Moin Christian und Liste,
Christian Strauf <[EMAIL PROTECTED]> writes:
> Klar, das mag alles sein, aber i.d.R.
hmm, "i.d.R." habe ich bisher noch nie praktisch implementiert
gesehen---irgendwo hat ausnahmslos jede Umgebung, die ich bisher
erlebt habe, aus guten Grund irgend etwas gemacht, wovon ich bis dahin
fest überzeugt war, dass das niemand bei klarem Verstand machen würde.
Das beste Beispiel war, dass in einer Hochsicherheitsumgebung Telnet
statt SSH verwendet wurde---und zwar aus wirklich gutem Grund.
> hast Du in den meisten Fällen, dass Wohnheime zum Studentenwerk
> gehören und die Hardware, die im StuWe verwendet wird, administrativ
> disjunkt zu dem ist, was wir im Campus warten.
Das zum Beispiel ist eine für mein Verständnis wirklich ungewöhnliche
Konstellation.
"Normalerweise" versucht man doch, Schnittstellen möglichst klein zu
halten, also man wirft einen Uplink-Port über den Zaun und kümmert
sich nicht um das, was dahinter passiert. Es hat ja durchaus seinen
Grund, warum manche Provider den Kunden gerne einen Router hinstellen,
einen dicken roten Pfeil an das Ethernet-Interface machen, wo sich der
Kunde einstöpseln soll und ihm keinen Zugang auf den Router geben.
> [...] L3-Switches [...]
Die machen solche Konstellationen natürlich dann nochmal zusätzlich
unterhaltsam.
Wie gesagt, das soll nicht heißen, dass ich Eure Lösung für unsinnig
halte, aber eben doch (wie immer) eher unkonventionell.
> Sobald es DHCPv6 als wirklich produktiv nutzbare Software gibt,
:-) Ich sage zu dem Thema nichts mehr. Nicht mal Stateless DHCPv6 für
die DNS-Konfiguration habe ich dazu bringen können, überall zu
laufen---und die Kompatibilitätsprobleme bei den Implementierungen,
die liefen, waren auch nicht ganz ohne.
> Lass es mich anders formulieren: wir haben leider nur 2,5 Leute, die sich
> hier
> in die Tiefe mit dem Netz der kompletten TU beschäftigen können, wir sind
> froh, dass es vernünftig läuft und wir es weiter entwickeln können, wir IPv6
> produktiv im Backbone und in den Diensten haben und sowas wie eduroam am
> Start haben.
Womit Ihr weiter seid als eine ganze Reihe anderer Umgebungen.
> Wir würden es zeitlich einfach nicht schaffen, eine
> "1-VLAN-pro-Person"-Lösung zu basteln, dafür war der Leidensdruck
> bisher nicht groß genug, andere Projekte dafür zu
> vernachlässigen. :-)
Schon klar, ich habe das auch erst gemacht, als ich meine alte
VMware-Box mit zwei PCI-Slots gegen eine mit zwei PCIe-Slots
ausgetauscht habe und ich deshalb Ersatz für die alte 4fach-NIC
gebraucht habe.
Die Konfiguration des Switches (Level1 0840(?), so ein Billigteil
eben) über die serielle Schnittstelle war alleine wegen der seriellen
Schnittstelle etwas fummelig zu automatisieren, aber prinzipiell
trivial: Port 0 als Trunk, Port 1-7 auf VLAN 1-7, fertig. Die
Interface-Konfiguration unter Linux war mit einer for-Schleife in der
Shell trivial erledigt, und am Ende hatte ich alles, was ich brauchte.
Im Zusammenspiel mit Euren bereits existierenden Level-3-Switches
nützt Euch das natürlich überhaupt nichts (mehr).
> Letztendlich bin ich eigentlich froh, dass wir den Wohnheimen hier die
> Freiheit lassen können, IPv6 ohne große Einschränkungen zu benutzen.
Auch die Einstellung findest Du in "normalen" Firmennetzen spätestens
ab einer gewissen Mindestgröße eher selten.
> Wenn alles schief geht, dann haben wir noch unsere Flow-Analysen mit
> Netflow v9 (IPv6-fähig) und die Hilfe der Heimadmins, die extrem fit
> sind. So finden wir auch Abuse-Fälle i.d.R. Regel sehr fix, auch
> unter v6.
Schon alleine um kooperative und kompetente Ansprechpartner auf der
Gegenseite werden Dich vermutlich alle, die mit dem "typischen"
ISP-Massenmarktgeschäft ihr Geld verdienen, beliebig beneiden.
Viele Grüße,
Benedikt
--
Benedikt Stockebrand, Dipl.-Inform. http://www.benedikt-stockebrand.de/
"IPv6 in Practice---A Unixer's Guide to the Next Generation Internet"
(Springer, ca. 410 pages, hardcover) now internationally available.
_______________________________________________
ipv6 mailing list
[email protected]
http://listserv.uni-muenster.de/mailman/listinfo/ipv6
