[atnog] Anzahl von Router ACLs

[Rene Avi]

Hallo Klaus, 

hängt von der Art ab – TCAM zieht den zu checkenden Header an allen Registern (ACL matches, ist leider nicht 1:1 weil es von der Art des TCAMs (wie ‚breit’) und der Art der ACL abhängt (möglicherweise mehrere Durchgänge benötigt) in einem cycle vorbei http://etherealmind.com/basics-what-is-ternary-content-address-memory-tcam/ . Es ist daher normalerweise wire-speed aber halt relativ teuer.

Die Kunst und daher auch das aktuelle Schlachtfeld zwischen den Vendors ist das ACL compressing, daher wie aggregiert und verdichtet wird damit sich möglichst viele im limitierten/teueren Platz ausgehen. Da fallen dann schon mal der mittlere Teil einer v6 Adresse einer Komprimierung zum Opfer d.h. blöde (weil dann gleicher hash erzeugende) liegende andere v6-Adressen matchen im TCAM. Hier muss man auf die Details der Implementierung einfach genau achten. 

Es gib auch Kombinationen (Juniper MPCs, andere sicher auch) die TCAM und TREE je nach Art und Größe der ACLs kombinieren.. 

lG, /Rene

Am 28.03.17, 15:08 schrieb "Klaus Darilion" <klaus.darilion at nic.at>:

    Hallo Rene!
    
    Hui, da kommt gleich die nächste Frage: Wenn nun zB 100 000 ACLs konfiguriert sind, werden diese in "iptables" Manier der Reihe nach abgearbeitet (was ja bei 100 000 ACLs vermutlich spürbar ist) oder sind diese Router intelligenter und arbeiten zB mit Hash-Tables?
    
    Danke
    Klaus
    
    
    
    > -----Ursprüngliche Nachricht-----
    > Von: Rene Avi [mailto:rene.avi at nextlayer.at]
    > Gesendet: Dienstag, 28. März 2017 14:45
    > An: atnog at mailing.atnog.at; Klaus Darilion <klaus.darilion at nic.at>
    > Betreff: Re: [atnog] Anzahl von Router ACLs
    > 
    > Hallo Klaus,
    > 
    > ja ‚größere’ Router haben mehr Platz für ACLs auf den linecards, sei es
    > in deren TCAM (dann wire-speed hoffentlich) oder anderswo im Forwarding-
    > Pfad (Tree, kann dann je nach Implementierung irgendwann Auswirkungen
    > auf den Durchsatz haben).
    > 
    > TOR-Class Switches haben üblicherweise nicht den Bedarf an vielen
    > Access-Listen, daher findet sich das auch nicht im Chipset. Ist ein
    > kommerzieller Trade-Off Die-Size vs. Kosten.
    > 
    > Beispiel: Cisco ASR9k - 2,7M ACLs compressed (datasheet magic, YMMV)
    > bzw. ca. 60k ACLs uncompressed.
    >                  Aktuelle Juniper MX MPC linecards – 256kACLs
    > 
    > lG, /Rene
    > 
    > Am 28.03.17, 10:22 schrieb "atnog-bounces at atnog.at im Auftrag von Klaus
    > Darilion" <atnog-bounces at atnog.at im Auftrag von klaus.darilion at nic.at>:
    > 
    >     Hallo!
    > 
    > 
    >     Wir hatten bei uns intern eine Diskussion und mangels ISP-Know How
    > fanden wir keine Antwort. Kann uns von euch jemand helfen?
    > 
    >     Die Frage war: Die Router die ein ISP typischerweise an seinen
    > Bordern einsetzt (Peering mit anderen ASen) - wie viele Filter Regeln
    > kann man auf diesen Routern konfigurieren bei gleichbleibender
    > Performance (also kein Filtering in der Control Plane). Sind das mehr
    > als unsere EX4200 können (7000) oder können "große" Router auch mehr
    > Rules?
    > 
    >     Danke
    >     Klaus
    > 
    >     --
    >     PS: Every Secondary Counts
    >     https://www.youtube.com/watch?v=y0if6D6IC4o
    > 
    > 
    > 
    >     _______________________________________________
    >     atnog mailing list
    >     atnog at atnog.at
    >     https://atnog.at/mailman/listinfo/atnog
    > 
    
-------------- next part --------------
A non-text attachment was scrubbed...
Name: smime.p7s
Type: application/pkcs7-signature
Size: 4556 bytes
Desc: not available
URL: <http://atnog.at/pipermail/atnog/attachments/20170328/4ade29ad/attachment-0001.p7s>