> ganz so einfach ist das nicht:-) > > Also, wenn ich diese Kombination aus Linux/BSD-Rechner und > 802.1q-Switch so aufbaue, wie ich das beschrieben habe, dann muss ich > auf dem Switch genau einmal die Ports den einzelnen VLANs zuordnen. > Danach fasse ich den Switch nicht mehr an. > > Auf dem Router muss ich genau einmal das Trunk-Interface festlegen und > die VLAN-Interfaces einrichten. Danach fasse ich auch die nicht mehr > an. Was dabei herauskommt ist nach außen letztlich ein Router mit > richtig vielen Ethernet-Interfaces. Klar, das mag alles sein, aber i.d.R. hast Du in den meisten Fällen, dass Wohnheime zum Studentenwerk gehören und die Hardware, die im StuWe verwendet wird, administrativ disjunkt zu dem ist, was wir im Campus warten. Mit "hat nix mit der Praxis zu tun" meinte ich auch nicht, dass es technisch und administrativ nicht möglich ist, aber es ist speziell in unserem Szenario nicht sinnvoll und ein nicht vertretbarer Aufwand. Die Security wird in den Wohnheimen über MAC-basierte Port-Security auf den dortigen (IPv6-fähigen!) L3-Switches gehandhabt, was in unserem Szenario völlig ausreicht. Sobald es DHCPv6 als wirklich produktiv nutzbare Software gibt, haben wir auch kein Problem mehr, da wir dann über leicht wartbare ACLs etc. schon ausreichende Sicherheit haben. Noch schöner wird's wenn es das IPv4-DHCP-Snooping dann noch für v6 gibt.
Lass es mich anders formulieren: wir haben leider nur 2,5 Leute, die sich hier in die Tiefe mit dem Netz der kompletten TU beschäftigen können, wir sind froh, dass es vernünftig läuft und wir es weiter entwickeln können, wir IPv6 produktiv im Backbone und in den Diensten haben und sowas wie eduroam am Start haben. Wir würden es zeitlich einfach nicht schaffen, eine "1-VLAN-pro-Person"-Lösung zu basteln, dafür war der Leidensdruck bisher nicht groß genug, andere Projekte dafür zu vernachlässigen. :-) Letztendlich bin ich eigentlich froh, dass wir den Wohnheimen hier die Freiheit lassen können, IPv6 ohne große Einschränkungen zu benutzen. Wenn alles schief geht, dann haben wir noch unsere Flow-Analysen mit Netflow v9 (IPv6-fähig) und die Hilfe der Heimadmins, die extrem fit sind. So finden wir auch Abuse-Fälle i.d.R. Regel sehr fix, auch unter v6. Christian -- TU Clausthal [EMAIL PROTECTED] Rechenzentrum http://www.rz.tu-clausthal.de Erzstraße 51 Tel.: +49-5323-72-2086 D-38678 Clausthal-Zellerfeld Fax: +49-5323-72-3536 _______________________________________________ ipv6 mailing list [email protected] http://listserv.uni-muenster.de/mailman/listinfo/ipv6
