Infrastructuur

Netwerkinfrastructuur KMO: betrouwbare fundamenten bouwen

Gepubliceerd op Bijgewerkt op
#infrastructuur #netwerk #server #vlan #wifi #kmo
Netwerkinfrastructuur KMO: betrouwbare fundamenten bouwen

De netwerkinfrastructuur is een van de minst glamoureuze IT-uitgaven — tot de dag dat ze uitvalt. Op dat moment wordt ze onmiddellijk de absolute prioriteit van de directie, want de volledige bedrijfsactiviteit ligt stil.

Na jaren spoed-interventies bij Belgische KMO’s hebben wij een terugkerend patroon vastgesteld: bedrijven investeren in geavanceerde SaaS-tools, cloudoplossingen en moderne bedrijfsapplicaties — maar hun netwerk draait op heterogene, niet-gemonitorde apparatuur met een configuratie die niet herzien is sinds de initiële installatie vijf tot zeven jaar geleden.

Deze gids is bedoeld voor bestuurders en IT-verantwoordelijken van KMO’s die willen begrijpen wat hun netwerk- en serverinfrastructuur moet kunnen — en hoe zij dat kunnen evalueren. Ze sluit aan bij ons aanbod netwerk- en serverinfrastructuur, dat wij ontwerpen en beheren voor Belgische en Benelux-KMO’s.

Geërfde infrastructuur: laag per laag opgebouwd

De meeste KMO-infrastructuren zijn nooit ontworpen — ze zijn gegroeid. Een server toegevoegd voor de boekhouding in 2018, een NAS om bestanden te delen in 2020, een tweede internetlijn afgesloten na een memorabele storing, een extra switch ingeplugd omdat er poorten tekortkwamen. Elke toevoeging loste een onmiddellijk probleem op, zonder totaalbeeld.

Het resultaat is een infrastructuur waarvan niemand de topologie nog volledig kent. De afhankelijkheden zijn impliciet: deze dienst draait op die server, en het stilleggen daarvan zou een andere dienst raken, maar dat staat nergens gedocumenteerd. Wanneer een storing optreedt, duurt de diagnose uren omdat eerst de werking van het geheel mentaal gereconstrueerd moet worden.

Eerst in kaart brengen, dan herbouwen

Vóór elke modernisering is de eerste stap het bestaande in kaart brengen. Je herbouwt geen infrastructuur die je niet begrijpt. Die kaart omvat de hardware- en software-inventaris, het IP-adresseringsplan, de verkeersstromen tussen applicaties, de afhankelijkheden tussen servers en diensten, en de lopende contracten en garanties.

Deze oefening onthult bijna altijd verrassingen: een verouderde fysieke server die een kritieke dienst draait zonder enige redundantie, een back-up waarvan men dacht dat ze actief was maar die maanden geleden stopte, of apparatuur aan het einde van haar levensduur die door geen enkele fabrikant nog ondersteund wordt. Dat is precies wat een gestructureerde infrastructuuraudit oplevert.

De vier componenten van een degelijk KMO-netwerk

1. Routing en segmentatie (VLAN)

Een plat netwerk — waarin al uw apparaten op hetzelfde segment zitten — was aanvaardbaar voor een KMO van 10 personen in 2010. Vandaag, met IoT-apparaten (printers, camera’s, toegangscontrolesystemen, Wi-Fi-punten), gasttoestellen en productieservers die naast elkaar op hetzelfde netwerk draaien, is het een aanzienlijk beveiligingsrisico.

VLAN-segmentatie verdeelt uw netwerk in afzonderlijke logische zones:

  • VLAN Productie: servers, NAS, kritieke apparatuur — toegang beperkt tot geautoriseerde apparaten
  • VLAN Gebruikers: werkstations en IP-telefoons
  • VLAN IoT: printers, camera’s, controlesystemen — geïsoleerd van de rest
  • VLAN Gasten: enkel internettoegang, geen zicht op het interne netwerk

Deze architectuur vereist geen high-end hardware. Managed switches van Cisco Catalyst, Ubiquiti UniFi of HP Aruba volstaan voor de meeste KMO’s van 20 tot 150 medewerkers.

2. Professionele Wi-Fi

Consumer-Wi-Fi (ISP-router of consumententoegangspunt) is om verschillende redenen niet geschikt voor professionele omgevingen:

Prestaties: consumentenapparaten verwerken niet goed een hoge dichtheid van gelijktijdige gebruikers. Vanaf 15 tot 20 aangesloten apparaten dalen de prestaties aanzienlijk.

Beveiliging: de meeste consumententoegangspunten bieden geen clientisolatie (verhinderen dat twee Wi-Fi-apparaten elkaar kunnen zien) of VLAN-segmentatie per SSID.

Monitoring: bij een probleem hebt u geen enkel zicht op wat er werkelijk gebeurt op uw draadloos netwerk.

Een professionele Wi-Fi-implementatie (Ubiquiti, Cisco Meraki, Aruba Instant On) laat u toe meerdere SSID’s met bijbehorende VLAN’s te definiëren, gecentraliseerde monitoring en connectiviteitsrapporten te hebben, en de mobiliteit van apparaten tussen toegangspunten (roaming) correct te beheren.

3. Redundantie en hoge beschikbaarheid

Wat is de tolerantie van uw activiteit voor een netwerkstoring van 4 uur? Van 8 uur? Van een volledige dag?

Voor de meeste KMO’s is het antwoord “geen” — of “zeer laag”. En toch draaien velen op een enkele internetverbinding zonder enig automatisch failover-mechanisme.

Basismaatregelen om de weerbaarheid te verbeteren:

Dubbele internettoegang: hoofdverbinding (glasvezel) + noodverbinding (4G/5G of VDSL) met automatische omschakeling (failover). De maandelijkse kost van een 4G-noodverbinding is doorgaans lager dan de kost van een uur bedrijfsstilstand.

Redundantie van kritieke apparatuur: uw core switch dient bij voorkeur over een redundante voeding te beschikken. Een defecte core switch legt het volledige netwerk plat, zelfs als het internet functioneert.

UPS (noodstroomvoorziening): uw actieve netwerkapparatuur (switch, firewall, Wi-Fi-punten) moet op een UPS aangesloten zijn om micro-onderbrekingen en spanningsvariaties op te vangen — de belangrijkste oorzaken van vroegtijdig falen van apparatuur.

4. Monitoring en alarmering

Een niet-gemonitord netwerk is een netwerk waarvan u de problemen na uw gebruikers ontdekt. Proactieve monitoring laat u toe een bandbreedteverzadiging, een gedeeltelijke storing of een beveiligingsanomalie te detecteren voordat deze de activiteit beïnvloedt.

Monitoringtools vereisen geen diepgaande expertise voor een KMO. Oplossingen als PRTG Network Monitor, Zabbix of de geïntegreerde dashboards van Ubiquiti/Meraki laten toe alarmen per e-mail of sms in te stellen op:

  • Beschikbaarheid van apparatuur (ping)
  • Bandbreedtegebruik (alarmdrempels op 70 % en 90 %)
  • Responstijden van WAN-verbindingen
  • Schijfruimte van NAS en servers

Netwerkontwerp: LAN, WAN en SD-WAN

Netwerkontwerp begint bij het LAN — het lokale netwerk van de vestiging. Daar komen de hierboven beschreven VLAN-segmentatie en professionele Wi-Fi in beeld, maar ook de dimensionering van de verbindingen tussen switches: een access switch die via één enkele gigabitverbinding met de core switch verbonden is, kan een knelpunt worden zodra tientallen werkstations tegelijk de bestandsserver aanspreken.

Het WAN betreft de verbindingen naar buiten: internettoegang, koppelingen tussen vestigingen, toegang tot cloudbronnen. Voor een KMO met één vestiging volstaat doorgaans een dubbele internettoegang met failover. Voor een organisatie met meerdere vestigingen wordt SD-WAN relevant: het laat toe meerdere verbindingen (glasvezel, VDSL, 4G/5G) te aggregeren en het verkeer dynamisch te sturen naargelang de aard ervan — bijvoorbeeld glasvezel verkiezen voor bestandsoverdrachten en spraak overschakelen naar een stabielere verbinding. SD-WAN is niet voor elke KMO noodzakelijk, en het werkelijke nut hangt af van het aantal vestigingen en de kriticiteit van de verbindingen tussen sites.

Virtualisatie en serverconsolidatie

Elke applicatie op haar eigen fysieke server laten draaien is duur, plaatsverslindend en kwetsbaar. Virtualisatie — met een hypervisor zoals VMware vSphere, Proxmox of Microsoft Hyper-V — laat toe meerdere virtuele servers te consolideren op een beperkt aantal fysieke machines.

De voordelen zijn concreet: een beter gebruik van de hardware, isolatie van omgevingen en vooral flexibiliteit in het beheer. Een virtuele machine kan als snapshot worden bewaard, van de ene fysieke host naar de andere worden verplaatst, of in enkele minuten worden hersteld in plaats van een server van nul te herinstalleren. Voor veel KMO’s vervangen twee correct gedimensioneerde virtualisatiehosts met voordeel een park van vijf of zes verouderde fysieke servers.

Consolidatie kent echter haar grenzen: te veel diensten op te weinig hardware concentreren creëert opnieuw een enkel storingspunt. Daarom gaat virtualisatie hand in hand met de reflectie over hoge beschikbaarheid.

Hoge beschikbaarheid en bedrijfscontinuïteit

Hoge beschikbaarheid bestaat erin enkele storingspunten te elimineren — die elementen waarvan de uitval volstaat om een kritieke functie stil te leggen. In de praktijk betekent dit verdubbelen wat verdubbeld kan worden: redundante voedingen, twee virtualisatiehosts in plaats van één, opslag in RAID, een dubbele netwerkverbinding naar de kritieke apparatuur.

Naast de dagelijkse beschikbaarheid beantwoorden het bedrijfscontinuïteitsplan (BCP) en het uitwijkplan (DR, disaster recovery) een andere vraag: wat gebeurt er bij een zware calamiteit — brand, waterschade, ransomware die de volledige opslag versleutelt? Twee indicatoren structureren deze reflectie: de RTO (maximaal aanvaardbare uitvalduur) en de RPO (maximaal volume aan gegevens dat men aanvaardt te verliezen). Deze twee waarden samen met de directie vastleggen stuurt alle technische en budgettaire keuzes, want mikken op herstel binnen een uur kost merkbaar meer dan mikken op herstel binnen een dag.

Echt geteste back-ups

Een back-up die nooit hersteld is, is geen back-up — het is een veronderstelling. Wij treffen geregeld KMO’s aan die overtuigd zijn beschermd te zijn, maar waarvan de laatste bruikbare back-up maanden oud is, hetzij omdat de job stilletjes gestopt was, hetzij omdat het medium vol zat, hetzij omdat de geback-upte bestanden corrupt bleken op de dag dat ze hersteld moesten worden.

De referentieregel blijft de 3-2-1-regel: drie kopieën van de gegevens, op twee verschillende soorten media, waarvan één kopie buiten de vestiging. In het ransomwaretijdperk voegt men daar vaak een onveranderlijke of losgekoppelde kopie aan toe, die een aanvaller niet kan versleutelen zelfs als hij het netwerk overneemt. Maar de 3-2-1-regel heeft enkel waarde als de herstellingen regelmatig getest worden: een gedocumenteerde hersteltest per kwartaal is het enige echte bewijs dat uw opzet werkt.

Hybride: on-premise en cloud op elkaar afstemmen

Het debat “alles in de cloud” tegen “alles op locatie” is voor KMO’s grotendeels achterhaald. De meeste organisaties draaien beter met een hybride architectuur, waarin elke werklast wordt geplaatst waar ze het meest op haar plaats is. E-mail en kantoorautomatisering leven natuurlijk in de cloud (Microsoft 365), terwijl een bedrijfsapplicatie die gevoelig is voor latentie of onderworpen is aan regelgevende beperkingen on-premise kan blijven.

De uitdaging van een hybride architectuur is de afstemming: de connectiviteit tussen de vestiging en de cloud, de coherentie van identiteiten en toegangen, en een back-upstrategie die beide werelden dekt — inclusief de gegevens in de cloud, die de leverancier niet altijd in uw plaats back-upt. Een goed uitgevoerde migratie naar de Azure-cloud steunt net op een gezonde netwerkinfrastructuur vooraf.

Documentatie die u toebehoort

De laatste pijler wordt vaak het meest verwaarloosd: documentatie. Een actueel netwerkschema, een adresseringsplan, een apparatuurinventaris met einddatums van de garantie, de herstelprocedures en de contactgegevens van de dienstverleners vormen een actief dat aan het bedrijf toebehoort — niet aan de technicus of dienstverlener die de informatie in zijn hoofd heeft.

Deze documentatie is ook de basis voor een goede beveiligingshouding: je kunt niet beschermen wat je niet geïnventariseerd hebt. Ze gaat van nature samen met een aanpak van cyberbeveiliging en GDPR-conformiteit, die steunt op dezelfde precieze kennis van het park.

Wanneer uw netwerk een revisie nodig heeft

Dit zijn de signalen die aangeven dat het tijd is om uw netwerkinfrastructuur te auditen:

  • Uw gebruikers klagen regelmatig over traagheid zonder geïdentificeerde oorzaak
  • U hebt clouddiensten toegevoegd (Microsoft 365, ERP SaaS) zonder uw netwerkarchitectuur te herzien
  • U hebt geen documentatie van uw netwerk (IP-adresseringsplan, apparatuurinventaris, bekabelingsschema)
  • Uw firewall is dezelfde router als die welke uw ISP geïnstalleerd heeft
  • U hebt in 6 maanden geen enkele alarmmelding van uw netwerk ontvangen — niet omdat alles goed gaat, maar omdat er geen alarmsysteem is

Onze aanpak bij ITOPS.be

Wij voeren netwerkinfrastructuuraudits uit die een concreet resultaat opleveren: een statusrapport met vastgestelde afwijkingen ten opzichte van de best practices, en een geprioriteerde roadmap met kostenraming.

Wij werken voornamelijk met Cisco, Ubiquiti en Fortinet apparatuur, maar ons advies is leveranciersonafhankelijk — wij bevelen aan wat past bij het budget en de behoeften van uw organisatie, niet wat onze marge maximaliseert.

Hebt u twijfels over de degelijkheid van uw netwerkinfrastructuur? Neem contact met ons op voor een evaluatiegesprek van 30 minuten. Wij stellen u enkele gestructureerde vragen die ons samen laten beoordelen of een uitgebreidere audit gerechtvaardigd is.

Veelgestelde vragen

On-premise, cloud of hybride voor een KMO?

Er bestaat geen eenduidig antwoord. Kantoorautomatisering, e-mail en samenwerking zijn doorgaans eenvoudiger en goedkoper in de cloud. Omgekeerd kan een bedrijfsapplicatie die gevoelig is voor latentie, onderworpen is aan regelgevende beperkingen of sterk geïntegreerd is met lokale apparatuur, on-premise blijven. De meeste KMO’s komen uit bij een combinatie van beide. Het juiste vertrekpunt is uw applicaties en hun beperkingen in kaart brengen vóór u beslist.

Hoe vermijden we enkele storingspunten?

Een enkel storingspunt is een element waarvan de uitval volstaat om een kritieke functie stil te leggen: één enkele internettoegang, één enkele core switch, één enkele server die een sleutelapplicatie host. Je beperkt ze door te verdubbelen wat verdubbeld kan worden — redundante voedingen, een dubbele netwerkverbinding, een tweede virtualisatiehost, opslag in RAID, een back-upinternettoegang met failover. Het doel is niet alles te verdubbelen, maar de werkelijk kritieke elementen te identificeren en de investeringen daarop te richten.

Wat is een 3-2-1-back-up en hebben wij die nodig?

De 3-2-1-regel beveelt aan drie kopieën van uw gegevens te bewaren, op twee verschillende soorten media, waarvan één kopie buiten de vestiging. Vandaag voegt men daar vaak een onveranderlijke of losgekoppelde kopie aan toe om ransomware te weerstaan. Ja, elke organisatie die van haar gegevens afhangt heeft die nodig — maar op voorwaarde dat de herstellingen regelmatig getest worden, anders is de back-up niet meer dan een ongeverifieerde veronderstelling.

Hoe lang duurt een infrastructuuraudit?

Dat hangt af van de omvang en de complexiteit van de omgeving. Voor een KMO met één vestiging en 20 tot 50 werkstations vraagt de fase van gegevensverzameling en cartografie doorgaans enkele dagen tot een à twee weken, gevolgd door het opstellen van het rapport en de roadmap. Omgevingen met meerdere vestigingen of zeer heterogene omgevingen vragen meer tijd. Wij leggen de afbakening en de termijn vast tijdens het voorafgaande gesprek, zodat u weet wat u mag verwachten vóór u zich engageert.

← Terug naar blog