Hi Holger,
ja, ich weiß … was im Fall der nicht-virtualisierten FW weiterhin liefe, wäre der externe Zugriff z.B. via OpenVPN, so dass man ins rote Netz oder ins Management Netz gelangen kann. Natürlich muss man sowieso nachsehen, was los ist, wenn der Hypervisor down ist. Aber wenn man immerhin von außen nachsehen kann und sich auf dem IMM2 des Servers einloggen kann, kann man auch ohne laufenden Hypervisor Fernwartung betreiben. Bei einer virt. FW geht das nicht, da dann wirklich alles down ist. Es kann schon sein, dass das für „normale“ Schulen etwas over-sized ist – fragt man aber Leute, die die IT in "richtigen Betrieben 
" aufziehen, sagen die fast ausnahmslos, dass die FW auf’s Blech gehört. Vielleicht gibt’s ja auch noch ganz andere Gründe, an die ich bisher gar nicht denke…?!
Vielleicht auch noch dieser Grund … ich habe aber den Eindruck, dass eine FW auf Blech mit vielen eingehenden VPN-Verbindungen besser klar kommt als wenn man das über eine virtualisierte FW laufen lässt (ist aber bisher nur eine Vermutung)?!
Unter’m Strich: Es bleibt natürlich eine „Geschmacks(?)frage“ ob es das einem wert ist, dass man die FW nicht weiterhin virtualisieren will. Ich gehe im Moment nur die Möglichkeiten durch. Bestellt habe ich noch nichts
Zurück zur Frage: Ich habe die Situation, wie sie im Moment ist und wie sie mit 10 GBit sein könnte, einfach mal aufgezeichnet. Ein Bild sagt mal wieder mehr als eine lange eMail.
Also hier der Ist-Zustand:
Und hier eine von vielen Möglichkeiten, wie man das mit 10 Gbit machen könnte bzw wie man den ersten Ausbauschritt auf 10 GBit gestalten könnte (Sinn und Unsinn kann aber gerne weiterhin diskutiert werden
):
(ich hatte mich in der letzen eMail übrigens selbst nochmal vertan … gemeint hatte ich die Verbindungen zwischen FW und L3-Switch. Also all das, was im Moment virtualsiert läuft)
Schöne Grüße,
Michael