[atnog] Anzahl von Router ACLs
Mario Rosic
mail at rosicmario.eu
Tue Mar 28 18:06:55 CEST 2017
Hallo Klaus,
1. Ein Juniper MX-Router (der oft als Core oder Edge-Router eingesetzt wird) kann in der Regel deutlich mehr Filterregeln verdauen als ein EX-Switch.
Bei den EXen kann man sich außerdem manchmal nicht darauf verlassen, dass der Filter funktioniert und es gibt ziemlich viele arge Einschränkungen was geht und was nicht. Du kannst dich nicht darauf verlassen, dass ein Filter, den du bei deinem MX konfiguriert hast auch bei deinem EX funktioniert oder dass der Filter das gleiche macht.
Hier ein paar Beispiele, was alles schief gehen kann:
https://lists.gt.net/nsp/juniper/53480
Bei den MXen gehen deutlich mehr regeln und man ist viel freier.
2. Eine exakte Anzahl an Terms lässt sich weder bei EXen noch bei MXen sinnvoll angeben, da (u.a.) die von dir erstellten Filter vom Router/Switch intern überarbeitet und so gespeichert werden, wie es für ihn am sinnvollsten/platzsparendsten ist.
3. Ich habe dir einen Auszug aus dem Buch "Juniper MX Series" geschickt, wo Details und weitere Erklärungen drinnen findest. Nur für den Fall, dass du ebenfalls ein Nerd bist und dich für die Details interessierst. :)
Erstens siehst du, dass Juniper auch dort eher vage bleibt was genaue Zahlen betrifft. Zweitens bist frei zu Prüfen, ob der Befehl aus dem Buch auch bei den EXen klappt. Die Befehle poste ich hier für alle:
request pfe execute target fpc5 command "show jnh 0 pool usage"
request pfe execute target fpc5 command "show jnh 0 pool summary"
TL;DR
Ein Edge-Router kann meistens um ein Vielfaches mehr Regeln verdauen als ein Switch, außerdem beherrscht er auch die Erstellung von viel detaillierteren und genaueren Regeln.
Beste Grüße
Mario
Am 2017-03-28 um 10:22 schrieb Klaus Darilion:
> Hallo!
>
>
> Wir hatten bei uns intern eine Diskussion und mangels ISP-Know How fanden wir keine Antwort. Kann uns von euch jemand helfen?
>
> Die Frage war: Die Router die ein ISP typischerweise an seinen Bordern einsetzt (Peering mit anderen ASen) - wie viele Filter Regeln kann man auf diesen Routern konfigurieren bei gleichbleibender Performance (also kein Filtering in der Control Plane). Sind das mehr als unsere EX4200 können (7000) oder können "große" Router auch mehr Rules?
>
> Danke
> Klaus
>
More information about the atnog
mailing list