On 11/18/12 14:12, David Pasek:
na te urovni meho rozsahu to neresim
Takze u sebe bych to mozna dokazal taky nastavit nejakym ACL na switchi "per port", jestli to vubec umoznuje.
No, vetsinou neumoznuje.
Dan te chtel nasmerovat presne timto smerem. Problematika je totiz obecna a je jen otazkou jakym zpusobem to resit, jake mas nastroje a ceho chces docilit. Je to take o duvere a zodpovednostech.
Primarne ho Dan chtel dotlacit k poznani, ze kdyz tohle neresi technickymi prostredky na skutecne LAN, je divne, ze by to nutne potreboval technickymi prostredky vyresit na virtualizovane LAN.
Mozna ma Mirek ve sve LAN jen servery a i tech tak malo, ze je vsechny zvlada spravovat sam. A vsechny sitove zasuvky jsou v zabezpecenem prostredi, takze do nich nikdo nic pripojit nemuze. Pak ma ovsem proste stesti ;-)
V typicke siti to ale je jak pises:
L2 ethernet segment je "by design" nedostatecne zabezpecen a spoleha se na duveru vsech zarizeni pripojenych do L2 site. V pripade, ze to nelze organizacne nebo smluvne zajistit
... pricemz dodam, ze organizacni a smluvni zajisteni je v soucasnosti nejbeznejsi zpusob reseni tohoto problemu.
Prave sem jsem chtel Mirka dotlacit. neznam sice jeho presnou situaci, a tak treba opravdu problem technicky vyresit potrebuje, soucasne je ale dost dobre mozne, ze se zene do zbytecne sloziteho technickeho reseni problemu, kdyz bezne se v podobne situaci pouziva podstatne jednodussi reseni administrativni.
Kazdopadne, smeruju k tomu, ze to co chce je dost specialni problem i pro skutecne LAN a nema zadne "normalni" softwarove reseni. Neznam hypervisor, ktery by mel naimplementovano reseni tohoto specialniho problemu (byt' je nesleduju tak detailne, aby mi to nemohlo uniknout) a tim se tak jako tak obloukem vracime zpet k tomu, ze mozna bude proste nutne sahnout k netechnickemu reseni problemu ...
Dan P.S.:
Moznost 2 - zavisla na moznostech switche:
Zde bych dodal, ze jde o relativne novou vec, a to i na IPv4, a uvedene moznosti maji jen dost nove switche, obvykle jeste navic jen s nejakym dostatecne soucasnym firmwarem. Pokud by totez clovek chtel i pro IPv6 tak to uz aby clovek vhodne zarizeni opravdu spendlickem pohledal.
-- FreeBSD mailing list ([email protected]) http://www.freebsd.cz/listserv/listinfo/users-l
