© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
Peter Ross wrote:
> Oliver Fromme wrote:
>
> > Genau dafür gibt es lagg(4) ("man lagg").
>
> Noch ein Weg. Da er neuer ist, der bessere?
Neuer und leistungsfähiger. Ob »besser« kommt auf den
jeweiligen Standpunkt an.
> Ich habe eben mal durch die Quellen geguckt, auch wenn die Manpage
> ng_one2many(4) erwähnt, lagg(4) greift darauf nicht zurück, sondern ist
> unabhängig.
Die Manpage erwähnt es, weil es von der Funktionalität her
»verwandt« ist, nicht weil das eine auf das andere zurück-
greift.
Eigentlich wäre es sinnvoll, wenn ng_one2many(4) auch auf
lagg(4) verweist (unter »SEE ALSO«). Werde ich mich evtl.
mal drum kümmern, wenn ich Zeit habe.
> Ich frag mich, warum es unabhängig implementiert wurde.
Weil es nicht von FreeBSD stammt. Es wurde unter OpenBSD
entwickelt (unter dem Namen »trunk«). Später wurde es
nach FreeBSD portiert, da es zahlreiche Features bietet,
die mit Bordmitteln bis dahin nicht oder nur mit großem
Aufwand zu realisieren waren, z.B. FEC, das ziemlich
populär ist (sogar mein billiger NoName-Switch daheim
kann FEC).
> Das Schöne an
> netgraph-Modulen ist, daß sie eben hübsche Module sind.
Es hat halt alles seine Vor- und Nachteile. Netgraph-
Module kann man schön zusammenstecken wie LEGO-Steine
und damit sehr vielseitige Setups realisieren. Das ist
ein ganz klarer Vorteil von Netgraph.
Auf der anderen Seite finde ich es komplizierter zu
managen als ein simples virtuelles Interface wie lagg(4),
das man einfach mit ifconfig einrichten kann. Aber das
mag Ansichtssache sein.
Davon abgesehen ist bei Netgraph der Overhead etwas
höher. Das kann bei Performance-kritischen Anwendungen
von Bedeutung sein. Für einen DSL-Router ist es sicher-
lich belanglos.
> > Das coole an lagg(4) ist, dass man damit z.B. auch ein
> > Failover zwischen einer Netzwerkkarte und einem WLAN
> > machen kann:
>
> Wobei die Manpage unter BUGS warnt, daß die Sicherheit des WLANs hier
> nicht sauber funktioniert.
Jein. Man kann -- soviel ich weiß -- WPA nicht konfigu-
rieren, da lagg(4) die speziellen IOCTLs nicht kennt, die
dafür erforderlich sind. Die müssten an das WLAN-Inter-
face weitergereicht werden. Das ist alles andere als
trivial, da es ja auch für den Fall noch funktionieren
soll, dass das Interface verlorengeht und später wieder-
kommt. Man müsste eine Menge Intelligenz zusätzlich in
lagg(4) integrieren. Die Mühe hat sich bisher offenbar
keiner gemacht.
Mit ng_one2many(4) funktioniert das übrigens genausowenig.
Allerdings gibt es ja mehrere andere Möglichkeiten, wie
man ein WLAN auch ohne WPA sicher bekommen kann. Da ich
WPA ohnehin nicht besonders weit traue, würde ich sogar
empfehlen, zusätzliche Sicherheitsmaßnahmen zu ergreifen,
selbst wenn man WPA verwendet.
Eine solche Maßnahme wäre z.B., IPSEC zu verwenden, oder
ein sonstiges verschlüsseltes Protokoll. Da gibt es ja
zahlreiche Möglichkeiten (Kerberos, OpenVPN, oder notfalls
sogar ssh-Tunnel).
Gruß
Olli
-- Oliver Fromme, secnetix GmbH & Co. KG, Marktplatz 29, 85567 Grafing b. M. Handelsregister: Registergericht Muenchen, HRA 74606, Geschäftsfuehrung: secnetix Verwaltungsgesellsch. mbH, Handelsregister: Registergericht Mün- chen, HRB 125758, Geschäftsführer: Maik Bachmann, Olaf Erb, Ralf Gebhart FreeBSD-Dienstleistungen, -Produkte und mehr: http://www.secnetix.de/bsd "I started using PostgreSQL around a month ago, and the feeling is similar to the switch from Linux to FreeBSD in '96 -- 'wow!'." -- Oddbjorn Steffensen To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org with "unsubscribe de-bsd-questions" in the body of the messageReceived on Fri 04 Apr 2008 - 17:41:48 CEST