Vast IP adres op 'outlets' - Serversoftware en clouddiensten

maandag 7 december 2009 13:10

Acties:

Topicstarter

Dit is een kromme titel maar dit is de (Ziekenhuis) casus:
- Een software applicatie (EPD) monitorred 40 'mobiele' dialysemachnes
- Op dit EPD moeten de vaste IP adressen worden ingevuld van deze medische apparaten, behandelgegevens van deze apparaten loopt bij het starten van de behandeling binnen op dit EPD. In feite zit het EPD gekoppeld aan een behandelplaats (wall outlet) en niet aan het dialyse apparaat
- Op zich werkt dit, geen punt
- Echter verpleging verplaats machines ivm defecten, gevolg applicatie beheerder of technicus moet in de applicatie of in de apparatuur de IP adressen aanpassen voor de verplaatste apparatuur en daar willen we vanaf

Nu bestaat er een methode waarbij mbv een managebale switch/router, de afgaande poorten van deze switch zo geconfigueerd worden dat ze een soort router functie krijgen. De poorten van deze switch krijgen een vast IP adres, zodat de software applicatie alleen nog deze IP adressen ziet, behorend bij een wall outlet en niet meer afhankelijk is van het werkelijke IP adres van de machine die er opaangesloten is.

Eventueel zouden nu zelfs de IP adressen van de medische apparaten hetzelfde kunnen zijn.

Hoe noem je dit soort switch/router functionaliteit nu eigenlijk, dat praat voor mij wat makkelijker met onze ICTers, het gaat om netwerk apparatuur van Cisco.

Nibe S2125-12, SMO S40, ELK9, Vloerverwarming+radiatoren Enphase 7560Wp, ABB SCU200

maandag 7 december 2009 15:15

Acties:

the-edge

RedGolf schreef op maandag 07 december 2009 @ 13:10:
Dit is een kromme titel maar dit is de (Ziekenhuis) casus:
- Een software applicatie (EPD) monitorred 40 'mobiele' dialysemachnes
- Op dit EPD moeten de vaste IP adressen worden ingevuld van deze medische apparaten, behandelgegevens van deze apparaten loopt bij het starten van de behandeling binnen op dit EPD. In feite zit het EPD gekoppeld aan een behandelplaats (wall outlet) en niet aan het dialyse apparaat
- Op zich werkt dit, geen punt
- Echter verpleging verplaats machines ivm defecten, gevolg applicatie beheerder of technicus moet in de applicatie of in de apparatuur de IP adressen aanpassen voor de verplaatste apparatuur en daar willen we vanaf

Nu bestaat er een methode waarbij mbv een managebale switch/router, de afgaande poorten van deze switch zo geconfigueerd worden dat ze een soort router functie krijgen. De poorten van deze switch krijgen een vast IP adres, zodat de software applicatie alleen nog deze IP adressen ziet, behorend bij een wall outlet en niet meer afhankelijk is van het werkelijke IP adres van de machine die er opaangesloten is.

Eventueel zouden nu zelfs de IP adressen van de medische apparaten hetzelfde kunnen zijn.

Hoe noem je dit soort switch/router functionaliteit nu eigenlijk, dat praat voor mij wat makkelijker met onze ICTers, het gaat om netwerk apparatuur van Cisco.

Je kunt IP address op MAC address uitdelen. Zo krijgt elke machine hetzelfde adres.
Met mijn laptop kan ik inprikken waar ik wil, dmv mijn MAC adres krijg ik altijd hetzelfde ip address.

maandag 7 december 2009 15:25

Acties:

E-Rick

I love it :7

the-edge schreef op maandag 07 december 2009 @ 15:15:
[...]

Je kunt IP address op MAC address uitdelen. Zo krijgt elke machine hetzelfde adres.
Met mijn laptop kan ik inprikken waar ik wil, dmv mijn MAC adres krijg ik altijd hetzelfde ip address.

Dat is zoals het nu werkt en dat is niet de bedoeling. TS wil dat het IP-adres wordt gekoppeld aan een outlet en juist niet aan een apparaat, omdat die apparaten nog wel eens van plek wisselen.

Choose life

maandag 7 december 2009 15:30

Acties:

PROnline

je zou opzich kunnen subnetten in kleine segmenten d.w.z. één adres per poort en DHCP lease relatief kort zetten voor deze segmenten. Dan wordt het IP vanzelf snel vrijgegeven als er geshuffeld wordt met aansluitingen.

maandag 7 december 2009 15:37

Acties:

Eyerule2nd

volgens mij kan je geen IP adressen uitdelen aan een outlet aangezien die geen MAC adres o.i.d. heeft..

maandag 7 december 2009 15:39

Acties:

PROnline

Wel als je gaat subnetten en vlannen. Maar 't moet ook handiger kunnen denk ik.

maandag 7 december 2009 15:40

Acties:

Verwijderd

je moet opzoek gaan na een switch met port management. Meestal kan je daar ook per poort aangeven welk ip er aangekoppeld moet worden.

maandag 7 december 2009 15:42

Acties:

axis

PROnline schreef op maandag 07 december 2009 @ 15:30:
je zou opzich kunnen subnetten in kleine segmenten d.w.z. één adres per poort en DHCP lease relatief kort zetten voor deze segmenten. Dan wordt het IP vanzelf snel vrijgegeven als er geshuffeld wordt met aansluitingen.

Dit lijkt me ook de meest logische oplossing. Ik zou dan elke outlet een eigen vlan geven met een eigen klein subnetje, en je dhcp server een enkel ip laten uitdelen op dit subnet, met een hele korte leasetijd.. Is wel wat gedoe, maarja.. wat wil je..

Two advices for network troubleshooting.. learn to draw diagrams in Visio, and THINK IN LAYERS!

maandag 7 december 2009 15:47

Acties:

RedGolf

Topicstarter

E-Rick schreef op maandag 07 december 2009 @ 15:25:
[...]
Dat is zoals het nu werkt en dat is niet de bedoeling. TS wil dat het IP-adres wordt gekoppeld aan een outlet en juist niet aan een apparaat, omdat die apparaten nog wel eens van plek wisselen.

Inderdaad het IP adres moet juist plaats gebonden zijn, dus aan de outlet/router-switch poort.

Nibe S2125-12, SMO S40, ELK9, Vloerverwarming+radiatoren Enphase 7560Wp, ABB SCU200

maandag 7 december 2009 15:49

Acties:

Mr_x007

Bij sommige managed switches kan je per port een circuit id en/of remote id instellen, je dhcp server krijgt deze bij een request mee en kan op basis daarvan een IP uitdelen

vrijdag 11 december 2009 17:00

Acties:

DJ

Heb je nu per poort dus een klein subnet gedefinieerd vanaf je switch? Bijvoorbeeld een /30 subnet? En hebben de dialyse apparaten dus een vast IP adres in dat kleine subnet?

Of heb je per switch één VLAN gedefinieerd en als een dialyse apparaat verplaatst wordt en (toevallig) op een andere switch komt dus ook een ander VLAN krijgt en dus ook een ander IP adres?

Ik begrijp niet helemaal wat je bedoelt. Kun je anders een layer 3 tekening laten zien of en route tabel voor zo'n dialyse apparaat? Dan wordt het voor iedereen hier wel makkelijker om te zien wat je bedoelt en hoe het beste de boel ingesteld kan worden . . .

Als er geen Religie's zouden zijn, dan waren we allemaal gewoon mensen geweest

zaterdag 12 december 2009 14:03

Acties:

Harrie666

Even een gekke gooi maar als je een Switch pakt en daarop 40 Vlans maakt dus elke poort een eigen Vlan dan moet je met het inregelen van je scope en een IP helper adres toch mogelijk zijn om elk Vlan een uniek IP adres te laten uitdelen ?

zaterdag 12 december 2009 19:17

Acties:

Terranca

Theoretisch moet het mogelijk zijn om op een L3 managed switch idd per poort een VLAN in te stellen, de switch per VLAN een ip-adres met klein subnet (255.255.255.252 oid) te geven, en vervolgens een zogenaamd ip-helper adres op te geven (deze zet de DHCP Broadcast van de client om naar een Unicast naar een vooraf ingestelde DHCP server). Deze DHCP server krijgt vanaf het IP-adres van de switch een request en gaat in z'n configuratie zoeken of hij voor dat subnet IP-adressen mag uitdelen (een IP-range ter grootte van 1, met kleine expire time, me dunkt), en stuurt dan dat IP-adres terug naar de switch, welke het weer terugkoppelt aan de client.

Wel erg vatbaar voor configuratie-fouten, denk ik zo. Ook zijn er natuurlijk maximaal 4096 vlan-id's mogelijk dus je hebt een vrij hard maximum aantal apparaten. Ben benieuwd of er nog alternatieven opduiken.

[edit] DHCP Option 82 lijkt me een stuk beter te beheren

weer wat geleerd..

[ Voor 5% gewijzigd door Terranca op 12-12-2009 20:01 ]

zaterdag 12 december 2009 19:43

Acties:

DGTL_Magician

Kijkt regelmatig vooruit

Zoals MR_x007 al zei: DHCP optie 82 mee laten geven op de switches.

Zie:
https://www.cisco.com/en/...e/swdhcp82.html#wp1069615
en: http://www.miquels.cistron.nl/isc-dhcpd/

Deze optie geeft het port-id van de aansluiting mee en hiermee kun je dus een vast IP adres uit delen aan de hand van de poort in de muur.

VLANnen op een poort is een kostbare, onderhoudsondvriendelijke oplossing. In vaktermen ook wel een vieze hack genoemd

[ Voor 13% gewijzigd door DGTL_Magician op 12-12-2009 19:43 ]

Blog | aaZoo - (Wireless) Networking, Security, DDoS Mitigatie, Virtualisatie en Storage

zaterdag 12 december 2009 19:48

Acties:

leuk_he

1. Controleer de kabel!

Je geeft elke outlet zijn eigen NAT. echter of die apparaten goedgekeurd zijn voor die praktijken is de vraag.

Need more data. We want your specs. Ik ben ook maar dom. anders: forum, ff reggen, ff topic maken
En als je een oplossing hebt gevonden laat het ook ujb ff in dit topic horen.

zondag 13 december 2009 00:40

Acties:

ChaserBoZ_

Harrie666 schreef op zaterdag 12 december 2009 @ 14:03:
Even een gekke gooi maar als je een Switch pakt en daarop 40 Vlans maakt dus elke poort een eigen Vlan dan moet je met het inregelen van je scope en een IP helper adres toch mogelijk zijn om elk Vlan een uniek IP adres te laten uitdelen ?

Dat lijkt me de makkelijkste oplossing.
En je zou nog kunnen overwegen om op de Cisco per vlan een DHCP pool (van 1 adres) in te stellen, dan handelt de Cisco het allemaal zelf af.

'Maar het heeft altijd zo gewerkt . . . . . . '

maandag 14 december 2009 15:16

Acties:

fast-server

Simpelste manier:

Zoek een switch met VLANs and 802.1q trunking mogelijkheden
Maak op iedere switchpoort een andere VLAN aan.
Routers zoals de Cisco 2924XL-EN kunnen dit gewoon. (non -EN modellen kunnen dit NIET!)

PV Output SolarEdge SE5000H, 12x Jinko JKM390N-6RL3 Tiger> 4,68 kWp, Helling 42°, Oriëntatie 196° (ZZW)

maandag 14 december 2009 19:46

Acties:

AK47

@ DGTL_Magician: ik heb wel eens wat dingen gedaan met Option-82 in combinatie met ISC DHCPd. Dit was dan wel met HP ProCurve switches - welke ook DHCP-snooping ondersteunen - maar dit komt op hetzelfde neer als met Cisco switches.

Nu is het zo dat DHCPd qua configuratie redelijk flexibel is, maar niet met het probleem van de TS. Wil je namelijk op basis van Option 82 info "statische" IP adressen uitdelen, dan wordt je configuratie redelijk omslachtig.

Een voorbeeldje (deze config is niet getest btw):

code:

###
## Basic options
###

default-lease-time 86400;
max-lease-time 172800;

authoritative;
log-facility local7;

###
## Global options
###

option domain-name "ziekenhuis.lan";
option domain-name-servers 172.16.100.100, 172.16.101.101;
option routers 172.24.200.254;
option subnet-mask 255.255.255.0;

###
## Option 82 logic
##
## option agent.remote-id --> switch mac address of switch mgmt IP (bij HP is dit configureerbaar)
##  (10.5.1.1 is in dit geval het mgmt IP)
## option agent.circuit-id --> switch poort nummer
##
###

class "port01" {
    match if binary-to-ascii(10, 8, ".", option agent.remote-id) = "10.5.1.1" and binary-to-ascii (10,8,"", suffix(option agent.circuit-id,1)) = "1";   
}

class "port02" {
    match if binary-to-ascii(10, 8, ".", option agent.remote-id) = "10.5.1.1" and binary-to-ascii (10,8,"", suffix(option agent.circuit-id,1)) = "2";   
}

class "port03" {
    match if binary-to-ascii(10, 8, ".", option agent.remote-id) = "10.5.1.1" and binary-to-ascii (10,8,"", suffix(option agent.circuit-id,1)) = "3";   
}

## enzovoort (wordt redelijk veel als je veel poorten moet doen)

###
## Pool options
###

shared-network lan {
    subnet 172.16.200.0 netmask 255.255.255.0 {
    }

    pool {
        allow members of "port01";

        ## Ik geloof dat de range wel groter moet zijn dan dit, maar goed :)
        range 172.16.200.1 172.16.200.1;
    }

    pool {
        allow members of "port02";
        range 172.16.200.2 172.16.200.2;
    }

    pool {
        allow members of "port03";
        range 172.16.200.3 172.16.200.3;
    }

    ## etc... redelijk omslachtig dus :)
}

Als je veel poorten er in wil zetten wordt je configuratie redelijk omslachtig. Daarnaast weet ik niet zeker of je wel ranges mag defineren bestaande uit 1 IP adres. Overigens mag je niet "dynamische" dingen doen in de range-definities.

Als het achterliggende idee is om te bepalen welk IP adres zich op welke switch poort bevindt, kun je met Option 82 en DHCPd eventueel ook:

- Dynamisch reverse DNS entries aanmaken aan de hand van Option 82 data
- Option 82 data wegschrijven naar een log (of script uitvoeren / aan database toevoegen etc)

Voorbeeldje voor DynDNS:

code:

###
## Option 82 logic
###

class "option82" {
    match if exists agent.circuit-id;
}

shared-network lan {
    subnet 172.16.200.0 netmask 255.255.255.0 {
    }

    pool {
        allow members of "option82";
        range 172.16.200.1 172.16.200.100;

        ## hostname zal "unknown" zijn als de client deze niet doorgeeft
                ## het switch nummer wordt afgeleid van het 4de octet van het mgmt IP

                ddns-hostname = concat( pick(option host-name,"unknown"), ".", "port-", binary-to-ascii (10,8,"", suffix(option agent.circuit-id,1)), ".", "switch-",
            binary-to-ascii (10,8,"", suffix(option agent.remote-id,1)) );

    }
}

###
## DDNS
###
ddns-update-style ad-hoc;
ddns-updates on;

zone ziekenhuis.lan. {
    primary 172.16.100.100;
    secondary 172.16.101.101;
}

zone 200.16.172.in-addr.arpa. {
    primary 172.16.100.100;
    secondary 172.16.101.101;
}

De bovenstaande configuratie zal DNS entries genereren als:

code:

1	hostname.port-20.switch-15.ziekenhuis.lan

Als het overigens gaat om de plaats bepaling van de machines kun je er ook voor kiezen om het volgende te doen:
- Maak een database met welke machine welk mac adres heeft
- Bouw een script die periodiek de mac adres tabel van de switch uitleest (bijv. via SNMP)
- Je kunt dan gemakkelijk zien welke machine op welke poort / outlet zit
- De ip adressen van de machines zijn dan niet meer relevant.

maandag 14 december 2009 20:47

Acties:

RedGolf

Topicstarter

Toch wel grappig wat een typisch ziekenhuis geval, voor problemen opleverd. De leverancier van de dialyse apparatuur had het bij wijze van test opgelost door een huis-tuin-keuken router achterstevoren tussen een switch en het dialyse apparaat te plaatsen, dus met de WAN poort naar de machine en de LAN poort richting switch.

We zullen dit binnenkort opnemen met de netwerk beheerders, dat zal wel nieuwjaar worden, want 40 poorten herconfiguren op deze niet standaar dwijze zal niet met heel groot enthousiasme ontvangen worden

Dit soort problemen komen overigens vaker voor hoor. Op een intensive care box (kamer) staan voor een deel vaste apparaten (met vaste instellingen), die allemaal op PDMS uitkomen (realtime patiënt bewaking en logging). Daarnaast komt er soms een beademing of dialyse apparaat bij, die er ook op aangesloten moet worden. Meestal is de link tussen een PDMS en de patiënt de kamer en niet IP adressen of zo.

Ik zal dit draadje eens meenemen wanneer we er mee aan de gang gaan. Ze mogen het in de huidige bouw gaan implementeren maar ook in de nieuwbouw.

Nibe S2125-12, SMO S40, ELK9, Vloerverwarming+radiatoren Enphase 7560Wp, ABB SCU200

woensdag 16 december 2009 11:42

Acties:

Verwijderd

RedGolf schreef op maandag 14 december 2009 @ 20:47:
Toch wel grappig wat een typisch ziekenhuis geval, voor problemen opleverd. De leverancier van de dialyse apparatuur had het bij wijze van test opgelost door een huis-tuin-keuken router achterstevoren tussen een switch en het dialyse apparaat te plaatsen, dus met de WAN poort naar de machine en de LAN poort richting switch.

We zullen dit binnenkort opnemen met de netwerk beheerders, dat zal wel nieuwjaar worden, want 40 poorten herconfiguren op deze niet standaar dwijze zal niet met heel groot enthousiasme ontvangen worden

Dit soort problemen komen overigens vaker voor hoor. Op een intensive care box (kamer) staan voor een deel vaste apparaten (met vaste instellingen), die allemaal op PDMS uitkomen (realtime patiënt bewaking en logging). Daarnaast komt er soms een beademing of dialyse apparaat bij, die er ook op aangesloten moet worden. Meestal is de link tussen een PDMS en de patiënt de kamer en niet IP adressen of zo.

Ik zal dit draadje eens meenemen wanneer we er mee aan de gang gaan. Ze mogen het in de huidige bouw gaan implementeren maar ook in de nieuwbouw.

Je zou je ook af kunnen gaan vragen of, gezien het dynamische karakter van de topologie, het niet beter is om apparaten gewoon op hostnaam op te nemen ipv op IP adres en die dingen op het moment van ergens neerzetten in laten voeren met "device X nu op lokatie Y (evt bij patiënt Z)"
Dat zou je met barcode readers snel en makkelijk kunnen doen, en het scheelt een berg werk op netwerk niveau. Bovendien, nu is de foutmarge best groot want er moet handmatig allerlei gegevens gecontroleerd en gewijzigd worden, door ITers die het sowieso al druk hebben, op een schema dat hen niet uitkomt maar voor de medische staf absoluut noodzakelijk is.
Als je een barcode op elke plaats hebt, op elke machine, en ik ga er van uit dat op het bed sowieso een identifiër voor patienten is (met barcode?) dan kun je op het moment dat de machine naar een lokatie toegaat met 2 of drie biepjes je administratie op orde hebben - en omdat alles behalve het scannen automatisch gaat weet je ook tot op de minuut nauwkeurig wanneer welke machine aan welke patiënt hing en wat diens relevante data was. En weet je niet zeker of je gebiept hebt? gewoon nog een keer doen - als het goed was, verander je niets.

Helemaal gratis is zo'n invoering niet maar je kunt jezelf en je ziekenhuis een hoop tijd moeite en fouten besparen door zo iets simpels te bouwen (en er izjn veel betere technische oplossingen te maken, maar dit is zomeer één ideetje).

Handmatig IPtjes najagen voor patiëntendata op hoop van zegen vind ik eerlijk gezegd nogal eng. En, wat als een machine verhuist nu? Wat gebeurt er als je in het systeem niet zeker bent waar de machine is en wie er aan hangt? Komen dan de patiëntengegevens wel op de juiste plaats? Gegarandeerd?

zondag 20 december 2009 17:39

Acties:

--help

Ik heb dit eens met een Cisco Switch gedaan. Per poort kreeg je dan een ander IP toegewezen. Ik had dan wel VLANs gemaakt (per netwerk) en had dit via een router getrunkt. Het kan dus absoluut