van meerdere Clients voor dezelfde Server aankomen zonder een probleem te
veroorzaken. Samengevat moet iedere (Internet) socket uniek zijn.
Figuur 3.17: Client Server model over TCP/IP
Figuur 3.17 toont hoe een ondubbelzinnige communicatie tot stand komt wanneer twee
Clients op eenzelfde PC een remote verbinding aangaan met dezelfde Server.
De communicatie tussen Client 1 en de Server wordt gekenmerkt door volgende socket:
• Protocol: TCP
• SP: 4400
• DP: 80
• SA: 172.23.1.101
• DA: 172.23.2.51
De communicatie tussen Client 2 en de Server wordt gekenmerkt door volgende socket:
• Protocol: TCP
• SP: 4444
• DP: 80
• SA: 172.23.1.101
• DA: 172.23.2.51
Het volstaat dat één van de parameters verschillend is om beide verbindingen een unieke
identificatie toe te kennen.

TCP/IP 60
3.6.5 Status van een socket
Een TCP socket kan zich in de status listening bevinden. Wanneer een Server wacht op
een remote Client om een communicatie aan te vragen dan zijn de socketgegevens voor de
Server
• Protocol: TCP
• SP: 80
• DP: 0
• SA: 172.23.1.51
• DA: 0.0.0.0
Een TCP socket kan zich in volgende statussen bevinden
• listening
• established
• Syn-sent
• Syn-Recv
• Fin-wait1
• Fin-wait2
• Time-wait
• Close-wait
• Closed
Een UDP socket kan zich niet in een status established bevinden. Een UDP Server maakt
geen nieuwe threads aan voor iedere andere CLient. Het hoofdproces verwerkt inkomende
datapakketten opeenvolgend via dezelfde lokale UDP socket.
3.6.6 Verbindingsgerichte en verbindingsloze communicatie
Transportprotocollen ondersteunen twee basisvormen van communicatie: verbindingsgericht
(TCP) en verbindingsloos (UDP). Clients en Servers kunnen voor hun communicatie beide
basisvormen gebruiken.
Indien een Client TCP gebruikt voor een verbindingsgerichte communicatie dan moet deze
Client TCP eerst verzoeken om een verbinding met een andere toepassing op te starten. Is
de verbinding tot stand gebracht dan kunnen de twee toepassingen data uitwisselen. Als de
twee toepassingen de communicatie hebben beëindigd, dan wordt de verbinding afgesloten
door TCP.
Het alternatief is een verbindingsloze communicatie waarbij een toepassing op elk moment
een bericht kan versturen naar elke willekeurige bestemming. Een toepassing welke UDP
gebruikt kan een serie berichten versturen waarbij elk bericht naar een andere bestemming
wordt gezonden.

Hoofdstuk 4
Uitbreidingsprotocollen en
netwerkapplicaties
4.1 ARP
4.1.1 Inleiding
Het IP adres is een virtueel adres, het wordt verwerkt door software. Geen enkele LAN hardware
of WAN hardware kan de relatie leggen tussen het NetID van een IP adres en een netwerk
of tussen de HostID van een IP adres en een host. Om een IP pakket te transporteren
moet deze data ingepakt worden in een frame dat door de lokale hardware bij de juiste deelnemer
kan afgeleverd worden. Dit frame moet dan ook de hardware adressen van de zender
en de ontvanger bevatten.
4.1.2 Address Resolution Protocol (ARP)
Wanneer het IP protocol een bericht wenst te versturen over Ethernet dan moet naast het
IP adres van de bestemming ook het MAC adres van de bestemming gekend zijn. Hiervoor
bevat de TCP/IP protocol suite een Adress Resolution Protocol (ARP). Het ARP definieert twee
basis berichttypen: een aanvraag en een antwoord. Een aanvraagbericht bevat een IP adres
en verzoekt om het corresponderende hardware adres, het MAC adres. Het antwoord bevat
een IP adres dat met de aanvraag werd meegestuurd en het hardware adres.
Het is natuurlijk hopeloos inefficiënt om voor elk te versturen IP pakket eerst een ARP aanvraag
te sturen. Hiervoor zal het ARP protocol alle bekomen informatie tijdelijk op slaan in
een tabel.
Figuur 4.1: De ARP cache

Uitbreidingsprotocollen en netwerkapplicaties 62
ARP beheert deze tabel als een cache: een kleine tabel met een beperkt aantal bindingen
die telkens overschreven worden of na een periode (enkele minuten) weer gewist worden.
Figuur 4.1 toont hoe met het DOS commando arp -a een actueel overzicht bekomen wordt
van de ARP cache.
Figuur 4.2: ARP respons in Wireshark
Figuur4.2 toont het gebruik van ARP in Wireshark (Wireshark is een packet sniffer en protocol
analyzer, een programma dat gebruikt wordt om gegevens op een computernetwerk op te
vangen en te analyseren).
Het RARP protocol doet net andersom. Het stuurt een request, een aanvraag met een hardware
adres. Hierop komt een reply, een antwoord met het gezochte IP adres.
4.2 BOOTP en DHCP
4.2.1 Inleiding
Tijdens de opstart van een host moeten een aantal zaken geconfigureerd worden vooraleer
deze host aktief kan deelnemen aan het netwerkverkeer. Iedere host moet een IP adres bekomen,
het toegepaste subnetmask, het IP adrers van de defaultgateway (dit is de router
die het lokale netwerk koppelt aan andere netwerken, aan het Internet, ... ) en eventueel
gegevens omtrent de DNS server (zie verder in dit hoofdstuk). Deze gegevens kunnen statisch
vastgelegd worden in een host of deze kunnen dynamisch toegekend worden aan een
host. In dit onderdeel wordt besproken hoe bepaalde gegevens automatisch kunnen geconfigureerd
worden tijdens het opstarten. Het opstartproces staat ook bekend onder de naam
bootstrapping.
4.2.2 BOOTP
Het Bootstrap protocol is toegevoegd aan de TCP/IP suite om een aantal dynamsiche configuratiestappen
tot één stap te combineren. Om configuratieinformatie te bekomen stuurt het
BOOTP protocol een request broadcast bericht uit. Een BOOTP server herkent dit bericht en
retourneert een BOOTP reply bericht met alle nodige informatie naar de aanvragende deelnemer.
BOOTP gebruikt een IP pakket zonder dat de deelnemer reeds een IP adres bevat. Als
doeladres wordt een broadcast adres verstuurd bestaande uit enkel maar ’1’-en en een bron
adres bestaande uit enkel maar ’0’-en. De BOOTP server kan het hardeware adres gebruiken
om een antwoord te versturen.

Uitbreidingsprotocollen en netwerkapplicaties 63
BOOTP vereenvoudigt de configuratie maar blijft het probleem dat een BOOTP server zijn
informatie ophaalt uit een database welke door een beheerder met de hand moet aangepast
worden.
4.2.3 DHCP
Om de configuratie nog meer te automatiseren heeft de IEFT het Dynamic Host Configuratin
Protocol (DHCP) ontwikkeld. DHCP is een protocol welke een host kan bijtreden tot een nieuw
netwerk zonder handmatige inmenging van een beheerder. Figuur 4.3 toont de verschillende
stappen tijdens de automatische configuratie van een host. Het is een Client server protocol.
De client is een nieuwe host welke zal verzoeken om IP gegevens. Per netwerk kunnen één
of meerdere DHCP servers aanwezig zijn welke deze gegevens kunnen toekennen.
Figuur 4.3: Ping commando
Voor een nieuwe host bestaat het DHCP protocol uit vier stappen:
• DHCP discoverbericht: een Client stuurt een UDP bericht via poort 67, verpakt in een IP
pakket om een DHCP server op te sporen. Er wordt een broadcast bestemmingsadres
gebruikt, 255.255.255.255 en als bronadres wordt 0.0.0.0 toegekend.
• DHCP offerbedricht: een DHCP server antwoordt naar de Client. Dit antwoord bevat
een IP adres, een subnetmask en een leasetijd voor het IP adres.
• DHCP requestbericht: de host maakt een keuze uit de verschillende aanbiedingen en
antwoordt naar de gekozen server met een requestbericht welke de configuratieparameters
bevat.
• DHCP ACKbericht: de server antwoordt met een bevestiging.
4.2.4 DHCP Relay agent - DHCP option 82
DHCP Relay agent is een Bootstrap Protocol dat DHCP berichten tussen clients en servers
voor DHCP op verschillende IP netwerken kan doorsturen. M.a.w via een DHCP Relay agent
kan een DHCP server ook een netwerk dienen waar het niet rechtstreeks mee verbonden is.

Uitbreidingsprotocollen en netwerkapplicaties 64
Een DHCP Relay agent luistert via de gekende client poort bootpc (67) naar broadcastberichten
van DHCP clients op het netwerk. Deze berichten worden geconverteerd naar unicastberichten
en worden dan doorgestuurd naar de geconfigureerde DHCP server. Hiervoor zal de
DHCP Relay agent een invulling doen van het giaddr field in deze berichten met zijn eigen IP
adres. De DHCP server kan de reply zodoende sturen als een unicastbericht naar de Relay
agent. De Relay agent zal de replay of via een broadcast bericht of via een unicastbericht
versturen op het netwerk van de client.
DHCP option 82 is een DHCP Relay agent Information optie. Deze optie is ontwikkeld zodat
een DHCP Relay agent netwerk specifieke informatie kan toevoegen aan een bericht welke
hij forward naar een DHCP server. De optie gebruikt hierbij twee bijkomende gegevens:
Circuit ID en Remote ID. Deze informatie moet de DHSP server informatie bezorgen over de
locatie van de host welke de request verstuurt. De info is zeer sterk afhankelijk van de DHSP
Relay agent en zal voor Ethernet gebaseerde netwerken bestaan uit MAC adressen van de
poorten op de Relay agent die de link vormen naar de eindhost. Deze informatie kan gebruikt
worden om aan te geven waar een toegekend IP adres zich fysisch in het netwerk bevindt.
Deze informatie kan door de DHSP server ook gebruikt worden bij beslissingen omtrent het
toekennen van een bepaald IP adres.
4.3 ICMP
4.3.1 Inleiding
Bij de IP communicatiedienst kunnen datapakketten verloren gaan, de aflevering ervan sterk
vertraagd worden, of in een verkeerde volgorde worden afgeleverd. IP is geen betrouwbare
communicatiedienst maar probeert fouten te voorkomen en eventuele problemen te rapporteren
wanneer ze optreden. Een eerste voorbeeld van foutdetectie is de header checksum.
Telkens een datapakket wordt ontvangen, wordt de checksum gecontroleerd om er zeker van
te zijn dat de header onbeschadigd is. Indien een controlesomfout wordt vastgesteld wordt
dit bericht onmiddellijk weggegooid. Hierover kan geen melding gebeuren omdat samen met
het bericht ook het bronadres verwijderd is. Andere minder ernstige problemen kunnen wel
gerapporteerd worden.
4.3.2 Internet Control Message Protocol
De TCP/IP protocol suite bevat een protocol, het Internet Control Message Protocol (ICMP),om
foutberichten te verzenden. Op deze manier kan gemeld worden indien een bepaalde netwerkvoorziening
niet beschikbaar is, of dat een bepaalde host of router niet bereikbaar is.
Soms komt een computergebruiker ook direct met het protocol ICMP in aanraking, voornamelijk
bij gebruik van de netwerkdiagnosecommando’s ping en traceroute.
ICMP kent vijf foutberichten en vier informatieve berichten. De vijf ICMP foutberichten zijn:
• Source quench (bron doven), wordt verstuurd door een router indien deze tijdelijk bufferruimte
tekort komt waardoor hij binnenkomende IP pakketten moet weggooien. Dit
bericht wordt verstuurd naar de host die het IP pakket heeft aangemaakt. De zendende
host zal de transmissiesnelheid moeten aanpassen.
• Time exceeded, wordt verstuurd door een router nadat het Time to live veld tot nul
werd verlaagd.

Uitbreidingsprotocollen en netwerkapplicaties 65
• Destination unreachable, wordt verstuurd door een router indien die merkt dat een IP
pakket de bestemming niet kan bereiken. Het foutbericht maakt onderscheid tussen
een situatie waarbij een heel netwerk tijdelijk van het Internet losgekoppeld is (omdat
een bepaalde router niet naar behoren functioneert) en het geval waarin een bepaalde
host tijdelijk offline is.
• Redirect, wordt verstuurd door een router indien die merkt dat het IP pakket eigenlijk
naar een andere router moet verstuurd worden om de uiteindelijke bestemming te
kunnen bereiken.
• Fragmentation required, wordt verstuurd door een router indien deze merkt dat een IP
pakket groter is dan de MTU (Maximum Transmission Unit) van het netwerk waarover
het IP pakket moet verstuurd worden.
ICMP definieert ook vier informatieve berichten:
• Echo request/reply, een echo request kan verstuurd worden naar elke willekeurige host.
Als antwoord wordt een echo reply verstuurd, het antwoord bevat dezelfde adat als het
verzoek.
• Address mask request/reply, een host vertuurt een address mask request wanneer hij
wordt opgestart. Een router antwoord met een bericht dat het juiste subnetmasker
bevat dat op het netwerk gebruikt wordt.
4.3.3 ICMP bericht
Het ICMP protocol is een ondersteunend protocol aan het IP protocol. Het gebruikt dan ook
IP pakketten om de berichten te versturen. Figuur 4.4 toont hoe een ICMP bericht wordt
ingekapseld in een dataframe.
Een ICMP foutbericht wordt altijd geproduceerd als antwoord op een bepaald IP pakket. Het
wordt altijd teruggestuurd naar de bron van het IP pakket.
Figuur 4.4: Inkapseling van een ICMP bericht
De verschillende velden in de ICMP header zijn:
• TYPE:
• Code:
• Checksum:

Uitbreidingsprotocollen en netwerkapplicaties 66
• Identifier:
• Sequence number:
4.3.4 Bereikbaarheid van een host controleren
Veel tools halen informatie over een netwerk op door testberichten te sturen en op ICMP
antwoorden te wachten. Eén van de belangrijkste diagnosetools is het ping programma. Het
ping programma, als DOS commando in te voeren, zendt via ICMP IP pakketten naar een
andere deelnemer om te controleren of deze host via het netwerk bereikbaar is. Het is de
bedoeling dat de doelhost deze pakketjes meteen (als een echo) terugstuurt. Daarnaast
toont het een statische samenvatting van het percentage pakketjes waarop niet gereageerd
is en de reactiesnelheid. Zowel het IP adres of de hostname kunnen gebruik worden.
ping www.google.be
ping 134.16.85.9
Er zijn heel wat opties mogelijk. Een overzicht van alle opties wordt bekomen indien het ping
commando zonder meer wordt ingegeven.
Figuur 4.5: Ping commando
4.3.5 Een route traceren
Is het programma ping alleen bedoeld om na te gaan of een bepaalde host bereikbaar is, dan
zal het commando tracert de route tot een bepaalde host zichtbaar maken. Figuur 4.6 toont
op welke manier een tracert commando alle IP adressen weergeeft van de routers die het
testpakket ontvangen en weer doorsturen.

Uitbreidingsprotocollen en netwerkapplicaties 67
Figuur 4.6: Ping commando
Tracert stuurt eerst een testpakket met een time to live waarde van 1. De eerste router
verlaagt deze waarde tot 0, gooit het bericht weg en stuurt een ICMP Time Exceeded bericht
terug. Hierdoor kan het IP adres van de eerste router weergegeven worden. Vervolgens
wordt een testbericht verstuurd met een time to live waarde van 2. De eerste router verlaagt
deze waarde en stuurt het bericht verder. De tweede router zal de time to live waarde op
0 plaatsen, het bericht weggooien en een ICMP foutbericht terug sturen. Hierdoor is het IP
adres bekend van de tweede router. Deze procedure wordt verder gezet tot de uiteindelijke
host bereikt werd.
4.4 IGMP
4.4.1 Inleiding
IGMP (Internet Group Management Protocol) is het protocol voor IP multicast toepassingen
op TCP/IP netwerken. Deze standaard is gedefinieerd in RFC 1112. Naast een definitie van
adres- en hostuitbreidingen voor de ondersteuning van multicasting door IP hosts, bevat deze
RFC ook een definitie van versie 1 van IGMP. IGMP versie 2 wordt gedefinieerd in RFC 2236.
Beide versies van IGMP bieden een protocol waarmee informatie over het lidmaatschap van
een host van specifieke multicast groepen kan worden uitgewisseld en bijgewerkt.
Multicast berichten worden naar één adres verstuurd (multicast IP adres) maar worden door
meerdere hosts verwerkt. De verzameling van deelnemers die luisteren naar één bepaald
multicast IP adres wordt een multicast groep genoemd. Enkele belangrijke aspecten van
multicasting:
• Het lidmaatschap van een groep is dynamisch: hosts kunnen op elk moment toetreden
tot een groep of een groep verlaten.
• Hosts kunnen zich aansluiten bij multicast groepen door IGMP berichten te versturen
• Er is geen beperking omtrent de grootte van groepen. De verschillende deelnemers
kunnen over meerdere netwerken verspreid zijn op voorwaarde dat de tussenliggende
routers IGMP ondersteunen.

Uitbreidingsprotocollen en netwerkapplicaties 68
• Hosts die niet tot een bepaalde groep behoren kunnen wel IP berichten versturen naar
die groep.
4.4.2 IGMP berichten
IGMP beschrijft hoe de informatie over de lidmaatschapstatus uitgewisseld wordt tussen routers
en de verschillende deelnemers van multicast groepen. Enkele IGMP berichten:
• Hostlidmaatschapsrapport: wordt verzonden als een host lid wordt van een multicast
groep en informeert hiermee alle andere leden van de groep. Een router bewaart deze
rapporten en staat zo in voor het onderhoud van de multicast groep.
• Hostlidmaatschsquery: wordt verstuurd door routers om periodiek te informeren naar
groepsleden in een netwerk. Alle leden van een groep antwoorden opnieuw met een
lidmaatschapsrapport. Routers houden alle informatie bij en zorgen ervoor dat er geen
multicast berichten verstuurd worden op netwerken waar geen leden van de groep zijn.
• Groep verlaten: dit bericht wordt verzonden door een host die als laatste lid van een
groep binnen een bepaald netwerksegment een groep verlaat.
Het IGMP protocol is een ondersteunend protocol aan het IP protocol. Het gebruikt dan ook
IP pakketten om de berichten te versturen. Figuur 4.7 toont hoe een IGMP bericht wordt
ingekapseld in een dataframe.
Figuur 4.7: Inkapseling van een IGMP bericht
4.4.3 IGMP snooping
Een switch welke een lid uit een multicast groep verbindt met een router kan IGMP berichten
lezen en evalueren met behulp van IGMP snooping. IGMP snooping vertaalt multicast IP
adressen in multicast MAC adressen. Een switch kan op deze manier multicast MAC adressen
bewaren in zijn multicast filter tabel. Een switch kan op deze manier multicast berichten
dadelijk naar de juiste poorten versturen en verhinderen dat multicast berichten een netwerk
nodeloos gaan belasten. Dit staat bij switches ook gekend als het dynamische gebruik van
multicasting. Dit in tegenstelling to het statisch gebruik van multicasting waarbij manueel
de groepen in alle switches en voor alle poorten geconfigureerd moeten worden.

Uitbreidingsprotocollen en netwerkapplicaties 69
4.4.4 Multicast adressen
Multicast IP adressen zijn klasse D adressen welke in het bereik 224.0.0.0 tot en met 239.255.255.255
gelegen zijn. Voor privé netwerken wordt het aangeraden om multicast IP adressen in het bereik
239.x.x.x te gebruiken.
De adressen binnen het bereik 224.0.0.1 tot en met 224.0.0.255 worden gereserveerd voor
multicast toepassingen binnen één netwerk. De time to live waarde van dergelijke IP pakketten
wordt op 1 geplaatst zodat dergelijke berichten het netwerk niet kunnen verlaten.
Er worden ook multicast MAC adressen gereserveerd. Alle adressen waarvan de eerste byte
gelijk is aan 01h zijn besschikbaar voor mulitcasting. Adressen welke beginnen met de
waarde 01:00:5E:0 zijn multicast MAC adressen welke gebruikt worden voor IP multicasting.
Figuur 4.8: Omzetting van multicast IP adres naar multicast MAC adres
Deze omzetting vraagt enige aandacht. De meest beduidende bit van de tweede byte behoort
tot de herkenningscode van een multicast adres en wordt zodoende niet meegemapt.
Zo wordt het multicast IP adres 228.30.117.216 omgezet naar het multicast MAC adres
01:00:5E:1E:75:D8. Het multicast IP adres 228.158.117.216 wordt echter ook omgezet naar
het multicast MAC adres 01:00:5E:1E:75:D8.
4.5 GMRP
4.5.1 IEEE 802.1p
Bedrijfsnetwerken worden steeds groter en complexer. Het is essentieel dat het groeiende
netwerkverkeer op een efficiënte manier kan gemanaged worden. Quality of Service is hierbij
een belangrijke tool om te verzekeren dat de meest kritische data op een voorspelbare manier
wordt afgeleverd. Door middel van het IEEE 802.1p protocol kunnen switches netwerkverkeer
prioritair verwerken. Voorspelbaarheid en betrouwbaarheid van het netwerkverkeer
worden hierdoor verbeterd.
IEEE 802.1p definieert een 3 bit-veld binnen een tagged Ethernet frame. Het definieert een
prioriteitswaarde tussen 0 en 7 om op deze manier het netwerkverkeer te differentiëren.
De IEEE 802.1P standaard voorziet ook in maatregelen om multicastberichten te filteren opdat
deze zich niet nodeloos zouden verspreiden over laag 2 gebaseerde netwerken. Hieron-

Uitbreidingsprotocollen en netwerkapplicaties 70
der bevindt zich GMRP (GARP Multicast Registration Protocol). GMRP and GARP zijn industriële
protocollen gedefinieerd door de IEEE 802.1P.
4.5.2 Werking GMRP
GMRP verwerkt multicast groepsadressen op laag 2 (MAC layer). GMRP draait zowel op de
switch als bij de hosts. Op de host, GMRP wordt er samen gebruikt met IGMP, worden door
GMRP laag 2 dataframes gecreëerd van de layer 3 IGMP berichten.
Een switch ontvangt zowel de laag 2 GMRP en de laag 3 IGMP berichten. Met de GMRP
berichten zal de switch het dataverkeer beperken in de VLAN groep tot welke de zendende
host zich bevindt. Wanneer de switch de GMRP join message ontvangt zal het de poort
waarop het dit bericht ontvangen heeft toevoegen aan de betreffende multicastgroep. De
switch zal het aanvraagbericht tot lidmaatschap doorsturen naar alle andere deelnemers
in de VLAN, waaronder zich uiteraard ook de multicastbron bevindt. Wanneer de bron een
multicastbericht stuurt naar de groep zal de switch dit bericht enkele doorsturen naar de
leden van deze groep.
De switch zendt periodiek GMRP queries. Indien een deelnemer lid wenst te blijven van een
groep zal hij een antwoord versturen naar de switch. Een deelnemer welke niet langer tot
de groep wil blijven kan een leave bericht versturen of totaal niet antwoorden. Indien de
switch geen antwoordt krijgt of een leave bericht ontvangt van een bepaalde host zal het
deze deelnemer uit de lijst schrappen.
4.6 DNS
4.6.1 Inleiding
Er zijn twee belangrijke manieren om een host op het Internet aan te duiden. Naast het
reeds besproken IP adres is er ook de mogelijkheid om voor een deelnemer een hostnaam,
een symbolische naam, te voorzien die algemeen eenvoudiger te gebruiken is.
Hostnamen, zoals www.google.be (zoekmachine), gaia.cs.umass.edu (computer networks research
Group van de university of Massachusetts, Amherst) zijn beter te onthouden en dus
gebruiksvriendelijker. Een hostnaam geeft echter niet genoeg informatie over de plaats van
die host binnen het Internet. Omdat gebruikers liever de hostnaan toepassen maar TCP/IP
protocollen gebaseerd zijn op IP adressering moet er een koppeling gebeuren tussen hostnamen
en IP adressen. Domain Name System (DNS) zal hier de oplossing bieden. Dr. Paul V.
Mockapetris en Jon Postel zijn de uitvinders van het Domain Name System. In 1983, stelden
zij een DNS achitectuur voor in RFC882 en RFC883.
Samenvattend staat DNS voor:
• Een gedistribueerde database welke geïmplementeerd is in een hiërarchie van DNS
servers
• Een applicatielaagprotocol waarmee hosts en DNS servers kunnen communiceren om
de vertaalslag (het omzetten van een IP adres in een hostnaam en omgekeerd) te maken.

Uitbreidingsprotocollen en netwerkapplicaties 71
De DNS servers zijn vaak Unix machines waarop de Berkeley Internet Name Domain (BIND)-
software of Microsoft DNS software wordt uitgevoerd. Het DNS protocol werkt met UDP en
gebruikt poort 53.
4.6.2 De structuur van een hostnaam
Qua syntaxis bestaat elke hostnaam uit een reeks alfanumerieke segmenten die door punten
gescheiden worden. Domeinnamen hebben een hiërarchische structuur waarbij het meest
significante deel van de naam rechts staat. Het meest links segment is de naam van de
individuele host. Andere segmenten in een domeinnaam identificeren de groep die eigenaar
van de naam is. DNS legt niet vast uit hoeveel segmenten een domeinnaam moet bestaan,
Het DNS geeft waarden voor het meest significante segment. Tabel 4.1 geeft een overzicht
van alle namen
Tabel 4.1: Namen voor het meest significante deel van een domeinnaam
Domeinnaam
com
edu
gov
mil
net
org
int
landcode
Toegewezen aan
commerciële organisatie
opleidingsinstituut
overheidsorgaan
militaire groep
netwerkondersteuningscentrum
andere organisaties
internationale organisatie
een land, be voor België
4.6.3 Werking van het DNS protocol
Inleiding
Wanneer een toepassing (bv. een webbrowser) op de host van een gebruiker een hostnaam
moet vertalen in een IP adres zal deze toepassing de clientcomponent van de DNS aanroepen
met de hostnaam welke vertaald moet worden. De DNS clientcomponent op de host van
de gebruiker neemt het dan over en verzendt een verzoekbericht het netwerk in. Alle DNS
vezoek- en antwoordberichten worden in UDP segmenten naar poort 53 verzonden.
Na een vertraging, die kan variëren van enkele milliseconden tot enkele seconden, ontvangt
de DNS clientcomponent op de host van de gebruiker een DNS antwoordbericht met de gezochte
verwijzing. Deze verwijzing wordt vervolgens doorgegeven aan de toepassing. Op die
manier is DNS, gezien vanuit het perspectief van de toepassing op de host van de gebruiker,
een blackbox die een eenvoudige, ongecompliceerde vertaaldienst levert.
In feite is de dienst die de zwarte doos levert echter erg complex en bestaat uit een groot
aantal DNS servers, verspreid over de wereld, en een applicatielaagprotocol dat bepaalt hoe
de DNS servers en de verzoekende hosts met elkaar communiceren.
Een eenvoudig ontwerp voor DNS zou bestaan uit één DNS server die alle verwijzingen bevat.
In dit gecentraliseerde ontwerp zouden alle clients hun verzoeken slechts naar die ene
DNS server hoeven te verzenden die op zijn beurt alle verzoeken zou behandelen. Hoewel
de eenvoud van dit ontwerp aantrekkelijk is, is deze oplossing ongeschikt voor het huidige
Internet met het enorme (en snel toenemende) aantal hosts.

Uitbreidingsprotocollen en netwerkapplicaties 72
DNS maakt gebruik van een groot aantal, over de hele wereld verspreide, DNS servers in een
hiërarchische structuur. Er is geen enkele DNS server die alle verwijzingen voor alle hosts op
het Internet bevat. De verwijzingen zijn verdeeld over de DNS servers.
In eerste instantie zijn er drie klassen DNS servers:
• Root DNS servers;
• Topleveldomein (TLD) DNS servers;
• Verifiërende DNS servers.
Een gedistribueerde, hiërarchische database
Een DNS client neemt eerst contact op met een van de rootservers, die IP adressen voor
TLD servers voor het Topleveldomein com retourneert. De client neemt vervolgens contact
op met een van deze TLD servers, die het IP adres van een verifiërende server retourneert.
Tenslotte neemt de client contact op met een van de verifiërende servers, die het IP adres
van de hostnaam zal terugsturen.
Root DNS server
Op het Internet zijn er slechts 13 root DNS servers (die aangeduid worden door de letters A
tot en met M), waarvan de meeste in Noord-Amerika zijn opgesteld. Hoewel de 13 root DNS
servers aangeduid worden als één server, bestaat elke server in werkelijkheid uit een cluster
gerepliceerde servers (om redenen van beveiliging en betrouwbaarheid).
Topleveldomein (TLD) server
Deze servers zijn verantwoordelijk voor topleveldomeinen zoals com, org, net, edu en alle
landen topleveldomeinen zoals bijvoorbeeld be, nl, fr, jp,...
Verifiërende DNS server
Elke organisatie met hosts op het Internet die door het publiek benaderbaar zijn (zoals webserver
en Mailserver) is verplicht om DNS gegevens te leveren waarin de namen van deze
hosts aan IP adressen worden gekoppeld. Deze DNS gegevens worden opgeslagen op de verifiërende
DNS server. Een organisatie kan ervoor kiezen om zelf een verifiërende DNS server
met deze gegevens te implementeren; ook kan de organisatie een serviceprovider (Telenet
bijvoorbeeld) inschakelen om deze gegevens tegen betaling op diens verifiërende DNS server
op te slaan. De meeste universiteiten en grote bedrijven implementeren en beheren hun
eigen primaire en secundaire (als back-up) verifiërende DNS server.
De root, TLD-, en verifiërende DNS servers behoren allemaal tot de hiërarchie van DNS servers.
Er is nog een ander belangrijk type DNS servers, die lokale DNS servers worden genoemd.
Een lokale DNS server hoort strikt genomen niet thuis in de hiërarchie van servers
maar is desondanks van vitaal belang voor de DNS structuur. Elke ISP (Internet Service Provider)
heeft een lokale DNS server (ook wel standaard DNS server (default name server)
genoemd). Wanneer een host een verbinding tot stand wil brengen met een ISP, geeft de
ISP aan die host de IP adressen van een of meer van diens lokale DNS server (meestal met
behulp van DHCP).

Uitbreidingsprotocollen en netwerkapplicaties 73
4.7 SNMP
4.7.1 Inleiding
SNMPv1: In 1990 werd in RFC 1157 het SNMP protocol gedefinieerd. SNMP staat voor Simple
Network Management Protocol. Dit protocol beschrijft een gestructureerde manier voor
het bewaken en beheren van een bepaalde netwerkinfrastructuur. Al snel werd dit protocol
op grote schaal geïmplementeerd in commerciële producten en werd dit protocol de facto
standaard voor netwerkbeheer. SNMP is ontworpen om een eenvoudig protocol te zijn.
SNMPv2: Naarmate de ervaringen werd in 1993 een verbeterde versie van SNMP beschreven
in RFC 1441 en RFC 1452 (coëxcistentie tussen v1 en v2) om uiteindelijk de Internet
standaard te worden.
SNMPv3: In 1999 wordt in v3 security toegevoegd aan de vorige versies. De derde versie
van Internet Standard Management Framework (SNMPv3) is afgeleid van en gebaseerd op de
voorgaande versies SNMPv1 en SNMPv2.SNMPv3 is dus SNMPv2 aangevuld met security en
administratie. De belangrijkste eigenschappen van SNMPv3 omvatten:
• security
– authenticatie en privacy
– toegangscontrole
• administratie
– gebruikersnamen en sleutelmanagement
– benamingen van deelnemers
– policies
Op een netwerk zijn heel wat interessante deelnemers aktief welke belangrijke statusinformatie
kunnen bevatten voor het beheer van een netwerk. Dergelijke deelnemers kunnen
hubs, switches, routers, printers of PC’s zijn. Om rechtstreeks door SNMP te worden beheerd
moet een node in staat zijn een SNMP managementproces -een SNMP agent- te draaien. Alle
computers voldoen aan deze eis, evenals veel hubs, switches, routers en randapparaten die
voor netwerkgebruik ontworpen zijn. Elke agent houdt een lokale database bij met variabelen
die zijn toestand en geschiedenis weerspiegelen en zijn werking beïnvloeden.

Uitbreidingsprotocollen en netwerkapplicaties 74
Figuur 4.9: Managers en agents op een netwerk
Het netwerkmanagement wordt gedaan vanuit managementstations: in feite gewone computers
waarop speciale management software loopt. Deze stations bevatten een of meer
processen die via het netwerk met agents communiceren, waarbij ze opdrachten geven en
antwoorden krijgen. In dit opzet bevindt alle intelligentie zich in de managementstations om
de agents zo eenvoudig mogelijk te houden en hun invloed op de apparaten waarop ze lopen
te minimaliseren. Veel managementstations hebben een grafische gebruikersinterface,
zodat de netwerkbeheerder de toestand van het netwerk kan inspecteren en zo nodig actie
kan ondernemen.
4.7.2 SNMP structuur
Het raamwerk van SNMP bestaat uit drie essentiële onderdelen:
• de MIB (Management Information Base (RFC1213)) is de omschrijving van alle varaibelen
een bepaald netwerkelement bevat.
• SMI (Structure of Management Information (RFC 1155)) is de structuur voor het opslaan
van de netwerkinformatie.
• SNMP is het communicatieprotocol tussen de manager en een netwerkdeelnemer (RFC1157).
De meeste bestaande netwerken zijn van gemengd fabrikaat - met hosts van een of meer
fabrikanten, hubs, switches en routers van andere firma’ s en printers van weer andere. Om
het mogelijk te maken dat een management station (eventueel van weer een andere leverancier)
met al deze uiteenlopende componenten praat, moet de aard van de informatie,
die door al deze apparaten wordt bijgehouden strikt gespecificeerd worden. Het heeft geen
zin dat het management station een router vraagt wat zijn frequentie van verloren gegane
pakketten is als de router deze frequentie niet bijhoudt. Daarom beschrijft SNMP de exacte
informatie die elk soort agent moet bijhouden en het formaat waarin de agent deze informatie
moet leveren. Het grootste deel van het SNMP model is de definitie van wie wat moet
bijhouden en hoe deze informatie wordt doorgegeven. In het kort komt het erop neer dat
elk apparaat een of meer variabelen (objecten) bijhoudt die de toestand van het apparaat

Uitbreidingsprotocollen en netwerkapplicaties 75
beschrijven. De verzameling van alle mogelijke objecten in een netwerk staat in een datastructuur
die de MIB (Management Information Base) wordt genoemd.
Het SNMP protocol zelf beschrijft dan hoe de interactie tussen het managementstation en de
agents tot stand komt. Hierbij worden vijf verschillende berichtypen gedefinieerd.
4.7.3 De MIB en SMI
Figuur 4.10: MIB is een database welke alle variabelen bevat voor netwerkmanagement
De verzameling objecten die door SNMP worden beheerd, wordt gedefinieerd in de MIB en
wordt weergegeven in figuur 4.10. Voor het gemak worden deze objecten ingedeeld in verschillende
groepen. Het is de bedoeling dat deze categorieën een basis leveren voor wat een
managementstation moet begrijpen.
• De groep System geeft de manager de gelegenheid erachter te komen hoe het apparaat
heet, wie het heeft gemaakt, welke hardware en software het bevat, waar het zich
bevindt en wat het moet doen. Het tijdstip van de laatste boot wordt ook aangegeven.
• De groep Interfaces gaat over de netwerkadapters. Deze houdt bij hoeveel pakketten
en bytes er door het netwerk worden gezonden en ontvangen, hoeveel er worden
weggegooid, hoeveel broadcasts er zijn en hoe groot de bestaande uitvoer-wachtrij is.
• De groep lP gaat over lP verkeer naar en vanuit de node. Hierin komen vooral veel
tellers voor die bijhouden hoeveel pakketten er om verschillende redenen worden weggegooid.
Er zijn ook statistische gegevens beschikbaar over het fragmenteren en weer
in elkaar zetten van datagrammen. Al deze items zijn vooral voor het beheer van routers
van belang.
• De groep ICMP heeft betrekking op IP foutmeldingen. Er is een teller voor elke ICMP
melding, waarin wordt bijgehouden hoeveel er van dat type zijn gezien.
• De groep TCP registreert het huidige aantal geopende verbindingen, gezonden en ontvangen
segmenten en diverse statistische gegevens over fouten.

Uitbreidingsprotocollen en netwerkapplicaties 76
Figuur 4.11: MIB boomstructuur
• De groep UDP telt het aantal gezonden en ontvangen UDP datagrammen en houdt bij
hoeveel van de ontvangen datagrammen onbestelbaar waren wegens een onbekende
poort of een andere reden.
• De laatste groep is bedoeld om statistische gegevens te verzamelen over de werking
van SNMP zelf: hoeveel berichten er worden gezonden, wat voor berichten het zijn, en
dergelijke.
Iedere variabele, ieder object uit de MIB wordt gekenmerkt door een object identifier (OID)
en zijn type:
• De OID beschrijft een pad in de MIB boomstructuur. Figuur 4.11 laat de structuur zien
van de MIB zoals gebruikt voor SNMP. Het object sysObjectID, welke deel uit maakt van
de groep system is bereikbaar via OID 1.3.6.1.2.1.1.2.0
• Object typen worden opgebouwd mbv de fundamentele typen welke gedefinieerd worden
in de SMI.
Er zijn verschillende MIB’s beschikbaar. Vooreerst zijn er de globale MIB’s beschreven in
RFC’s. Zo is er MIB2 beschreven in RFC1213. Dergelijke MIB’s moeten ondersteund worden
door alle SNMP compatibele toestellen. Anderzijds zijn er ook de fabrikant specifieke MIB
objecten.

Uitbreidingsprotocollen en netwerkapplicaties 77
4.7.4 SNMP protocol
Het normale gebruik van SNMP is dat het managementstation een aanvraag naar een agent
zendt met de vraag om informatie of met de opdracht zijn toestand op een bepaalde manier
bij te werken. In het ideale geval antwoordt de agent alleen met de gevraagde informatie
of bevestigt dat hij zijn toestand heeft bijgewerkt zoals aangevraagd is. SNMP definieert de
verschillende berichten die verstuurd kunnen worden.
Tabel 4.2: SNMP berichten van manager naar agent
Bericht
Get request
Get next request
Get bulk request
Set request
Inform request
Beschrijving
Vraagt de waarde van één of meer variabelen op
Vraagt de variabele na de huidige op
Haalt een grote groep informatie op
Werkt één of meer varaibelen bij
Bericht tussen managers dat lokale MIB beschrijft
In één bepaald geval kan de agent zelf het initiatief nemen om een bericht te versturen en
dit op het moment dat een agent een bepaald kritisch event opmerkt. Managed nodes kunnen
uitvallen en rebooten, netwerksegmenten kunnen uitvallen en weer in bedrijf komen,
enzovoort. Elke relevant event wordt in een MIB module gedefinieerd. Wanneer een agent
merkt dat er een relevant event is geweest, meldt hij dit event onmiddellijk aan alle managementstations
in zijn configuratielijst. Deze melding wordt een SNMP trap genoemd. De
melding zegt meestal alleen dat er één of ander event is opgetreden. Het is dan de taak van
het managementstation requests uit te voeren om de details te achterhalen
Tabel 4.3: SNMP berichten van agent naar manager
Bericht
SNMP trap
Beschrijving
Melding event van agent naar manager
Figuur 4.12 toont dat SNMP berichten gebruik maken van het UDP protocol en welke poorten
hiervoor gebruikt worden;
4.8 HTTP en HTTPS
4.8.1 TLS/SSL
Transport Layer Security (TLS) , de opvolger van Secure Sockets Layer (SSL), is een encryptie
protocol om een veilig datakanaal te creëren op een onbeveiligd netwerk zoals het Internet.
Beide protocollen draaien op een laag onder de applicatieprotocollen zoals http, SMYP, FTP,
en boven het transportprotocol TCP. Ze maken deel uit van de protocolsuite TCP/IP. Een belangrijke
doelstelling is het beveiligen van client/server applicaties.
Langs de verzendende kant zal de TLS laag gegevens van de applicatie versleutelen en doorgeven
aan de juiste TCP poort. Aan de ontvangende zijde leest TLS de gegevens uit de juiste

Uitbreidingsprotocollen en netwerkapplicaties 78
Figuur 4.12: SNMP communicatie
TCP poort, ontsleutelt de gegevens en stuurt deze door naar de toepassing. Het doorsluizen
van de gegevens is de taak van de recordlaag.
Figuur 4.13: SSL TLS laag
TLS voorziet de volgende veiligheden voor client/server applicaties over TCP/IP:
• Authenticatie: een applicatie toestaan om de identiteit van een andere applicatie waarmee
deze communiceert te verifiëren.
• Privacy: gegevens die tussen applicaties worden overgebracht, kunnen niet worden
misbruikt of bekeken.
• Integriteit: applicaties detecteren wanneer gegevens zijn gewijzigd tijdens de transmissie.
De gebruikte technieken zijn gebaseerd op concepten zoals public-key en certificaten (zie
onderdeel security). Indien een applicatie gebruikt maakt van SSL/TLS wordt er eerst een
handshakingprocedure gestart waarbij het versleutelalgoritme en de te gebruiken sleutels
worden afgesproken en waarbij de client de server verifieert. Eens deze procedure voltooid
is zullen alle toepassingsgegevens versleuteld worden. De uitvoering en opvolging van deze
handshakingsprocedure gebeurt door de bovenste deellagen van het protocol. Zie figuur
4.13.

Uitbreidingsprotocollen en netwerkapplicaties 79
4.8.2 HTTP
HTTP, HyperText Transfer Protocol, is het protocol voor de communicatie tussen een webclient
(een webbrowser) en een webserver. Dit protocol wordt niet alleen veel op het World
Wide Web gebruikt, maar ook op lokale netwerken. Het protocol definieert het exacte formaat
van de aanvragen, de requests van een webbrowser aan de server en het formaat van
de antwoorden, responses een webserver daarop kan teruggeven. Elke vraag bevat een URL
die naar een webcomponent of een statisch object zoals een webpagina verwijst.
Het http protocol maakt gebruik van poort 80.
Elke http url begint met ’http://’.
HTTP is onveilig en wordt blootgesteld aan man-in-the-middle aanvallen en afluisterpraktijken.
4.8.3 HTTPS
HTTPS, Hypertext Transfer Protocol Secure, is een uitbreiding op het HTTP protocol met als
doel een veilige uitwisseling van gegevens. Bij gebruik van HTTPS wordt de data versleuteld,
waardoor het voor een buitenstaander moeilijk wordt om de gegevens op te vangen. HTTPS is
dus in principe HTTP waarbij gebruik gemaakt wordt van SSL/TLS om de data te versleutelen
en de server te verifiëren.
Elke url begint met ’https://’.
Hiervoor wordt volgens afspraak poort 443 gebruikt.
4.9 Overzicht van enkele andere belangrijke applicaties
4.9.1 FTP
FTP, File Transfer Protocol is een protocol dat uitwisseling van bestanden tussen verschilllende
hosts vergemakkelijkt. Het staat de overdracht van een willekeurig bestand toe en bevat
een mechanisme waarmee aan bestanden beperkingen ten aanzien van eigenaarschap
en toegangsrechten kunnen verbonden worden. Het protocol verbergt de details van een individueel
computersysteem voor de gebruiker en is dus geschikt voor heterogene situaties.
Het protocol kan een bestand transporteren tussen twee totaal willekeurige systemen.
4.9.2 TFTP
TFTP, Trivial File Transfer Protocol, is een vereenvoudigde versie van FTP die veel gebruikt
wordt om apparatuur zoals routers, switches, ... van firmware en configuraties te voorzien.
4.9.3 NTP
NTP, Network Time Protocol, is een protocol waarmee computers op een netwerk hun interne
klok kunnen gelijkzetten aan die van andere computer. NTP is gebaseerd op de voorspelbaarheid
van de netwerkvertraging. Het computernetwerk wordt hiërarchisch ingedeeld,
waarbij de computer met de nauwkeurigste tijdbron wordt aangeduid met ’stratum 0’. De

Uitbreidingsprotocollen en netwerkapplicaties 80
computersystemen die via NTP daar de tijd van afhalen, zijn per definitie ’stratum 1’. Het
protocol beschikt over enkele intelligente functies. Zo kan een een NTP Client van meerdere
NTP servers gebruik maken, waarbij de NTP Client zelf uitzoekt welke server het beste werkt.
Aan de hand van een aantal beslissingscriteria kiest een NTP Client een server en synchroniseert
zich daar aan. Kleine verschillen in tijd tussen server en client worden door de client
bijgewerkt door de tijdsverwerking op de client computer iets sneller of langzamer te laten
werken. Daardoor kan zonder sprongen in tijd het verschil worden weggewerkt.
4.9.4 SSH
Secure Shell situeert zich in de applicatie laag van het TCP/IP protocol. SSH vervangt oudere
protocollen zoals telnet en rlogin door een beveiligde variant daarvan. Het protocol maakt
gebruik van TCP-poort 22.
SSH maakt het mogelijk om op een veilige manier in te loggen op een andere computer, en
op afstand commando’s op de andere computer uit te voeren via een Shell. De toegepaste
encryptie maakt het voor vreemden moeilijk om de originele commando’s te achterhalen.
Een groot voordeel van SSH is dat ook authenticatie met behulp van een private / public key
mogelijk is. Hierdoor kunnen SSH toepassingen geautomatiseerd gebruikt worden zonder dat
er een wachtwoord in de code hoeft te staan. Ook kan op elk systeem dat de publieke sleutel
kent, aangemeld worden door het gebruik van de geheime sleutel.
4.9.5 CLI (Command Line Interface)
Wanneer een besturingssyteem een Command Line Interface voorziet, dan kan de gebruiker
aan de hand van een regel tekst het systeem één of meerdere opdrachten laten uitvoeren.
Eens de opdracht uitgevoerd krijgt de gebruiker opnieuw de kans om een volgende commandoregel
in te geven. Een commando wordt meestal afgesloten met de -toets.
Gekende CLIs zijn de command.com (DOS) of bash (UNIX). Naast besturingssystemen zijn er
ook andere programma’s die met een CLI kunnen werken. De FTP-client en de Telnet-client
van Microsoft bijvoorbeeld gebruiken een opdrachtregel.
Industriële switches zijn meestal ook configureerbaar via een CLI.

Hoofdstuk 5
De switch
5.1 Algemeen
De switch is de basiscomponent voor de opbouw van een lokaal, op Ethernet gebaseerd netwerk.
Met behulp van switches worden de verschillende deelnemers van een LAN op een
intelligente manier met elkaar gekoppeld. Een switch heeft meerdere poorten. Op ieder
poort van een switch kan een host (netwerkdeelnemer) aangesloten worden, of kan de verbinding
gemaakt worden met een andere switch. Op die manier kan een netwerk op een
stervormige manier uitgebouwd worden. Vanaf iedere poort start een netwerksegment, een
collision domein.
Figuur 5.1: De switch is zelflerend uit de inkomende berichten
Voor iedere poort wordt softwarematig een MAC adrestabel bijgehouden. De switch is zelflerend,
deze MAC adrestabel wordt gevuld door op het desbetreffende segment alle inkomende
berichten te bestuderen. Het bronadres van ieder inkomend bericht op een bepaalde poort
wordt gekopieerd naar de tabel. Ieder adres wordt gedurende een beperkte tijd vastgehouden
en het wordt weer gewist zodra een bepaalde tijd, de holdtime, is verstreken. Door deze

De switch 82
techniek wordt voorkomen dat niet-actieve stations worden geadresseerd of dat stations juist
niet meer worden herkend.
Voordat een datapakket via een switch wordt doorgegeven van het ene segment naar het
andere segment onderzoekt een switch het MAC adres en op basis hiervan vindt al dan niet
transport naar het andere segment plaats. Switches werken volgens het store-and-forward
principe.
Een store-and-forward switch zal eerst de volledige dataframe binnennemen, controleren op
fouten en dan via de juiste poort doorsturen. De latency is dus afhankelijk van de berichtgrootte.
Voorafgaand aan een bericht is er de preamble. Tussen de preamble en het Ethernet frame
is er een intervaltijd, een interframe gap. Deze tijd is gelijk aan de tijd nodig om 96 bits op
het netwerk te plaatsen. Deze tijd bedraagt voor 100Mbps dus 0,960µs.
De theoretische latency voor een store-and-forward switch om een breicht met minimumlengte
(64 bytes) door te sturen wordt bepaald volgens de formule: TL = TIG (tijd voor interframe
gap) + (64 ∗ 8 ∗ TBT) [µs]
TL = 0,960 + (64 ∗ 8 ∗ 0,01) = 6,08 µs.
De maximum berichtgrootte is 1518 bytes. Dit komt overeen met volgende latency:
TL = 0,960 + (1518 ∗ 8 ∗ 0,01) = 122,4 µs
5.2 Industriële switches
5.2.1 Algemeen
Bij de industriële switches kan een eerste onderscheid gemaakt worden tussen twee verschillende
categorieën:
• non-managed switches
• web-based managed switches
Bij de eerste groep switches kan niets geconfigureerd worden. Voor de algemene werking
van een switch dient ook niets geconfigureerd te worden.
De tweede groep switches kunnen via een webserver geconfigureerd worden.
benadering is ook interessant voor diagnose mogelijkheden van het netwerk.
Dergelijke
Figuur 5.2: De MCS 16 TX

De switch 83
Figuur 5.2 toont de industriële switch FL SFN 8TX Gigabit switch van Phoenix Contact. Enkele
typisch technische kenmerken van dergelijke switches zijn:
• 10/100/1000 TX, auto negotiation, auto crossing
• Non-managed, geen software configuratie
• montage op DIN-rail, alarm contact, redundante power supply,
• Temperatuursbereik: -25 ◦ C to +60 ◦ C
5.2.2 Technische beschrijving van een industriële switch
Aan de hand van een technische beschrijving van de uit de Factory Line van Phoenix Contact
worden alle mogelijke eigenschappen van een switch besproken.
Figuur 5.3: De SMCS 8GT
SMCS staat voor Smart Managed Compact Switch. Deze switch is conform de IEEE802.3 standaard
opgebouwd en is gemaakt om beheerbare automatiseringsnetwerken op te bouwen
gebaseerd op Ethernet. Deze switch is het type met 8 RJ45 poorten om twisted pair kabel
op aan te sluiten. Alle poorten ondersteunen 10/100/1000 Mbps. Alle poorten ondersteunen
autonegotiation en autocrossing.
De switch is naast het gebruik als normale standaard Ethernetswitch, uitermate geschikt
voor Profinet RT en Ethernet/IP toepassingen en ondersteunt de management functies die
hiervoor nodig zijn. De switch ondersteunt IGMP Snooping voor Ethernet/IP.
Redundante netwerkstructuren kunnen opgebouwd worden volgens het (Rapid) Spanning
Tree Protocol of volgens Media Redundancy Protocol. Hierdoor wordt een optimale werking
van het netwerk gegarandeerd onafhankelijk van de gebruikte topologie.
Binnen complete netwerksystemen kan informatie uit de switch opgevraagd worden via
SNMP. De configuratie en diagnose kan via een web server en een V.24 (RS232) interface
gebeuren.
De SWITCH SMCS is van het type store-and-forward. Alle datagrammen welke op een poort
de switch bereiken worden eerst opgeslagen in een buffer en gecontroleerd op geldigheid.
Corrupte datapakketten, m.a.w. pakketten welke groter zijn dan 1522 bytes, welke kleiner

De switch 84
zijn dan 64 bytes of pakketten waarbij CRC fouten optreden moeten verwijderd worden. Geldige
datapakketten worden dan ogenblikkelijk doorgestuurd via de juiste poort. De transmissiesnelheid
wordt per poort bepaald door het aangekoppelde netwerksegment.
De switch leert dynamisch alle adressen van de verschillende netwerkdeelnemers door ieder
binnenkomend bericht te evalueren op het source adres. De switch moet tot 8000 adressen
kunnen opslaan in zijn MAC adrestabel met een aging time van 40 seconden (default setting
bij levering). Deze tijd is instelbaar van 10 tot 825 seconden via SNMP of Webbased mangement.
Dit betekent dat alle adressen welke langer dan deze tijd niet meer gebruikt zijn,
automatisch gewist worden uit de MAC-adrestabel.
De switch is voorzien van een alarmcontact. Het alarmcontact is floating en gesloten bij een
correcte werking van de switch. Dit contact volgt de werking van switch en moet geopend
worden bij de hierna beschreven omstandigheden. Bij een heropstart zal de switch een hardware
zelftest uitvoeren. Wanneer een fout gedetecteerd wordt tijdens deze zelftest wordt het
alarmcontact geopend. Tijdens de normale werking zal een watchdog de cyclische uitvoering
van het softwareprogramma opvolgen. Indien deze watchdog niet cyclisch getriggerd wordt
door de software zal het alarmcontact geopend worden.
Verschillende statusleds moeten de gebruiker informeren over de status van de switch. Op
deze manier is een lokale diagnose mogelijk zonder gebruik te moeten maken van bijbehorende
tools.
De SMCS switch ondersteunt autocrossing. Hierdoor moet niet langer meer onderscheid
gemaakt worden tussen een rechtdoorkabel of een gecroste Ethernet twisted-pair kabel.
De SMCS ondersteunt autonegotation. Hierdoor moet de switch automatisch de parameters
van een bepaald subnet op iedere poort kunnen detecteren en deze parameters toepassen
op deze RJ45 poort. Deze parameters zijn de toegepaste transmissiesnelheid (10, 100 of
1000 Mbps) en de transmissiemode (half duplex of full duplex). Deze automatische detectie
maakt manuele interventies door de gebruiker overbodig. De functie autonegotation kan via
webbased management geactiveerd of gedeactiveerd worden.
Bij gebruik van twisted pair kabels waar een polariteit verkeerdelijk aangesloten is, meer
bepaald het omwisselen van RD+ en RD-, zal de switch automatisch de polariteit omwisselen.
Deze eigenschap staat bekend onder auto polarity exchange.
De switch controleert op geregelde tijdstippen de aangesloten subnetten op iedere poort.
Het gebruikt hiervoor linktestpulsen zoals beschreven in de IEEE 802.3 standaard om de
geconnecteerde TP/TX kabels te controleren op kortsluiting of onderbreking.
De switch kan op twee verschillende manieren een IP adres bekomen. Via het BootP protocol
of via de seriële V.24 interface. Bij levering is de toekenning van het IP adres ingesteld
op BootP. Configuratiesoftware is beschikbaar om zodoende de switch op een eenvoudige
manier een IP adres te geven. Het mechanisme om een IP adres toe te kennen kan gemanipuleerd
worden via webbased management of de V.24 interface.
Via een MODE knop vooraan op de module kan de switch in smart mode geplaatst wroden.
In smart mode kan de switch in een andere gebruikersmode geplaatst worden zonder de

De switch 85
management interface te moeten gebruiken. Verder is het mogelijk om in smart mode de
switch te resetten naar default settings.
De switch kan als Profinet IO device geconfigureerd worden. Via wabbased management of
in smart mode kan de operating mode op default (normale Ethernet switch) of op Profinet IO
geplaatst worden. Wordt de switch als Profinet IO device geconfigureerd, dan kan de switch
opgenomen worden als Profinet IO device in de Profinet engineeringsoftware. Op die manier
is er in de engineeringsoftware per ingang van de switch een byte aan diagnose-informatie
ter beschikking.
De SMCS switch ondersteunt het LLDP-protocol conform de IEEE802.1ab. De switch verstuurt
en ontvangt management- en verbindingsinformatie van naburige toestellen. Op die manier
kunnen netwerkarchitecturen visueel voorgesteld of opgevolgd worden via beschikbare software
tools. Profinet engineeringsoftware maakt hiervan gebruik om netwerkdiagnose visueel
in kaart te brengen.
De switch ondersteunt twee wachtrijen voor prioriteit (traffic classes volgens de IEEE802.1D).
Ontvangen datapakketten worden toegekend aan deze wachtrijen afhankelijk van hun prioriteit.
De prioriteit is aangegeven in de VLAN tag van het Ethernet frame. Dit zorgt ervoor
dat data met een hoge prioriteit geen vertraging ondervindt door grote hoeveelheden lage
prioriteitsdata. In geval van een overload wordt data met een lage prioriteit niet meer binnengelezen.
Dit principe wordt gebruikt door o.a. Profinet RT en heet Quality of Service.
Een VLAN tag conform de IEEE802.1Q kan verwerkt worden door de switch. Deze tag bestaat
uit 4 bytes en staat in het Ethernet frame tussen het source address en het type veld. In die
4 bytes staan er 3 bits die de prioriteit aangeven. Via de web-interface kunnen verschillende
VLANs per poort op de switch ingesteld worden. Op deze manier kunnen verschillende VLANs
opgebouwd worden binnen een netwerkarchitectuur met dergelijke switches. Binnen één
fysisch netwerk kunnen zodoende verschillende logische netwerken gecreëerd worden.
De switch ondersteunt Spanning Tree Protocol (STP) en Rapid Spanning Tree protocol (RSTP).
STP is beschreven in de IEEE802.1d norm en laat toe om ringstructuren of mesh structuren
te vormen in de topologie van het netwerk. Door de mesh structuren kunnen er meerdere
verbindingspaden bestaan tussen twee toestellen. Om oneindige loops en broadcast storms
tegen te gaan worden enkele verbindingen onderbroken door de switch. In het geval van een
kabelbreuk zal het netwerk na een zekere tijd (20..50s) herstellen door de uitgeschakelde
poorten terug in te schakelen. Uitgeschakdelde poorten kunnen wel nog data ontvangen
maar geen meer verzenden. Alleen ingeschakelde poorten zullen data verzenden.
Het RSTP is een vernieuwde versie van het STP en kan zorgen voor omschakeltijden van 1 tot
10s. Ook het RSTP ondersteunt mesh en ringstructuren. Bij de RSTP configuratie kan RSTP
Fast Ring Detection functie geactiveerd worden. De functie is enkel mogelijk bij 10 of 100
Mbps. Met de Fast Ring Detection funcite kan snellere omschakeltijden bekomen worden.
De SMCS ondersteunt het Media Redundancy Protocol (MRP). Bij een ringtopology wordt bij
een fout een hersteltijd van 200 tot 500ms verzekerd.
Via SNMP (Simple Network Management Protocol) kan het toestel gemonitord worden via
het netwerk. Een SNMP management systeem heeft de mogelijkheid om configuratiedata
van het toestel te lezen en aan te passen en om aan diagnose te doen. Versies 1 en 2c

De switch 86
van SNMP worden ondersteund. De volgende MIBs worden ondersteund: RFC1213, RMON
MIB, bridge MIB, If MIB, Etherlike MIB, Iana-address-family MIB, IANAifType MIB, SNMPv2 MIB,
SNMP-FRAMEWORK MIB, P bridge MIB, Q bridge MIB en de eigen SNMP objecten van Phoenix
Contact (FL-SWITCH-M MIB).
Een lokale verbinding met de switch kan gebeuren via een V.24 interface (RS232). De kabel
wordt bij de PC aangesloten op de COM poort en bij de switch op een mini-DIN socket. Bij
deze lokale verbinding gebeurt de communicatie via een programma zoals HyperTerminal.
Via deze interface kan het IP adres en subnetmask samen met de standaard gateway ingesteld
worden. BootP, gebruikt voor het automatisch toekennen van een IP adres kan in-of
uitgeschakeld worden. De parameters kunnen via deze interface opgeslagen worden, en
het toestel kan opnieuw opgestart worden. Ook het herstellen van de parameters naar hun
standaard defaultinstellingen is mogelijk.
Een volgende interface is de webinterface. Deze interface laat diagnose en configuratie toe
tijdens de opstart, het gebruik, en in het geval van een fout. De webinterface geeft ook
netwerk- en toestelinformatie. Webbased management laat toe op een zeer gekende manier,
op basis van een Internet Explorer, alle informatie van het toestel op te vragen. Technische
data, installatiegegevens, locale diagnosegegevens en alle commando’s voor de seriële
interface zijn op te vragen. Verder kunnen alle configuratieparameters gecontroleerd en aangepast
worden. Hieronder worden IP configuratie, SNMP configuratie, software updates en
paswoorden verstaan. Onder een item ’Switch Station’ kan allerlei diagnose-informatie over
de verschillende poorten en het alarmcontact opgevolgd worden. Iedere poort kan individueel
geactiveerd of gedeactiveerd worden. Per poort kunnen alle transmissieparameters
aangepast worden en kan via webbased management statistische informatie over de data
zelf bevraagd worden. Ook de functie ’Port Mirroring’ kan geactiveerd worden. Met deze
functie is het mogelijk om alle data welke via een bepaalde poort verstuurd moet worden,
ook te versturen via een andere poort. Dit is belangrijk om op deze manier via een netwerksniffer
fouten op te sporen.
De SMCS switch is voorzien van een memory plug, FL MEM PLUG.
Enkele algemene technische en mechanische gegevens:
• De montage van het toestel gebeurt op een DIN rail.
• De isolatieklasse is IP20 (beschermd tegen vaste objecten groter dan 12mm, geen bescherming
tegen water) DIN40050, IEC60529.
• De beschermingsklasse is klasse 3 VDE 0106, IEC60536.
• De voeding gebeurt op 24V DC (18.5V - 30.5V) en kan gebeuren met een sectie van
maximaal 2,5 mm 2 .
• Het is mogelijk om een redundante voeding te voorzien op het toestel.
• De aarding gebeurt via de DIN rail waarop het toestel gemonteerd is.
• Het stroomverbruik bedraagt 600mA (15W).
• Het toestel is 128mm breed, 110mm hoog en 69 mm diep en weegt 650g.
• De werkingstemperatuur gaat van 0 ◦ C tot 55 ◦ C en de opslagtemperatuur (buiten werking)
bedraagt -40 ◦ C tot 85 ◦ C.

De switch 87
• De switch moet kunnen werken en opgeslagen worden in ruimtes met een vochtigheidsgraad
tussen de 10% tot 95% zonder condensatie.
• De luchtdruk zou bij werking 80k Pa tot 108 kPa op 2000m hoogte mogen bedragen en
bij opslag 70 kPa tot 108 kPa op een hoogte van 3000m boven het zeeniveau.

Hoofdstuk 6
De router
6.1 Inleiding
Een router is een apparaat (dat kan een computer zijn), dat twee of meer verschillende computernetwerken
aan elkaar verbindt, bijvoorbeeld internet en een bedrijfsnetwerk. Figuur
6.1 toont dat een router kan gezien worden als een schakelapparaat voor datapakketten dat
actief is op laag 3 van het OSI model.
Figuur 6.1: De router en het OSI model
6.2 Het routen van berichten
Een bericht dat van de ene computer naar een andere computer over een internet moet
verstuurd worden moet door verschillende routers verwerkt worden. Een zender zal het IP
pakket eerst doorsturen naar een eerste router. Hiervoor kapselt de zender het IP pakket
in een frame met een header conform het fysieke netwerk waarop de zender en de router
gekoppeld zijn.

De router 89
Figuur 6.2: Een IP pakket bij de verschillende stappen tijdens de route over een internet
Als het frame de router bereikt zal deze het frame ontmantelen en het IP pakket bestuderen.
De router moet nu weten via welke poort hij het bericht moet verder sturen. Om de juiste
uitgaande poort te kiezen, zoekt de router het bestemmingsadres van het te routeren pakket
op in de routeringstabel. Bij het TCP/IP-protocol bestaat een routeringstabel uit een tabel met
IP-adressen of gegroepeerde IP-adressen (subnet), en het bijbehorende volgende knooppunt
(next-hop). Het volgende knooppunt is doorgaans een andere router, die gekoppeld is via
een van de poorten van de router.
Wanneer het bestemmingsadres routeerbaar is, en dus bestaat in de routeringstabel, zal de
router het bijbehorende volgende knooppunt gebruiken om de uitgaande poort te bepalen.
Het binnenkomende IP-pakket wordt naar de uitgaande poort gestuurd. De router zal het IP
pakket nu opnieuw inkapselen met een header eigen aan het fysieke netwerk waarop beide
routers gekoppeld zijn. Zo toont figuur 6.2 dat een IP pakket telkens wordt ingekapseld in
een frame dat bij het fysieke netwerk past.
Het is duidelijk dat een router voor elke poort een IP adres heeft welke behoort tot de range
van het Net ID waarop de router gekoppeld is. Maar elke poort heeft ook een fysiek hardware
adres overeenstemmend met het protocol van het subnet waarop deze poort van de router
gekoppeld is.
De router bouwt een routeringstabel op door route informatie uit te wisselen met buurrouters.
Zo ontstaat een volledig beeld van alle routes in het IP netwerk. De router zal op basis
van het kortste pad algoritme (Edsger Dijkstra), een routeringstabel opbouwen waarbij het
kortste pad wordt gekozen naar de eindbestemming. In andere bewoording: het knooppunt
dat gekozen wordt, maakt deel uit van het kortste pad. Hiervoor bestaan verschillende routeringsprotocollen.
Een router wordt beschouwd als een uitvoerapparaat. Een datapakket mag normaal maar
door een bepaald aantal routers heen gaan voor het op zijn eindbestemming aankomt, bepaald
door de TTL-waarde (Time to Live) van het pakketje.

De router 90
6.3 Soorten routers
Er bestaan veel verschillende soorten routers. Ze kunnen van elkaar worden onderscheiden
door de vorm die ze hebben, de aansluitingen van de router en allerlei extra functies die in
de router zijn ingebouwd, zoals een modem, firewall of een switch.
Er kan onderscheid gemaakt worden tussen software routers en hardware routers. Met behulp
van software kan een eenvoudige PC, uitgerust met twee netwerkinterfaces als router
functioneren. Een hardware router is een apart toestel. Eigenlijk is het toestel een kleine,
eenvoudige computer welke speciaal is ontwikkeld voor het routeren.
Commerciële routers voor thuisgebruik zijn vaak gecombineerd met een switch, voorzien van
een modem en een wireless AP zodat er maar één toestel nodig is om een privé netwerkje te
koppelen aan het Internet.
Ook zijn er switches met routerfunctionaliteiten op de markt. Vaak wordt voor deze toestellen
de naam laag-3-switch gehanteerd.
Verder in dit hoofdstuk ligt de nadruk op industriële routers. In zijn eenvoudigste vorm is
dergelijke router voorzien van een LAN en een WAN interface. Hiermee kan een industrieel
netwerk gekoppeld worden aan een bedrijfsnetwerk of aan het Internet. De industriële routers
hebben ook allerlei extra functionaliteiten opdat ze als een volwaardige security module
kunnen ingezet worden voor een veilige koppeling van industriële netwerken aan bedrijfsnetwerken.
6.4 Laag 3 switch
Zoals beschreven operen netwerk switches op laag 2 van het OSI model en netwerk routers
op laag 3 van het OSI model. Een laag 3 switch is een performant toestel voor netwerk
routing.
Laag 3 switches verschillen in weinig van standaard netwerk routers. Beide verwerken inkomende
berichten en aan de hand van de adressen opgegeven inde berichten worden dynamische
beslissingen genomen omtrent het verder doorsturen van deze berichten (routeren).
Ze zijn ontstaan in de nood naar routers welke gemakkelijk kunnen ingezet worden in uitgebreide
LAN netwerken zoals bedrijfsintranetten.
Het belangrijkste verschil tussen laag 3 switches en standaard routers is de hardware opbouw.
Bij een laag 3 switch wordt de hardware van een switch gecombineerd met deze van
een router om dus een betere perfomantie te kunnen garanderen bij het routeren in grotere
LAN infrastructuren. Typisch gebruikt voor intranetten zal een laag 3 switch geen WAN poort
bezitten en meestal ook geen typische WAN applicaties ondersteunen.
6.5 Koppeling van een privé netwerk aan het Internet
Een industriële router zal gebruikt worden om een automatiseringsnetwerk te koppelen aan
een bedrijfsnetwerk of aan het Internet. Voor het op Ethernet gebaseerde automatiseringsnetwerk
zal een Net ID moeten gekozen worden. Bij voorkeur een Net ID dat voldoet aan de
RFC 1597.

De router 91
Figuur 6.3 toont een voorbeeld. De router zal langs LAN zijde een IP adres bekomen welke
behoort tot de range van het gekozen Net ID. Meestal wordt dit het eerste of het laatste vrije
IP adres van het netwerk. Anderzijds heeft de netwerkinterface langs LAN zijde ook een MAC
adres. De router zal op het netwerk fungeren als default gateway.
Figuur 6.3: Koppeling van een privé netwerk aan het Internet via een router
Via de WAN interface van de router kan het netwerk gekoppeld worden aan het Internet.
Hiervoor krijgt de router, meestal via DHCP, van een ISP (Internet Service Provider) een uniek
IP adres op het Internet.
Ieder toestel op het netwerk kan nu als volgt geconfigureerd worden.
IP adres 172.23.22.14
Subnetmask 255.255.0.0
Default gateway 172.23.0.1
Hierbij krijgt ieder deelnemer een IP adres waarbij de Net ID voor iedere deelnemer gelijk is,
maar het Host ID voor iedere deelnemer uniek is.
Indien een applicatie vanop een PC op het netwerk een communicatie wil opstarten met
een Server op het Internet moet de PC een eerste IP pakket opmaken om verbinding aan
te vragen. Dit IP pakket wordt op het Internet verstuurd via de default gateway. Hiervoor
kapselt de PC het IP pakket in een Ethernetframe. Figuur 6.4 toont de gegevens welke nodig
zijn om het Ethernetframe op te maken. Het MAC adres van de router wordt via het ARP
protocol bekomen.
Eens het bericht aangekomen bij de router zal deze het IP pakket via de WAN interface doorsturen
naar een andere router op het Internet. Omdat het privé netwerk gescheiden is van
het Internet zal de router het source IP adres van de PC vervangen via door zijn IP adres langs
WAN zijde. Het privé netwerk is enkel via dit externe IP adres van de router bereikbaar via
het Internet.
De server kan nu een antwoord versturen en zal dit antwoord richten aan het externe IP adres
van de router. Er ontstaat nu een probleem want de router moet nu beslissen naar welke PC

De router 92
Figuur 6.4: Koppeling van een privé netwerk aan het Internet via een router
dit bericht moet verstuurd worden. In het antwoord van de Server staan geen gegevens meer
omtrent de orignele zender. Om dit probleem op te lossen werd IP NAT ontwikkeld.
6.6 IP NAT
6.6.1 NAT: IP masquerading
Network Address Translation (NAT) is een protocol dat toelaat om een netwerk met niet geregistreerde
IP adressen (een privé netwerk dat voldoet aan RFC 1597) te koppelen aan het
Internet. Zoals in de vorige paragraaf beschreven, plaatst de router telkens zijn extern IP
adres als source IP adres in elk bericht dat vanuit het privé netwerk op Internet verstuurd
wordt. Alle antwoorden zullen nu gericht zijn aan het externe IP adres van de router.
Het NAT protocol laat toe dat een router het TCP source port veld wijzigt. In een NAT tabel
worden alle nieuwe poortnummers gelinkt aan een intern endpoint. Ieder antwoord vanop
het Internet naar een PC op het privé netwerk zal gericht zijn aan het externe IP adres van
de router maar zal als TCP destination port een poortnummer uit de NAT tabel van de router
bevatten. Op die manier weet de router voor welk endpoint dit bericht bestemd is.
Praktisch gezien is NAT een protocol welke een IP adres van het ene netwerk vertaalt in een
IP adres gekend in een ander netwerk. Het ene netwerk wordt the inside genoemd, het andere
netwerk the outside. Typisch zal een bedrijf zijn locale inside IP adressen vertalen naar
één of meerdere globale outside IP adressen en zal het globale IP adressen van inkomende
berichten terug vertalen naar inside IP adressen. NAT laat dus toe dat een bedrijf slechts
één globaal IP adres gebruikt voor zijn communicatie met de buitenwereld, het Internet. Dit
draagt bij tot het security concept omdat alle uitgaande en inkomende berichten onderworpen
worden aan een vertaling van adressen.
Figuur 6.5 toont de werking van het NAT protocol. Dit is het dynamisch gebruik van het NAT
protocol, wordt daarom soms ook wel dynamisch NAT genoemd.
6.6.2 Port Forwarding
Port forwarding is het statisch gebruik van het NAT protocol. Indien er op het privé netwerk
Servers aanwezig zijn welke rechtstreeks via het Internet bereikbaar moeten zijn kunnen de
endpoints van deze Servers op een statische manier gekoppeld worden aan poortnummers

De router 93
Figuur 6.5: Werking van het NAT protocol: op een PC met IP adres 172.23.22.14 wordt het
http://166.68.45.159: 80 commando gegeven
in de NAT tabel van de router. Om deze server van op het Internet te bereiken moet als
endpoint het externe IP adres van de router gekoppeld worden aan het poortnummer uit de
NAT tabel. De router zal in een inkomend bericht bestemd voor die specifieke Server het
endpoint vertalen naar het correcte endpoint van de Server. Dit is reeds een extra vorm
van security. De excate IP gegevens van de Server moeten niet bekendgemaakt worden
en eventuele hackers hebben ook geen idee over de archtectuur van het netwerk waar die
Servers zich op bevinden. Figuur 6.6 toont welke configuratie er moet gebeuren voor port
forwarding of statisch NAT.

De router 94
Figuur 6.6: Port forwarding
6.7 1:1 NAT
1:1 NAT is protocol waarbij een IP adres vertaald wordt in een ander IP adres zonder de
gebruikte TCP/UDP poorten te wijzigen.
Indien een router langs LAN zijde verbonden is met het netwerk 192.168.1.0/24 en via de
WAN poort verbonden is met het netwerk 10.1.0.0/16 en als extern IP adres 10.1.1.0/16
heeft, dan is met behulp van 1:1 NAT de LAN deelnemer met IP adres 192.168.1.100 via de
WAN zijde bereikbaar via het IP adres 10.1.1.100.
Figuur 6.7: Mapping van het IP adres bij 1:1 NAT
1:1 NAT biedt interessante mogelijkheden voor de automatiseringswereld:
• Verschillende subnetten kunnen aan elkaar gekoppeld worden waarbij op alle subnetten
eenzelfde IP adressering gehanteerd wordt.
• Er hoeven geen bijkomende routes gedefinieerd te worden in het bedrijfsnetwerk.
• Een ARP demon op de mGuard verwerkt de ARP requests vanop het externe netwerk.

De router 95
• Systemen op subnetten kunnen dadelijk aangesproken worden vanuit het bedrijfsnetwerk
door de IP mapping. Bij deze mapping wordt het HOST ID behouden en wordt
enkel het NET ID aangepast.
Figuur 6.8 toont de werking van 1:1 NAT.

De router 96
Figuur 6.8: Principe van 1:1 NAT

Hoofdstuk 7
De firewall
7.1 Inleiding
Een firewall is een applicatie welke datagewijs de toegang regelt tot het netwerk. Een firewall
is ontworpen om al het verkeer te weigeren, behalve het verkeer dat expliciet doorgelaten
mag worden.
Soms bestaat er verwarring tussen een router en een firewall alhoewel er een fundamenteel
verschil is. Een router is een netwerk structuurelement bedoeld om het dataverkeer zo snel
en efficiënt mogelijk door te sturen en dus zeker niet bedoel om dat te blokkeren.
Het gebruik van firewalls moet zeker niet beperkt worden tot Internet verbindingen. Het kan
ook interessant zijn om firewalls in te zetten binnenin internet netwerken om verschillende
delen apart te beveiligen. Firewalls kunnen meestal ook geconfigureerd worden om al het
verkeer in een logboek te registreren en kunnen gecentraliseerde managementfuncties uit
voeren.
7.2 Soorten firewalls
Er zijn twee soorten firewals. Er zijn de software firewalls en de hardware firewalls. Een
software firewall is een firewall die als een programma op een computer geïnstalleerd wordt.
Een hardware firewall is een afzonderlijk apparaat zoals de router met geïntegreerde firewall.
Beide soorten firewalls (sofware- en hardware firewalls) hebben een gelijkaardige werking.
De gebruikte terminologie is op beiden van toepassing.
Ook naar werking bestaan er verschillende soorten firewalls. Het onderscheid wordt gemaakt
op basis van de manier waarop een beslissing genomen wordt om data al dan niet door te
laten.
• Pakket filter: aan de hand van een aantal regels bepaalt de firewall of een IP pakket
wordt doorgelaten of tegengehouden. Dergelijke regels worden opgebouwd aan de
hand van IP adressen, domeinnamen, protocollen (http, ftp, telnet, ...) en poortnummers.
Dergelijke firewalls werken eenvoudig en snel. De pakket filter werkt eigenlijk
als een portier: hij screent eerder oppervlakkig de voorbijkomende berichten. Zo wordt
nagegaan of de berichten binnenkomend zijn (inbound), naar buiten gaan (outbound)

De firewall 98
of op doorreis zijn (route). De opgegeven, maar gemakkelijk te vervalsen (spoofen)
herkomst en de eindbestemming (IP adres en poortnummer) worden gecontroleerd. Er
wordt er in de transportlaag gekeken naar het opgeven type en de aard van het bericht.
Maar wat er werkelijk in het bericht staat wordt niet doorgenomen.
Pakket filter zijn stateless. Ze controleren de herkomst en de bestemming maar kunnen
niet evalueren op verdachte patronen in een bepaalde sessie. Zo kan niet opgemerkt
worden als er plots verdacht veel datapakketten tussen bepaalde applicaties uitgewisseld
worden.
• Stateful inspection: naast de verschillende regels conform een pakket filter kan dergelijke
firewall tussentijdse informatie bijhouden omtrent de toestand van alle connecties
die over de firewall lopen. Stateful Packet Inspection (SPI) betekent dat ieder pakket
vanaf de aanmelding en de daarop volgende handshaking tussen de communicerende
hosts de context ervan onderzoekt. Statefull inspection zal op deze manier gedurende
de volledige sessie nagaan wat er volgens het verbindingsverzoek toegestaan is. Eerst
wordt net als bij een stateless pakket filter nagegaan of de verbinding tussen de bron
en het doel op zich is toegestaan. Zo nee, dan wordt het synchronisatie verzoek verworpen.
Is de verbinding toegestaan dan wordt de informatie uit het eerste datagram dat
de sessie opbouwt (SYN) gedurende de sessie in een state-table database in het geheugen
bewaard. Als er binnen de context van die verbinding iets vreemds gebeurt (een
host verandert plotseling zijn IP adres of onverwacht zijn doelpoort) wordt de sessie
onderbroken.
De meest courante firewalls zijn stateful inspection firewalls.

Hoofdstuk 8
VPN
8.1 Inleiding
Datapakketten worden meestal volledig onbeschermd over het Internet verstuurd. Hierdoor
is er geen:
• geheimhouding van de data (encryptie)
• identiteitsgarantie van de afzender (authentication)
• controle of data al dan niet corrupt is (integriteit)
Een Virtual Private Network (VPN) is een privaat communicatiekanaal welke functioneert als
een koepel boven op een publieke infrastructuur, meestal het Internet. De te verzenden data
via deze dienst wordt zodanig beveiligd dat de integriteit, autorisatie en authenticiteit van
de data gewaarborgd blijft. De eindgebruikers zullen in principe niet merken dat er een VPN
gebruikt wordt. Er zijn verschillende protocollen die deze dienst beschikbaar maken.
8.2 Internet Protocol Security, IPsec
IPsec, Internet Protocol Security, is het meest geïmplementeerde VPN protocol. IPsec maakt
encryptie van de data tussen twee communicatiepartners mogelijk. IPsec kan transparant
geïmplementeerd worden in een netwerkinfrastructuur. IPSec (een acroniem voor Internet
Protocol Security) is een suite van protocollen die er samen voor zorgen dat IP-pakketten beveiligd
over een IP-netwerk verzonden kunnen worden. IP security biedt internetgebruikers
dus de mogelijkheid om op een beveiligde manier data te verzenden. De suite van protocollen
verzorgt daarvoor de volgende diensten, die tijdens het verzenden van een IP datapakket
actief zijn:
• Integriteit: het protocol biedt de garantie dat het verzonden pakket tijdens het transport
niet door derden veranderd is.
• Authenticatie: het protocol legt de identiteit van de communicatiepartijen vast. Tijdens
een beveiligd transport van data moet gegarandeerd worden dat de beoogde partij
voor ontvangst van het datapakket ook daadwerkelijk de partij is, die het ontvangt.
• Ontvangstbevestiging: het protocol toont aan dat wanneer er een transport van gegevens
heeft plaatsgevonden de ontvangende partij dit niet kan ontkennen.

VPN 100
• Confidentialiteit: het protocol zorgt voor de daadwerkelijke beveiliging van de gegevens
en garandeert de afzender dat alleen de ontvangende partij het bericht kan lezen.
Figuur 8.1: Internetwerken
Het protocol wordt vooral ingezet bij het verzenden van informatie via publieke verbindingen
en voorkomt zogenaamde ’Man in the middle attacks’ en ’Spoofing’. Het maakt daarbij gebruik
van het zogenaamde IKE-protocol (Internet Key-Exchange) waarmee de partijen worden
geïdentificeerd die een verbinding tot stand willen brengen. Vervolgens wordt een verbinding
opgebouwd en wordt de te verzenden data door middel van encryptie beveiligd.
Encryptie wordt bij tal van protocollen gebruikt om geheimhouding van data te realiseren. Bij
encryptie zal de data getransformeerd worden naar een onleesbare vorm, de zogenaamde
cyphertekst. Door middel van een sleutel kan de ontvanger dan een omgekeerde transformatie
uitvoeren (decryptie) waardoor de tekst terug leesbaar wordt. De meest performante
encryptietechnieken vandaag de dag zijn 3DES en AES. AES heeft altijd de voorkeur vanwege
haar sterkere crypto eigenschappen t.o.v. 3DES. 3DES is verouderd en mag alleen gebruikt
worden als er geen mogelijkheden zijn om AES te gebruiken.
IPSec ondersteunt beveiliging vanaf de derde laag van het OSI-model, namelijk de netwerklaag.
Hierdoor kan het gebruikt worden door zowel TCP als UDP maar het levert wel overhead
op ten opzichte van bijvoorbeeld SSL dat op hogere OSI-niveaus werkt (en geen UDP kan beveiligen).
De standaard is door het IETF vastgelegd in RFC’s 2401-2412, optioneel voor IPv4
en verplicht bij IPv6.
Het protocol is als volgt opgebouwd:
• Authentication Header (AH): checksumcontrole over het gehele IP-pakket.
• Encapsulating Security Payload (ESP): waakt tegen Man-in-the-middle-aanval aanvallen.
• IP payload compression (IPcomp): compressie op de payload van het IP-pakket voordat
de encryptie plaatsvindt.
• Internet Key Exchange (IKE): assisteert bij het opbouwen van de verbinding door veilig
de sleutels/certificaten over te brengen.

VPN 101
IPsec bestaat in twee varianten:
• Transport: versleutelt de inhoud (payload) van het IP-pakket, maar niet de header. In
deze mode wordt er geen nieuw IP-pakket gemaakt, maar worden de headers (AH of
ESP of allebei) in het IP-pakket gestopt. De bron- en doeladressen blijven ongewijzigd.
• Tunnel: versleutelt zowel de inhoud van het IP-pakket als de header.In deze mode wordt
het complete IP-pakket in een compleet nieuw IP-pakket gestopt. Het IP-pakket heeft
als bron- en doeladres het begin- en eindpunt van de tunnel.
8.3 VPN implementaties
VPN kan op drie verschillende manieren geïmplementeerd worden.
1. Security gateway to Security gateway
Figuur 8.2: Internetwerken
2. Host to security gateway
Figuur 8.3: Internetwerken
3. Host to Host gateway

VPN 102
Figuur 8.4: Internetwerken

Hoofdstuk 9
Automatiseringsnetwerken &
Security
9.1 Bedrijfsnetwerk
Een bedrijfsnetwerk is het geheel van servers, computers en systemen om de algemene
werking van het bedrijf op IT-niveau mogelijk te maken. Ethernet TCP/IP is al jarenlang de
standaard voor het uitwerken van IT-netwerken in kantoren en bedrijven. Een bedrijfsnetwerk
is in zijn eenvoudigste vorm aan het Internet gekoppeld via een router en een firewall.
Grotere bedrijfsnetwerken voorzien aanvullend een DMZ, dit is een gedeelte van het netwerk
waarbinnen publieke servers staan (mailserver, webserver, DNS server, ...).
Figuur 9.1: Een bedrijfsnetwerk
Een router is in zijn eenvoudigste vorm een toestel dat communicatie tussen twee netwerken
mogelijk maakt. Hier concreet langs de ene kant het bedrijfsnetwerk (LAN), langs de andere
zijde het Internet (WAN). Firewalls worden gebruikt om ongewenste communicatie te blokkeren,
waarbij IP pakketten volgens door de gebruiker vastgelegde regels gefilterd worden.
Zowel inkomende als uitgaande communicatie kan daarbij geblokkeerd worden. De filtercriteria
kunnen IP adressen, poortnummers of bepaalde protocollen zijn die naar keuze kunnen
geblokkeerd of vrijgeven worden.

Automatiseringsnetwerken & Security 104
9.2 Automatiseringsnetwerk
9.2.1 Automatiseringscel
Een automatiseringscel is het geheel van PC’s, dataservers, controllers, IO devices, sensoren
en actoren welke nodig zijn om de verschillende functionaliteiten van een automatiseringsconcept
uit te voeren.
Een automatiseringsproject is het geheel van
• Productielijnen en procesinstallaties
• PLC systemen (Progammeerbare Logic Controllers)
• ESD systemen (Emergency Shut Down and Safaty Controllers)
• DCS systemen (Process and distributed Control Systems)
• SCADA systemen (Supervisory Control and Data Acquisition)
Switches zijn de structuurelementen waarmee een volledige automatiseringscel verder opgebouwd
wordt. Door de combinatie van verschillende topologieën en media wordt een flexibel,
veilig en beheersbaar netwerk op basis van Ethernet TCP/IP uitgebouwd op de industriële
werkvloer.
Figuur 9.2: Verschillende topologieën in een automatiseringscel
Belangrijke segmenten worden via switches in een redundante ring met elkaar verbonden. In
bepaalde deelsegmenten worden netwerkdeelnemers in ster verbonden via switches (zoals
in normale IT-netwerken). Waar mogelijk wordt een lijnstructuur toegepast om deelnemers
met elkaar te verbinden. Om een lijnstructuur mogelijk te maken is het noodzakelijk dat alle
IO-devices standaard voorzien zijn van een geïntegreerde switch.
9.2.2 Automatiseringsnetwerk
Een automatiseringsnetwerk bestaat uit één of meerdere automatiseringscellen.
wordt iedere cel gescheiden door een router.
Hierbij

Automatiseringsnetwerken & Security 105
Figuur 9.3: Automatiseringsnetwerk
Bekabeling en connectoren in een automatiseringsnetwerk
De uitbouw en de bekabeling gekend van de kantooromgeving kunnen niet onbeperkt in ruwe
industriële omgevingen toegepast worden.
Kabels, connectoren en infrastructuurelementen moeten afgestemd zijn op de productieomgeving
waar belastingen als vocht, grote temperatuursvariaties, schokken of trillingen kunnen
optreden. Deze onderdelen, connectoren en kabels, moeten voldoen aan de kwaliteitseisen
van de industrie. Dit is de eerste stap naar een betrouwbaar automatiseringsnetwerk.
Het is belangrijk dat alle Ethernetkabels op een eenvoudige manier op de werkvloer kunnen
geconfigureerd worden. Het is aanbevolen om eerst de bekabeling uit te voeren en pas
nadien de Ethernetconnectoren aan te brengen.
Gebruik van switches
Als structuurelementen worden uitsluitend switches gebruikt. De opbouw van het netwerk is
belangrijk om de netwerkbelasting te optimaliseren. Deze mag nooit hoger zijn dan 60% van
de volledige netwerkcapaciteit.
Voor de opbouw van een redundante ringstructuur moeten de switches RSTP ondersteunen.
Voor het beheer en diagnose van het netwerk moeten switches binnen de verschillende automatiseringscellen
volgende protocollen ondersteunen:
• Webbased management, voor een snelle en duidelijke configuratie
• SNMP, voor toesteldiagnose
• LLDP, voor controle en diagnose van de netwerktopologie
• VLAN, voor een gestructureerde opsplitsing van het netwerk

Automatiseringsnetwerken & Security 106
Switches moeten de mogelijkheid bieden om bij verschillende gebeurtenissen SNMP trap
meldingen te versturen of een alarm contact in te schakelen. Voor de eenvoudige configuratie
van nieuwe toestellen wordt een smart memory plug gebruikt. Een andere belangrijke
stap in een beveiligd netwerk is het gebruik van VLAN.
9.2.3 Koppeling van een automatiseringsnetwerk aan een bedrijfsnetwerk
De koppeling van een automatiseringsnetwerk met het bedrijfsnetwerk gebeurt door middel
van een router. Deze router zorgt voor een ideale scheiding tussen de twee netwerken welke
totaal verschillende vereisten hebben. Deze router moet een open doch sterk beveiligde
communicatiestructuur tussen het bedrijfsnetwerk en het automatiseringsnetwerk mogelijk
maken.
9.3 Noodzaak aan beveiliging
9.3.1 Inleiding
Automatiseringsnetwerken zijn tot op heden meestal geïsoleerde netwerken met controllers
en netwerkprotocollen welke gebaseerd zijn op proprietaire protocollen. De productieafdeling
is meestal zelf verantwoordelijk voor de industriële communicatie. Security is zelden een
aandachtspunt.
Moderne automatiseringsprojecten worden gekenmerkt door open systemen en communicatienetwerken
gebaseerd op Ethernet TCP/IP. Hierdoor wordt de IT-afdeling medeverantwoordelijk
voor de industriële communicatie. Security wordt een belangrijk aandachtspunt.
Dat Windows en Ethernet de productiehallen veroveren is een interessante ontwikkeling.
Maar in toenemende mate wordt duidelijk dat ook virussen en hackers vat krijgen op machineparken
en installaties. Het wordt dus belangrijk om de automatiseringswereld te beschermen
tegen de gevaren die al jaren gekend zijn in de IT-wereld.
9.3.2 Bewustwording
Het bewustzijn en de kennis om het kantoornetwerk te beveiligen is heden ten dage heel
sterk aanwezig. Het is standaard geworden om een firewall te plaatsen tussen het kantoornetwerk
en het Internet aangevuld met een aantal bijkomende beveiligingsmaatregelen.
Hiermee is het kantoornetwerk goed beveiligd.
Op productieniveau is dit bewustzijn en deze kennis nog niet zo sterk aanwezig. Volgende
vragen zijn op de werkvloer dan ook voor de hand liggend:
• Is de productie IT wel zo kwetsbaar dat beveiliging zich opdringt?
• En als het bedrijfsnetwerk goed beveiligd is, kan er toch niets fout gaan?
• Welke niet-geautoriseerde persoon gaat zich nu bezighouden met het hacken van de
productieapparatuur en de fabriek stilleggen?
• Daarenboven draaien er toch binnen de industriële IT totaal andere protocollen op het
systeem dan de gekende Microsoft-protocollen. Hierdoor zijn productienetwerken toch
minder gevoelig voor aanvallen van de buitenwereld?

Automatiseringsnetwerken & Security 107
Dit laatste was vroeger correct, maar er is een evolutie naar het gebruik van open systemen
zoals op Windows gebaseerde software-applicaties en protocollen zoals HTTP, FTP, of DCOM
(gebruikt in OPC) tot op PLC niveau. Deze open systemen zijn virus gevoelig en kunnen
zorgen voor het blokkeren van de PLC.
Enerzijds situeren de problemen op de industriële werkvloer zich zozeer rond het opzettelijk
hacken maar eerder rond toevallige fouten binnen de productie. Bijvoorbeeld kabels die
uitgetrokken of verkeerd ingeplugd worden. Productiestilstand of erger kan het gevolg zijn
van het gebruik van een USB-stick die een virus bevat en welke ingeplugd wordt in een PC
die met een machine verbonden is. Dataverkeer vanuit het kantoornetwerk kan zorgen voor
delays op het productienetwerk.
Anderzijds mag niet uitgesloten worden dat er misbruik kan gemaakt worden van de data
die gehackt wordt. Het bedrijf kan gechanteerd worden om het zo te treffen. Recente studies
tonen een evolutie aan op het gebied van industriële security incidenten. De meer
accidentele gebeurtenissen worden meer en meer aangevuld met externe incidenten zoals
virussen, trojan horses, systeem hacking, sabotage,... . Hackers krijgen meer en meer kennis
van besturingssystemen en SCADA applicaties. Hackers doen het heden minder voor de fun
maar meer en meer in het kader van de georganiseerde misdaad om een bepaald bedrijf te
chanteren.
Beveiligen wordt een must.
9.3.3 Doelstelling van security
De hoofddoelstellingen van security zijn drieledig:
• Betrouwbaarheid (confidentiality): zekerheid dat gegevens niet terecht komen bij derden.
• Juistheid van de gegevens (Integrity): bescherming van de gegevens tegen ongewenste
aanpassingen of tegen het vernietigen ervan.
• Beschikbaarheid (availability): resources zijn beschikbaar en functioneren correct op
het ogenblik dat ze dit moeten doen.
Veiligheid zal dus het voorkomen zijn dat iemand ongewenst in het systeem komt, dat het
systeem ten aller tijden normaal blijft functioneren en dat alle gegevens in het systeem op
een betrouwbare manier kunnen verhandeld worden.
9.3.4 Security in de kantoorwereld versus security in de automatiseringswereld
Inleiding
Door de integratie van open systemen kan de indruk ontstaan dat de security problemen
binnen de productiewereld op te lossen zijn door de aanpak binnen de kantoorwereld over te
nemen. Er zijn echter belangrijke verschillen tussen beide domeinen. De kantoor IT is niet
dezelfde als de productie IT. Er moet nagegaan worden wat er uit de kantoor IT al dan niet kan
gebruikt worden in de productie IT. Er is een standaard in ontwikkeling, de ANSI/ISA99, om
het wat, hoe en waarom van security in de automatiseringswereld volledig te beschrijven.

Automatiseringsnetwerken & Security 108
Hoofddoelstelling security
Vooreerst is er een belangrijk verschil in de hoofddoelstelling van security.
In de kantoorwereld is het hoofddoel van security altijd het op een vertrouwelijke manier
verhandelen van data en gegevens.
In de automatiseringswereld zal het hoofddoel van security altijd de beschikbaarheid van het
productiesysteem zijn.
Netwerkprestaties
Beide domeinen hebben totaal verschillende prestatievereisten.
Een overzicht:
Automatiseringsnetwerk
Real-time
Respons is tijdskritisch
Matige throughput aanvaardbaar
Grote vertraging is een probleem
Kantoornetwerk
Niet real-time
Respons moet betrouwbaar zijn
Hoge throughput gewenst
Grote vertraging en jitter mag
Hierdoor is het belangrijk om de impact van security technologieën op de performantie van
het systeem goed te kunnen inschatten alvorens deze geïmplementeerd worden. Zo wordt
in de kantoorwereld veel encryptie toegepast. Encryptie komt echter de real-time werking
niet ten goede.
Betrouwbaarheid van een netwerk
Ook de vereisten naar betrouwbaarheid zijn voor beide domeinen verschillend.
Een overzicht:
Automatiseringsnetwerk
Continue operaties
Stroomonderbrekingen niet toegelaten
Verondersteld getest voor de implementatie
Formele certificatie is verplicht bij aanpassingen
Kantoornetwerk
Geplande operaties
Onderbrekingen toegelaten
Beta testen ter plaatse toegelaten
Weinig papierwerk bij aanpassingen
Het installeren van een nieuw service pack is hier een mooi voorbeeld van. In de kantoorwereld
is dit een normale zaak, in de industriële wereld is de installatie van een service pack
zeker niet evident en in bepaalde industriële takken niet toegelaten.
Verschillende risico opvatting
Automatiseringsnetwerk
Menselijke veiligheid
Risico impact is verlies van leven, product
of toestel
Fout tolerantie is essentieel
Kantoornetwerk
Data integriteit
Risico impact is verlies van data, bedrijfsoperaties
Heropstart via reboot
Verder zijn er in de automatiseringsnetwerken de kritische reactietijden op menselijke interventies.
Het bedienen van een noodstop bijvoorbeeld kan niet belemmerd worden door
paswoordbeveiligingen.

Automatiseringsnetwerken & Security 109
Verschillende security architectuur
In de kantoor IT zijn de centrale servers de meest kritische toestellen om te beveiligen.
Bij de productie IT is het eindtoestel, zoals de PLC, het meest kritische toestel en niet de
centrale dataserver met de historische data van het proces.
Besluit
De klassieke firewall beschermt tegen hackers, wormvirussen en spyware. Het zijn softwareprogramma’s
die het netwerk of de specifieke computer beschermen tegen de buitenwereld
en enkel vertrouwde boodschappen doorlaten. Eén van de doelen is alle verdachte
programma’s die vanuit de eigen locatie verbinding zoeken met het Internet te blokkeren.
Aanvullend in de kantoor IT zijn er de zogenaamde antivirusprogramma’s, anti-spyware en
anti-adware-programma’s die elk binnenkomend bestand tegenhouden, controleren op de
aanwezigheid van in databases opgeslagen bedreigingen en deze dan clean verklaren of in
quarantaine plaatsen. Ook screenen ze alle opgeroepen files op de aanwezigheid van in de
database opgenomen virussen, spyware en adware. Het principe van deze IT-bescherming
is dat de firewall al het inkomend en uitgaand dataverkeer, alle datafiles, programma’s,...
bekijkt en analyseert. Dergelijke firewalls vertragen het systeem en indien nodig hinderen
ze de werking van het programma.
Om een meer industriële firewall te realiseren, zullen in de eerste plaats technieken gebruikt
worden om geen vertraging op te lopen en toch de veiligheid en betrouwbaarheid van de
data te garanderen. Men kan daarbij gebruik maken van veilige communicatiekanalen tussen
bijvoorbeeld PLC en de bedieningscomputer of dataservers. Om real-time werking te
verzekeren mag er geen vertraging optreden bij het controleren van de data die de firewall
passeert.Er zullen andere technologieen moeten toegepast worden. Een mogelijkheid is om
niet niet de eigenlijke data maar eeder de toegepaste protocollen te controleren.
9.3.5 Standaardisatie omtrent security in automatiseringsnetwerken
Inleiding
ANSI/ISA 99 geeft richtlijnen bij het uitvoeren van een risico-inventarisatie, het opstellen
van een zogenaamd cyber security beleid en het uitvoeren van dat beleid. De standaard is
opgesteld in samenwerking met eindgebruikers, systeemintegratoren en leveranciers. De
ANSI/ISA 99 norm is in volle ontwikkeling. Momenteel zijn er 2 delen beschikbaar.
Figuur 9.4 toont een overzicht van de ISA 99 standaard. Bedoeling is dat deel 1 een raamwerk
wordt rond alle andere delen. Momenteel zijn enkel deel 1 en deel 2.01 beschikbaar.
Deel 1 (ANSI/ISA report TR99.00.01- 2007)
Dit eerste deel heeft als title : ’Security for Industrial Automation and Control Systems’,
de laatste versie dateert van 29 oktober 2007. Het Beschrijft security technologieën welke
heden beschikbaar zijn voor industriële productie en controle systemen. In dit deel worden
technologieën zoals authenticatie en autorisatie, firewalls, VPN,... besproken.
Authenticatie is het proces om gebruikers, toestellen, applicaties, resources positief te kunnen
herkennen. Authenticatie kan gebeuren aan de hand van iets wat gekend is (pincode,

Automatiseringsnetwerken & Security 110
Figuur 9.4: De ANSI/ISA 99 standaard
paswoord,...) , iets wat in bezit is (sleutel, intelligente kaart, dongle,...) iets fysisch (vingerafdruk,...
). Hierbij moet onderscheid gemaakt worden tussen 2 verschillende authenticaties:
user authenticatie en netwerk service authenticatie.
Deel 2 (ANSI/ISA report TR99.00.02- 2004)
Oorspronkelijk had het tweede deel als titel : Integrating Electronic Security into the Manufacturing
and Control Systems Environment. Het oorspronkelijke deel 2 en deel 3 worden
nu uiteindelijk samengebracht tot deel 2. Deel 2 zal dan uit twee onderdelen bestaan. Het
eerste deel ISA 99 part 2.01, is klaar en krijgt als titel ’Establishing an Industrial Automation
and Control Systems Security Program’. Bedoeling is de bedrijven te ondersteunen bij het
opstellen van een security management plan. De basis van dergelijk plan is om alle mogelijke
risico’s in kaart te brengen en vervolgens een aantal oplossingen te formuleren. ISA 99
part 2.02 zal beschrijven hoe dergelijk security plan moet uitgevoerd worden.
Deel 4
In deel 4 zullen de eisen welke gesteld worden aan apparatuur en systemen beschreven
worden opdat deze zouden voldoen aan de ISA 99 standaard.
9.3.6 Een veiligheidsprogramma
Het uitwerken van een veiligheidsplan is meer dan alleen maar aandacht hebben voor technische
oplossingen zoals firewalls en encryptie van data. Verschillende menselijke factoren
kunnen bijdragen tot een succesvolle implementatie van een CSMS (Cyber Security Management
System). Verschillende aandachtspunten welke kunnen leiden tot een succesvolle
integratie:
• Een veiligheidsbeleid moet volledig passen in het bedrijfsbeleid
• Het veiligheidsprogramma moet passen in de bedrijfscultuur

Automatiseringsnetwerken & Security 111
• Ondersteuning en engagement van het bedrijfsmanagement
• Duidelijke budgettering van security management acties
• Scheiden van de functionaliteiten: indien een productieverantwoordelijke ook verantwoordelijk
is voor security dan komt security vaak op de tweede plaats.
• Activiteiten en opleidingen organiseren voor alle werknemers
• Richtlijnen verspreiden onder alle werknemers
•
9.4 Security in de praktijk
Security betekent eigenlijk de machine, de productie of het proces beschermen tegen bepaalde
menselijke activiteiten. Menselijke activiteiten kunnen onbewust of doelbewust ervoor
zorgen dat er productiestilstand gecreëerd wordt.
Om security toe te passen is er niet één regel maar moeten verschillende concepten er toe
leiden dat menselijke fouten geminimaliseerd worden of dat personen met slechte intenties
afgeschrikt worden om misbruik te maken van de beschikbare data.
Security op de werkvloer kan op verschillende niveaus geïntegreerd worden.
9.4.1 Laag 1 security
Een eerste stap in een goed beveiligd netwerk is de mechanische beveiliging van de netwerkkabels.
Safe clips moeten vermijden dat netwerkkabels eenvoudig kunnen verwijderd
worden uit een netwerkpoort. Ook de toegang tot vrije RJ45 poorten van de verschillende
switches moet mechanisch bemoeilijkt worden om de toegang van ongewenste deelnemers
te verhinderen.
Figuur 9.5 toont de mogelijkheid om ongebruikte poorten te blokkeren of om Ethernet connectoren
vast te zetten.
Figuur 9.5: Laag 1 security
9.4.2 Laag 2 security
Een tweede stap bij het beveiligen van een netwerk is het gebruik van de beschikbare software
voor het managen van switches.
Switches moeten de mogelijkheid bieden om enkele belangrijke beveiligingen in te stellen:
• Webbased management moet paswoord beveiligd zijn.

Automatiseringsnetwerken & Security 112
• Er moet de mogelijkheid zijn om op basis van IP-adressen verschillende rechten toe te
kennen (read-only of read-write beveiliging).
• Switches moeten de mogelijkheid bieden om verschillende beveiligingen per poort in
te stellen. Zo moet per poort een lijst van toegelaten MAC adressen ingesteld kunnen
worden.
9.4.3 Laag 3 security
De belangrijkste stap bij het beveiligen van een automatiseringsnetwerk is het scheiden van
verschillende segmenten door een security module. Een security module is een router met
volgende mogelijkheden:
• NAT en 1:1 NAT: het toepassen van NAT zorgt reeds voor een vertaling van IP adressen.
Hierdoor is het voor een buitenstaander al moeilijker om de toegepaste IP adressering
op het netwerk te achterhalen.
• Geïntegreerde stateful inspection firewall.
• User firewall: individuele rules voor verschillende gebruikers.
• Ondersteuning van VPN technologie.