Zero configuration network
Dan Lukes
dan at obluda.cz
Tue Nov 3 19:47:54 CET 2009
Dušátko Jan wrote:
> - IPv4/IPv6 (to je dobre popsane, jen jsem na tom zatim nezkousel rozbehat
> dalsi sluzby)
Stroje s dualni konektivitou mame. Vcetne Apache a SMTP serveru.
V podstate nenachazim zadne konfiguracni zadrhele.
Teda, az na prakticky neexistujici DHCPv6 server pro FreeBSD - to je
trochu dost problem pro to, abychom mohli IPv6 poskytovat i koncovym
uzivatelum a ne jen serverum pod nasi primou spravou.
Jo a vlastne - jeste je tu zasadni potiz, pokud mas IPv6 konektivitu a
site, ale ne vsechny site na vsech sitovych interfacech maji byt
IPv6-capable. V siti, kde vubec nema byt k dispozici IPv6 si
pochopitelne nepreju, aby na sitove karte byla jakakoliv IPv6 adresa -
tedy ani link-local ne. Jenze FreeNSD ma tendenci dat LL IPv6 adresy n
avsechny rozhrani. A kdyz mu to zakazu, pak je pro zmenu neda nikam -
pak ale FreeBSD nenabizi jednoduchy mechanismus, jak takovou adresu na
konkretnim interface "nahodit".
> - WakeOn-LAN (v tuto chvili resim pres command line)
A jak bys to chtel resit ? Pokud predpokladas, ze si uzivatele
nepamatuji MAC sveho pocitace (coz je celkem spravny predpoklad) pak
jedina potiz je abys tu MAC nekde mel tak, abys ji dokazal vytahnout na
zaklade nejake jine identifikace, kterou si uz uzivatel bude pamatovat.
Mimochodem, WakeOnLan se obvykle navzajem vylucuje s 802.1x autentizaci.
> - 802.1x/RADIUS a konfigurace VLAN na interface v BSD
Provozujeme pomerne rozsahlou "lokalni" sit (>1300 uzivatelu) v teto
konfiguraci. Nejvetsi problemy nejsou s FreeBSD - nejvetsi problemy jsou
s 802.1x komunikaci aktivnich prvku (switchu). Je treba opatrne vybrat
jake switche si do takove site dat. A rozhodne nelze doporucit, aby tam
bylo prilis mnoho prilis ruznych typu ...
> (jak resit ARP inspection?)
Typicky ? Neresit ;-)
Problemy, ktery ARP inspection resi ma jina reseni, ktera navic
pokryvaji i jine metody utoku.
> Protoze vetsina produktu jsou pouze aplikace implementovane na BSD, diskuse
> v ramci fora mozna nebude uplne to prave. Zalezi na spravci, zda nam to
> povoli.
Zaprve si myslim, ze je ucelne ta jednotliva temata rozdelit a
neprobirat je v jednom vsezahrnujicim threadu. Protoze bude totalne
neprehledny.
A az to bude rozdelene - zalezi o cem se bude diskutovat a kam se
diskuse pohne. Mirny a/nebo kratkodoby ulet mimo lze tolerovat. No a
kdyz to bude moc mimo, nebo tech prispevku malo mimo zacne bejt moc, tak
to budeme resit az to nastane...
Dan
More information about the Users-l
mailing list