[atnog] Anzahl von Router ACLs

Kaiser, Karl karl.kaiser at upc.at
Tue Mar 28 15:56:13 CEST 2017 

hi,

normale access-listen werden immer zeile-für-zeile abgearbeitet.
allerdings werden auf backbone-links im normalfall gar keine access-listen auf interfaces gebunden weder innerhalb des backbones noch zu externen peers.
wäre nämlich erstens auch für große router eine gewisse herausforderung etliche millionen pakete pro sekunde über eine auch nur 100 zeilen access-list zu jagen, zweitens läuft der core transport meistens über mpls/ldp sodass man sowieso nicht so leicht auf die ursprünglichen source/destination adressen filtern kann.

lg karl

-----Ursprüngliche Nachricht-----
Von: atnog-bounces at atnog.at [mailto:atnog-bounces at atnog.at] Im Auftrag von Klaus Darilion
Gesendet: Dienstag, 28. März 2017 15:09
An: Rene Avi; atnog at mailing.atnog.at
Betreff: Re: [atnog] Anzahl von Router ACLs

Hallo Rene!

Hui, da kommt gleich die nächste Frage: Wenn nun zB 100 000 ACLs konfiguriert sind, werden diese in "iptables" Manier der Reihe nach abgearbeitet (was ja bei 100 000 ACLs vermutlich spürbar ist) oder sind diese Router intelligenter und arbeiten zB mit Hash-Tables?

Danke
Klaus



> -----Ursprüngliche Nachricht-----
> Von: Rene Avi [mailto:rene.avi at nextlayer.at]
> Gesendet: Dienstag, 28. März 2017 14:45
> An: atnog at mailing.atnog.at; Klaus Darilion <klaus.darilion at nic.at>
> Betreff: Re: [atnog] Anzahl von Router ACLs
>
> Hallo Klaus,
>
> ja ‚größere’ Router haben mehr Platz für ACLs auf den linecards, sei
> es in deren TCAM (dann wire-speed hoffentlich) oder anderswo im
> Forwarding- Pfad (Tree, kann dann je nach Implementierung irgendwann
> Auswirkungen auf den Durchsatz haben).
>
> TOR-Class Switches haben üblicherweise nicht den Bedarf an vielen
> Access-Listen, daher findet sich das auch nicht im Chipset. Ist ein
> kommerzieller Trade-Off Die-Size vs. Kosten.
>
> Beispiel: Cisco ASR9k - 2,7M ACLs compressed (datasheet magic, YMMV)
> bzw. ca. 60k ACLs uncompressed.
>                  Aktuelle Juniper MX MPC linecards – 256kACLs
>
> lG, /Rene
>
> Am 28.03.17, 10:22 schrieb "atnog-bounces at atnog.at im Auftrag von
> Klaus Darilion" <atnog-bounces at atnog.at im Auftrag von klaus.darilion at nic.at>:
>
>     Hallo!
>
>
>     Wir hatten bei uns intern eine Diskussion und mangels ISP-Know How
> fanden wir keine Antwort. Kann uns von euch jemand helfen?
>
>     Die Frage war: Die Router die ein ISP typischerweise an seinen
> Bordern einsetzt (Peering mit anderen ASen) - wie viele Filter Regeln
> kann man auf diesen Routern konfigurieren bei gleichbleibender
> Performance (also kein Filtering in der Control Plane). Sind das mehr
> als unsere EX4200 können (7000) oder können "große" Router auch mehr
> Rules?
>
>     Danke
>     Klaus
>
>     --
>     PS: Every Secondary Counts
>     https://www.youtube.com/watch?v=y0if6D6IC4o
>
>
>
>     _______________________________________________
>     atnog mailing list
>     atnog at atnog.at
>     https://atnog.at/mailman/listinfo/atnog
>
_______________________________________________
atnog mailing list
atnog at atnog.at
https://atnog.at/mailman/listinfo/atnog
Information gemäß § 14 Unternehmensgesetzbuch: UPC Austria GmbH, Firmensitz: Wolfganggasse 58-60, 1120 Wien, Firmenbuchnummer: FN 251865s, Handelsgericht Wien.

More information about the atnog mailing list