Zero configuration network

[Dan Lukes]

Dušátko Jan wrote:
>  - IPv4/IPv6 (to je dobre popsane, jen jsem na tom zatim nezkousel rozbehat
> dalsi sluzby)

Stroje s dualni konektivitou mame. Vcetne Apache a SMTP serveru.

V podstate nenachazim zadne konfiguracni zadrhele.

Teda, az na prakticky neexistujici DHCPv6 server pro FreeBSD - to je 
trochu dost problem pro to, abychom mohli IPv6 poskytovat i koncovym 
uzivatelum a ne jen serverum pod nasi primou spravou.

Jo a vlastne - jeste je tu zasadni potiz, pokud mas IPv6 konektivitu a 
site, ale ne vsechny site na vsech sitovych interfacech maji byt 
IPv6-capable. V siti, kde vubec nema byt k dispozici IPv6 si 
pochopitelne nepreju, aby na sitove karte byla jakakoliv IPv6 adresa - 
tedy ani link-local ne. Jenze FreeNSD ma tendenci dat LL IPv6 adresy n 
avsechny rozhrani. A kdyz mu to zakazu, pak je pro zmenu neda nikam - 
pak ale FreeBSD nenabizi jednoduchy mechanismus, jak takovou adresu na 
konkretnim interface "nahodit".

>  - WakeOn-LAN (v tuto chvili resim pres command line)

A jak bys to chtel resit ? Pokud predpokladas, ze si uzivatele 
nepamatuji MAC sveho pocitace (coz je celkem spravny predpoklad) pak 
jedina potiz je abys tu MAC nekde mel tak, abys ji dokazal vytahnout na 
zaklade nejake jine identifikace, kterou si uz uzivatel bude pamatovat.

Mimochodem, WakeOnLan se obvykle navzajem vylucuje s 802.1x autentizaci.

>  - 802.1x/RADIUS a konfigurace VLAN na interface v BSD 

Provozujeme pomerne rozsahlou "lokalni" sit (>1300 uzivatelu) v teto 
konfiguraci. Nejvetsi problemy nejsou s FreeBSD - nejvetsi problemy jsou 
s 802.1x komunikaci aktivnich prvku (switchu). Je treba opatrne vybrat 
jake switche si do takove site dat. A rozhodne nelze doporucit, aby tam 
bylo prilis mnoho prilis ruznych typu ...

> (jak resit ARP inspection?)

Typicky ? Neresit ;-)

Problemy, ktery ARP inspection resi ma jina reseni, ktera navic 
pokryvaji i jine metody utoku.

> Protoze vetsina produktu jsou pouze aplikace implementovane na BSD, diskuse
> v ramci fora mozna nebude uplne to prave. Zalezi na spravci, zda nam to
> povoli.

Zaprve si myslim, ze je ucelne ta jednotliva temata rozdelit a 
neprobirat je v jednom vsezahrnujicim threadu. Protoze bude totalne 
neprehledny.

A az to bude rozdelene - zalezi o cem se bude diskutovat a kam se 
diskuse pohne. Mirny a/nebo kratkodoby ulet mimo lze tolerovat. No a 
kdyz to bude moc mimo, nebo tech prispevku malo mimo zacne bejt moc, tak 
to budeme resit az to nastane...

						Dan